GB/T 35273-2020《信息安全技术个人信息安全规范》解读
无国界 2020-03-30
近年来,随着互联网应用的普及和大数据产业的发展,确实给生活带来很多便利,与此同时,个人信息安全也面临着严重威胁,个人信息被非法收集、泄露与滥用等。
2020年3月6日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》正式发布,并将于2020年10月1日实施。
本标准针对个人信息面临的安全问题,根据《中华人民共和国网络安全法》等相关法律,严格规范个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大程度的保护个人的合法权益和社会公众利益。
本标准适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
本标准按照GB/T1.1—2009给出的规则起草,代替GB/T35273—2017《信息安全技术 个人信息安全规范》。相比GB/T35273—2017,此标准除了授权同意、账户注销、实现个人信息主体自主意愿的方法等内容的修改外,还新增了多项业务功能的自主选择、用户画像、个性化展示、个人信息汇聚融合、个人信息安全工程、第三方接入管理等相关要求。主要变化如下:
1、删除了原有的“不得收集法律法规明令禁止收集的个人信息”的要求(见5.1);。
2、选择同意原则下,新增要求“多项业务功能的自主选择”(见5.3)
当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求”。
3、新增“关于收集人生物识别信息的要求”:
1)个人生物识别信息要与个人身份信息分开存储;
2)原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:仅存储个人生别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、 指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
4、在目的明确原则下,新增要求“如产品或服务仅提供一项收集、使用个人信息的业务功能时,个人信息控制者可通过隐私政策的形式,实现向个人信息主体的告知;产品或服务提供多项收集、使用个人信息的业务功能的,除隐私政策外,个人信息控制者宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响”。
5、在选择同意原则下,强调了“隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不应将其视为个人信息主体要求签订的合同”。
6、确保安全原则下,新增的要求较多,分别是:
1)“将个人生物识别信息的原始信息和摘要分开存储”的技术要求”(见5.4)。
2)在信息系统自动决策机制的使用中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施、向个人信息主体提供针对自动决策结果的申诉渠道,并对自动决策结果进行人工复核。
3)明确组织应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。如采用公布投诉、举报方式等信息并及时受理投诉举报、与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况等。
4)要求组织记录的内容包括:所涉及个人信息的类型、数量、来源(例如从个人信息主体直接收集或通过间接获取方式获得);根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况。
7、在最少够用的原则下,新增的要求较多,分别是:
1)要求了用户个人画像的特征描述不能为“淫秽、色情、赌博、迷信、恐怖、暴力”;业务运营或对外业务合作中使用用户画像不能侵害保护公民、法人和其他组织的合法权益,不能危害国家安全、荣誉和利益。
2)除为达到主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。
3)在向主体推送新闻信息服务的过程中使用个性化展示时应:显著区分个性化推送服务,如标明“个性化展示”或“定推”等字样,为主体提供简单直观的退出或关闭个性化展示模式的选项。
4)电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。
5)在向主体提供业务功能的过程中,如使用个性化展示时,建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力。
6)当个人信息主体选择退出个性化展示模式时,应向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
8、在公开透明原则的原则下,新增要求应向主体提供查询方法,能让主体知晓持有的个人信息的类型;上述个人信息的来源、所用于的目的;已经获得上述个人信息的第三方身份或类型;宜直接在产品或服务提供的功能界面中(例如应用程序可设置专门的选项、功能、界面等)设置相应的机制,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利。
9、新增的其他要求包括:
1)应承担第三方接入管理
2)收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
关于企业的合规说明
(一) 关于个人信息优化
1. 建议企业根据现有业务中涉及个人生物识别信息收集的项目,在启动个人生物识别信息采集功能之前,设置个人生物识别信息采集声明,向用户告知采集的目的、方式和范围,并取得用户的明示同意;如业务中需要重复或多次采集个人生物识别信息的,应每次单独向用户进行告知,并取得用户的明示同意;
2. 建议企业在实践中可采取如下相应措施,确保原则上不存储原始个人生物识别信息:仅存储个人生物识别信息的摘要信息、在采集终端直接使用个人生物识别信息实现身份识别、认证等功能、在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像等。
3. 建议企业在实践中确保原则上不共享、转让个人生物识别信息,根据现有业务中涉及个人生物识别信息,如存在确需共享、转让个人生物识别信息的项目,在进行个人生物识别信息共享、转让之前,应事先对个人信息安全影响进行评估,设置个人生物识别信息共享或转让声明,向用户告知采集或共享、转让的目的、方式和范围,并取得用户的明示同意;如业务中需要重复或多次共享、转让个人生物识别信息的,应每次单独向用户进行告知,并取得用户的明示同意。
(二) 关于用户对个人信息的管理能力
1. 建议企业通过不同形式向用户告知存在需收集个人信息的业务功能及需要收集的个人信息类型和用户拒绝提供将造成的影响,确保能够获取用户的授权同意,保障用户的自主意愿和选择权;同时保障关闭或重启相应业务功能的便捷性;
2. 设置简便易操作的注销账户方法,不设置不合理的条件或提出额外要求增加用户的义务,在承诺时限内及时响应用户的注销请求并完成核查和处理,确保用户注销后的个人信息及时删除或做匿名化处理;
3. 若注销某个通用账户,会导致其他产品或服务的基本功能无法实现或者质量下降的,应向用户进行详细说明;
4. 在个人信息收集环节对法律法规规定需要留存的数据进行筛查,以便在用户注销账户并对完成个人信息的删除或匿名化处理之后,对法律规定需要留存的数据妥善保管,并确保其不被再次用于日常业务活动。
(三) 关于个人信息汇聚融合
建议企业通过不同形式告知用户关于汇聚融合不同业务的个人信息的目的、方式和范围,在超出原有授权同意范围使用个人信息时,再次征得用户的明示同意,并根据要求开展个人信息安全影响评估以及采取个人信息保护措施。
(四) 关于个人信息商业化
1. 建议企业在运营或对外业务合作中对用户画像的使用进行严格的核查和限制,如核查业务中是否存在使用大数据分析技术等对个人信息进行分析,以形成特征标签、用户画像的情形。使用用户画像时应消除明确身份指向性,避免用户被精确定位;
2. 建议企业在用户提供个性化展示功能与内容时对相应功能和内容进行显著标识;同时保障用户退出或关闭个性化展示服务的权利;建立删除或匿名化定向推送活动中基于个人信息的选项。
(五) 关于第三方接入管理
建议企业对自身产品或服务中的第三方产品或服务进行核查,及时删除或停止接入不必要或存在隐秘收集或滥用个人信息以及存在信息安全隐患的第三方产品或服务;若必须接入第三方产品或服务,应当向用户明确标识该产品或服务由第三方提供并详细披露第三方个人信息处理活动的具体情况。
点击获取GB/T 35273-2020《信息安全技术个人信息安全规范》。
2020年3月6日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》正式发布,并将于2020年10月1日实施。
本标准针对个人信息面临的安全问题,根据《中华人民共和国网络安全法》等相关法律,严格规范个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大程度的保护个人的合法权益和社会公众利益。
本标准适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
本标准按照GB/T1.1—2009给出的规则起草,代替GB/T35273—2017《信息安全技术 个人信息安全规范》。相比GB/T35273—2017,此标准除了授权同意、账户注销、实现个人信息主体自主意愿的方法等内容的修改外,还新增了多项业务功能的自主选择、用户画像、个性化展示、个人信息汇聚融合、个人信息安全工程、第三方接入管理等相关要求。主要变化如下:
1、删除了原有的“不得收集法律法规明令禁止收集的个人信息”的要求(见5.1);。
2、选择同意原则下,新增要求“多项业务功能的自主选择”(见5.3)
当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求”。
3、新增“关于收集人生物识别信息的要求”:
《规范》规定在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。
而对于生物识别信息的存储,《规范》也提出了具体的解决措施。
而对于生物识别信息的存储,《规范》也提出了具体的解决措施。
1)个人生物识别信息要与个人身份信息分开存储;
2)原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:仅存储个人生别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、 指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
4、在目的明确原则下,新增要求“如产品或服务仅提供一项收集、使用个人信息的业务功能时,个人信息控制者可通过隐私政策的形式,实现向个人信息主体的告知;产品或服务提供多项收集、使用个人信息的业务功能的,除隐私政策外,个人信息控制者宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响”。
5、在选择同意原则下,强调了“隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不应将其视为个人信息主体要求签订的合同”。
6、确保安全原则下,新增的要求较多,分别是:
1)“将个人生物识别信息的原始信息和摘要分开存储”的技术要求”(见5.4)。
2)在信息系统自动决策机制的使用中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施、向个人信息主体提供针对自动决策结果的申诉渠道,并对自动决策结果进行人工复核。
3)明确组织应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。如采用公布投诉、举报方式等信息并及时受理投诉举报、与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况等。
4)要求组织记录的内容包括:所涉及个人信息的类型、数量、来源(例如从个人信息主体直接收集或通过间接获取方式获得);根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况。
7、在最少够用的原则下,新增的要求较多,分别是:
1)要求了用户个人画像的特征描述不能为“淫秽、色情、赌博、迷信、恐怖、暴力”;业务运营或对外业务合作中使用用户画像不能侵害保护公民、法人和其他组织的合法权益,不能危害国家安全、荣誉和利益。
2)除为达到主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。
3)在向主体推送新闻信息服务的过程中使用个性化展示时应:显著区分个性化推送服务,如标明“个性化展示”或“定推”等字样,为主体提供简单直观的退出或关闭个性化展示模式的选项。
4)电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。
5)在向主体提供业务功能的过程中,如使用个性化展示时,建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力。
6)当个人信息主体选择退出个性化展示模式时,应向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
8、在公开透明原则的原则下,新增要求应向主体提供查询方法,能让主体知晓持有的个人信息的类型;上述个人信息的来源、所用于的目的;已经获得上述个人信息的第三方身份或类型;宜直接在产品或服务提供的功能界面中(例如应用程序可设置专门的选项、功能、界面等)设置相应的机制,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利。
9、新增的其他要求包括:
1)应承担第三方接入管理
2)收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
关于企业的合规说明
(一) 关于个人信息优化
1. 建议企业根据现有业务中涉及个人生物识别信息收集的项目,在启动个人生物识别信息采集功能之前,设置个人生物识别信息采集声明,向用户告知采集的目的、方式和范围,并取得用户的明示同意;如业务中需要重复或多次采集个人生物识别信息的,应每次单独向用户进行告知,并取得用户的明示同意;
2. 建议企业在实践中可采取如下相应措施,确保原则上不存储原始个人生物识别信息:仅存储个人生物识别信息的摘要信息、在采集终端直接使用个人生物识别信息实现身份识别、认证等功能、在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像等。
3. 建议企业在实践中确保原则上不共享、转让个人生物识别信息,根据现有业务中涉及个人生物识别信息,如存在确需共享、转让个人生物识别信息的项目,在进行个人生物识别信息共享、转让之前,应事先对个人信息安全影响进行评估,设置个人生物识别信息共享或转让声明,向用户告知采集或共享、转让的目的、方式和范围,并取得用户的明示同意;如业务中需要重复或多次共享、转让个人生物识别信息的,应每次单独向用户进行告知,并取得用户的明示同意。
(二) 关于用户对个人信息的管理能力
1. 建议企业通过不同形式向用户告知存在需收集个人信息的业务功能及需要收集的个人信息类型和用户拒绝提供将造成的影响,确保能够获取用户的授权同意,保障用户的自主意愿和选择权;同时保障关闭或重启相应业务功能的便捷性;
2. 设置简便易操作的注销账户方法,不设置不合理的条件或提出额外要求增加用户的义务,在承诺时限内及时响应用户的注销请求并完成核查和处理,确保用户注销后的个人信息及时删除或做匿名化处理;
3. 若注销某个通用账户,会导致其他产品或服务的基本功能无法实现或者质量下降的,应向用户进行详细说明;
4. 在个人信息收集环节对法律法规规定需要留存的数据进行筛查,以便在用户注销账户并对完成个人信息的删除或匿名化处理之后,对法律规定需要留存的数据妥善保管,并确保其不被再次用于日常业务活动。
(三) 关于个人信息汇聚融合
建议企业通过不同形式告知用户关于汇聚融合不同业务的个人信息的目的、方式和范围,在超出原有授权同意范围使用个人信息时,再次征得用户的明示同意,并根据要求开展个人信息安全影响评估以及采取个人信息保护措施。
(四) 关于个人信息商业化
1. 建议企业在运营或对外业务合作中对用户画像的使用进行严格的核查和限制,如核查业务中是否存在使用大数据分析技术等对个人信息进行分析,以形成特征标签、用户画像的情形。使用用户画像时应消除明确身份指向性,避免用户被精确定位;
2. 建议企业在用户提供个性化展示功能与内容时对相应功能和内容进行显著标识;同时保障用户退出或关闭个性化展示服务的权利;建立删除或匿名化定向推送活动中基于个人信息的选项。
(五) 关于第三方接入管理
建议企业对自身产品或服务中的第三方产品或服务进行核查,及时删除或停止接入不必要或存在隐秘收集或滥用个人信息以及存在信息安全隐患的第三方产品或服务;若必须接入第三方产品或服务,应当向用户明确标识该产品或服务由第三方提供并详细披露第三方个人信息处理活动的具体情况。
点击获取GB/T 35273-2020《信息安全技术个人信息安全规范》。
