2020年3月6日,國家市場監督管理總局/國家標準化管理委員會發佈了中華人民共和國國家標準公告(2020年第1號)。全國信息安全標準化技術委員會歸口的GB/T 35273-2020《信息安全技術 個人信息安全規範》正式發佈,並將於2020年10月1日實施。
下面擎標神盾局帶你快速瞭解一下本次發佈的新標準的變化之處:
延續七大原則
雖未明確定義“準確和質量、問責、收集限制、隱私合規”等原則,略感遺憾,但相關原則的控制措施卻躍然紙上。
定義控制者的義務
術語的變化
較2017版,2020版新增了“個性化展示”、“業務功能”兩個術語。
要求的變化
1、選擇同意原則下,新增要求“不強迫接受多項業務功能:當產品或服務提供多項需收集個人信息的業務功能時,個人信息控制者不應違背個人信息主體的自主意願,強迫個人信息主體接受產品或服務所提供的業務功能及相應的個人信息收集請求”。
2、在目的明確原則下,新增要求“如產品或服務僅提供一項收集、使用個人信息的業務功能時,個人信息控制者可通過隱私政策的形式,實現向個人信息主體的告知;產品或服務提供多項收集、使用個人信息的業務功能的,除隱私政策外,個人信息控制者宜在實際開始收集特定個人信息時,向個人信息主體提供收集、使用該個人信息的目的、方式和範圍,以便個人信息主體在作出具體的授權同意前,能充分考慮對其的具體影響”。
3、在選擇同意原則下,強調了“隱私政策的主要功能為公開個人信息控制者收集、使用個人信息範圍和規則,不應將其視為個人信息主體要求籤訂的合同”。
4、確保安全原則下,新增的要求較多,分別是:
- 1)“將個人生物識別信息的原始信息和摘要分開存儲”的技術要求。
- 2)在信息系統自動決策機制的使用中定期(至少每年一次)開展個人信息安全影響評估,並依評估結果採取有效的保護個人信息主體的措施、向個人信息主體提供針對自動決策結果的申訴渠道,並對自動決策結果進行人工複核。
- 3)明確組織應為個人信息保護負責人和個人信息保護工作機構提供必要的資源,保障其獨立履行職責。如採用公佈投訴、舉報方式等信息並及時受理投訴舉報、與監督、管理部門保持溝通,通報或報告個人信息保護和事件處置等情況等。
- 4)要求組織記錄的內容包括:所涉及個人信息的類型、數量、來源(例如從個人信息主體直接收集或通過間接獲取方式獲得);根據業務功能和授權情況區分個人信息的處理目的、使用場景,以及委託處理、共享、轉讓、公開披露、是否涉及出境等情況。
5、在最少夠用的原則下,新增的要求較多,分別是:
- 1)要求了用戶個人畫像的特徵描述不能為“淫穢、色情、賭博、迷信、恐怖、暴力”;業務運營或對外業務合作中使用用戶畫像不能侵害保護公民、法人和其他組織的合法權益,不能危害國家安全、榮譽和利益。
- 2)除為達到主體授權同意的使用目的所必需外,使用個人信息時應消除明確身份指向性,避免精確定位到特定個人。
- 3)在向主體推送新聞信息服務的過程中使用個性化展示時應:顯著區分個性化推送服務,如標明“個性化展示”或“定推”等字樣,為主體提供簡單直觀的退出或關閉個性化展示模式的選項。
- 4)電子商務經營者根據消費者的興趣愛好、消費習慣等特徵向其提供商品或者服務搜索結果的個性化展示的,應當同時向該消費者提供不針對其個人特徵的選項。
- 5)在向主體提供業務功能的過程中,如使用個性化展示時,建立個人信息主體對個性化展示所依賴的個人信息(如標籤、畫像維度等)的自主控制機制,保障個人信息主體調控個性化展示相關程度的能力。
- 6)當個人信息主體選擇退出個性化展示模式時,應向個人信息主體提供刪除或匿名化定向推送活動所基於的個人信息的選項。
6、在公開透明原則的原則下,新增要求應向主體提供查詢方法,能讓主體知曉持有的個人信息的類型;上述個人信息的來源、所用於的目的;已經獲得上述個人信息的第三方身份或類型;宜直接在產品或服務提供的功能界面中(例如應用程序可設置專門的選項、功能、界面等)設置相應的機制,便於個人信息主體在線行使其訪問、更正、刪除、撤回授權同意、註銷賬戶等權利。
7、新增的其他要求包括:
- 1)應承擔第三方接入管理
- 2)收集年滿14週歲未成年人的個人信息前,應徵得未成年人或其監護人的明示同意;不滿14週歲的,應徵得其監護人的明示同意。
以下是擎標神盾局所獲取的《信息安全技術 個人信息安全規範》部分文本,僅供大家參考。
因國標委版權問題,不得用於商業營利目的。
中華人民共和國國家標準 GB/T 35273—2020
信息安全技術 個人信息安全規範
Information security technology — Personal information security specification
