查看原文
其他

TMT实时解读 | 个人信息安全规范(2019版草案)重要修订一览

中伦蔡荣伟团队 科技与数字经济法律观察 2022-11-15

2019年2月1日,全国信息安全标准化技术委员会秘书处发布了《信息安全技术个人信息安全规范(草案)》(“2019草案”),该草案旨在更新2017年11月发布的GB/T 35273-2017:《信息安全技术个人信息安全规范(报批稿)》(“2017标准)。2019草案将从2019年2月1日起至2019年3月3日面向社会公开征求意见(如需2019草案全文及其与2017标准的对比稿,敬请在后台留言)。


 

   六大修订概述

 

作为网络安全尤其是个人信息安全领域重要的国家标准,2019草案与2017标准相比,主要修订了六个部分:

 

1.  增加“不得强迫收集个人信息的要求”;

2.  细化“保障个人信息主题选择同意权的方法”,明确“基本业务功能的告知和明示同意”和“扩展业务功能的告知和明示同意”;

3.  增加“个性化展示及退出”;

4.  增加“第三方接入管理”;

5.  细化“明确责任部门与人员” ;以及

6.  增加“个人信息处理活动记录”。



    具体条款对比总结


2019草案和2017标准相比,主要条款的对比变化总结如下:

 

编号

增加/细化条款

具体总结

 

1

个人信息的收集

5.3 不得强迫收集个人信息的要求

 

个人信息控制者在收集个人信息时:

a.    不得通过捆绑授权的方式,变相强制用户一次性授权;

b.   允许个人信息主体(“用户”)对授权进行自主选择;

c.    用户拒绝时,不得频繁征求同意;

d.   用户拒绝时,不得暂停其他业务功能或降低服务质量。

 

2

附录C 保障个人信息主题选择同意权的方法

  • 区分基本业务功能和扩展业务功能

a.     用户根本期待和最主要的需求为基本功能;

b.    改善服务质量、提升用户体验、研发新产品不应单独作为基本功能;

c.     基本功能以外其他功能为扩展业务功能。

 

  • 基本业务功能的告知和明示同意:

a.     开启前应告知用户收集信息的情况,并通过用户肯定性动作征求明示同意;

b.    用户不同意时,可以拒绝提供该服务;

c.     应方便用户再次访问及更改同意的范围。

 

  • 扩展业务功能的告知和明示同意:

a.     开启前应告知用户收集信息的情况,并通过用户肯定性动作征求明示同意;

b.    用户不同意时,不得反复征求同意;

c.     用户不同意时,不得降低基本业务功能或基本业务功能的服务质量;

d.    应方便用户再次访问及更改同意的范围。

 

3

个人信息的使用

7.4 个性化展示及退出

 

个人信息控制者,在个性化展示时,应显著标明“个性化展示”或“定推”等字样,并提供简单直观的退出选项。

 

电子商务经营者,在个性化展示时,应同时向该消费者提供不针对其个人特征的选项。

 

在向用户提供业务功能的过程中使用个性化展示的,建议建立个人信息(如标签、画像维度等)的自主控制机制,并提供删除或匿名化定向推送活动所基于的个人信息的选项。

 

4

个人信息的委托处理、共享、转让、公开披露

8.7 第三方接入管理

要求个人信息控制者,在其产品或服务中接入具备收集个人信息功能的第三方产品或服务时,应建立与第三方产品或服务相关的管理机制,明确标识第三方,并对第三方的工作进行监督。

 

5

10 组织的管理要求

10.1 明确责任部门与人员

个人信息控制者的责任部门与人员进行了更为细化规定。同时,将要求设立个人信息保护负责人和个人信息保护工作机构的门槛放宽至100万人(2017年标准要求,如果某一组织处理超过50万人的个人信息,即应当设立个人信息保护负责人和个人信息保护工作机构)。

 

6

10 组织的管理要求

10.2 个人信息处理活动记录

议个人信息控制者,建立、维护和更新所收集、使用的个人信息处理活动记录,主要包括:

a.     个人信息类别、数量、来源;

b.    个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;

c.     相关的信息系统、组织或人员。

 

 



欢迎联系我们:



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存