L80 ICS 35.040
GB 中华人民共和国国家标准 GB/T35273-2020代替GB/T35273-2017
信息安全技术个人信息安全规范 Information security technology-Personal information security specification
2020-03-06发布2020-10-01实施 国家市场监督管理总局发布 国家标准化管理委员会
GB/T 35273-2020
目次
前言 引言IV
2规范性引用文件 3术语和定义 4个人信息安全基本原则 5个人信息的收集3 5.1收集个人信息的合法性3 5.2收集个人信息的最小必要3 5.3多项业务功能的自主选择 5.4收集个人信息时的授权同意 5.5个人信息保护政策. 5.6征得授权同意的例外 6个人信息的存储.6 6.1个人信息存储时间最小化b 6.2去标识化处理6 6.3个人敏感信息的传输和存储 6.4个人信息控制者停止运营6 7个人信息的使用 7.1个人信息访问控制措施 7.2个人信息的展示限制 7.3个人信息使用的目的限制 7.4用户画像的使用限制 7.5个性化展示的使用 7.6基于不同业务目的所收集个人信息的汇聚融合 7.7信息系统自动决策机制的使用 8个人信息主体的权利 8.1个人信息查询 8.2个人信息更正 8.3个人信息删除 8.4个人信息主体撤回授权同意 8.5个人信息主体注销账户9 8.6个人信息主体获取个人信息副本 8.7响应个人信息主体的请求10 8.8管理..........10 9个人信息的委托处理、共享、转让、公开披露10
GB/T 35273-2020 9.1委托处理..10 9.2个人信息共享、转让 9.3收购、兼并、重组、破产时的个人信息转让11 9.4个人信息开披露.12 9.5共享、转让、公开披露个人信息时事先征得授权同意的例外12 9,6共同个人信息控制者 9.7第三方接入管理 9.8个人信息跨境传输.13 10个人信息安全事件处置 10.1个人信息安全事件应急处置和报告 10.2安全事件告知... 11组织的个人信息安全管理要求 11.1明确责任部门与人员 11.2个人信息安全工程.14 11.3个人信息处理活动记录14 11.4开展个人信息安全影响评估15 11.5数据安全能力 11.6人员管理与培训 11.7安全审计15 附录A(资料性附录)个人信息示例 附录B(资料性附录)个人敏感信息判定18 附录C(资料性附录)实现个人信息主体自主意愿的方法“19 附录D(资料性附录)个人信息保护政策模板 参考文献
GB/T 35273-2020
前言
本标准按照GB/T1.1一2009给出的规则起草。
本标准代替GB/T35273-2017《信息安全技术个人信息安全规范》,与GB/T35273一2017相 比,除编辑性修改外主要技术变化如下: 一增加了“多项业务功能的自主选择”(见5.3); -修改了“征得授权同意的例外”(见5.6,2017年版的5.4); 增加了“用户画像的使用限制”(见7.4); 一增加了“个性化展示的使用”(见7.5); 增加了“基于不同业务目所收集个人信息的汇聚融合”(见7.6); --修改了“个人信息主体注销账户”(见8.5,2017年版的7.8); 增加了“第三方接入管理”(见9.7); 一修改了“明确责任部门与人员”(见11.1,2017年版的10.1); -增加了“个人信息安全工程”(见11.2); 增加了“个人信息处理活动记录”(见11.3);
请注意本文件的某些内容可能涉及专利。
本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国电子技术标准化研究院、北京信息安全测评中心、颐信科技有限公司、四川大 学、清华大学、中国信息通信研究院、公安部第一研究所、中国网络安全审查技术与认证中心、深圳腾讯 计算机系统有限公司、上海国际问题研究院、阿里巴巴(北京)软件服务有限公司、中电长城网际系统应 用有限公司、阿里云计算有限公司、华为技术有限公司、强韵数据科技有限公司。
本标准主要起草人:洪延青、何延哲、杨建军、钱秀槟、陈兴蜀、刘贤刚、上官晓丽、高林、邵正强、 金涛、胡影、赵冉冉、韩煜、陈活、高磊、张晓梅、张志强、葛鑫、周晨炜、秦小伟、邵华、蔡晓丹、黄晓林、 顾伟、黄劲、李媛、许静慧、赵章界、孔耀晖、范红、杜跃进、杨思磊、张亚男、叶晓俊、郑斌、闵京华、鲁传颖、 周亚超、杨露、王海舟、王建民、秦颂、姚相振、葛小宇、王道奎、沈锡。
本标准所代替标准的历次版本发布情况为: -GB/T 35273-2017。
Ⅲ
GB/T35273-2020
引言
近年,随...
