PDF《ICS 35.040》

ICS 35.

040 L80 中华人民共和国国家标准GB/T 35273―2017 信息安全技术 个人信息安全规范 Information security technology ― Personal information security specification (报批稿) 2017-11-30

2017 -

12 -

29 发布

2018 -

05 -

01 实施 GB/T 35273―2017 I 目次前言 III 引言 IV

1 范围

1 2 规范性引用文件

1 3 术语和定义

1 4 个人信息安全基本原则

3 5 个人信息的收集

4 5.1 收集个人信息的合法性要求.4 5.2 收集个人信息的最小化要求.4 5.3 收集个人信息时的授权同意.4 5.4 征得授权同意的例外.4 5.5 收集个人敏感信息时的明示同意.5 5.6 隐私政策的内容和发布.5

6 个人信息的保存

6 6.1 个人信息保存时间最小化.6 6.2 去标识化处理.6 6.3 个人敏感信息的传输和存储.6 6.4 个人信息控制者停止运营.6

7 个人信息的使用

6 7.1 个人信息访问控制措施.7 7.2 个人信息的展示限制.7 7.3 个人信息的使用限制.7 7.4 个人信息访问.7 7.5 个人信息更正.8 7.6 个人信息删除.8 7.7 个人信息主体撤回同意.8 7.8 个人信息主体注销账户.8 7.9 个人信息主体获取个人信息副本.8 7.10 约束信息系统自动决策.8 7.11 响应个人信息主体的请求.9 7.12 申诉管理.9

8 个人信息的委托处理、共享、转让、公开披露

9 8.1 委托处理.9 8.2 个人信息共享、转让.10 8.3 收购、兼并、重组时的个人信息转让.10 8.4 个人信息公开披露.10 8.5 共享、转让、公开披露个人信息时事先征得授权同意的例外

11 GB/T 35273―2017 II 8.6 共同个人信息控制者.11 8.7 个人信息跨境传输要求.11

9 个人信息安全事件处置

11 9.1 安全事件应急处置和报告.11 9.2 安全事件告知.12

10 组织的管理要求

12 10.1 明确责任部门与人员.12 10.2 开展个人信息安全影响评估.12 10.3 数据安全能力.13 10.4 人员管理与培训.13 10.5 安全审计.13 附录 A(资料性附录) 个人信息示例

15 附录 B(资料性附录) 个人敏感信息判定

16 附录 C(资料性附录) 保障个人信息主体选择同意权的方法.17 附录 D (资料性附录) 隐私政策模板

20 参考文献

29 GB/T 35273―2017 III 前言本标准按照GB/T 1.1―2009《标准化工作导则 第1部分:标准的结构和编写》给出的规则起草. 请注意本文件的其他内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任. 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口. 本标准起草单位:北京信息安全测评中心、中国电子技术标准化研究院、颐信科技有限公司、四川 大学、 北京大学、 清华大学、 中国信息安全研究院有限公司、 公安部第一研究所、 上海国际问题研究院、 阿里巴巴 (北京) 软件服务有限公司、 深圳腾讯计算机系统有限公司、 中电长城网际系统应用有限公司、 阿里云计算有限公司、华为技术有限公司、强韵数据科技有限公司. 本标准主要起草人:洪延青、钱秀槟、何延哲、左晓栋、陈兴蜀、高磊、刘贤刚、邵华、蔡晓丹、 黄晓林、顾伟、黄劲、上官晓丽、赵章界、范红、杜跃进、杨思磊、张亚男、金涛、叶晓俊、郑斌、闵 京华、鲁传颖、周亚超、杨露、王海舟、王建民、秦颂、姚相振、葛小宇、王道奎、赵冉冉、沈锡镛. GB/T 35273―2017 IV 引言近年,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息, 给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临 严重威胁. 本标准针对个人信息面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公 开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保 障个人的合法权益和社会公共利益. 对标准中的具体事项,法律法规另有规定的,需遵照其规定执行. GB/T 35273―2017

1 信息安全技术 个人信息安全规范

1 范围 本标准规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动 应遵循的原则和安全要求. 本标准适用于规范各类组织个人信息处理活动, 也适用于主管监管部门、 第三方评 估机构等组织对个人信息处理活动进行监督、管理和评估.

2 规范性引用文件 下列文件对于本文件的应用是必不可少的. 凡是注日期的引用文件, 仅注日期的版 本适用于本文件.凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件. GB/T 25069―2010 信息安全技术 术语

3 术语和定义 GB/T 25069―2010中界定的以及下列术语和定义适用于本文件. 3.1 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或 者反映特定自然人活动情况的各种信息. 注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系 方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生 理信息、交易信息等. 注2:关于个人信息的范围和类型可参见附录 A. 3.2 个人敏感信息 personal sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健 康受到损害或歧视性待遇等的个人信息. 注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产 信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童 的个人信息等. 注2:关于个人敏感信息的范围和类型可参见附录 B. GB/T 35273―2017

2 3.3 个人信息主体 personal data subject 个人信息所标识的自然人. 3.4 个人信息控制者 personal data controller 有权决定个人信息处理目的、方式等的组织或个人. 3.5 收集 collect 获得对个人信息的控制权的行为, 包括由个人信息主体主动提供、 通过与个人信息 主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间 接获取等方式. 注: 如果产品或服务的提供者提供工具供个人信息主体使用, 提供者不对个人信息进行访问的, 则不属于本标准所称的收集行为.例如,离线导航软件在终端获取用户位置信息后,如不回 传至软件提供者,则不属于个人信息收集行为. 3.6 明示同意 explicit consent 个人信息主体通过书面声明或主动做出肯定性动作, 对其个人信息进行特定处理做 出明确授权的行为. 注:肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击 同意 、 注册 、 发送 、 拨打 等. 3.7 用户画像 user profiling 通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健康、 教育、 个人喜好、 信用、 行为等方面做出分析或预测, 形成其个人特征模型的过程. 注:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像.使用来源 于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接 用户画像. 3.8 个人信息安全影响评估 persona........