標(biāo)準(zhǔn)解讀

《GB/T 35273-2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范》相較于《GB/T 35273-2017 信息安全技術(shù) 個(gè)人信息安全規(guī)范》,在內(nèi)容上進(jìn)行了多方面的更新與補(bǔ)充,以適應(yīng)新技術(shù)發(fā)展帶來(lái)的挑戰(zhàn)及更嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)需求。主要變化包括:

一、術(shù)語(yǔ)定義方面有所擴(kuò)展和細(xì)化。新增了“個(gè)人信息控制者”、“個(gè)人信息處理活動(dòng)”等定義,明確了相關(guān)概念的邊界,有助于更好地理解和執(zhí)行標(biāo)準(zhǔn)中的各項(xiàng)要求。

二、加強(qiáng)了對(duì)個(gè)人信息收集的基本原則規(guī)定。強(qiáng)調(diào)最小必要原則,即只收集實(shí)現(xiàn)產(chǎn)品或服務(wù)功能所必需的信息;同時(shí)增加了關(guān)于收集敏感個(gè)人信息時(shí)需獲得明確同意的要求,并對(duì)如何獲取用戶同意做了更為詳細(xì)的規(guī)定。

三、針對(duì)個(gè)人信息使用過程中的安全管理措施提出了更高要求。比如,對(duì)于委托處理、共享、轉(zhuǎn)讓、公開披露個(gè)人信息等活動(dòng),新版標(biāo)準(zhǔn)制定了更加嚴(yán)格的操作流程與條件限制,旨在降低信息泄露風(fēng)險(xiǎn)。

四、增強(qiáng)了個(gè)人信息主體權(quán)利保障機(jī)制。具體表現(xiàn)為增加了查閱權(quán)、更正權(quán)、刪除權(quán)等內(nèi)容,賦予個(gè)人更多對(duì)自己信息掌控的權(quán)利,同時(shí)也對(duì)企業(yè)提出了響應(yīng)這些請(qǐng)求的具體時(shí)限和技術(shù)手段上的要求。

五、引入了個(gè)人信息安全影響評(píng)估制度。當(dāng)個(gè)人信息控制者計(jì)劃開展可能對(duì)個(gè)人信息安全造成重大影響的新項(xiàng)目前,必須先行進(jìn)行評(píng)估,并根據(jù)評(píng)估結(jié)果采取相應(yīng)防護(hù)措施。

六、強(qiáng)化了跨境傳輸個(gè)人信息的安全管理。明確規(guī)定了向境外提供個(gè)人信息時(shí)應(yīng)遵循的原則、程序以及所需滿足的安全保障措施,確保跨國(guó)界流動(dòng)的數(shù)據(jù)得到妥善保護(hù)。

七、增加了附錄部分的內(nèi)容。例如提供了個(gè)人信息去標(biāo)識(shí)化指南、兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)特別要求等實(shí)用性強(qiáng)的技術(shù)文檔作為參考材料,幫助企業(yè)更好地理解和落實(shí)標(biāo)準(zhǔn)中的相關(guān)規(guī)定。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2020-03-06 頒布
  • 2020-10-01 實(shí)施
?正版授權(quán)
GB/T 35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范_第1頁(yè)
GB/T 35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范_第2頁(yè)
GB/T 35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范_第3頁(yè)
GB/T 35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范_第4頁(yè)
GB/T 35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范_第5頁(yè)
已閱讀5頁(yè),還剩31頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T35273—2020

代替

GB/T35273—2017

信息安全技術(shù)個(gè)人信息安全規(guī)范

Informationsecuritytechnology—Personalinformationsecurityspecification

2020-03-06發(fā)布2020-10-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

中華人民共和國(guó)

國(guó)家標(biāo)準(zhǔn)

信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/T35273—2020

*

中國(guó)標(biāo)準(zhǔn)出版社出版發(fā)行

北京市朝陽(yáng)區(qū)和平里西街甲號(hào)

2(100029)

北京市西城區(qū)三里河北街號(hào)

16(100045)

網(wǎng)址

:

服務(wù)熱線

:400-168-0010

年月第一版

20202

*

書號(hào)

:155066·1-64947

版權(quán)專有侵權(quán)必究

GB/T35273—2020

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

個(gè)人信息安全基本原則

4…………………3

個(gè)人信息的收集

5…………………………3

收集個(gè)人信息的合法性

5.1……………3

收集個(gè)人信息的最小必要

5.2…………3

多項(xiàng)業(yè)務(wù)功能的自主選擇

5.3…………4

收集個(gè)人信息時(shí)的授權(quán)同意

5.4………………………4

個(gè)人信息保護(hù)政策

5.5…………………5

征得授權(quán)同意的例外

5.6………………5

個(gè)人信息的存儲(chǔ)

6…………………………6

個(gè)人信息存儲(chǔ)時(shí)間最小化

6.1…………6

去標(biāo)識(shí)化處理

6.2………………………6

個(gè)人敏感信息的傳輸和存儲(chǔ)

6.3………………………6

個(gè)人信息控制者停止運(yùn)營(yíng)

6.4…………6

個(gè)人信息的使用

7…………………………6

個(gè)人信息訪問控制措施

7.1……………6

個(gè)人信息的展示限制

7.2………………7

個(gè)人信息使用的目的限制

7.3…………7

用戶畫像的使用限制

7.4………………7

個(gè)性化展示的使用

7.5…………………7

基于不同業(yè)務(wù)目的所收集個(gè)人信息的匯聚融合

7.6…………………8

信息系統(tǒng)自動(dòng)決策機(jī)制的使用

7.7……………………8

個(gè)人信息主體的權(quán)利

8……………………8

個(gè)人信息查詢

8.1………………………8

個(gè)人信息更正

8.2………………………8

個(gè)人信息刪除

8.3………………………9

個(gè)人信息主體撤回授權(quán)同意

8.4………………………9

個(gè)人信息主體注銷賬戶

8.5……………9

個(gè)人信息主體獲取個(gè)人信息副本

8.6…………………9

響應(yīng)個(gè)人信息主體的請(qǐng)求

8.7…………10

投訴管理

8.8……………10

個(gè)人信息的委托處理共享轉(zhuǎn)讓公開披露

9、、、…………10

GB/T35273—2020

委托處理

9.1……………10

個(gè)人信息共享轉(zhuǎn)讓

9.2、………………11

收購(gòu)兼并重組破產(chǎn)時(shí)的個(gè)人信息轉(zhuǎn)讓

9.3、、、………11

個(gè)人信息公開披露

9.4…………………12

共享轉(zhuǎn)讓公開披露個(gè)人信息時(shí)事先征得授權(quán)同意的例外

9.5、、……12

共同個(gè)人信息控制者

9.6………………12

第三方接入管理

9.7……………………12

個(gè)人信息跨境傳輸

9.8…………………13

個(gè)人信息安全事件處置

10………………13

個(gè)人信息安全事件應(yīng)急處置和報(bào)告

10.1……………13

安全事件告知

10.2……………………13

組織的個(gè)人信息安全管理要求

11………………………14

明確責(zé)任部門與人員

11.1……………14

個(gè)人信息安全工程

11.2………………14

個(gè)人信息處理活動(dòng)記錄

11.3…………14

開展個(gè)人信息安全影響評(píng)估

11.4……………………15

數(shù)據(jù)安全能力

11.5……………………15

人員管理與培訓(xùn)

11.6…………………15

安全審計(jì)

11.7…………………………15

附錄資料性附錄個(gè)人信息示例

A()……………………17

附錄資料性附錄個(gè)人敏感信息判定

B()………………18

附錄資料性附錄實(shí)現(xiàn)個(gè)人信息主體自主意愿的方法

C()……………19

附錄資料性附錄個(gè)人信息保護(hù)政策模板

D()…………24

參考文獻(xiàn)

……………………30

GB/T35273—2020

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)個(gè)人信息安全規(guī)范與相

GB/T35273—2017《》,GB/T35273—2017

比除編輯性修改外主要技術(shù)變化如下

,:

增加了多項(xiàng)業(yè)務(wù)功能的自主選擇見

———“”(5.3);

修改了征得授權(quán)同意的例外見年版的

———“”(5.6,20175.4);

增加了用戶畫像的使用限制見

———“”(7.4);

增加了個(gè)性化展示的使用見

———“”(7.5);

增加了基于不同業(yè)務(wù)目所收集個(gè)人信息的匯聚融合見

———“”(7.6);

修改了個(gè)人信息主體注銷賬戶見年版的

———“”(8.5,20177.8);

增加了第三方接入管理見

———“”(9.7);

修改了明確責(zé)任部門與人員見年版的

———“”(11.1,201710.1);

增加了個(gè)人信息安全工程見

———“”(11.2);

增加了個(gè)人信息處理活動(dòng)記錄見

———“”(11.3);

修改了實(shí)現(xiàn)個(gè)人信息主體自主意愿的方法見附錄年版的附錄

———“”(C,2017C)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院北京信息安全測(cè)評(píng)中心頤信科技有限公司四川大

:、、、

學(xué)清華大學(xué)中國(guó)信息通信研究院公安部第一研究所中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心深圳騰訊

、、、、、

計(jì)算機(jī)系統(tǒng)有限公司上海國(guó)際問題研究院阿里巴巴北京軟件服務(wù)有限公司中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)

、、()、

用有限公司阿里云計(jì)算有限公司華為技術(shù)有限公司強(qiáng)韻數(shù)據(jù)科技有限公司

、、、。

本標(biāo)準(zhǔn)主要起草人洪延青何延哲楊建軍錢秀檳陳興蜀劉賢剛上官曉麗高林邵正強(qiáng)

:、、、、、、、、、

金濤胡影趙冉冉韓煜陳湉高磊張曉梅張志強(qiáng)葛鑫周晨煒秦小偉邵華蔡曉丹黃曉林

、、、、、、、、、、、、、、

顧偉黃勁李媛許靜慧趙章界孔耀暉范紅杜躍進(jìn)楊思磊張亞男葉曉俊鄭斌閔京華魯傳穎

、、、、、、、、、、、、、、

周亞超楊露王海舟王建民秦頌姚相振葛小宇王道奎沈錫鏞

、、、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T35273—2017。

GB/T35273—2020

引言

近年隨著信息技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)應(yīng)用的普及越來(lái)越多的組織大量收集使用個(gè)人信息給

,,、,

人們生活帶來(lái)便利的同時(shí)也出現(xiàn)了對(duì)個(gè)人信息的非法收集濫用泄露等問題個(gè)人信息安全面臨嚴(yán)重

,、、,

威脅

。

本標(biāo)準(zhǔn)針對(duì)個(gè)人信息面臨的安全問題根據(jù)中華人民共和國(guó)網(wǎng)絡(luò)安全法等相關(guān)法律規(guī)范個(gè)人信

,《》,

息控制者在收集存儲(chǔ)使用共享轉(zhuǎn)讓公開披露等信息處理環(huán)節(jié)中的相關(guān)行為旨在遏制個(gè)人信息非

、、、、、,

法收集濫用泄漏等亂象最大程度地保障個(gè)人的合法權(quán)益和社會(huì)公共利益

、、,。

對(duì)標(biāo)準(zhǔn)中的具體事項(xiàng)法律法規(guī)另有規(guī)定的需遵照其規(guī)定執(zhí)行

,,。

GB/T35273—2020

信息安全技術(shù)個(gè)人信息安全規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了開展收集存儲(chǔ)使用共享轉(zhuǎn)讓公開披露刪除等個(gè)人信息處理活動(dòng)的原則和安全

、、、、、、

要求

本標(biāo)準(zhǔn)適用于規(guī)范各類組織的個(gè)人信息處理活動(dòng)也適用于主管監(jiān)管部門第三方評(píng)估機(jī)構(gòu)等組織

,、

對(duì)個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督管理和評(píng)估

、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069—2010。

31

.

個(gè)人信息personalinformation

以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然

人活動(dòng)情況的各種信息

注1個(gè)人信息包括姓名出生日期身份證件號(hào)碼個(gè)人生物識(shí)別信息住址通信通訊聯(lián)系方式通信記錄和內(nèi)容

:、、、、、、、

賬號(hào)密碼財(cái)產(chǎn)信息征信信息行蹤軌跡住宿信息健康生理信息交易信息等

、、、、、、。

注2關(guān)于個(gè)人信息的判定方法和類型參見附錄

:A。

注3個(gè)人信息控制者通過個(gè)人信息或其他信息加工處理后形成的信息例如用戶畫像或特征標(biāo)簽?zāi)軌騿为?dú)或者

:

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問題。

評(píng)論

0/150

提交評(píng)論