《信息安全技術—個人信息安全規範》(GB/T 35273-2020)是2020年10月1日實施的一項中華人民共和國國家標準,歸口於全國信息安全標準化技術委員會。
《信息安全技術—個人信息安全規範》(GB/T 35273-2020)規定了開展收集、存儲、使用、共享、轉讓、公開披露、刪除等個人信息處理活動應遵循的原則和安全要求。該標準適用於規範各類組織的個人信息處理活動,也適用於主管監管部門、第三方評估機構等組織對個人信息處理活動進行監督、管理和評估。
基本介紹
- 中文名:信息安全技術—個人信息安全規範
- 外文名:Information security technology—Personal information security specification
- 標準號:GB/T 35273-2020
- 發布日期:2020-03-06
- 實施日期:2020-10-01
- 全部代替標準:GB/T 35273-2017
- 標準類別:安全
- 中國標準分類號:L80
- 國際標準分類號:35.040
- 歸口單位:全國信息安全標準化技術委員會
- 執行單位:全國信息安全標準化技術委員會
- 主管部門:中國國家標準化管理委員會
- 性質:推薦性國家標準
- 狀態:現行
制定過程,修訂背景,編制進程,修訂依據,修訂情況,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
修訂背景
隨著信息技術的快速發展和網際網路套用的普及,越來越多的組織大量收集、使用個人信息,給人們生活帶來便利的同時,也出現了對個人信息的非法收集、濫用、泄露等問題,個人信息安全面臨嚴重威脅。因此,修訂了《信息安全技術—個人信息安全規範》(GB/T 35273-2020)國家標準。
編制進程
2019年7月12日,國家標準計畫《信息安全技術—個人信息安全規範》(20192183-T-469)下達,項目周期24個月,由TC260(全國信息安全標準化技術委員會)歸口上報及執行,主管部門為中國國家標準化管理委員會。全國標準信息公共服務平台顯示,該計畫已完成網上公示、起草、徵求意見、審查、批准、發布工作。
2020年3月6日,國家標準《信息安全技術—個人信息安全規範》(GB/T 35273-2020)由中華人民共和國國家市場監督管理總局、中國國家標準化管理委員會發布。
2020年10月1日,國家標準《信息安全技術—個人信息安全規範》(GB/T 35273-2020)實施,全部代替標準《信息安全技術—個人信息安全規範》(GB/T 35273-2017)。
修訂依據
國家標準《信息安全技術—個人信息安全規範》(GB/T 35273-2020)依據中國國家標準《標準化工作導則—第1部分:標準的結構和編寫規則》(GB/T 1.1-2009)規則起草。
修訂情況
《信息安全技術—個人信息安全規範》(GB/T 35273-2020)與GB/T 35273-2017相比,主要技術變化如下:
- 增加了“多項業務功能的自主選擇”;
- 修改了“徵得授權同意的例外”;
- 增加了“用戶畫像的使用限制”;
- 增加了“個性化展示的使用”;
- 增加了“基於不同業務目所收集個人信息的匯聚融合”;
- 修改了“個人信息主體註銷賬戶”;
- 增加了“第三方接入管理”;
- 修改了“明確責任部門與人員”;
- 增加了“個人信息安全工程”;
- 增加了“個人信息處理活動記錄”;
- 修改了“實現個人信息主體自主意願的方法”。
起草工作
主要起草單位:中國電子技術標準化研究院、北京信息安全測評中心、頤信科技有限公司、四川大學、清華大學、中國信息通信研究院、公安部第一研究所、中國網路安全審查技術與認證中心、深圳騰訊計算機系統有限公司、上海國際問題研究院、阿里巴巴(北京)軟體服務有限公司、中電長城網際系統套用有限公司、阿里雲計算有限公司、華為技術有限公司、強韻數據科技有限公司。
主要起草人:洪延青、何延哲、楊建軍、錢秀檳、陳興蜀、劉賢剛、上官曉麗、高林、邵正強、金濤、胡影、趙冉冉、韓煜、陳湉、高磊、張曉梅、張志強、葛鑫、周晨煒、秦小偉、邵華、蔡曉丹、黃曉林、顧偉、黃勁、李媛、許靜慧、趙章界、孔耀暉、范紅、杜躍進、楊思磊、張亞男、葉曉俊、鄭斌、閔京華、魯傳穎、周亞超、楊露、王海舟、王建民、秦頌、姚相振、葛小宇、王道奎、沈錫鏞。
標準目次
前言 | Ⅲ |
|---|---|
引言 | Ⅳ |
1範圍 | 1 |
2規範性引用檔案 | 1 |
3術語和定義 | 1 |
4個人信息安全基本原則 | 3 |
5個人信息的收集 | 3 |
6個人信息的存儲 | 6 |
7個人信息的使用 | 6 |
8個人信息主體的權利 | 8 |
9個人信息的委託處理、共享、轉讓、公開披露 | 10 |
10個人信息安全事件處置 | 13 |
11組織的個人信息安全管理要求 | 14 |
附錄A(資料性附錄)個人信息示例 | 17 |
附錄B(資料性附錄)個人敏感信息判定 | 18 |
附錄C(資料性附錄)實現個人信息主體自主意願的方法 | 19 |
附錄D(資料性附錄)個人信息保護政策模板 | 24 |
參考文獻 | 30 |
參考資料:
內容範圍
《信息安全技術—個人信息安全規範》(GB/T 35273-2020)規定了開展收集、存儲、使用、共享、轉讓、公開披露、刪除等個人信息處理活動應遵循的原則和安全要求。該標準適用於規範各類組織的個人信息處理活動,也適用於主管監管部門、第三方評估機構等組織對個人信息處理活動進行監督、管理和評估。
引用檔案
GB/T 25069-2010 信息安全技術—術語 |
參考資料:
意義價值
《信息安全技術—個人信息安全規範》(GB/T 35273-2020)針對個人信息面臨的安全問題,根據《中華人民共和國網路安全法》等相關法律,規範個人信息控制者在收集、存儲、使用、共享、轉讓、公開披露等信息處理環節中的相關行為,旨在遏制個人信息非法收集、濫用、泄漏等亂象,最大程度地保障個人的合法權益和社會公共利益。
《信息安全技術—個人信息安全規範》(GB/T 35273-2020)的發布,是為了進一步貫徹落實《中華人民共和國網路安全法》規定的個人信息收集、使用的“合法、正當、必要”基本原則,解決人民民眾反映強烈的APP“強制索權、捆綁授權、過度索權、超範圍收集”的問題。同時,針對當前APP運營管理的一些不合理現象,如告知目的不明確、註銷賬戶難、濫用用戶畫像、無法關閉個性化推送信息、第三方接入缺乏有效管理、內部管理職責不明等問題,進一步梳理完善條款,指導組織使用標準完善個人信息保護體系。
《信息安全技術—個人信息安全規範》(GB/T 35273-2020)將進一步使標準契合中國相關法律法規的要求,增加標準指導實踐的適用性,幫助提升行業和社會的個人信息保護水平,推動個人信息保護領域技術產品、諮詢服務等方面產業化進一步發展,為我國信息化產業健康發展提供堅實保障。
