數(shù)據(jù)中心
Data Center

國標《信息安全技術 個人信息安全規(guī)范》全文

發(fā)布時間:2024-03-15  瀏覽次數(shù):275


范圍

本標準規(guī)定了開展收集、存儲、使用、共享、轉讓、公開披露、刪除等個人信息處理活動應遵循的原則和安全要求。

本標準適用于規(guī)范各類組織的個人信息處理活動,也適用于主管監(jiān)管部門、第三方評估機構等組織對個人信息處理活動進行監(jiān)督、管理和評估。

規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。

GB/T 25069—2010 信息安全技術 術語

術語和定義

GB/T 25069—2010界定的以及下列術語和定義適用于本文件。

3.1 個人信息 personal information

以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。

注1:個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

注2:關于個人信息的判定方法和類型參見附錄 A。

注3:個人信息控制者通過個人信息或其他信息加工處理后形成的信息,例如,用戶畫像或特征標簽,能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的,屬于個人信息。

3.2 個人敏感信息 personal sensitive information

一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。

注1:個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬戶、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下(含)兒童的個人信息等。

注2:關于個人敏感信息的判定方法和類型參見附錄 B。

注3:個人信息控制者通過個人信息或其他信息加工處理后形成的信息,如一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的,屬于個人敏感信息。

3.3 個人信息主體 personal information subject

個人信息所標識或者關聯(lián)的自然人。

3.4 個人信息控制者 personal information controller

有能力決定個人信息處理目的、方式等的組織或個人。

3.5 收集 collect

獲得個人信息的控制權的行為。

注1:包括由個人信息主體主動提供、通過與個人信息主體交互或記錄個人信息主體行為等自動采集行為,以及通過共享、轉讓、搜集公開信息等間接獲取個人信息等行為。

注2:如果產(chǎn)品或服務的提供者提供工具供個人信息主體使用,提供者不對個人信息進行訪問的,則不屬于本標準所稱的收集。例如,離線導航軟件在終端獲取個人信息主體位置信息后,如果不回傳至軟件提供者,則不屬于個人信息主體位置信息的收集。

3.6 明示同意 explicit consent

個人信息主體通過書面、口頭等方式主動作出紙質或電子形式的聲明,或者自主作出肯定性動作,對其個人信息進行特定處理作出明確授權的行為。

注:肯定性動作包括個人信息主體主動勾選、主動點擊“同意”“注冊”“發(fā)送”“撥打”、主動填寫或提供等。

3.7 授權同意 consent

個人信息主體對其個人信息進行特定處理作出明確授權的行為。

注:包括通過積極的行為作出授權(即明示同意),或者通過消極的不作為而作出授權(如信息采集區(qū)域內(nèi)的個人信息主體在被告知信息收集行為后沒有離開該區(qū)域)。

3.8 用戶畫像 user profiling

通過收集、匯聚、分析個人信息,對某特定自然人個人特征,如職業(yè)、經(jīng)濟、健康、教育、個人喜好、信用、行為等方面作出分析或預測,形成其個人特征模型的過程。

注:直接使用特定自然人的個人信息,形成該自然人的特征模型,稱為直接用戶畫像。使用來源于特

定自然人以外的個人信息,如其所在群體的數(shù)據(jù),形成該自然人的特征模型,稱為間接用戶畫像。

3.9 個人信息安全影響評估 personal information security impact assessment

針對個人信息處理活動,檢驗其合法合規(guī)程度,判斷其對個人信息主體合法權益造

成損害的各種風險,以及評估用于保護個人信息主體的各項措施有效性的過程。

3.10 刪除 delete

在實現(xiàn)日常業(yè)務功能所涉及的系統(tǒng)中去除個人信息的行為,使其保持不可被檢索、訪問的狀態(tài)。

3.11 公開披露 public disclosure

向社會或不特定人群發(fā)布信息的行為。

3.12 轉讓 transfer of control

將個人信息控制權由一個控制者向另一個控制者轉移的過程。

3.13 共享 sharing

個人信息控制者向其他控制者提供個人信息,且雙方分別對個人信息擁有獨立控制權的過程。

3.14 匿名化 anonymization

通過對個人信息的技術處理,使得個人信息主體無法被識別或者關聯(lián),且處理后的信息不能被復原的過程。

注:個人信息經(jīng)匿名化處理后所得的信息不屬于個人信息。

3.15 去標識化 de-identification

通過對個人信息的技術處理,使其在不借助額外信息的情況下,無法識別或者關聯(lián)個人信息主體的過程。

注:去標識化建立在個體基礎之上,保留了個體顆粒度,采用假名、加密、哈希函數(shù)等技術手段替代對個人信息的標識。

3.16 個性化展示 personalized display

基于特定個人信息主體的網(wǎng)絡瀏覽歷史、興趣愛好、消費記錄和習慣等個人信息,向該個人信息主體展示信息內(nèi)容、提供商品或服務的搜索結果等活動。

3.17 業(yè)務功能 business function

滿足個人信息主體的具體使用需求的服務類型。

注:如地圖導航、網(wǎng)絡約車、即時通訊、網(wǎng)絡社區(qū)、網(wǎng)絡支付、新聞資訊、網(wǎng)上購物、快遞配送、交通票務等。

4. 個人信息安全基本原則

個人信息控制者開展個人信息處理活動應遵循合法、正當、必要的原則,具體包括:

權責一致——采取技術和其他必要的措施保障個人信息的安全,對其個人信息處理活動對個人信息主體合法權益造成的損害承擔責任;

目的明確——具有明確、清晰、具體的個人信息處理目的;

選擇同意——向個人信息主體明示個人信息處理目的、方式、范圍等規(guī)則,征求其授權同意;

最小必要——只處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數(shù)量。目的達成后,應及時刪除個人信息;

公開透明——以明確、易懂和合理的方式公開處理個人信息的范圍、目的、規(guī)則等,并接受外部監(jiān)督;

確保安全——具備與所面臨的安全風險相匹配的安全能力,并采取足夠的管理措施和技術手段,保護個人信息的保密性、完整性、可用性;

主體參與——向個人信息主體提供能夠查詢、更正、刪除其個人信息,以及撤回授權同意、注銷賬戶、投訴等方法。

5. 個人信息的收集

5.1 收集個人信息的合法性

對個人信息控制者的要求包括:

不應以欺詐、誘騙、誤導的方式收集個人信息;

不應隱瞞產(chǎn)品或服務所具有的收集個人信息的功能;c) 不應從非法渠道獲取個人信息。

5.2 收集個人信息的最小必要

對個人信息控制者的要求包括:

收集的個人信息的類型應與實現(xiàn)產(chǎn)品或服務的業(yè)務功能有直接關聯(lián);直接關聯(lián)是指沒有上述個人信息的參與,產(chǎn)品或服務的功能無法實現(xiàn);

自動采集個人信息的頻率應是實現(xiàn)產(chǎn)品或服務的業(yè)務功能所必需的最低頻率;c) 間接獲取個人信息的數(shù)量應是實現(xiàn)產(chǎn)品或服務的業(yè)務功能所必需的最少數(shù)量。

5.3 多項業(yè)務功能的自主選擇

當產(chǎn)品或服務提供多項需收集個人信息的業(yè)務功能時,個人信息控制者不應違背個人信息主體的自主意愿,強迫個人信息主體接受產(chǎn)品或服務所提供的業(yè)務功能及相應的個人信息收集請求。對個人信息控制者的要求包括:

不應通過捆綁產(chǎn)品或服務各項業(yè)務功能的方式,要求個人信息主體一次性接受并授權同意其未申請或使用的業(yè)務功能收集個人信息的請求;

應把個人信息主體自主作出的肯定性動作,如主動點擊、勾選、填寫等,作為產(chǎn)品或服務的特定業(yè)務功能的開啟條件。個人信息控制者應僅在個人信息主體開啟該業(yè)務功能后,開始收集個人信息;

關閉或退出業(yè)務功能的途徑或方式應與個人信息主體選擇使用業(yè)務功能的途徑或方式同樣方便。個人信息主體選擇關閉或退出特定業(yè)務功能后,個人信息控制者應停止該業(yè)務功能的個人信息收集活動;

個人信息主體不授權同意使用、關閉或退出特定業(yè)務功能的,不應頻繁征求個人信息主體的授權同意;

個人信息主體不授權同意使用、關閉或退出特定業(yè)務功能的,不應暫停個人信息主體自主選擇使用的其他業(yè)務功能,或降低其他業(yè)務功能的服務質量;

不得僅以改善服務質量、提升使用體驗、研發(fā)新產(chǎn)品、增強安全性等為由,強制要求個人信息主體同意收集個人信息。

5.4 收集個人信息時的授權同意

對個人信息控制者的要求包括:

收集個人信息,應向個人信息主體告知收集、使用個人信息的目的、方式和范圍等規(guī)則,并獲得個人信息主體的授權同意;

注1:如產(chǎn)品或服務僅提供一項收集、使用個人信息的業(yè)務功能時,個人信息控制者可通過個人信息保護政策的形式,實現(xiàn)向個人信息主體的告知;產(chǎn)品或服務提供多項收集、使用個人信息的業(yè)務功能的,除個人信息保護政策外,個人信息控制者宜在實際開始收集特定個人信息時,向個人信息主體提供收集、使用該個人信息的目的、方式和范圍,以便個人信息主體在作出具體的授權同意前,能充分考慮對其的具體影響。

注2:符合5.3和 a)要求的實現(xiàn)方法,可參考附錄C。

收集個人敏感信息前,應征得個人信息主體的明示同意,并應確保個人信息主體的明示同意是其在完全知情的基礎上自主給出的、具體的、清晰明確的意愿表示;

收集個人生物識別信息前,應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍,以及存儲時間等規(guī)則,并征得個人信息主體的明示同意;

注:個人生物識別信息包括個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。

收集年滿14周歲未成年人的個人信息前,應征得未成年人或其監(jiān)護人的明示同意;不滿14周歲的,應征得其監(jiān)護人的明示同意;e) 間接獲取個人信息時:

應要求個人信息提供方說明個人信息來源,并對其個人信息來源的合法性進行確認;

應了解個人信息提供方已獲得的個人信息處理的授權同意范圍,包括使用目的,個人信息主體是否授權同意轉讓、共享、公開披露、刪除等;

如開展業(yè)務所需進行的個人信息處理活動超出已獲得的授權同意范圍的,應在獲取個人信息后的合理期限內(nèi)或處理個人信息前,征得個人信息主體的明示同意,或通過個人信息提供方征得個人信息主體的明示同意。

5.5 個人信息保護政策

對個人信息控制者的要求包括:

應制定個人信息保護政策,內(nèi)容應包括但不限于:

個人信息控制者的基本情況,包括主體身份、聯(lián)系方式;

收集、使用個人信息的業(yè)務功能,以及各業(yè)務功能分別收集的個人信息類型。涉及個人敏感信息的,需明確標識或突出顯示;

個人信息收集方式、存儲期限、涉及數(shù)據(jù)出境情況等個人信息處理規(guī)則;

對外共享、轉讓、公開披露個人信息的目的、涉及的個人信息類型、接收個人信息的第三方類型,以及各自的安全和法律責任;

個人信息主體的權利和實現(xiàn)機制,如查詢方法、更正方法、刪除方法、注銷賬戶的方法、撤回授權同意的方法、獲取個人信息副本的方法、對信息系統(tǒng)自動決策結果進行投訴的方法等;

提供個人信息后可能存在的安全風險,及不提供個人信息可能產(chǎn)生的影響;

遵循的個人信息安全基本原則,具備的數(shù)據(jù)安全能力,以及采取的個人信息安全保護措施,必要時可公開數(shù)據(jù)安全和個人信息保護相關的合規(guī)證明;

處理個人信息主體詢問、投訴的渠道和機制,以及外部糾紛解決機構及聯(lián)絡方式。

個人信息保護政策所告知的信息應真實、準確、完整;

個人信息保護政策的內(nèi)容應清晰易懂,符合通用的語言習慣,使用標準化的數(shù)字、圖示等,避免使用有歧義的語言;

個人信息保護政策應公開發(fā)布且易于訪問,例如,在網(wǎng)站主頁、移動互聯(lián)網(wǎng)應用程序安裝頁、附錄C中的交互界面或設計等顯著位置設置鏈接;

個人信息保護政策應逐一送達個人信息主體。當成本過高或有顯著困難時,可以公告的形式發(fā)布;

在a)所載事項發(fā)生變化時,應及時更新個人信息保護政策并重新告知個人信息主體。

注1:組織會習慣性將個人信息保護政策命名為“隱私政策”或其他名稱,其內(nèi)容宜與個人信息保護政策內(nèi)容保持一致。

注2:個人信息保護政策的內(nèi)容可參考附錄D。

注3:在個人信息主體首次打開產(chǎn)品或服務、注冊賬戶等情形時,宜通過彈窗等形式主動向其展示個人信息保護政策的主要或核心內(nèi)容,幫助個人信息主體理解該產(chǎn)品或服務的個人信息處理范圍和規(guī)則,并決定是否繼續(xù)使用該產(chǎn)品或服務。

5.6 征得授權同意的例外

以下情形中,個人信息控制者收集、使用個人信息不必征得個人信息主體的授權同意:

與個人信息控制者履行法律法規(guī)規(guī)定的義務相關的;

與國家安全、國防安全直接相關的;

與公共安全、公共衛(wèi)生、重大公共利益直接相關的;

與刑事偵查、起訴、審判和判決執(zhí)行等直接相關的;

出于維護個人信息主體或其他個人的生命、財產(chǎn)等重大合法權益但又很難得到本人授權同意的;

所涉及的個人信息是個人信息主體自行向社會公眾公開的;g) 根據(jù)個人信息主體要求簽訂和履行合同所必需的;

注:個人信息保護政策的主要功能為公開個人信息控制者收集、使用個人信息范圍和規(guī)則,不宜將其視為合同。

從合法公開披露的信息中收集個人信息的,如合法的新聞報道、政府信息公開等渠道;

維護所提供產(chǎn)品或服務的安全穩(wěn)定運行所必需的,如發(fā)現(xiàn)、處置產(chǎn)品或服務的故障;

個人信息控制者為新聞單位,且其開展合法的新聞報道所必需的;

個人信息控制者為學術研究機構,出于公共利益開展統(tǒng)計或學術研究所必要,且其對外提供學術研究或描述的結果時,對結果中所包含的個人信息進行去標識化處理的。

6. 個人信息的存儲

6.1 個人信息存儲時間最小化

對個人信息控制者的要求包括:

個人信息存儲期限應為實現(xiàn)個人信息主體授權使用的目的所必需的最短時間,法律法規(guī)另有規(guī)定或者個人信息主體另行授權同意的除外;

超出上述個人信息存儲期限后,應對個人信息進行刪除或匿名化處理。

6.2 去標識化處理

收集個人信息后,個人信息控制者宜立即進行去標識化處理,并采取技術和管理方面的措施,將可用于恢復識別個人的信息與去標識化后的信息分開存儲并加強訪問和使用的權限管理。

6.3 個人敏感信息的傳輸和存儲

對個人信息控制者的要求包括:a) 傳輸和存儲個人敏感信息時,應采用加密等安全措施;

注:采用密碼技術時宜遵循密碼管理相關國家標準。

個人生物識別信息應與個人身份信息分開存儲;

原則上不應存儲原始個人生物識別信息(如樣本、圖像等),可采取的措施包括但不限于:

僅存儲個人生物識別信息的摘要信息;

在采集終端中直接使用個人生物識別信息實現(xiàn)身份識別、認證等功能;

在使用面部識別特征、指紋、掌紋、虹膜等實現(xiàn)識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像。

注1:摘要信息通常具有不可逆特點,無法回溯到原始信息。

注2:個人信息控制者履行法律法規(guī)規(guī)定的義務相關的情形除外。

6.4 個人信息控制者停止運營

當個人信息控制者停止運營其產(chǎn)品或服務時,應:

及時停止繼續(xù)收集個人信息;

將停止運營的通知以逐一送達或公告的形式通知個人信息主體;c) 對其所持有的個人信息進行刪除或匿名化處理。

7.個人信息的使用

7.1 個人信息訪問控制措施

對個人信息控制者的要求包括:

對被授權訪問個人信息的人員,應建立最小授權的訪問控制策略,使其只能訪問職責所需的最小必要的個人信息,且僅具備完成職責所需的最少的數(shù)據(jù)操作權限;

對個人信息的重要操作設置內(nèi)部審批流程,如進行批量修改、拷貝、下載等重要操作;

對安全管理人員、數(shù)據(jù)操作人員、審計人員的角色進行分離設置;

確因工作需要,需授權特定人員超權限處理個人信息的,應經(jīng)個人信息保護責任人或個人信息保護工作機構進行審批,并記錄在冊;

注:個人信息保護責任人或個人信息保護工作機構的確定見 11.1。

對個人敏感信息的訪問、修改等操作行為,宜在對角色權限控制的基礎上,按照業(yè)務流程的需求觸發(fā)操作授權。例如,當收到客戶投訴,投訴處理人員才可訪問該個人信息主體的相關信息。

7.2 個人信息的展示限制

涉及通過界面展示個人信息的(如顯示屏幕、紙面),個人信息控制者宜對需展示的個人信息采取去標識化處理等措施,降低個人信息在展示環(huán)節(jié)的泄露風險。例如,在個人信息展示時,防止內(nèi)部非授權人員及個人信息主體之外的其他人員未經(jīng)授權獲取個人信息。

7.3 個人信息使用的目的限制

對個人信息控制者的要求包括:

使用個人信息時,不應超出與收集個人信息時所聲稱的目的具有直接或合理關聯(lián)的范圍。因業(yè)務需要,確需超出上述范圍使用個人信息的,應再次征得個人信息主體明示同意;

注:將所收集的個人信息用于學術研究或得出對自然、科學、社會、經(jīng)濟等現(xiàn)象總體狀態(tài)的描述,屬于與收集目的具有合理關聯(lián)的范圍之內(nèi)。但對外提供學術研究或描述的結果時,需對結果中所包含的個人信息進行去標識化處理。

如所收集的個人信息進行加工處理而產(chǎn)生的信息,能夠單獨或與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的,應將其認定為個人信息。對其處理應遵循收集個人信息時獲得的授權同意范圍。

注:加工處理而產(chǎn)生的個人信息屬于個人敏感信息的,對其處理需符合對個人敏感信息的要求。

7.4 用戶畫像的使用限制

對個人信息控制者的要求包括:

用戶畫像中對個人信息主體的特征描述,不應:

包含淫穢、色情、賭博、迷信、恐怖、暴力的內(nèi)容;

表達對民族、種族、宗教、殘疾、疾病歧視的內(nèi)容。

在業(yè)務運營或對外業(yè)務合作中使用用戶畫像的,不應:

侵害公民、法人和其他組織的合法權益;

危害國家安全、榮譽和利益,煽動顛覆國家政權、推翻社會主義制度,煽動分裂國家、破壞國家統(tǒng)一,宣揚恐怖主義、極端主義,宣揚民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經(jīng)濟秩序和社會秩序。

除為實現(xiàn)個人信息主體授權同意的使用目的所必需外,使用個人信息時應消除明確身份指向性,避免精確定位到特定個人。例如,為準確評價個人信用狀況,可使用直接用戶畫像,而用于推送商業(yè)廣告目的時,則宜使用間接用戶畫像。

7.5 個性化展示的使用

對個人信息控制者的要求包括:

在向個人信息主體提供業(yè)務功能的過程中使用個性化展示的,應顯著區(qū)分個性化展示的內(nèi)容和非個性化展示的內(nèi)容;

注:顯著區(qū)分的方式包括但不限于:標明“定推”等字樣,或通過不同的欄目、版塊、頁面分別展示等。

在向個人信息主體提供電子商務服務的過程中,根據(jù)消費者的興趣愛好、消費習慣等特征向其提供商品或者服務搜索結果的個性化展示的,應當同時向該消費者提供不針對其個人特征的選項;

注:基于個人信息主體所選擇的特定地理位置進行展示、搜索結果排序,且不因個人信息主體身份不同展示不一樣的內(nèi)容和搜索結果排序,則屬于不針對其個人特征的選項。

在向個人信息主體推送新聞信息服務的過程中使用個性化展示的,應:

為個人信息主體提供簡單直觀的退出或關閉個性化展示模式的選項;

當個人信息主體選擇退出或關閉個性化展示模式時,向個人信息主體提供刪除或匿名化定向推送活動所基于的個人信息的選項。

在向個人信息主體提供業(yè)務功能的過程中使用個性化展示的,宜建立個人信息主體對個性化展示所依賴的個人信息(如標簽、畫像維度等)的自主控制機制,保障個人信息主體調控個性化展示相關性程度的能力。

7.6 基于不同業(yè)務目的所收集個人信息的匯聚融合

對個人信息控制者的要求包括:

應遵守7.3的要求;

應根據(jù)匯聚融合后個人信息所用于的目的,開展個人信息安全影響評估,采取有效的個人信息保護措施。

7.7 信息系統(tǒng)自動決策機制的使用

個人信息控制者業(yè)務運營所使用的信息系統(tǒng),具備自動決策機制且能對個人信息主體權益造成顯著影響的(例如,自動決定個人征信及貸款額度,或用于面試人員的自動化篩選等),應:

在規(guī)劃設計階段或首次使用前開展個人信息安全影響評估,并依評估結果采取有效的保護個人信息主體的措施;b) 在使用過程中定期(至少每年一次)開展個人信息安全影響評估,并依評估結果改進保護個人信息主體的措施;

向個人信息主體提供針對自動決策結果的投訴渠道,并支持對自動決策結果的人工復核。

8.個人信息主體的權利

8.1 個人信息查詢

個人信息控制者應向個人信息主體提供查詢下列信息的方法:

其所持有的關于該主體的個人信息或個人信息的類型;

上述個人信息的來源、所用于的目的;

已經(jīng)獲得上述個人信息的第三方身份或類型。

注:個人信息主體提出查詢非其主動提供的個人信息時,個人信息控制者可在綜合考慮不響應請求可能對個人信息主體合法權益帶來的風險和損害,以及技術可行性、實現(xiàn)請求的成本等因素后,作出是否響應的決定,并給出解釋說明。

8.2 個人信息更正

個人信息主體發(fā)現(xiàn)個人信息控制者所持有的該主體的個人信息有錯誤或不完整的,個人信息控制者應為其提供請求更正或補充信息的方法。

8.3 個人信息刪除

對個人信息控制者的要求包括:

符合以下情形,個人信息主體要求刪除的,應及時刪除個人信息:

個人信息控制者違反法律法規(guī)規(guī)定,收集、使用個人信息的;

個人信息控制者違反與個人信息主體的約定,收集、使用個人信息的。

個人信息控制者違反法律法規(guī)規(guī)定或違反與個人信息主體的約定向第三方共享、轉讓個人信息,且個人信息主體要求刪除的,個人信息控制者應立即停止共享、轉讓的行為,并通知第三方及時刪除;

個人信息控制者違反法律法規(guī)規(guī)定或違反與個人信息主體的約定,公開披露個人信息,且個人信息主體要求刪除的,個人信息控制者應立即停止公開披露的行為,并發(fā)布通知要求相關接收方刪除相應的信息。

8.4 個人信息主體撤回授權同意

對個人信息控制者的要求包括:

應向個人信息主體提供撤回收集、使用其個人信息的授權同意的方法。撤回授權同意后,個人信息控制者后續(xù)不應再處理相應的個人信息;

應保障個人信息主體拒絕接收基于其個人信息推送商業(yè)廣告的權利。對外共享、轉讓、公開披露個人信息,應向個人信息主體提供撤回授權同意的方法。

注:撤回授權同意不影響撤回前基于授權同意的個人信息處理。

8.5 個人信息主體注銷賬戶

對個人信息控制者的要求包括:

通過注冊賬戶提供產(chǎn)品或服務的個人信息控制者,應向個人信息主體提供注銷賬戶的方法,且方法簡便易操作;

受理注銷賬戶請求后,需要人工處理的,應在承諾時限內(nèi)(不超過15個工作日)完成核查和處理;

注銷過程如需進行身份核驗,要求個人信息主體再次提供的個人信息類型不應多于注冊、使用等服務環(huán)節(jié)收集的個人信息類型;

注銷過程不應設置不合理的條件或提出額外要求增加個人信息主體義務,如注銷單個賬戶視同注銷多個產(chǎn)品或服務,要求個人信息主體填寫精確的歷史操作記錄作為注銷的必要條件等;

注1:多個產(chǎn)品或服務之間存在必要業(yè)務關聯(lián)關系的,例如,一旦注銷某個產(chǎn)品或服務的賬戶,將會導致其他產(chǎn)品或服務的必要業(yè)務功能無法實現(xiàn)或者服務質量明顯下降的,需向個人信息主體進行詳細說明。

注2:產(chǎn)品或服務沒有獨立的賬戶體系的,可采取對該產(chǎn)品或服務賬號以外其他個人信息進行刪除,并切斷賬戶體系與產(chǎn)品或服務的關聯(lián)等措施實現(xiàn)注銷。

注銷賬戶的過程需收集個人敏感信息核驗身份時,應明確對收集個人敏感信息后的處理措施,如達成目的后立即刪除或匿名化處理等;

個人信息主體注銷賬戶后,應及時刪除其個人信息或匿名化處理。因法律規(guī)規(guī)定需要留存?zhèn)€人信息的,不能再次將其用于日常業(yè)務活動中。

8.6 個人信息主體獲取個人信息副本

根據(jù)個人信息主體的請求,個人信息控制者宜為個人信息主體提供獲取以下類型個人信息副本的方法,或在技術可行的前提下直接將以下類型個人信息的副本傳輸給個人信息主體指定的第三方:

本人的基本資料、身份信息;

本人的健康生理信息、教育工作信息。

8.7 響應個人信息主體的請求

對個人信息控制者的要求包括:

在驗證個人信息主體身份后,應及時響應個人信息主體基于8.1~8.6提出的請求,應在三十天內(nèi)或法律法規(guī)規(guī)定的期限內(nèi)作出答復及合理解釋,并告知個人信息主體外部糾紛解決途徑;

采用交互式頁面(如網(wǎng)站、移動互聯(lián)網(wǎng)應用程序、客戶端軟件等)提供產(chǎn)品或服務的,宜直接設置便捷的交互式頁面提供功能或選項,便于個人信息主體在線行使其訪問、更正、刪除、撤回授權同意、注銷賬戶等權利;

對合理的請求原則上不收取費用,但對一定時期內(nèi)多次重復的請求,可視情收取一定成本費用;

直接實現(xiàn)個人信息主體的請求需要付出高額成本或存在其他顯著困難的,個人信息控制者應向個人信息主體提供替代方法,以保障個人信息主體的合法權益;

以下情行可不響應個人信息主體基于8.1~8.6提出的請求,包括:

與個人信息控制者履行法律法規(guī)規(guī)定的義務相關的;

與國家安全、國防安全直接相關的;

與公共安全、公共衛(wèi)生、重大公共利益直接相關的;

與刑事偵查、起訴、審判和執(zhí)行判決等直接相關的;

個人信息控制者有充分證據(jù)表明個人信息主體存在主觀惡意或濫用權利的;

出于維護個人信息主體或其他個人的生命、財產(chǎn)等重大合法權益但又很難得到本人授權同意的;

響應個人信息主體的請求將導致個人信息主體或其他個人、組織的合法權益受到嚴重損害的;

涉及商業(yè)秘密的。

如決定不響應個人信息主體的請求,應向個人信息主體告知該決定的理由,并向個人信息主體提供投訴的途徑。

8.8 投訴管理

個人信息控制者應建立投訴管理機制和投訴跟蹤流程,并在合理的時間內(nèi)對投訴進行響應。

9.個人信息的委托處理、共享、轉讓、公開披露

9.1 委托處理

個人信息控制者委托第三方處理個人信息時,應符合以下要求:

個人信息控制者作出委托行為,不應超出已征得個人信息主體授權同意的范圍或應遵守5.6所列情形;

個人信息控制者應對委托行為進行個人信息安全影響評估,確保受委托者達到

11.5的數(shù)據(jù)安全能力要求;c) 受委托者應:

嚴格按照個人信息控制者的要求處理個人信息。受委托者因特殊原因未按照個人信息控制者的要求處理個人信息的,應及時向個人信息控制者反饋;

受委托者確需再次委托時,應事先征得個人信息控制者的授權;

協(xié)助個人信息控制者響應個人信息主體基于8.1~8.6提出的請求;

受委托者在處理個人信息過程中無法提供足夠的安全保護水平或發(fā)生了安全事件的,應及時向個人信息控制者反饋;

在委托關系解除時不再存儲相關個人信息。

個人信息控制者應對受委托者進行監(jiān)督,方式包括但不限于:

通過合同等方式規(guī)定受委托者的責任和義務;

對受委托者進行審計。

個人信息控制者應準確記錄和存儲委托處理個人信息的情況;

個人信息控制者得知或者發(fā)現(xiàn)受委托者未按照委托要求處理個人信息,或未能有效履行個人信息安全保護責任的,應立即要求受托者停止相關行為,且采取或要求受委托者采取有效補救措施(如更改口令、回收權限、斷開網(wǎng)絡連接等)控制或消除個人信息面臨的安全風險。必要時個人信息控制者應終止與受委托

者的業(yè)務關系,并要求受委托者及時刪除從個人信息控制者獲得的個人信息。

9.2 個人信息共享、轉讓

個人信息控制者共享、轉讓個人信息時,應充分重視風險。共享、轉讓個人信息,非因收購、兼并、重組、破產(chǎn)原因的,應符合以下要求:

事先開展個人信息安全影響評估,并依評估結果采取有效的保護個人信息主體的措施;

向個人信息主體告知共享、轉讓個人信息的目的、數(shù)據(jù)接收方的類型以及可能產(chǎn)生的后果,并事先征得個人信息主體的授權同意。共享、轉讓經(jīng)去標識化處理的個人信息,且確保數(shù)據(jù)接收方無法重新識別或者關聯(lián)個人信息主體的除外;

共享、轉讓個人敏感信息前,除 b)中告知的內(nèi)容外,還應向個人信息主體告知涉及的個人敏感信息類型、數(shù)據(jù)接收方的身份和數(shù)據(jù)安全能力,并事先征得個人信息主體的明示同意;

通過合同等方式規(guī)定數(shù)據(jù)接收方的責任和義務;

準確記錄和存儲個人信息的共享、轉讓情況,包括共享、轉讓的日期、規(guī)模、目的,以及數(shù)據(jù)接收方基本情況等;

個人信息控制者發(fā)現(xiàn)數(shù)據(jù)接收方違反法律法規(guī)要求或雙方約定處理個人信息的,應立即要求數(shù)據(jù)接收方停止相關行為,且采取或要求數(shù)據(jù)接收方采取有效補救措施(如更改口令、回收權限、斷開網(wǎng)絡連接等)控制或消除個人信息面臨的安全風險;必要時個人信息控制者應解除與數(shù)據(jù)接收方的業(yè)務關系,并要求數(shù)據(jù)接收方及時刪除從個人信息控制者獲得的個人信息;

因共享、轉讓個人信息發(fā)生安全事件而對個人信息主體合法權益造成損害的,個人信息控制者應承擔相應的責任;

幫助個人信息主體了解數(shù)據(jù)接收方對個人信息的存儲、使用等情況,以及個人信息主體的權利,例如,訪問、更正、刪除、注銷賬戶等;

個人生物識別信息原則上不應共享、轉讓。因業(yè)務需要,確需共享、轉讓的,應單獨向個人信息主體告知目的、涉及的個人生物識別信息類型、數(shù)據(jù)接收方的具體身份和數(shù)據(jù)安全能力等,并征得個人信息主體的明示同意。

9.3 收購、兼并、重組、破產(chǎn)時的個人信息轉讓

當個人信息控制者發(fā)生收購、兼并、重組、破產(chǎn)等變更時,對個人信息控制者的要求包括:

向個人信息主體告知有關情況;

變更后的個人信息控制者應繼續(xù)履行原個人信息控制者的責任和義務,如變更個人信息使用目的時,應重新取得個人信息主體的明示同意;c) 如破產(chǎn)且無承接方的,對數(shù)據(jù)做刪除處理。

9.4 個人信息公開披露

個人信息原則上不應公開披露。個人信息控制者經(jīng)法律授權或具備合理事由確需公開披露時,應符合以下要求:

事先開展個人信息安全影響評估,并依評估結果采取有效的保護個人信息主體的措施;

向個人信息主體告知公開披露個人信息的目的、類型,并事先征得個人信息主體明示同意;

公開披露個人敏感信息前,除 b)中告知的內(nèi)容外,還應向個人信息主體告知涉及的個人敏感信息的內(nèi)容;

準確記錄和存儲個人信息的公開披露的情況,包括公開披露的日期、規(guī)模、目的、公開范圍等;

承擔因公開披露個人信息對個人信息主體合法權益造成損害的相應責任;

不應公開披露個人生物識別信息;

不應公開披露我國公民的種族、民族、政治觀點、宗教信仰等個人敏感數(shù)據(jù)的分析結果。

9.5 共享、轉讓、公開披露個人信息時事先征得授權同意的例外

以下情形中,個人信息控制者共享、轉讓、公開披露個人信息不必事先征得個人信息主體的授權同意:

與個人信息控制者履行法律法規(guī)規(guī)定的義務相關的;

與國家安全、國防安全直接相關的;

與公共安全、公共衛(wèi)生、重大公共利益直接相關的;

與刑事偵查、起訴、審判和判決執(zhí)行等直接相關的;

出于維護個人信息主體或其他個人的生命、財產(chǎn)等重大合法權益但又很難得到本人授權同意的;

個人信息主體自行向社會公眾公開的個人信息;

從合法公開披露的信息中收集個人信息的,如合法的新聞報道、政府信息公開等渠道。

9.6 共同個人信息控制者

對個人信息控制者的要求包括:

當個人信息控制者與第三方為共同個人信息控制者時,個人信息控制者應通過合同等形式與第三方共同確定應滿足的個人信息安全要求,以及在個人信息安全方面自身和第三方應分別承擔的責任和義務,并向個人信息主體明確告知;b)如未向個人信息主體明確告知第三方身份,以及在個人信息安全方面自身和第三方應分別承擔的責任和義務,個人信息控制者應承擔因第三方引起的個人信息安全責任。

注:如個人信息控制者在提供產(chǎn)品或服務的過程中部署了收集個人信息的第三方插件(例如,網(wǎng)站經(jīng)營者與在其網(wǎng)頁或應用程序中部署統(tǒng)計分析工具、軟件開發(fā)工具包SDK、調用地圖API接口),且該第三方并未單獨向個人信息主體征得收集個人信息的授權同意,則個人信息控制者與該第三方在個人信息收集階段為共同個人信息控制者。

9.7 第三方接入管理

當個人信息控制者在其產(chǎn)品或服務中接入具備收集個人信息功能的第三方產(chǎn)品或服務且不適用9.1和9.6時,對個人信息控制者的要求包括:

建立第三方產(chǎn)品或服務接入管理機制和工作流程,必要時應建立安全評估等機制設置接入條件;

應與第三方產(chǎn)品或服務提供者通過合同等形式明確雙方的安全責任及應實施的個人信息安全措施;

應向個人信息主體明確標識產(chǎn)品或服務由第三方提供;

應妥善留存平臺第三方接入有關合同和管理記錄,確??晒┫嚓P方查閱;

應要求第三方根據(jù)本標準相關要求向個人信息主體征得收集個人信息的授權同意,必要時核驗其實現(xiàn)的方式;

應要求第三方產(chǎn)品或服務建立響應個人信息主體請求和投訴等的機制,以供個人信息主體查詢、使用;

應監(jiān)督第三方產(chǎn)品或服務提供者加強個人信息安全管理,發(fā)現(xiàn)第三方產(chǎn)品或服務沒有落實安全管理要求和責任的,應及時督促整改,必要時停止接入;

產(chǎn)品或服務嵌入或接入第三方自動化工具(如代碼、腳本、接口、算法模型、軟件開發(fā)工具包、小程序等)的,宜采取以下措施:

開展技術檢測確保其個人信息收集、使用行為符合約定要求;

對第三方嵌入或接入的自動化工具收集個人信息的行為進行審計,發(fā)現(xiàn)超出約定的行為,及時切斷接入。

9.8 個人信息跨境傳輸

在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息向境外提供的,個人信息控制者應遵循國家相關規(guī)定和相關標準的要求。

10.個人信息安全事件處置

10.1 個人信息安全事件應急處置和報告

對個人信息控制者的要求包括:

應制定個人信息安全事件應急預案;

應定期(至少每年一次)組織內(nèi)部相關人員進行應急響應培訓和應急演練,使其掌握崗位職責和應急處置策略和規(guī)程;

發(fā)生個人信息安全事件后,個人信息控制者應根據(jù)應急響應預案進行以下處置:

記錄事件內(nèi)容,包括但不限于:發(fā)現(xiàn)事件的人員、時間、地點,涉及的個人信息及人數(shù),發(fā)生事件的系統(tǒng)名稱,對其他互聯(lián)系統(tǒng)的影響,是否已聯(lián)系執(zhí)法機關或有關部門;

評估事件可能造成的影響,并采取必要措施控制事態(tài),消除隱患;

按照《國家網(wǎng)絡安全事件應急預案》等有關規(guī)定及時上報,報告內(nèi)容包括但不限于:涉及個人信息主體的類型、數(shù)量、內(nèi)容、性質等總體情況,事件可能造成的影響,已采取或將要采取的處置措施,事件處置相關人員的聯(lián)系方式;

個人信息泄露事件可能會給個人信息主體的合法權益造成嚴重危害的,如個人敏感信息的泄露,按照10.2的要求實施安全事件的告知。

根據(jù)相關法律法規(guī)變化情況,以及事件處置情況,及時更新應急預案。

10.2 安全事件告知

對個人信息控制者的要求包括:

應及時將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的個人信息主體。難以逐一告知個人信息主體時,應采取合理、有效的方式發(fā)布與公眾有關的警示信息;

告知內(nèi)容應包括但不限于:

安全事件的內(nèi)容和影響;

已采取或將要采取的處置措施;

個人信息主體自主防范和降低風險的建議;

針對個人信息主體提供的補救措施;

個人信息保護負責人和個人信息保護工作機構的聯(lián)系方式。

11.組織的個人信息安全管理要求

11.1 明確責任部門與人員

對個人信息控制者的要求包括:

應明確其法定代表人或主要負責人對個人信息安全負全面領導責任,包括為個人信息安全工作提供人力、財力、物力保障等;

應任命個人信息保護負責人和個人信息保護工作機構,個人信息保護負責人應由具有相關管理工作經(jīng)歷和個人信息保護專業(yè)知識的人員擔任,參與有關個人信息處理活動的重要決策直接向組織主要負責人報告工作;

滿足以下條件之一的組織,應設立專職的個人信息保護負責人和個人信息保護工作機構,負責個人信息安全工作:

主要業(yè)務涉及個人信息處理,且從業(yè)人員規(guī)模大于200人;

處理超過100萬人的個人信息,或預計在12個月內(nèi)處理超過100萬人的個人信息;

處理超過10萬人的個人敏感信息的。

個人信息保護負責人和個人信息保護工作機構的職責應包括但不限于:

全面統(tǒng)籌實施組織內(nèi)部的個人信息安全工作,對個人信息安全負直接責任;

組織制定個人信息保護工作計劃并督促落實;

制定、簽發(fā)、實施、定期更新個人信息保護政策和相關規(guī)程;

建立、維護和更新組織所持有的個人信息清單(包括個人信息的類型、數(shù)量、來源、接收方等)和授權訪問策略;

開展個人信息安全影響評估,提出個人信息保護的對策建議,督促整改安全隱患;

組織開展個人信息安全培訓;

在產(chǎn)品或服務上線發(fā)布前進行檢測,避免未知的個人信息收集、使用、共享等處理行為;

公布投訴、舉報方式等信息并及時受理投訴舉報;

進行安全審計;

與監(jiān)督、管理部門保持溝通,通報或報告?zhèn)€人信息保護和事件處置等情況。

應為個人信息保護負責人和個人信息保護工作機構提供必要的資源,保障其獨立履行職責。

11.2 個人信息安全工程

開發(fā)具有處理個人信息功能的產(chǎn)品或服務時,個人信息控制者宜根據(jù)國家有關標準在需求、設計、開發(fā)、測試、發(fā)布等系統(tǒng)工程階段考慮個人信息保護要求,保證在系統(tǒng)建設時對個人信息保護措施同步規(guī)劃、同步建設和同步使用。

11.3 個人信息處理活動記錄

個人信息控制者宜建立、維護和更新所收集、使用的個人信息處理活動記錄,記錄的內(nèi)容可包括:

所涉及個人信息的類型、數(shù)量、來源(如從個人信息主體直接收集或通過間接獲取方式獲得);

根據(jù)業(yè)務功能和授權情況區(qū)分個人信息的處理目的、使用場景,以及委托處理、共享、轉讓、公開披露、是否涉及出境等情況;

與個人信息處理活動各環(huán)節(jié)相關的信息系統(tǒng)、組織或人員。

11.4 開展個人信息安全影響評估

對個人信息控制者的要求包括:

應建立個人信息安全影響評估制度,評估并處置個人信息處理活動存在的安全風險;

個人信息安全影響評估應主要評估處理活動遵循個人信息安全基本原則的情況,以及個人信息處理活動對個人信息主體合法權益的影響,內(nèi)容包括但不限于:

個人信息收集環(huán)節(jié)是否遵循目的明確、選擇同意、最小必要等原則;

個人信息處理是否可能對個人信息主體合法權益造成不利影響,包括是否

會危害人身和財產(chǎn)安全、損害個人名譽和身心健康、導致差別性待遇等;

個人信息安全措施的有效性;

匿名化或去標識化處理后的數(shù)據(jù)集重新識別出個人信息主體或與其他數(shù)據(jù)集匯聚后重新識別出個人信息主體的風險;

共享、轉讓、公開披露個人信息對個人信息主體合法權益可能產(chǎn)生的不利影響;

發(fā)生安全事件時,對個人信息主體合法權益可能產(chǎn)生的不利影響。

在產(chǎn)品或服務發(fā)布前,或業(yè)務功能發(fā)生重大變化時,應進行個人信息安全影響評估;

在法律法規(guī)有新的要求時,或在業(yè)務模式、信息系統(tǒng)、運行環(huán)境發(fā)生重大變更時,或發(fā)生重大個人信息安全事件時,應進行個人信息安全影響評估;

形成個人信息安全影響評估報告,并以此采取保護個人信息主體的措施,使風險降低到可接受的水平;

妥善留存?zhèn)€人信息安全影響評估報告,確??晒┫嚓P方查閱,并以適宜的形式對外公開。

11.5 數(shù)據(jù)安全能力

個人信息控制者應根據(jù)有關國家標準的要求,建立適當?shù)臄?shù)據(jù)安全能力,落實必要的管理和技術措施,防止個人信息的泄漏、損毀、丟失、篡改。

11.6 人員管理與培訓

對個人信息控制者的要求包括:

應與從事個人信息處理崗位上的相關人員簽署保密協(xié)議,對大量接觸個人敏感信息的人員進行背景審查,以了解其犯罪記錄、誠信狀況等;

應明確內(nèi)部涉及個人信息處理不同崗位的安全職責,建立發(fā)生安全事件的處罰機制;

應要求個人信息處理崗位上的相關人員在調離崗位或終止勞動合同時,繼續(xù)履行保密義務;

應明確可能訪問個人信息的外部服務人員應遵守的個人信息安全要求,與其簽署保密協(xié)議,并進行監(jiān)督;

應建立相應的內(nèi)部制度和政策對員工提出個人信息保護的指引和要求;

應定期(至少每年一次)或在個人信息保護政策發(fā)生重大變化時,對個人信息處理崗位上的相關人員開展個人信息安全專業(yè)化培訓和考核,確保相關人員熟練掌握個人信息保護政策和相關規(guī)程。

11.7 安全審計

對個人信息控制者的要求包括:

應對個人信息保護政策、相關規(guī)程和安全措施的有效性進行審計;

應建立自動化審計系統(tǒng),監(jiān)測記錄個人信息處理活動;

審計過程形成的記錄應能對安全事件的處置、應急響應和事后調查提供支撐;

應防止非授權訪問、篡改或刪除審計記錄;

應及時處理審計過程中發(fā)現(xiàn)的個人信息違規(guī)使用、濫用等情況;

審計記錄和留存時間應符合法律法規(guī)的要求。

來源:網(wǎng)絡