GB/T 35273《信息安全技术个人信息安全规范》最新版征求意见稿与0621版本的比照
全国信息安全标准化技术委员会于2019年10月24日发布了《个人信息安全规范(征求意见稿10.22版)》,相较于6月21日版本的主要改动方向包括:
1、对部分定义补充完善,优化部分专业词汇描述;
2、优化对基本原则的描述;
3、对不得强迫接受多项业务功能、授权同意等内容进行更新;
4、对个性化展示的使用部分予以更新;
5、针对注销难,补充了对注销机制的要求;
6、补充了对委托处理、共享、转让等中对受委托者和接受方的管理要求;
7、对个人信息共同控制者进行更新;
8、其他改动。
上述内容来源于App专项治理工作组官方网站,网址为http://pip.tc260.org.cn/jbxt/privacy/detail/201910232235364993
我们详细比对了《个人信息安全规范(征求意见稿10.22版》与《个人信息安全规范(征求意见稿6.21版)》,以表格的方式列出了两个版本中相应条款存在的主要区别,并以红色的字体标识。详细内容参见下表:
6月21日版 | 10月22日版 | |
个人信息的定义 | 新增: 注3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,例如用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。 | |
个人敏感信息的定义 | 新增: 注3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,如一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的,属于个人敏感信息。 | |
个人信息主体的定义 | 个人信息所标识的自然人。 | 个人信息所标识或者关联的自然人。 |
明示同意的定义 | 个人信息主体通过书面主动声明或自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。 注:肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、 “注册”、“发送”、“拨打”、主动填写或提供等。 | 个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。 注:肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。 |
授权同意的定义 | 未作出。 | 新增: 个人信息主体对其个人信息进行特定处理作出明确授权的行为,包括通过积极的行为作出授权(即明示同意),或者通过消极的不作为而作出授权(例如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域)。 |
匿名化的定义 | 通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。 | 通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。 |
去标识化的定义 | 通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。 | 通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。 |
个人信息安全基本原则 | 个人信息控制者开展个人信息处理活动,应遵循以下基本原则: b) 目的明确原则——具有合法、正当、必要、明确的个人信息处理目的。 d) 最少够用原则——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息。
| 个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则,具体包括: b) 目的明确——具有明确、清晰、具体的个人信息处理目的。 d) 最小必要——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息。
|
收集个人信息的合法性 | 对个人信息控制者的要求包括: b) 不应隐瞒产品或服务所具有的收集个人信息的功能;
| 对个人信息控制者的要求包括: b) 不应隐瞒产品或服务所具有的收集个人信息的业务功能; 新增:e) 不应大规模收集我国公民的种族、民族、政治观点、宗教信仰等个人敏感信息。 |
不强迫接受多项业务功能 | a) 不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求。 b) 应把个人信息主体自主选择行为,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅个人信息主体开启该业务功能且符合本标准5.4相关要求后,开始收集个人信息; | a)不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。 b) 应把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息; 新增:f)不应以改善服务质量、提升个人信息主体体验、研发新产品、增强安全性等为由,强迫要求个人信息主体同意收集个人信息。 |
收集个人信息时的授权同意 | b) 收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示; d)2)应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等。本组织开展业务所需进行的个人信息处理活动超出该授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意。 | b)收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在理解收集目的和相关处理规则的基础上自主给出的、具体的、清晰明确的意愿表示; d)2)应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等; 3)如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。 |
去标识化处理 | 收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的信息与可用于恢复识别个人的信息分开存储。 | 收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。 |
个人敏感信息的存储和传输 | b) 存储个人生物识别信息时,应采用技术措施确保信息安全后再进行存储,例如将个人生物识别信息的原始信息和摘要分开存储,或仅存储摘要信息。 | b)存储个人生物识别信息时,应采用技术措施确保信息安全后再进行存储,例如将个人生物识别信息的原始信息和摘要分开存储,或仅收集、存储、使用摘要信息。 |
个性化展示及退出 | 对个人信息控制者的要求包括: a) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应: 1) 显著区分个性化推送服务,如标明“个性化展示”或“定推”等字样; 2) 为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项。 b) 电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项; 注:基于用户所选择的特定位置进行展示、搜索结果排序,且不因用户身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。 c) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜: 1) 建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力; 2) 当个人信息主体选择退出个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。 | 对个人信息控制者的要求包括: a) 在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容;注:显著区分的方式包括但不限于:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等。 b) 在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;注:基于个人信息主体所选择的特定位置进行展示、搜索结果排序,且不因个人信息主体 身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。 c) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应: 1) 为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项; 2) 当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。 d) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力。 |
信息系统自动决策机制的使用 | c) 向个人信息主体提供针对自动决策结果的申诉渠道,并对自动决策结果进行人工复核。 | c)向个人信息主体提供针对自动决策结果的投诉渠道,支持通过人工方式对个人信息主体投诉情形进行复核。 |
个人信息主体注销账户 | 对个人信息控制者的要求包括: 新增:b) 宜直接设置便捷的注销功能交互式页面,及时响应个人信息主体注销请求; c) 受理注销账号请求后,需要人工处理的,应在承诺时限内(原则上不超过十五天)完成核查和处理; d) 注销过程进行身份核验需要个人信息主体重新提供的个人信息不应多于注册、使用等服务环节收集的个人信息; e) 注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人信息主体填写精确的历史操作记录作为必要注销条件等; f) 注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等; 注:因法律规规定需要留存的个人信息应妥善保管,不能将其再次应用于业务场景。 | |
响应个人信息主体请求 | b) 宜直接在产品或服务提供的功能界面中(例如应用程序可设置专门的选项、功能、界面等)设置相应的机制,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利;
| b)宜直接在产品或服务提供的界面中设置专门的功能或选项,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利; 新增:如决定不响应个人信息主体的请求,应向个人信息主体告知该决定的理由,并向个人信息主体提供投诉的途径。 |
委托处理 | 新增:f)个人信息控制者得知或者发现受委托者未按照委托要求处理个人信息,或未能有效履行个人信息安全保护责任的,应立即要求受托者停止相关行为,且采取或要求受委托者采取有效补救措施(例如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险。必要时个人信息控制者应终止与受委托者的业务关系,并要求受委托者及时删除从个人信息控制者获得的个人信息。 | |
个人信息共享转让 | b) 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别个人信息主体的除外; e) 承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任; | b)向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外; g)因共享、转让个人信息发生安全事件而对个人信息主体合法权益造成损害的,个人信息控制者应承担相应的责任; 新增:d)通过合同等方式规定数据接收方的责任和义务; f)个人信息控制者发现数据接收方违反法律法规要求或双方约定处理个人信息的,应立即要求数据接收方停止相关行为,且采取或要求数据接收方采取有效补救措施(例如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险;必要时个人信息控制者应解除与数据接收方的业务关系,并要求数据接收方及时删除从个人信息控制者获得的个人信息。 |
收购、兼并、重组、破产时的个人信息转让 | 新增:c)如破产且无承接方的,对数据做删除处理。 | |
个人信息公开披露 | 新增:g)不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果。 | |
共同个人信息控制者 | 当个人信息控制者与第三方为共同个人信息控制者时(例如服务平台与平台上的签约商家),个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。
| 对个人信息控制者的要求包括: a) 当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。 新增:b) 如未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。 |
第三方接入管理 | g) 应督促和监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入; | g)应督促第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入; |
个人信息跨境传输 | 在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应符合国家网信部门会同国务院有关部门制定的办法和相关标准的要求。 | 在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应遵循国家相关规定和相关标准的要求。 |
个人信息安全事件应急处置和报告 | c)4)个人信息泄露事件可能会给个人信息主体带来较大影响的,如个人敏感信息的泄露,照本标准9.2的要求实施安全事件的告知。 | c)4)个人信息泄露事件可能会给个人信息主体的合法权益带来严重危害的,如个人敏感信息的泄露,照本标准9.2的要求实施安全事件的告知。 |
明确责任部门与人员 | d) 个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于: 5) 开展个人信息安全影响评估,提出个人信息保护的对策建议; | c) 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作: 新增:3) 处理个人敏感信息的。 d)个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于: 5)开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患; |
数据安全能力 | 个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失。 | 个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改。 |
人员管理和培训 | a) 应与从事个人信息处理岗位上的相关人员签署保密协议,对大量接触个人敏感信息的人员进行背景审查; | a)应与从事个人信息处理岗位上的相关人员签署保密协议,对大量接触个人敏感信息的人员进行背景审查,以了解其犯罪记录、诚信状况等; |
安全审计 | b) 应建立自动化审计系统,监测记录个人信息处理活动; | b)应采取建立自动化审计系统等方式,监测记录个人信息处理活动; 新增:f)审计记录和留存时间应符合法律法规的要求。 |