标准搜索结果: 'GB/T 35273-2017'
标准编号 | GB/T 35273-2017 (GB/T35273-2017) | 中文名称 | 信息安全技术 个人信息安全规范 | 英文名称 | Information security technology -- Personal information security specification | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.040 | 字数估计 | 34,372 | 发布日期 | 2017-12-29 | 实施日期 | 2018-05-01 | 起草单位 | 北京信息安全测评中心、中国电子技术标准化研究院、颐信科技有限公司、四川大学、北京大学、清华大学、中国信息安全研究院有限公司、公安部第一研究所、上海国际问题研究院、阿里巴巴(北京)软件服务有限公司、深圳腾讯计算机系统有限公司、中电长城网际系统应用有限公司、阿里云计算有限公司、华为技术有限公司、强韵数据科技有限公司 | 归口单位 | 全国信息安全标准化技术委员会(SAC/TC 260) | 提出机构 | 全国信息安全标准化技术委员会(SAC/TC 260) | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
GB/T 35273-2017
Information security technology--Personal information security specification
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术 个人信息安全规范
2017-12-29发布
2018-05-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 个人信息安全基本原则 2
5 个人信息的收集 3
5.1 收集个人信息的合法性要求 3
5.2 收集个人信息的最小化要求 3
5.3 收集个人信息时的授权同意 3
5.4 征得授权同意的例外 4
5.5 收集个人敏感信息时的明示同意 4
5.6 隐私政策的内容和发布 4
6 个人信息的保存 5
6.1 个人信息保存时间最小化 5
6.2 去标识化处理 5
6.3 个人敏感信息的传输和存储 5
6.4 个人信息控制者停止运营 5
7 个人信息的使用 5
7.1 个人信息访问控制措施 5
7.2 个人信息的展示限制 6
7.3 个人信息的使用限制 6
7.4 个人信息访问 6
7.5 个人信息更正 6
7.6 个人信息删除 6
7.7 个人信息主体撤回同意 7
7.8 个人信息主体注销账户 7
7.9 个人信息主体获取个人信息副本 7
7.10 约束信息系统自动决策 7
7.11 响应个人信息主体的请求 7
7.12 申诉管理 8
8 个人信息的委托处理、共享、转让、公开披露 8
8.1 委托处理 8
8.2 个人信息共享、转让 8
8.3 收购、兼并、重组时的个人信息转让 9
8.4 个人信息公开披露 9
8.5 共享、转让、公开披露个人信息时事先征得授权同意的例外 9
8.6 共同个人信息控制者 9
8.7 个人信息跨境传输要求 9
9 个人信息安全事件处置 10
9.1 安全事件应急处置和报告 10
9.2 安全事件告知 10
10 组织的管理要求 10
10.1 明确责任部门与人员 10
10.2 开展个人信息安全影响评估 11
10.3 数据安全能力 11
10.4 人员管理与培训 11
10.5 安全审计 12
附录A(资料性附录) 个人信息示例 13
附录B(资料性附录) 个人敏感信息判定 14
附录C(资料性附录) 保障个人信息主体选择同意权的方法 15
附录D(资料性附录) 隐私政策模板 18
参考文献 27
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:北京信息安全测评中心、中国电子技术标准化研究院、颐信科技有限公司、四川大
学、北京大学、清华大学、中国信息安全研究院有限公司、公安部第一研究所、上海国际问题研究院、阿里
巴巴(北京)软件服务有限公司、深圳腾讯计算机系统有限公司、中电长城网际系统应用有限公司、阿里
云计算有限公司、华为技术有限公司、强韵数据科技有限公司。
本标准主要起草人:洪延青、钱秀槟、何延哲、左晓栋、陈兴蜀、高磊、刘贤刚、邵华、蔡晓丹、黄晓林、
顾伟、黄劲、上官晓丽、赵章界、范红、杜跃进、杨思磊、张亚男、金涛、叶晓俊、郑斌、闵京华、鲁传颖、
周亚超、杨露、王海舟、王建民、秦颂、姚相振、葛小宇、王道奎、赵冉冉、沈锡镛。
引 言
近年,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息,给
人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临严重
威胁。
本标准针对个人信息面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公开披
露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人
的合法权益和社会公共利益。
对标准中的具体事项,法律法规另有规定的,需遵照其规定执行。
信息安全技术 个人信息安全规范
1 范围
本标准规定了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安
全要求。
本标准适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对
个人信息处理活动进行监督、管理和评估。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1
个人信息 personalinformation
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然
人活动情况的各种信息。
注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式、通信记录和内容、账号
密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
注2:关于个人信息的范围和类型可参见附录A。
3.2
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧
视性待遇等的个人信息。
注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪
轨迹、住宿信息、健康生理信息、交易信息、14周岁以下(含)儿童的个人信息等。
注2:关于个人敏感信息的范围和类型可参见附录B。
3.3
个人信息主体 personaldatasubject
个人信息所标识的自然人。
3.4
有权决定个人信息处理目的、方式等的组织或个人。
3.5
收集 colect
获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录
个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。
注:如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所
称的收集行为。例如,离线导航软件在终端获取用户位置信息后,如不回传至软件提供者,则不属于个人信息
收集行为。
3.6
明示同意 explicitconsent
个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的
行为。
注:肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”“注册”“发送”“拨
打”等。
3.7
用户画像 userprofiling
通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健康、教育、个人喜好、
信用、行为等方面做出分析或预测,形成其个人特征模型的过程。
注:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外
的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。
3.8
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风
险,以及评估用于保护个人信息主体的各项措施有效性的过程。
3.9
删除 delete
在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。
3.10
公开披露 publicdisclosure
向社会或不特定人群发布信息的行为。
3.11
转让 transferofcontrol
将个人信息控制权由一个控制者向另一个控制者转移的过程。
3.12
共享 sharing
个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。
3.13
匿名化 anonymization
通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。
注:个人信息经匿名化处理后所得的信息不属于个人信息。
3.14
去标识化 de-identification
通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。
注:去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的
标识。
4 个人信息安全基本原则
个人信息控制者开展个人信息处理活动,应遵循以下基本原则:
a) 权责一致原则---对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。
b) 目的明确原则---具有合法、正当、必要、明确的个人信息处理目的。
c) 选择同意原则---向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权
同意。
d) 最少够用原则---除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的
所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。
e) 公开透明原则---以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受
外部监督。
f) 确保安全原则---具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技
术手段,保护个人信息的保密性、完整性、可用性。
g) 主体参与原则---向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销
账户等方法。
5 个人信息的收集
5.1 收集个人信息的合法性要求
对个人信息控制者的要求包括:
a) 不得欺诈、诱骗、强迫个人信息主体提供其个人信息;
b) 不得隐瞒产品或服务所具有的收集个人信息的功能;
c) 不得从非法渠道获取个人信息;
d) 不得收集法律法规明令禁止收集的个人信息。
5.2 收集个人信息的最小化要求
对个人信息控制者的要求包括:
a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信
息的参与,产品或服务的功能无法实现。
b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率。
c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
5.3 收集个人信息时的授权同意
对个人信息控制者的要求包括:
a) 收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的
个人信息类型,以及收集、使用个人信息的规则(例如收集和使用个人信息的目的、收集方式和
频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等),并
获得个人信息主体的授权同意。
b) 间接获取个人信息时:
1) 应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;
2) 应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息
主体是否授权同意转让、共享、公开披露等。如本组织开展业务需进行的个人信息处理活
动超出该授权同意范围,应在获取个人信息后的合理期限内或处理个人信息前,征得个人
信息主体的明示同意。
5.4 征得授权同意的例外
以下情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意:
a) 与国家安全、国防安全直接相关的;
b) 与公共安全、公共卫生、重大公共利益直接相关的;
c) 与犯罪侦查、起诉、审判和判决执行等直接相关的;
d) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
e) 所收集的个人信息是个人信息主体自行向社会公众公开的;
f) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
g) 根据个人信息主体要求签订和履行合同所必需的;
h) 用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
i) 个人信息控制者为新闻单位,且其在开展合法的新闻报道所必需的;
j) 个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且对外提供学术
研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;
k) 法律法规规定的其他情形。
5.5 收集个人敏感信息时的明示同意
对个人信息控制者的要求包括:
a) 收集个人敏感信息时,应取得个人信息主体的明示同意。应确保个人信息主体的明示同意是
其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。
b) 通过主动提供或自动采集方式收集个人敏感信息前,应:
1) 向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息,
并明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同
意自动采集;
2) 产品或服务如提供其他附加功能,需要收集个人敏感信息时,收集前应向个人信息主体逐
一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提
供或同意自动采集个人敏感信息。当个人信息主体拒绝时,可不提供相应的附加功能,但
不应以此为理由停止提供核心业务功能,并应保障相应的服务质量。
注:上述要求的实现方法可参考附录C。
c) 收集年满14周岁的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满
14周岁的,应征得其监护人的明示同意。
5.6 隐私政策的内容和发布
对个人信息控制者的要求包括:
a) 个人信息控制者应制定隐私政策,内容应包括但不限于:
1) 个人信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和相关负责人的联
系方式等;
2) 收集、使用个人信息的目的,以及目的所涵盖的各个业务功能,例如将个人信息用于推送
商业广告,将个人信息用于形成直接用户画像及其用途等;
3) 各业务功能分别收集的个人信息,以及收集方式和频率、存放地域、存储期限等个人信息
处理规则和实际收集的个人信息范围;
4) 对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方
类型,以及所承担的相应法律责任;
5) 遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护
措施;
6) 个人信息主体的权利和实现机制,如访问方法、更正方法、删除方法、注销账户的方法、撤
回同意的方法、获取个人信息副本的方法、约束信息系统自动决策的方法等;
7) 提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响;
8) 处理个人信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。
b) 隐私政策所告知的信息应真实、准确、完整;
c) 隐私政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧
义的语言,并在起始部分提供摘要,简述告知内容的重点;
d) 隐私政策应公开发布且易于访问,例如,在网站主页、移动应用程序安装页、社交媒体首页等显
著位置设置链接;
e) 隐私政策应逐一送达个人信息主体。当成本过高或有显著困难时,可以公告的形式发布;
f) 在5.6a)所载事项发生变化时,应及时更新隐私政策并重新告知个人信息主体。
注:隐私政策的内容可参考附录D。
6 个人信息的保存
6.1 个人信息保存时间最小化
对个人信息控制者的要求包括:
a) 个人信息保存期限应为实现目的所必需的最短时间;
b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
6.2 去标识化处理
收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去
标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别
个人。
6.3 个人敏感信息的传输和存储
对个人信息控制者的要求包括:
a) 传输和存储个人敏感信息时,应采用加密等安全措施;
b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息
的摘要。
6.4 个人信息控制者停止运营
当个人信息控制者停止运营其产品或服务时,应:
a) 及时停止继续收集个人信息的活动;
b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;
c) 对其所持有的个人信息进行删除或匿名化处理。
7 个人信息的使用
7.1 个人信息访问控制措施
对个人信息控制者的要求包括:
a) 对被授权访问个人信息的内部数据操作人员,应按照最小授权的原则,使其只能访问职责所需
的最少够用的个人信息,且仅具备完成职责所需的最少的数据操作权限;
b) 宜对个人信息的重要操作应设置内部审批流程,如批量修改、拷贝、下载等;
c) 应对安全管理人员、数据操作人员、审计人员的角色进行分离设置;
d) 如确因工作需要,需授权特定人员超权限处理个人信息的,应由个人信息保护责任人或个人信
息保护工作机构进行审批,并记录在册;
注:个人信息保护责任人或个人信息保护工作机构的确定见10.1。
e) 对个人敏感信息的访问、修改等行为,宜在对角色的权限控制的基础上,根据业务流程的需求
触发操作授权。例如,因收到客户投诉,投诉处理人员才可访问该用户的相关信息。
7.2 个人信息的展示限制
涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者宜对需展示的个人信息采取去
标识化处理等措施,降低个人信息在展示环节的泄露风险。例如,在个人信息展示时,防止内部非授权
人员及个人信息主体之外的其他人员未经授权获取个人信息。
7.3 个人信息的使用限制
对个人信息控制者的要求包括:
a) 除目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,
为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接
用户画像。
b) 对所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别自然人个
人身份,或者反映自然人个人活动情况的,应将其认定为个人信息。对其处理应遵循收集个人
信息时获得的授权同意范围。
注1:加工处理而产生的个人信息属于个人敏感信息的,对其处理应符合本标准对个人敏感信息的要求。
c) 使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因
业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。
注2:将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述,属于与收集目的
具有合理关联的范围之内。但对外提供学术研究或描述的结果时,应对结果中所包含的个人信息进行去标识
化处理。
7.4 个人信息访问
个人信息控制者应向个人信息主体提供访问下列信息的方法:
a) 其所持有的关于该主体的个人信息或类型;
b) 上述个人信息的来源、所用于的目的;
c) 已经获得上述个人信息的第三方身份或类型。
注:个人信息主体提出访问非其主动提供的个人信息时,个人信息控制者可在综合考虑不响应请求可能对个人信
息主体合法权益带来的风险和损害,以及技术可行性、实现请求的成本等因素后,做出是否响应的决定,并给出
解释说明。
7.5 个人信息更正
个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制
者应为其提供请求更正或补充信息的方法。
7.6 个人信息删除
对个人信息控制者的要求包括:
a) 符合以下情形的,个人信息主体......
|