信息安全技术个人信息安全规范
近年,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息,给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临严重威胁。本标准针对个人信息面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。对标准中的具体事项,法律法规另有规定的,需遵照其规定执行。
1.范围
本标准规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求。
本标准适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
2.规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069—2010 信息安全技术 术语
3.术语和定义
GB/T 25069—2010中界定的以及下列术语和定义适用于本文件。
3.1个人信息 personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
注 1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
注 2:关于个人信息的范围和类型可参见附录 A。
3.2个人敏感信息 personal sensitive information
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。
注 2:关于个人敏感信息的范围和类型可参见附录 B。
3.3个人信息主体 personal data subject
个人信息所标识的自然人。
3.4个人信息控制者 personal data controller
有权决定个人信息处理目的、方式等的组织或个人。
3.5收集 collect
获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。
注:如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集行为。例如,离线导航软件在终端获取用户位置信息后,如不回传至软件提供者,则不属于个人信息收集行为。
3.6明示同意 explicit consent
个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。
注:肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。
3.7用户画像 user profiling
通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人特征模型的过程。
注:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源
于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接
个人信息安全影响评估 personal information security impact assessment
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。
个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。
通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。
通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。
注:去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段
a) 权责一致原则——对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。
b) 目的明确原则——具有合法、正当、必要、明确的个人信息处理目的。
c) 选择同意原则——向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意。
d) 最少够用原则——除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。
e) 公开透明原则——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。
f) 确保安全原则——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。
g) 主体参与原则——向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。
a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与,产品或服务的功能无法实现;
b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
1) 应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;
以下情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意:
d) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
f) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
h) 用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
i) 个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的;
j) 个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;
a) 收集个人敏感信息时,应取得个人信息主体的明示同意。应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示;
1) 向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息,并明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集;
c) 收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
1) 个人信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等;
2) 收集、使用个人信息的目的,以及目的所涵盖的各个业务功能,例如将个人信息用于推送商业广告,将个人信息用于形成直接用户画像及其用途等;
3) 各业务功能分别收集的个人信息,以及收集方式和频率、存放地域、存储期限等个人信息处理规则和实际收集的个人信息范围;
4) 对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及所承担的相应法律责任;
5) 遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施;
6) 个人信息主体的权利和实现机制,如访问方法、更正方法、删除方法、注销账户的方法、撤回同意的方法、获取个人信息副本的方法、约束信息系统自动决策的方法等;
7) 提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响;
8) 处理个人信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。
c) 隐私政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言,并在起始部分提供摘要,简述告知内容的重点;
d) 隐私政策应公开发布且易于访问,例如,在网站主页、移动应用程序安装页、社交媒体首页等显著位置设置链接;
e) 隐私政策应逐一送达个人信息主体。当成本过高或有显著困难时,可以公告的形式发布;
f) 在本条a)所载事项发生变化时,应及时更新隐私政策并重新告知个人信息主体。
b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;
a) 对被授权访问个人信息的内部数据操作人员,应按照最小授权的原则,使其只能访问职责所需的最少够用的个人信息,且仅具备完成职责所需的最少的数据操作权限;
b) 宜对个人信息的重要操作应设置内部审批流程,如批量修改、拷贝、下载等;
c) 应对安全管理人员、数据操作人员、审计人员的角色进行分离设置;
d) 如确因工作需要,需授权特定人员超权限处理个人信息的,应由个人信息保护
注:个人信息保护责任人或个人信息保护工作机构的确定见本标准 10.1。
e) 对个人敏感信息的访问、修改等行为,宜在对角色的权限控制的基础上,根据业务流程的需求触发操作授权。例如,因收到客户投诉,投诉处理人员才可访问该用户的相关信息。
a) 除目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像;
b) 对所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别自然人个人身份,或者反映自然人个人活动情况的,应将其认定为个人信
注:加工处理而产生的个人信息属于个人敏感信息的,对其处理应符合本标准对个人敏感信息的
c) 使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人
注:将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述,
属于与收集目的具有合理关联的范围之内。但对外提供学术研究或描述的结果时,应对结果
注:个人信息主体提出访问非其主动提供的个人信息时,个人信息控制者可在综合考虑不响应请
求可能对个人信息主体合法权益带来的风险和损害,以及技术可行性、实现请求的成本等因
个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制者应为其提供请求更正或补充信息的方法。
a) 符合以下情形的,个人信息主体要求删除的,应及时删除个人信息:
1) 个人信息控制者违反法律法规规定,收集、使用个人信息的;
2) 个人信息控制者违反了与个人信息主体的约定,收集、使用个人信息的。
b) 个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方及时删除;
c) 个人信息控制者违反法律法规规定或与个人信息主体的约定,公开披露个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止公开披露的行为,并发布通知要求相关接收方删除相应的信息。
a) 应向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。撤回同意后,个人信息控制者后续不得再处理相应的个人信息;
b) 应保障个人信息主体拒绝接收基于其个人信息推送的商业广告的权利。对外共
享、转让、公开披露个人信息,应向个人信息主体提供撤回同意的方法。
a) 通过注册账户提供服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且该方法应简便易操作;
b) 个人信息主体注销账户后,应删除其个人信息或做匿名化处理。
根据个人信息主体的请求,个人信息控制者应为个人信息主体提供获取以下类型个人信息副本的方法,或在技术可行的前提下直接将以下个人信息的副本传输给第三方:
当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时(例如基于用户画像决定个人信用及贷款额度,或将用户画像用于面试筛选),个人信息控制者应向个人信息主体提供申诉方法。
a) 在验证个人信息主体身份后,应及时响应个人信息主体基于本标准第7.4至7.10提出的请求,应在三十天内或法律法规规定的期限内做出答复及合理解释,并告知个人信息主体向外部提出纠纷解决的途径;
b) 对合理的请求原则上不收取费用,但对一定时期内多次重复的请求,可视情收取一定成本费用;
c) 如直接实现个人信息主体的请求需要付出高额的成本或存在其他显著的困难,个人信息控制者应向个人信息主体提供其他替代性方法,以保护个人信息主体的合法权益;
d) 以下情况可不响应个人信息主体基于本标准7.4至7.10提出的请求,包括但不限于:
4) 个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的;
5) 响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;
个人信息控制者应建立申诉管理机制,包括跟踪流程,并在合理的时间内,对申诉进行响应。
a) 个人信息控制者作出委托行为,不得超出已征得个人信息主体授权同意的范围或遵守本标准5.4规定的情形;
b) 个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者具备足够的数据安全能力,提供了足够的安全保护水平;
1) 严格按照个人信息控制者的要求处理个人信息。如受委托者因特殊原因未按照个人信息控制者的要求处理个人信息,应及时向个人信息控制者反馈;
2) 如受委托者确需再次委托时,应事先征得个人信息控制者的授权;
3) 协助个人信息控制者响应个人信息主体基于本标准7.4至7.10提出的请求;
4) 如受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件,应及时向个人信息控制者反馈;
d) 个人信息控制者应对受委托者进行监督,方式包括但不限于:
e) 个人信息控制者应准确记录和保存委托处理个人信息的情况。
个人信息原则上不得共享、转让。个人信息控制者确需共享、转让时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组原因的,应遵守以下要求:
a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b) 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别个人信息主体的除外;
c) 共享、转让个人敏感信息前,除8.2 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;
d) 准确记录和保存个人信息的共享、转让的情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;
e) 承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任;
f) 帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等。
当个人信息控制者发生收购、兼并、重组等变更时,个人信息控制者应:
b) 变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。
个人信息原则上不得公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时,应充分重视风险,遵守以下要求:
a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b) 向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意;
c) 公开披露个人敏感信息前,除8.4 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;
d) 准确记录和保存个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;
e) 承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;
8.5 共享、转让、公开披露个人信息时事先征得授权同意的例外
以下情形中,个人信息控制者共享、转让、公开披露个人信息无需事先征得个人信息主体的授权同意:
d) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
f) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。
注:个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如网站经
营者与在其网页或应用程序中部署统计分析工具、软件开发工具包 SDK、调用地图 API 接
口),且该第三方并未单独向个人信息主体征得收集、使用个人信息的授权同意,则个人信
在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应当按照国家网信部门会同国务院有关部门制定的办法和相关标准进行安全评估,并符合其要求。
信息安全技术个人信息安全规范
- 2018-09-28
- 2019-06-14
- 2019-06-14
- 2019-06-14
- 2019-06-14
- 2019-06-14
- 2019-07-10
- 2019-08-30
- 2019-08-30
