10月24日,App專項治理工作組在其官方微信號上公佈了國家標準GB/T 35273《信息安全技術 個人信息安全規範》更新後的徵求意見稿。
據App專項治理工作組消息,國家標準GB/T 35273《信息安全技術 個人信息安全規範》於2019年6月公開向社會徵求意見。截至目前,標準編制組共收到並處理意見約400條。基於各單位反饋意見以及App違法違規收集使用個人信息專項治理工作實踐經驗,標準編制組對徵求意見稿版本予以補充完善、優化和更新。
更新的方面包括:1,對部分定義補充完善,優化部分專業詞彙描述;2,優化對基本原則的描述;3,對不得強迫接受多項業務功能、授權同意等內容進行更新;4,對個性化展示的使用部分予以更新;5, 針對註銷難,補充了對註銷機制的要求;6,補充了對委託處理、共享、轉讓等中對受委託者和接受方的管理要求;7,對個人信息共同控制者進行更新;以及8其他改動。
《信息安全技術 個人信息安全規範》(徵求意見稿)由市場監督管理總局、中國國家標準化管理委員會發佈。該標準由全國信息安全標準化技術委員會(SAC/TC260)提出並歸口。全國信息安全標準化技術委員會是在信息安全技術專業領域內,從事信息安全標準化工作的技術工作組織。 全國信息安全標準化技術委員會與中國消費者協會、中國互聯網協會、中國網絡空間安全協會成立了App違法違規收集使用個人信息專項治理工作組,簡稱App專項治理工作組,具體推動App違法違規收集使用個人信息評估工作。
國家標準GB/T 35273《信息安全技術 個人信息安全規範》(徵求意見稿)稱,本標準針對個人信息面臨的安全問題,根據《網絡安全法》規範個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環節中的相關行為,旨在遏制個人信息非法收集、濫用、洩漏等亂象,最大程度地保障個人的合法權益和社會公共利益。
該標準規範了開展收集、保存、使用、共享、轉讓、公開披露、刪除等個人信息處 理活動應遵循的原則和安全要求。
在不得強迫接受多項業務功能部分,新版的《信息安全技術 個人信息安全規範》徵求意見稿新增了不應以改善服務質量、提升個人信息主體體驗、研發新產品、增強安全性等為由,強迫要求個人信息主體同意收集個人信息。
在收集個人信息時的授權同意部分,新版徵求意見稿在“間接獲取個人信息時”新增了應瞭解個人信息提供方已獲得的個人信息處理的授權同意範圍,包括使用目的,個人信息主體是否授權同意轉讓、共享、公開披露、刪除等內容。
在個人信息主體註銷賬戶一節,新版徵求意見稿對個人信息控制者提出了更多細化要求,包括宜直接設置便捷的註銷功能交互式頁面,及時響應個人信息主體註銷請求;受理註銷賬號請求後,需要人工處理的,應在承諾時限內(原則上不超過十五 天)完成核查和處理;註銷過程進行身份核驗需要個人信息主體重新提供的個人信息不應多於註冊、使用等服務環節收集的個人信息等。
在共同信息控制者一節,新版徵求意見稿新增瞭如未向個人信息主體明確告知第三方身份,以及在個人信息安全方面自身和第 三方應分別承擔的責任和義務,個人信息控制者應承擔因第三方引起的個人信息安全責任。
其中還值得關注的是,在部分情形中,個人信息控制者收集、使用個人信息不必徵得個人信息主體的授權同意。這些情形包括與個人信息控制者履行法律法規規定的義務相關的,與國家安全、國防安全直接相關的,與公共安全、公共衛生、重大公共利益直接相關的,與刑事偵查、起訴、審判和判決執行等直接相關等。
閱讀更多 澎湃新聞 的文章
