《信息安全技術(shù) 個人信息安全規(guī)范-編制說明》

一、工作簡況

1.1任務(wù)來源

2017年12月，GB/T35273-2017《信息安全技術(shù)個人信息安全規(guī)范》正

式發(fā)布。本標(biāo)準(zhǔn)一經(jīng)發(fā)布便受到廣泛關(guān)注，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會針對

該標(biāo)準(zhǔn)召開多次宣貫、培訓(xùn)會，并在中央網(wǎng)信辦等四部門兩次隱私條款評審工作

中得到應(yīng)用。同時，2018年標(biāo)準(zhǔn)的實(shí)踐應(yīng)用過程中，得到了一系列反饋，考慮

到本標(biāo)準(zhǔn)廣泛的影響力，就其中內(nèi)容進(jìn)行修訂，以更好地指導(dǎo)組織實(shí)踐。本次標(biāo)

準(zhǔn)修訂主要承辦單位：中國電子技術(shù)標(biāo)準(zhǔn)化研究院。標(biāo)準(zhǔn)負(fù)責(zé)人:洪延青。

1.2主要工作過程

1.2018年9月，由原標(biāo)準(zhǔn)制定組進(jìn)行廣泛調(diào)研

2018年9月，原標(biāo)準(zhǔn)制定組根據(jù)標(biāo)準(zhǔn)應(yīng)用情況，展開廣泛調(diào)研，摸清國內(nèi)外

的研究動向，為本標(biāo)準(zhǔn)的修訂夯實(shí)牢固的基礎(chǔ)。調(diào)研過程中，著重調(diào)研有關(guān)部門

隱私條款評審、監(jiān)管約談、法律法規(guī)編制、企業(yè)實(shí)踐經(jīng)驗(yàn)等情況。

2.成立標(biāo)準(zhǔn)修訂工作組

2018年10月，在原有標(biāo)準(zhǔn)制定工作組基礎(chǔ)上，成立標(biāo)準(zhǔn)修訂工作組。

3.工作組多次內(nèi)部討論

從2018年9月至2018年11月，工作組內(nèi)部共進(jìn)行了5次內(nèi)部工作討論，

分別提出了修訂原則和修訂內(nèi)容，并對提出的修改意見進(jìn)行反復(fù)討論和推敲。尤

其是針對捆綁授權(quán)、收集必要性、定向推送等重點(diǎn)問題進(jìn)行了探討。

3.2018年11月形成草案

2018年11月底，標(biāo)準(zhǔn)修訂工作組結(jié)合前期調(diào)研和討論情況，形成標(biāo)準(zhǔn)草案。

4.2018年12月首次向企業(yè)征求意見

2018年12月，標(biāo)準(zhǔn)修訂工作組就標(biāo)準(zhǔn)草案內(nèi)容首次向企業(yè)代表征求意見，

并對意見進(jìn)行處理，形成草案版本2.0。

5.2019年1月召開多次專家會議完善標(biāo)準(zhǔn)，并形成征求意見稿

2019年1月，標(biāo)準(zhǔn)修訂工作組召開2次專家會議，召集標(biāo)準(zhǔn)化、法律、科

研機(jī)構(gòu)、學(xué)校等個人信息保護(hù)相關(guān)領(lǐng)域?qū)＜疫M(jìn)行研討，并積極吸收其建議；

同時，標(biāo)準(zhǔn)修訂工作組召開2次企業(yè)代表征求意見會議，就標(biāo)準(zhǔn)最新內(nèi)容進(jìn)

行反復(fù)研討，最終，于2019年1月30日形成草案版本3.0。

6.2019年2月1日，標(biāo)準(zhǔn)草案公開向社會征求意見

2019年2月1日，標(biāo)準(zhǔn)修訂工作組就標(biāo)準(zhǔn)草案內(nèi)容向社會公開征求意見，

征求意見期限為45天。

7.2019年3月-4月，標(biāo)準(zhǔn)工作組處理收到的意見

2019年3月至4月，標(biāo)準(zhǔn)工作組召開多次工作組內(nèi)會議，分別對國外機(jī)構(gòu)

和國內(nèi)機(jī)構(gòu)以及個人的意見進(jìn)行逐條處理，進(jìn)一步完善草案。

8.2019年4月，在信安標(biāo)委會議周匯報(bào)

2019年4月25日，標(biāo)準(zhǔn)工作組將最細(xì)版本標(biāo)準(zhǔn)草案在信安標(biāo)委寧波會議周

期間的大數(shù)據(jù)工作組內(nèi)進(jìn)行匯報(bào)，與組內(nèi)專家進(jìn)行討論，最后順利將標(biāo)準(zhǔn)推進(jìn)至

征求意見稿。

9.2019年5-6月，標(biāo)準(zhǔn)工作組內(nèi)部會議

2019年5月至6月，標(biāo)準(zhǔn)工作組召開多次工作組內(nèi)會議，對信安標(biāo)委寧波

會議周期間的意見進(jìn)行討論，同時結(jié)合App違法違規(guī)收集使用個人信息專項(xiàng)治

理工作的實(shí)踐和個人信息相關(guān)法規(guī)政策文件要求，對標(biāo)準(zhǔn)內(nèi)容進(jìn)一步優(yōu)化。

二、標(biāo)準(zhǔn)修訂原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

2.1修訂原則

《信息安全技術(shù)個人信息安全規(guī)范》通過借鑒國外標(biāo)準(zhǔn)的研究，結(jié)合新的

技術(shù)發(fā)展和國內(nèi)應(yīng)用實(shí)踐，提出與國際標(biāo)準(zhǔn)接軌、適合我國國情，具有可操作性

的“個人信息保護(hù)”標(biāo)準(zhǔn)。通過該標(biāo)準(zhǔn)的實(shí)施，支撐組織提升個人信息保護(hù)水平。

同時為主管監(jiān)管部門開展個人信息安全相關(guān)監(jiān)督提供參考。

《信息安全技術(shù)個人信息安全規(guī)范》標(biāo)準(zhǔn)的修訂遵循以下原則：

(1)先進(jìn)性：標(biāo)準(zhǔn)反映當(dāng)今個人信息保護(hù)的先進(jìn)技術(shù)水平；

(2)開放性：標(biāo)準(zhǔn)的編制、評審與使用具有開放性；

(3)適應(yīng)性：標(biāo)準(zhǔn)結(jié)合我國國情；

(4)簡明性：標(biāo)準(zhǔn)易于理解、實(shí)現(xiàn)和應(yīng)用；

(5)中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)；

(6)一致性：術(shù)語與國內(nèi)外標(biāo)準(zhǔn)所用術(shù)語最大程度保持一致。

2.2主要修訂內(nèi)容

本標(biāo)準(zhǔn)與GB/T35273－2017的主要差異如下：

——“3縮略語”中補(bǔ)充了內(nèi)容；

——增加了“5.3不得強(qiáng)迫收集個人信息的要求”；

——“5.7征得授權(quán)同意的例外”進(jìn)行了修改；

——增加了“7.4個性化展示及退出”；

——增加了“7.5基于不同業(yè)務(wù)目所收集的個人信息的匯聚融合”；

——增加了“8.7第三方接入管理”；

——修改了“10.1明確責(zé)任部門與人員；

——增加“10.2個人信息處理活動記錄；

——修改了“資料性附錄C保障個人信息主體選擇同意權(quán)的方法”。

——增加了“附錄C.1區(qū)分基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能”、“C.2基本業(yè)

務(wù)功能的告知和明示同意”、“C.3擴(kuò)展業(yè)務(wù)功能的告知和明示同意”。

2.3確定主要內(nèi)容的論據(jù)及解決的主要問題

1.確定標(biāo)準(zhǔn)修訂主要內(nèi)容的論據(jù)

在標(biāo)準(zhǔn)的修訂過程中，修訂工作組查閱了大量國內(nèi)外相關(guān)資料，進(jìn)行學(xué)習(xí)、

消化、比對和深入研究，結(jié)合自己的科研實(shí)踐，得出下述結(jié)論性意見，并得到多

數(shù)專家的贊同。

本次標(biāo)準(zhǔn)修訂核心為以下三方面內(nèi)容：1）突出基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功

能的劃分要求；2）增加基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能的明示、同意的規(guī)則，同

時修訂附錄C，給出具體的實(shí)現(xiàn)方式；3）增加新聞、時政、廣告的定向推送的

規(guī)定。

修訂工作組在《個人信息安全規(guī)范》“收集”這一章提出了兩個方案。

方案一：區(qū)分基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能。給出劃分原則，規(guī)定不同的授

權(quán)同意方案等。但企業(yè)對方案一的反對聲音很大。

方案二：不區(qū)分基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能。但是增加了“不得強(qiáng)迫收集

個人信息的要求”，著重打破“強(qiáng)制索權(quán)”的問題。同時“過度索權(quán)、過度收集個人

信息”的問題，還是主要通過個人信息分級的思路來解決。

經(jīng)與專家和企業(yè)的反復(fù)討論，最終確定將方案二作為標(biāo)準(zhǔn)主體內(nèi)容，方案一

作為資料性附錄供組織實(shí)現(xiàn)相應(yīng)機(jī)制時進(jìn)行參考。

此外，對于定向推送，《個人信息安全規(guī)范》修訂組結(jié)合《電子商務(wù)法》等

法律法規(guī)相關(guān)規(guī)定提出了相應(yīng)的要求。

2.解決的主要問題

《個人信息安全規(guī)范》于2018年5月1日生效。在生效不到一年時修訂標(biāo)準(zhǔn)，

根本目的是為了突出體現(xiàn)、落實(shí)《網(wǎng)絡(luò)安全法》規(guī)定的個人信息收集、使用的“合

法、正當(dāng)、必要”基本原則，尤其是“必要原則”，以此解決群眾反映強(qiáng)烈的

APP“強(qiáng)制索權(quán)、過度索權(quán)、超范圍收集、強(qiáng)制個性化推送”的問題。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

標(biāo)準(zhǔn)修訂組廣泛征求前期參與四部門隱私條款評審的相關(guān)企業(yè)和在個人信

息保護(hù)領(lǐng)域有豐富經(jīng)驗(yàn)的企業(yè)，包括阿里巴巴、騰訊、京東、百度、華為技術(shù)有

限公司、高德地圖、滴滴出行、微軟中國、字節(jié)跳動、美團(tuán)點(diǎn)評等。他們對修訂

后的標(biāo)準(zhǔn)進(jìn)行試用與驗(yàn)證。反饋的建議對標(biāo)準(zhǔn)的修訂奠定了良好基礎(chǔ)。

四、知識產(chǎn)權(quán)情況說明

標(biāo)準(zhǔn)的技術(shù)內(nèi)容不涉及專利。

五、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

個人信息保護(hù)上廣受關(guān)注。原有版本標(biāo)準(zhǔn)編制過程中，廣泛參考了國內(nèi)外的

相關(guān)標(biāo)準(zhǔn)和規(guī)范，此次修訂結(jié)合目前的技術(shù)發(fā)展、我國的應(yīng)用實(shí)踐進(jìn)行修改、補(bǔ)

充與完善。提出與國際標(biāo)準(zhǔn)接軌、適合我國國情的“個人信息安全規(guī)范”標(biāo)準(zhǔn)。

六、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

標(biāo)準(zhǔn)符合現(xiàn)行法律、法規(guī)和規(guī)章；與相關(guān)標(biāo)準(zhǔn)沒有沖突。

七、重大分歧意見的處理經(jīng)過和依據(jù)

無。

八、標(biāo)準(zhǔn)性質(zhì)的建議

建議作為推薦性標(biāo)準(zhǔn)頒布。

九、貫徹標(biāo)準(zhǔn)的要求和措施建