国标《信息安全技术个人信息安全规范》.pdf
《国标《信息安全技术个人信息安全规范》.pdf》由会员分享,可在线阅读,更多相关《国标《信息安全技术个人信息安全规范》.pdf(36页珍藏版)》请在文库网上搜索。
1、信息安全技术 个人信息安全规范 Information security technology Personal information security specification GB/T 352732020 I 目 次 1 范围.12 规范性引用文件.13 术语和定义.14 个人信息安全基本原则.45 个人信息的收集.45.1 收集个人信息的合法性.45.2 收集个人信息的最小必要.45.3 多项业务功能的自主选择.45.4 收集个人信息时的授权同意.55.5 个人信息保护政策.55.6 征得授权同意的例外.66 个人信息的存储.76.1 个人信息存储时间最小化.76.2 去标识化处理.
2、76.3 个人敏感信息的传输和存储.76.4 个人信息控制者停止运营.77 个人信息的使用.77.1 个人信息访问控制措施.77.2 个人信息的展示限制.87.3 个人信息使用的目的限制.87.4 用户画像的使用限制.87.5 个性化展示的使用.87.6 基于不同业务目的所收集的个人信息的汇聚融合.87.7 信息系统自动决策机制的使用.88 个人信息主体的权利.88.1 个人信息查询.88.2 个人信息更正.108.3 个人信息删除.108.4 个人信息主体撤回授权同意.108.5 个人信息主体注销账户.108.6 个人信息主体获取个人信息副本.118.7 响应个人信息主体的请求.118.8
3、投诉管理.119 个人信息的委托处理、共享、转让、公开披露.129.1 委托处理.12国家标准个人信息安全规范 P33II 9.2 个人信息共享、转让.169.3 收购、兼并、重组、破产时的个人信息转让.179.4 个人信息公开披露.179.5 共享、转让、公开披露个人信息时事先征得授权同意的例外.179.6 共同个人信息控制者.189.7 第三方接入管理.189.8 个人信息跨境传输.1810 个人信息安全事件处置.1910.1 个人信息安全事件应急处置和报告.1910.2 安全事件告知.1911 组织的个人信息安全管理要求.1911.1 明确责任部门与人员.1911.2 个人信息安全工程.
4、1611.3 个人信息处理活动记录.1611.4 开展个人信息安全影响评估.1611.5 数据安全能力.1711.6 人员管理与培训.1711.7 安全审计.17附录 A(资料性附录)个人信息示例.19附录 B(资料性附录)个人敏感信息判定.20附录 C(资料性附录)实现个人信息主体自主意愿的方法.21附录 D(资料性附录)个人信息保护政策模板.26参考文献.33 GB/T 352732020 国家标准个人信息安全规范 P331 信息安全技术 个人信息安全规范 1 范围 本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。本标准适用于规范各类组
5、织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 250692010 信息安全技术 术语 3 术语和定义 GB/T 250692010界定的以及下列术语和定义适用于本文件。3.1 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。注 1:个人信息包括姓
6、名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。注 2:关于个人信息的判定方法和类型参见附录 A。注 3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,例如,用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。3.2 个人敏感信息 personal sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。注 1:个人敏感
7、信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。注 2:关于个人敏感信息的判定方法和类型参见附录 B。注 3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,如一旦泄露、非法提供或滥GB/T 352732020 国家标准个人信息安全规范 P332用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的,属于个人敏感信息。3.3 个人信息主体 personal information subject 个人信息所标识或者关联的自然人。3.4 个人信息控
8、制者 personal information controller 有能力决定个人信息处理目的、方式等的组织或个人。3.5 收集 collect 获得个人信息的控制权的行为。注 1:包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为,以及通过共享、转让、搜集公开信息等间接获取个人信息等行为。注 2:如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集。例如,离线导航软件在终端获取个人信息主体位置信息后,如果不回传至软件提供者,则不属于个人信息主体位置信息的收集。3.6 明示同意 explicit cons
9、ent 个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。注:肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。3.7 授权同意 consent 个人信息主体对其个人信息进行特定处理作出明确授权的行为。注:包括通过积极的行为作出授权(即明示同意),或者通过消极的不作为而作出授权(如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域)。3.8 用户画像 user profiling 通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教
10、育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。注:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。3.9 个人信息安全影响评估 personal information security impact assessment 针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。GB/T 352732020 国家标准个人信息安全规范 P333 3.10 删除 de
11、lete 在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。3.11 公开披露 public disclosure 向社会或不特定人群发布信息的行为。3.12 转让 transfer of control 将个人信息控制权由一个控制者向另一个控制者转移的过程。3.13 共享 sharing 个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。3.14 匿名化 anonymization 通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。注:个人信息经匿名化处理后所得的信息不属于个人信息。
12、3.15 去标识化 de-identification 通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。注:去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。3.16 个性化展示 personalized display 基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。3.17 业务功能 business function 满足个人信息主体的具体使用需求的服务类型。注:如地图导航、网络约车、即时通讯、网络社区、网络
13、支付、新闻资讯、网上购物、快递配送、交通票务等。GB/T 352732020 国家标准个人信息安全规范 P3344 个人信息安全基本原则 个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则,具体包括:a)权责一致采取技术和其他必要的措施保障个人信息的安全,对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任;b)目的明确具有明确、清晰、具体的个人信息处理目的;c)选择同意向个人信息主体明示个人信息处理目的、方式、范围等规则,征求其授权同意;d)最小必要只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息;e)公开透明以明确、易懂和
14、合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督;f)确保安全具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性;g)主体参与向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回授权同意、注销账户、投诉等方法。5 个人信息的收集 5.1 收集个人信息的合法性 对个人信息控制者的要求包括:a)不应以欺诈、诱骗、误导的方式收集个人信息;b)不应隐瞒产品或服务所具有的收集个人信息的功能;c)不应从非法渠道获取个人信息。5.2 收集个人信息的最小必要 对个人信息控制者的要求包括:a)收集的个人信息的类型应与实现产品或服务的业
15、务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;b)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;c)间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。5.3 多项业务功能的自主选择 当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。对个人信息控制者的要求包括:a)不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求;b)应把个人信息主体自主
16、作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息;c)关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后,个人信息控制者应停止该业务功能的个人信息收集活动;GB/T 352732020 国家标准个人信息安全规范 P33GB/T 352732020 国家标准个人信息安全规范 P335 d)个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意;e)个人信息主体不授权同意使用、关闭或退出特定
17、业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量;f)不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意收集个人信息。5.4 收集个人信息时的授权同意 对个人信息控制者的要求包括:a)收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意;注1:如产品或服务仅提供一项收集、使用个人信息的业务功能时,个人信息控制者可通过个人信息保护政策的形式,实现向个人信息主体的告知;产品或服务提供多项收集、使用个人信息的业务功能的,除个人信息保护政策外,个人信息控制者宜在实际开始
18、收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响。注2:符合5.3和 a)要求的实现方法,可参考附录C。b)收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示;c)收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;注:个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。d)收集年满14周岁未成年人
19、的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意;e)间接获取个人信息时:1)应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;2)应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;3)如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。5.5 个人信息保护政策 对个人信息控制者的要求包括:a)应制定个人信息保护政策,内容
20、应包括但不限于:1)个人信息控制者的基本情况,包括主体身份、联系方式;2)收集、使用个人信息的业务功能,以及各业务功能分别收集的个人信息类型。涉及个人敏感信息的,需明确标识或突出显示;3)个人信息收集方式、存储期限、涉及数据出境情况等个人信息处理规则;4)对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任;GB/T 352732020 国家标准个人信息安全规范 P3365)个人信息主体的权利和实现机制,如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行投诉的方法等;6
21、)提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响;7)遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施,必要时可公开数据安全和个人信息保护相关的合规证明;8)处理个人信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。b)个人信息保护政策所告知的信息应真实、准确、完整;c)个人信息保护政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言;d)个人信息保护政策应公开发布且易于访问,例如,在网站主页、移动互联网应用程序安装页、附录C中的交互界面或设计等显著位置设置链接;e)个人信息保护政策应逐一送达个人
22、信息主体。当成本过高或有显著困难时,可以公告的形式发布;f)在a)所载事项发生变化时,应及时更新个人信息保护政策并重新告知个人信息主体。注1:组织会习惯性将个人信息保护政策命名为“隐私政策”或其他名称,其内容宜与个人信息保护政策内容保持一致。注2:个人信息保护政策的内容可参考附录D。注3:在个人信息主体首次打开产品或服务、注册账户等情形时,宜通过弹窗等形式主动向其展示个人信息保护政策的主要或核心内容,帮助个人信息主体理解该产品或服务的个人信息处理范围和规则,并决定是否继续使用该产品或服务。5.6 征得授权同意的例外 以下情形中,个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意:a
23、)与个人信息控制者履行法律法规规定的义务相关的;b)与国家安全、国防安全直接相关的;c)与公共安全、公共卫生、重大公共利益直接相关的;d)与刑事侦查、起诉、审判和判决执行等直接相关的;e)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;f)所涉及的个人信息是个人信息主体自行向社会公众公开的;g)根据个人信息主体要求签订和履行合同所必需的;注:个人信息保护政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不宜将其视为合同。h)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;i)维护所提供产品或服务的安全稳定运行所必需的
24、,如发现、处置产品或服务的故障;j)个人信息控制者为新闻单位,且其开展合法的新闻报道所必需的;GB/T 352732020 国家标准个人信息安全规范 P337 k)个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的。6 个人信息的存储 6.1 个人信息存储时间最小化 对个人信息控制者的要求包括:a)个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间,法律法规另有规定或者个人信息主体另行授权同意的除外;b)超出上述个人信息存储期限后,应对个人信息进行删除或匿名化处理。6.2 去标识化处
25、理 收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括:a)传输和存储个人敏感信息时,应采用加密等安全措施;注:采用密码技术时宜遵循密码管理相关国家标准。b)个人生物识别信息应与个人身份信息分开存储;c)原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:1)仅存储个人生物识别信息的摘要信息;2)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;3)在使用面部识别特征、指纹、掌纹、虹膜
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术个人信息安全规范 国标 信息 安全技术 个人信息 安全 规范