新版《個人信息安全規範》正式發佈

根據2020年3月6日國家市場監督管理總局、國家標準化管理委員會發佈的中華人民共和國國家標準公告,GB/T-2020《信息安全技術 個人信息安全規範》(下稱《規範》),並定於2020年10月1日實施。除此之外,還有8項國家標準正式發佈。具體清單如下:

新版《個人信息安全規範》正式發佈

GB/T-2020《信息安全技術 個人信息安全規範》對個人信息收集、儲存、使用做出了明確規定,並規定了個人信息主體具有查詢、更正、刪除、撤回授權、註銷賬戶、獲取個人信息副本等權力。

該標準代替 GB/T 35273-2017《信息安全技術 個人信息安全規範》,與 GB/T 35273-2017 相比,主要技術變化如下:

1、增加了“多項業務功能的自主選擇”、“用戶畫像的使用限制”、“個性化展示的使用”、“基於不同業務目所收集個人信息的匯聚融合”、“第三方接入管理”、“個人信息安全工程”、“個人信息處理活動記錄”等內容。

《規範》建議,應通過如彈窗、文字說明、填寫框、提示條、提示音等形式進行提示,並且要讓用戶主動做出肯定性的動作,比如勾選、點擊“同意”或“下一步”。

此外,擴展的業務功能,應允許個人信息主體逐項選擇同意。用戶不同意的,個人信息控制者不得反覆徵求用戶同意,除非用戶主動選擇開啟擴展功能,且不應拒絕提供基本業務功能或降低基本業務功能的服務質量。

同時,《規範》還要求,App 在提供業務功能的過程中使用個性化展示的,應顯著區分個性化展示的內容和非個性化展示的內容,比如標明“定推”字樣。同時,App 應提供不針對用戶特徵的選項。《規範》還建議,App 向用戶提供個性化展示的,宜建立用戶對個人信息(如標籤、畫像維度)的自主控制機制,保障用戶調控個性化展示相關程度的能力。

2、修改了“徵得授權同意的例外”、“個人信息主體註銷賬戶”、“明確責任部門與人員”、附錄 C“實現個人信息主體自主意願的方法”等內容。

在徵得授權同意的例外中,《規範》明確,隱私政策的主要功能為公開個人信息控制者收集、使用個人信息範圍和規則,不應將其視為根據個人信息主體要求籤訂和履行的合同。

3、針對個人生物識別信息方面的要求,進行細化並完善。

《規範》規定在收集個人生物識別信息前,應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和範圍,以及存儲時間等規則,並徵得個人信息主體的明示同意。

而對於生物識別信息的存儲,《規範》也提出了具體的解決措施。

第一,個人生物識別信息要與個人身份信息分開存儲;

第二,原則上不應存儲原始個人生物識別信息,可採取的措施包括但不限於:僅存儲個人生別信息的摘要信息;在採集終端中直接使用個人生物識別信息實現身份識別、認證等功能;在使用面部識別特徵、 指紋、掌紋、虹膜等實現識別身份、認證等功能後刪除可提取個人生物識別信息的原始圖像。

新版《個人信息安全規範》(GB/T 35273-2020)的發佈,更加貼近行業實踐,增強了企業合規工作的可操作性。同時反映了個人信息保護相關問題的最新監管態度,對最新形勢下個人信息保護面臨的問題,直接進行了響應並提出了有益的合規參考。


分享到:


相關文章: