信息安全技術個人信息安全規範

《信息安全技術個人信息安全規範》是全國信息安全標準化技術委員會2017年12月29日正式發布的規範,於2018年5月1日實施。

規範發布

按照國家標準化管理委員會2017年第32號中國國家標準公告,全國信息安全標準化技術委員會組織制定和歸口管理的國家標準GB/T 35273-2017《信息安全技術個人信息安全規範》於2017年12月29日正式發布,將於2018年5月1日實施。

規範全文

前言

本標準按照GB/T 1.1—2009《標準化工作導則 第1部分:標準的結構和編寫》給出的規則起草。請注意本檔案的其他內容可能涉及專利,本檔案的發布機構不承擔識別這些專利的責任。本標準由全國信息安全標準化技術委員會(SAC/TC260)提出並歸口。本標準起草單位:北京信息安全測評中心、中國電子技術標準化研究院、頤信科技有限公司、四川大學、北京大學、清華大學、中國信息安全研究院有限公司、公安部第一研究所、上海國際問題研究院、阿里巴巴(北京)軟體服務有限公司、深圳騰訊計算機系統有限公司、中電長城網際系統套用有限公司、阿里雲計算有限公司、華為技術有限公司、強韻數據科技有限公司。本標準主要起草人:洪延青、錢秀檳、何延哲、左曉棟、陳興蜀、高磊、劉賢剛、邵華、蔡曉丹、黃曉林、顧偉、黃勁、上官曉麗、趙章界、范紅、杜躍進、楊思磊、張亞男、金濤、葉曉俊、鄭斌、閔京華、魯傳穎、周亞超、楊露、王海舟、王建民、秦頌、姚相振、葛小宇、王道奎、趙冉冉、沈錫鏞。

引言

近年,隨著信息技術的快速發展和網際網路套用的普及,越來越多的組織大量收集、使用個人信息,給人們生活帶來便利的同時,也出現了對個人信息的非法收集、濫用、泄露等問題,個人信息安全面臨嚴重威脅。本標準針對個人信息面臨的安全問題,規範個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環節中的相關行為,旨在遏制個人信息非法收集、濫用、泄漏等亂象,最大程度地保障個人的合法權益和社會公共利益。對標準中的具體事項,法律法規另有規定的,需遵照其規定執行。

1 範圍

本標準規範了開展收集、保存、使用、共享、轉讓、公開披露等個人信息處理活動應遵循的原則和安全要求。

本標準適用於規範各類組織個人信息處理活動,也適用於主管監管部門、第三方評估機構等組織對個人信息處理活動進行監督、管理和評估。

2 規範性引用檔案

下列檔案對於本檔案的套用是必不可少的。凡是注日期的引用檔案,僅注日期的版本適用於本檔案。凡是不注日期的引用檔案,其最新版本(包括所有的修改單)適用於本檔案。

GB/T 25069—2010 信息安全技術 術語

3 術語和定義

GB/T 25069—2010中界定的以及下列術語和定義適用於本檔案。

3.1

個人信息 personal information

以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。

注 1:個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯繫

方式、通信記錄和內容、賬號密碼、財產信息、徵信信息、行蹤軌跡、住宿信息、健康生

理信息、交易信息等。

注 2:關於個人信息的範圍和類型可參見附錄 A。

3.2

個人敏感信息 personal sensitive information

一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。

注 1:個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產

信息、徵信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下(含)兒童

的個人信息等。

注 2:關於個人敏感信息的範圍和類型可參見附錄 B。

3.3

個人信息主體 personal data subject

個人信息所標識的自然人。

3.4

個人信息控制者 personal data controller

有權決定個人信息處理目的、方式等的組織或個人。

3.5

收集 collect

獲得對個人信息的控制權的行為,包括由個人信息主體主動提供、通過與個人信息主體互動或記錄個人信息主體行為等自動採集,以及通過共享、轉讓、蒐集公開信息間接獲取等方式。

註:如果產品或服務的提供者提供工具供個人信息主體使用,提供者不對個人信息進行訪問的,

則不屬於本標準所稱的收集行為。例如,離線導航軟體在終端獲取用戶位置信息後,如不回

傳至軟體提供者,則不屬於個人信息收集行為。

3.6

明示同意 explicit consent

個人信息主體通過書面聲明或主動做出肯定性動作,對其個人信息進行特定處理做出明確授權的行為。

註:肯定性動作包括個人信息主體主動作出聲明(電子或紙質形式)、主動勾選、主動點擊“同

意”、“註冊”、“傳送”、“撥打”等。

3.7

用戶畫像 user profiling

通過收集、匯聚、分析個人信息,對某特定自然人個人特徵,如其職業、經濟、健康、教育、個人喜好、信用、行為等方面做出分析或預測,形成其個人特徵模型的過程。

註:直接使用特定自然人的個人信息,形成該自然人的特徵模型,稱為直接用戶畫像。使用來源

於特定自然人以外的個人信息,如其所在群體的數據,形成該自然人的特徵模型,稱為間接

用戶畫像。

3.8

個人信息安全影響評估 personal information security impact assessment

針對個人信息處理活動,檢驗其合法合規程度,判斷其對個人信息主體合法權益造成損害的各種風險,以及評估用於保護個人信息主體的各項措施有效性的過程。

3.9

刪除 delete

在實現日常業務功能所涉及的系統中去除個人信息的行為,使其保持不可被檢索、訪問的狀態。

3.10

公開披露 public disclosure

向社會或不特定人群發布信息的行為。

3.11

轉讓 transfer of control

將個人信息控制權由一個控制者向另一個控制者轉移的過程。

3.12

共享 sharing

個人信息控制者向其他控制者提供個人信息,且雙方分別對個人信息擁有獨立控制權的過程。

3.13

匿名化 anonymization

通過對個人信息的技術處理,使得個人信息主體無法被識別,且處理後的信息不能被復原的過程。

註:個人信息經匿名化處理後所得的信息不屬於個人信息。

3.14

去標識化 de-identification

通過對個人信息的技術處理,使其在不藉助額外信息的情況下,無法識別個人信息主體的過程。

註:去標識化建立在個體基礎之上,保留了個體顆粒度,採用假名、加密、哈希函式等技術手段

替代對個人信息的標識。

4 個人信息安全基本原則

個人信息控制者開展個人信息處理活動,應遵循以下基本原則:

a) 權責一致原則——對其個人信息處理活動對個人信息主體合法權益造成的損害承擔責任。

b) 目的明確原則——具有合法、正當、必要、明確的個人信息處理目的。

c) 選擇同意原則——向個人信息主體明示個人信息處理目的、方式、範圍、規則等,徵求其授權同意。

d) 最少夠用原則——除與個人信息主體另有約定外,只處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數量。目的達成後,應及時根據約定刪除個人信息。

e) 公開透明原則——以明確、易懂和合理的方式公開處理個人信息的範圍、目的、規則等,並接受外部監督。

f) 確保全全原則——具備與所面臨的安全風險相匹配的安全能力,並採取足夠的管理措施和技術手段,保護個人信息的保密性、完整性、可用性。

g) 主體參與原則——向個人信息主體提供能夠訪問、更正、刪除其個人信息,以及撤回同意、註銷賬戶等方法。

5 個人信息的收集

5.1 收集個人信息的合法性要求

對個人信息控制者的要求包括:

a) 不得欺詐、誘騙、強迫個人信息主體提供其個人信息;

b) 不得隱瞞產品或服務所具有的收集個人信息的功能;

c) 不得從非法渠道獲取個人信息;

d) 不得收集法律法規明令禁止收集的個人信息。

5.2 收集個人信息的最小化要求

對個人信息控制者的要求包括:

a) 收集的個人信息的類型應與實現產品或服務的業務功能有直接關聯。直接關聯是指沒有該信息的參與,產品或服務的功能無法實現;

b) 自動採集個人信息的頻率應是實現產品或服務的業務功能所必需的最低頻率;

c) 間接獲取個人信息的數量應是實現產品或服務的業務功能所必需的最少數量。

5.3 收集個人信息時的授權同意

對個人信息控制者的要求包括:

a) 收集個人信息前,應向個人信息主體明確告知所提供產品或服務的不同業務功能分別收集的個人信息類型,以及收集、使用個人信息的規則(例如收集和使用個人信息的目的、收集方式和頻率、存放地域、存儲期限、自身的數據安全能力、對外共享、轉讓、公開披露的有關情況等),並獲得個人信息主體的授權同意;

b) 間接獲取個人信息時:

1) 應要求個人信息提供方說明個人信息來源,並對其個人信息來源的合法性進行確認;

2) 應了解個人信息提供方已獲得的個人信息處理的授權同意範圍,包括使用目的,個人信息主體是否授權同意轉讓、共享、公開披露等。如本組織開展業務需進行的個人信息處理活動超出該授權同意範圍,應在獲取個人信息後的合理期限內或處理個人信息前,徵得個人信息主體的明示同意。

5.4 徵得授權同意的例外

以下情形中,個人信息控制者收集、使用個人信息無需徵得個人信息主體的授權同意:

a) 與國家安全、國防安全直接相關的;

b) 與公共安全、公共衛生、重大公共利益直接相關的;

c) 與犯罪偵查、起訴、審判和判決執行等直接相關的;

d) 出於維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人同意的;

e) 所收集的個人信息是個人信息主體自行向社會公眾公開的;

f) 從合法公開披露的信息中收集個人信息的,如合法的新聞報導、政府信息公開等渠道;

g) 根據個人信息主體要求籤訂和履行契約所必需的;

h) 用於維護所提供的產品或服務的安全穩定運行所必需的,例如發現、處置產品或服務的故障;

i) 個人信息控制者為新聞單位且其在開展合法的新聞報導所必需的;

j) 個人信息控制者為學術研究機構,出於公共利益開展統計或學術研究所必要,且其對外提供學術研究或描述的結果時,對結果中所包含的個人信息進行去標識化處理的;

k) 法律法規規定的其他情形。

5.5 收集個人敏感信息時的明示同意

對個人信息控制者的要求包括:

a) 收集個人敏感信息時,應取得個人信息主體的明示同意。應確保個人信息主體的明示同意是其在完全知情的基礎上自願給出的、具體的、清晰明確的願望表示;

b) 通過主動提供或自動採集方式收集個人敏感信息前,應:

1) 向個人信息主體告知所提供產品或服務的核心業務功能及所必需收集的個人敏感信息,並明確告知拒絕提供或拒絕同意將帶來的影響。應允許個人信息主體選擇是否提供或同意自動採集;

2) 產品或服務如提供其他附加功能,需要收集個人敏感信息時,收集前應向個人信息主體逐一說明個人敏感信息為完成何種附加功能所必需,並允許個人信息主體逐項選擇是否提供或同意自動採集個人敏感信息。當個人信息主體拒絕時,可不提供相應的附加功能,但不應以此為理由停止提供核

心業務功能,並應保障相應的服務質量。

註:上述要求的實現方法可參考附錄C。

c) 收集年滿14的未成年人的個人信息前,應徵得未成年人或其監護人的明示同意;不滿14周歲的,應徵得其監護人的明示同意。

5.6 隱私政策的內容和發布

對個人信息控制者的要求包括:

a) 個人信息控制者應制定隱私政策,內容應包括但不限於:

1) 個人信息控制者的基本情況,包括註冊名稱、註冊地址、常用辦公地點和相關負責人的聯繫方式等;

2) 收集、使用個人信息的目的,以及目的所涵蓋的各個業務功能,例如將個人信息用於推送商業廣告,將個人信息用於形成直接用戶畫像及其用途等;

3) 各業務功能分別收集的個人信息,以及收集方式和頻率、存放地域、存儲期限等個人信息處理規則和實際收集的個人信息範圍;

4) 對外共享、轉讓、公開披露個人信息的目的、涉及的個人信息類型、接收個人信息的第三方類型,以及所承擔的相應法律責任;

5) 遵循的個人信息安全基本原則,具備的數據安全能力,以及採取的個人信息安全保護措施;

6) 個人信息主體的權利和實現機制,如訪問方法、更正方法、刪除方法、註銷賬戶的方法、撤回同意的方法、獲取個人信息副本的方法、約束信息系統自動決策的方法等;

7) 提供個人信息後可能存在的安全風險,及不提供個人信息可能產生的影響;

8) 處理個人信息主體詢問、投訴的渠道和機制,以及外部糾紛解決機構及聯絡方式。

b) 隱私政策所告知的信息應真實、準確、完整;

c) 隱私政策的內容應清晰易懂,符合通用的語言習慣,使用標準化的數字、圖示等,避免使用有歧義的語言,並在起始部分提供摘要,簡述告知內容的重點;

d) 隱私政策應公開發布且易於訪問,例如,在網站主頁、移動應用程式安裝頁、社交媒體首頁等顯著位置設定連結;

e) 隱私政策應逐一送達個人信息主體。當成本過高或有顯著困難時,可以公告的形式發布;

f) 在本條a)所載事項發生變化時,應及時更新隱私政策並重新告知個人信息主體。

註:隱私政策的內容可參考附錄 D。

6 個人信息的保存

6.1 個人信息保存時間最小化

對個人信息控制者的要求包括:

a) 個人信息保存期限應為實現目的所必需的最短時間;

b) 超出上述個人信息保存期限後,應對個人信息進行刪除或匿名化處理。

6.2 去標識化處理

收集個人信息後,個人信息控制者宜立即進行去標識化處理,並採取技術和管理方面的措施,將去標識化後的數據與可用於恢復識別個人的信息分開存儲,並確保在後續的個人信息處理中不重新識別個人。

6.3 個人敏感信息的傳輸和存儲

對個人信息控制者的要求包括:

a) 傳輸和存儲個人敏感信息時,應採用加密等安全措施;

b) 存儲個人生物識別信息時,應採用技術措施處理後再進行存儲,例如僅存儲個人生物識別信息的摘要。

6.4 個人信息控制者停止運營

當個人信息控制者停止運營其產品或服務時,應:

a) 及時停止繼續收集個人信息的活動;

b) 將停止運營的通知以逐一送達或公告的形式通知個人信息主體;

c) 對其所持有的個人信息進行刪除或匿名化處理。

7 個人信息的使用

7.1 個人信息訪問控制措施

對個人信息控制者的要求包括:

a) 對被授權訪問個人信息的內部數據操作人員,應按照最小授權的原則,使其只能訪問職責所需的最少夠用的個人信息,且僅具備完成職責所需的最少的數據操作許可權;

b) 宜對個人信息的重要操作應設定內部審批流程,如批量修改、拷貝、下載等;

c) 應對安全管理人員、數據操作人員、審計人員的角色進行分離設定;

d) 如確因工作需要,需授權特定人員超許可權處理個人信息的,應由個人信息保護

責任人或個人信息保護工作機構進行審批,並記錄在冊;

註:個人信息保護責任人或個人信息保護工作機構的確定見本標準 10.1。

e) 對個人敏感信息的訪問、修改等行為,宜在對角色的許可權控制的基礎上,根據業務流程的需求觸發操作授權。例如,因收到客戶投訴,投訴處理人員才可訪問該用戶的相關信息。

7.2 個人信息的展示限制

涉及通過界面展示個人信息的(如顯示螢幕、紙面),個人信息控制者宜對需展示的個人信息採取去標識化處理等措施,降低個人信息在展示環節的泄露風險。例如,在個人信息展示時,防止內部非授權人員及個人信息主體之外的其他人員未經授權獲取個人信息。

7.3 個人信息的使用限制

對個人信息控制者的要求包括:

a) 除目的所必需外,使用個人信息時應消除明確身份指向性,避免精確定位到特定個人。例如,為準確評價個人信用狀況,可使用直接用戶畫像,而用於推送商業廣告目的時,則宜使用間接用戶畫像;

b) 對所收集的個人信息進行加工處理而產生的信息,能夠單獨或與其他信息結合識別自然人個人身份,或者反映自然人個人活動情況的,應將其認定為個人信

息。對其處理應遵循收集個人信息時獲得的授權同意範圍;

註:加工處理而產生的個人信息屬於個人敏感信息的,對其處理應符合本標準對個人敏感信息的

要求。

c) 使用個人信息時,不得超出與收集個人信息時所聲稱的目的具有直接或合理關聯的範圍。因業務需要,確需超出上述範圍使用個人信息的,應再次徵得個人

信息主體明示同意。

註:將所收集的個人信息用於學術研究或得出對自然、科學、社會、經濟等現象總體狀態的描述,

屬於與收集目的具有合理關聯的範圍之內。但對外提供學術研究或描述的結果時,應對結果

中所包含的個人信息進行去標識化處理。

7.4 個人信息訪問

個人信息控制者應向個人信息主體提供訪問下列信息的方法:

a) 其所持有的關於該主體的個人信息或類型;

b) 上述個人信息的來源、所用於的目的;

c) 已經獲得上述個人信息的第三方身份或類型。

註:個人信息主體提出訪問非其主動提供的個人信息時,個人信息控制者可在綜合考慮不回響請

求可能對個人信息主體合法權益帶來的風險和損害,以及技術可行性、實現請求的成本等因

素後,做出是否回響的決定,並給出解釋說明。

7.5 個人信息更正

個人信息主體發現個人信息控制者所持有的該主體的個人信息有錯誤或不完整的,個人信息控制者應為其提供請求更正或補充信息的方法。

7.6 個人信息刪除

對個人信息控制者的要求包括:

a) 符合以下情形的,個人信息主體要求刪除的,應及時刪除個人信息:

1) 個人信息控制者違反法律法規規定,收集、使用個人信息的;

2) 個人信息控制者違反了與個人信息主體的約定,收集、使用個人信息的。

b) 個人信息控制者違反法律法規規定或違反與個人信息主體的約定向第三方共享、轉讓個人信息,且個人信息主體要求刪除的,個人信息控制者應立即停止共享、轉讓的行為,並通知第三方及時刪除;

c) 個人信息控制者違反法律法規規定或與個人信息主體的約定,公開披露個人信息,且個人信息主體要求刪除的,個人信息控制者應立即停止公開披露的行為,並發布通知要求相關接收方刪除相應的信息。

7.7 個人信息主體撤回同意

對個人信息控制者的要求包括:

a) 應向個人信息主體提供方法撤回收集、使用其個人信息的同意授權。撤回同意後,個人信息控制者後續不得再處理相應的個人信息;

b) 應保障個人信息主體拒絕接收基於其個人信息推送的商業廣告的權利。對外共

享、轉讓、公開披露個人信息,應向個人信息主體提供撤回同意的方法。

註:撤回同意不影響撤回前基於同意的個人信息處理。

7.8 個人信息主體註銷賬戶

對個人信息控制者的要求包括:

a) 通過註冊賬戶提供服務的個人信息控制者,應向個人信息主體提供註銷賬戶的方法,且該方法應簡便易操作;

b) 個人信息主體註銷賬戶後,應刪除其個人信息或做匿名化處理。

7.9 個人信息主體獲取個人信息副本

根據個人信息主體的請求,個人信息控制者應為個人信息主體提供獲取以下類型個人信息副本的方法,或在技術可行的前提下直接將以下個人信息的副本傳輸給第三方:

a) 個人基本資料、個人身份信息;

b) 個人健康生理信息、個人教育工作信息。

7.10 約束信息系統自動決策

當僅依據信息系統的自動決策而做出顯著影響個人信息主體權益的決定時(例如基於用戶畫像決定個人信用及貸款額度,或將用戶畫像用於面試篩選),個人信息控制者應向個人信息主體提供申訴方法。

7.11 回響個人信息主體的請求

對個人信息控制者的要求包括:

a) 在驗證個人信息主體身份後,應及時回響個人信息主體基於本標準第7.4至7.10提出的請求,應在三十天內或法律法規規定的期限內做出答覆及合理解釋,並告知個人信息主體向外部提出糾紛解決的途徑;

b) 對合理的請求原則上不收取費用,但對一定時期內多次重複的請求,可視情收取一定成本費用;

c) 如直接實現個人信息主體的請求需要付出高額的成本或存在其他顯著的困難,個人信息控制者應向個人信息主體提供其他替代性方法,以保護個人信息主體的合法權益;

d) 以下情況可不回響個人信息主體基於本標準7.4至7.10提出的請求,包括但不限於:

1) 與國家安全、國防安全直接相關的;

2) 與公共安全、公共衛生、重大公共利益直接相關的;

3) 與犯罪偵查、起訴、審判和執行判決等直接相關的;

4) 個人信息控制者有充分證據表明個人信息主體存在主觀惡意或濫用權利的;

5) 回響個人信息主體的請求將導致個人信息主體或其他個人、組織的合法權益受到嚴重損害的;

6) 涉及商業秘密的。

7.12 申訴管理

個人信息控制者應建立申訴管理機制,包括跟蹤流程,並在合理的時間內,對申訴進行回響。

8 個人信息的委託處理、共享、轉讓、公開披露

8.1 委託處理

委託處理個人信息時,應遵守以下要求:

a) 個人信息控制者作出委託行為,不得超出已徵得個人信息主體授權同意的範圍或遵守本標準5.4規定的情形;

b) 個人信息控制者應對委託行為進行個人信息安全影響評估,確保受委託者具備足夠的數據安全能力,提供了足夠的安全保護水平;

c) 受委託者應:

1) 嚴格按照個人信息控制者的要求處理個人信息。如受委託者因特殊原因未按照個人信息控制者的要求處理個人信息,應及時向個人信息控制者反饋;

2) 如受委託者確需再次委託時,應事先徵得個人信息控制者的授權;

3) 協助個人信息控制者回響個人信息主體基於本標準7.4至7.10提出的請求;

4) 如受委託者在處理個人信息過程中無法提供足夠的安全保護水平或發生了安全事件,應及時向個人信息控制者反饋;

5) 在委託關係解除時不再保存個人信息。

d) 個人信息控制者應對受委託者進行監督,方式包括但不限於:

1) 通過契約等方式規定受委託者的責任和義務;

2) 對受委託者進行審計。

e) 個人信息控制者應準確記錄和保存委託處理個人信息的情況。

8.2 個人信息共享、轉讓

個人信息原則上不得共享、轉讓。個人信息控制者確需共享、轉讓時,應充分重視風險。共享、轉讓個人信息,非因收購、兼併、重組原因的,應遵守以下要求:

a) 事先開展個人信息安全影響評估,並依評估結果採取有效的保護個人信息主體的措施;

b) 向個人信息主體告知共享、轉讓個人信息的目的、數據接收方的類型,並事先徵得個人信息主體的授權同意。共享、轉讓經去標識化處理的個人信息,且確保數據接收方無法重新識別個人信息主體的除外;

c) 共享、轉讓個人敏感信息前,除8.2 b)中告知的內容外,還應向個人信息主體告知涉及的個人敏感信息的類型、數據接收方的身份和數據安全能力,並事先徵得個人信息主體的明示同意;

d) 準確記錄和保存個人信息的共享、轉讓的情況,包括共享、轉讓的日期、規模、目的,以及數據接收方基本情況等;

e) 承擔因共享、轉讓個人信息對個人信息主體合法權益造成損害的相應責任;

f) 幫助個人信息主體了解數據接收方對個人信息的保存、使用等情況,以及個人信息主體的權利,例如,訪問、更正、刪除、註銷賬戶等。

8.3 收購、兼併、重組時的個人信息轉讓

當個人信息控制者發生收購、兼併、重組等變更時,個人信息控制者應:

a) 向個人信息主體告知有關情況;

b) 變更後的個人信息控制者應繼續履行原個人信息控制者的責任和義務,如變更個人信息使用目的時,應重新取得個人信息主體的明示同意。

8.4 個人信息公開披露

個人信息原則上不得公開披露。個人信息控制者經法律授權或具備合理事由確需公開披露時,應充分重視風險,遵守以下要求:

a) 事先開展個人信息安全影響評估,並依評估結果採取有效的保護個人信息主體的措施;

b) 向個人信息主體告知公開披露個人信息的目的、類型,並事先徵得個人信息主體明示同意;

c) 公開披露個人敏感信息前,除8.4 b)中告知的內容外,還應向個人信息主體告知涉及的個人敏感信息的內容;

d) 準確記錄和保存個人信息的公開披露的情況,包括公開披露的日期、規模、目的、公開範圍等;

e) 承擔因公開披露個人信息對個人信息主體合法權益造成損害的相應責任;

f) 不得公開披露個人生物識別信息。

8.5 共享、轉讓、公開披露個人信息時事先徵得授權同意的例外

以下情形中,個人信息控制者共享、轉讓、公開披露個人信息無需事先徵得個人信息主體的授權同意:

a) 與國家安全、國防安全直接相關的;

b) 與公共安全、公共衛生、重大公共利益直接相關的;

c) 與犯罪偵查、起訴、審判和判決執行等直接相關的;

d) 出於維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人同意的;

e) 個人信息主體自行向社會公眾公開的個人信息;

f) 從合法公開披露的信息中收集個人信息的,如合法的新聞報導、政府信息公開等渠道。

8.6 共同個人信息控制者

當個人信息控制者與第三方為共同個人信息控制者時(例如服務平台與平台上的簽約商家),個人信息控制者應通過契約等形式與第三方共同確定應滿足的個人信息安全要求,以及在個人信息安全方面自身和第三方應分別承擔的責任和義務,並向個人信息主體明確告知。

註:個人信息控制者在提供產品或服務的過程中部署了收集個人信息的第三方外掛程式(例如網站經

營者與在其網頁或應用程式中部署統計分析工具、軟體開發工具包 SDK、調用地圖 API 接

口),且該第三方並未單獨向個人信息主體徵得收集、使用個人信息的授權同意,則個人信

息控制者與該第三方為共同個人信息控制者。

8.7 個人信息跨境傳輸要求

在中華人民共和國境內運營中收集和產生的個人信息向境外提供的,個人信息控制者應當按照國家網信部門會同國務院有關部門制定的辦法和相關標準進行安全評估,並符合其要求。

9 個人信息安全事件處置

9.1 安全事件應急處置和報告

對個人信息控制者的要求包括:

a) 應制定個人信息安全事件應急預案;

b) 應定期(至少每年一次)組織內部相關人員進行應急回響培訓和應急演練,使其掌握崗位職責和應急處置策略和規程;

c) 發生個人信息安全事件後,個人信息控制者應根據應急回響預案進行以下處置:

1) 記錄事件內容,包括但不限於:發現事件的人員、時間、地點,涉及的個人信息及人數,發生事件的系統名稱,對其他互聯繫統的影響,是否已聯繫執法機關或有關部門;

2) 評估事件可能造成的影響,並採取必要措施控制事態,消除隱患;

3) 按《國家網路安全事件應急預案》的有關規定及時上報,報告內容包括但不限於:涉及個人信息主體的類型、數量、內容、性質等總體情況,事件可能造成的影響,已採取或將要採取的處置措施,事件處置相關人員的聯繫方式;

4) 按照本標準9.2的要求實施安全事件的告知。

d) 根據相關法律法規變化情況,以及事件處置情況,及時更新應急預案。

9.2 安全事件告知

對個人信息控制者的要求包括:

a) 應及時將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的個人信息主體。難以逐一告知個人信息主體時,應採取合理、有效的方式發布與公眾有關的警示信息;

b) 告知內容應包括但不限於:

1) 安全事件的內容和影響;

2) 已採取或將要採取的處置措施;

3) 個人信息主體自主防範和降低風險的建議;

4) 針對個人信息主體提供的補救措施;

5) 個人信息保護負責人和個人信息保護工作機構的聯繫方式。

10 組織的管理要求

10.1 明確責任部門與人員

對個人信息控制者的要求包括:

a) 應明確其法定代表人或主要負責人對個人信息安全負全面領導責任,包括為個人信息安全工作提供人力、財力、物力保障等;

b) 應任命個人信息保護負責人和個人信息保護工作機構;

c) 滿足以下條件之一的組織,應設立專職的個人信息保護負責人和個人信息保護工作機構,負責個人信息安全工作:

1) 主要業務涉及個人信息處理,且從業人員規模大於200人;

2) 處理超過50萬人的個人信息,或在12個月內預計處理超過50萬人的個人信息。

d) 個人信息保護負責人和個人信息保護工作機構應履行的職責包括但不限於:

1) 全面統籌實施組織內部的個人信息安全工作,對個人信息安全負直接責任;

2) 制定、簽發、實施、定期更新隱私政策和相關規程;

3) 應建立、維護和更新組織所持有的個人信息清單(包括個人信息的類型、數量、來源、接收方等)和授權訪問策略;

4) 開展個人信息安全影響評估;

5) 組織開展個人信息安全培訓;

6) 在產品或服務上線發布前進行檢測,避免未知的個人信息收集、使用、共享等處理行為;

7) 進行安全審計。

10.2 開展個人信息安全影響評估

對個人信息控制者的要求包括:

a) 建立個人信息安全影響評估制度,定期(至少每年一次)開展個人信息安全影響評估;

b) 個人信息安全影響評估應主要評估處理活動遵循個人信息安全基本原則的情況,以及個人信息處理活動對個人信息主體合法權益的影響,內容包括但不限於:

1) 個人信息收集環節是否遵循目的明確、選擇同意、最少夠用等原則;

2) 個人信息處理是否可能對個人信息主體合法權益造成不利影響,包括處理是否會危害人身和財產安全、損害個人名譽和身心健康、導致歧視性待遇等;

3) 個人信息安全措施的有效性;

4) 匿名化或去標識化處理後的數據集重新識別出個人信息主體的風險;

5) 共享、轉讓、公開披露個人信息對個人信息主體合法權益可能產生的不利影響;

6) 如發生安全事件,對個人信息主體合法權益可能產生的不利影響。

c) 在法律法規有新的要求時,或在業務模式、信息系統、運行環境發生重大變更時,或發生重大個人信息安全事件時,應重新進行個人信息安全影響評估;

d) 形成個人信息安全影響評估報告,並以此採取保護個人信息主體的措施,使風險降低到可接受的水平;

e) 妥善留存個人信息安全影響評估報告,確保可供相關方查閱,並以適宜的形式對外公開。

10.3 數據安全能力

個人信息控制者應根據有關國家標準的要求,建立適當的數據安全能力,落實必要的管理和技術措施,防止個人信息的泄漏、損毀、丟失。

10.4 人員管理與培訓

對個人信息控制者的要求包括:

a) 應與從事個人信息處理崗位上的相關人員簽署保密協定,對大量接觸個人敏感信息的人員進行背景審查;

b) 應明確內部涉及個人信息處理不同崗位的安全職責,以及發生安全事件的處罰機制;

c) 應要求個人信息處理崗位上的相關人員在調離崗位或終止勞動契約時,繼續履行保密義務;

d) 應明確可能訪問個人信息的外部服務人員應遵守的個人信息安全要求,與其簽署保密協定,並進行監督;

e) 應定期(至少每年一次)或在隱私政策發生重大變化時,對個人信息處理崗位上的相關人員開展個人信息安全專業化培訓和考核,確保相關人員熟練掌握隱私政策和相關規程。

10.5 安全審計

對個人信息控制者的要求包括:

a) 應對隱私政策和相關規程,以及安全措施的有效性進行審計;

b) 應建立自動化審計系統,監測記錄個人信息處理活動;

c) 審計過程形成的記錄應能對安全事件的處置、應急回響和事後調查提供支撐;

d) 應防止非授權訪問、篡改或刪除審計記錄;

e) 應及時處理審計過程中發現的個人信息違規使用、濫用等情況。

因字數限制,未盡全文見全國信息安全標準化技術委員會:

相關詞條

熱門詞條

聯絡我們