ICS35040

L80.

中華人民共和國國家標準

GB/T35273—2017

信息安全技術(shù)個人信息安全規(guī)范

Informationsecuritytechnology—Personalinformationsecurityspecification

2017-12-29發(fā)布2018-05-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T35273—2017

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

個人信息安全基本原則

4…………………2

個人信息的收集

5…………………………3

收集個人信息的合法性要求

5.1………………………3

收集個人信息的最小化要求

5.2………………………3

收集個人信息時的授權(quán)同意

5.3………………………3

征得授權(quán)同意的例外

5.4………………4

收集個人敏感信息時的明示同意

5.5…………………4

隱私政策的內(nèi)容和發(fā)布

5.6……………4

個人信息的保存

6…………………………5

個人信息保存時間最小化

6.1…………5

去標識化處理

6.2………………………5

個人敏感信息的傳輸和存儲

6.3………………………5

個人信息控制者停止運營

6.4…………5

個人信息的使用

7…………………………5

個人信息訪問控制措施

7.1……………5

個人信息的展示限制

7.2………………6

個人信息的使用限制

7.3………………6

個人信息訪問

7.4………………………6

個人信息更正

7.5………………………6

個人信息刪除

7.6………………………6

個人信息主體撤回同意

7.7……………7

個人信息主體注銷賬戶

7.8……………7

個人信息主體獲取個人信息副本

7.9…………………7

約束信息系統(tǒng)自動決策

7.10……………7

響應(yīng)個人信息主體的請求

7.11…………7

申訴管理

7.12……………8

個人信息的委托處理共享轉(zhuǎn)讓公開披露

8、、、……………8

委托處理

8.1……………8

個人信息共享轉(zhuǎn)讓

8.2、…………………8

收購兼并重組時的個人信息轉(zhuǎn)讓

8.3、、………………9

個人信息公開披露

8.4…………………9

Ⅰ

GB/T35273—2017

共享轉(zhuǎn)讓公開披露個人信息時事先征得授權(quán)同意的例外

8.5、、……9

共同個人信息控制者

8.6………………9

個人信息跨境傳輸要求

8.7……………9

個人信息安全事件處置

9…………………10

安全事件應(yīng)急處置和報告

9.1…………10

安全事件告知

9.2………………………10

組織的管理要求

10………………………10

明確責(zé)任部門與人員

10.1……………10

開展個人信息安全影響評估

10.2……………………11

數(shù)據(jù)安全能力

10.3……………………11

人員管理與培訓(xùn)

10.4…………………11

安全審計

10.5…………………………12

附錄資料性附錄個人信息示例

A()……………………13

附錄資料性附錄個人敏感信息判定

B()………………14

附錄資料性附錄保障個人信息主體選擇同意權(quán)的方法

C()…………15

附錄資料性附錄隱私政策模板

D()……………………18

參考文獻

……………………27

Ⅱ

GB/T35273—2017

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位北京信息安全測評中心中國電子技術(shù)標準化研究院頤信科技有限公司四川大

:、、、

學(xué)北京大學(xué)清華大學(xué)中國信息安全研究院有限公司公安部第一研究所上海國際問題研究院阿里

、、、、、、

巴巴北京軟件服務(wù)有限公司深圳騰訊計算機系統(tǒng)有限公司中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司阿里

()、、、

云計算有限公司華為技術(shù)有限公司強韻數(shù)據(jù)科技有限公司

、、。

本標準主要起草人洪延青錢秀檳何延哲左曉棟陳興蜀高磊劉賢剛邵華蔡曉丹黃曉林

:、、、、、、、、、、

顧偉黃勁上官曉麗趙章界范紅杜躍進楊思磊張亞男金濤葉曉俊鄭斌閔京華魯傳穎

、、、、、、、、、、、、、

周亞超楊露王海舟王建民秦頌姚相振葛小宇王道奎趙冉冉沈錫鏞

、、、、、、、、、。

Ⅲ

GB/T35273—2017

引言

近年隨著信息技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)應(yīng)用的普及越來越多的組織大量收集使用個人信息給

,,、,

人們生活帶來便利的同時也出現(xiàn)了對個人信息的非法收集濫用泄露等問題個人信息安全面臨嚴重

,、、,

威脅

。

本標準針對個人信息面臨的安全問題規(guī)范個人信息控制者在收集保存使用共享轉(zhuǎn)讓公開披

,、、、、、

露等信息處理環(huán)節(jié)中的相關(guān)行為旨在遏制個人信息非法收集濫用泄漏等亂象最大程度地保障個人

,、、,

的合法權(quán)益和社會公共利益

。

對標準中的具體事項法律法規(guī)另有規(guī)定的需遵照其規(guī)定執(zhí)行

,,。

Ⅳ

GB/T35273—2017

信息安全技術(shù)個人信息安全規(guī)范

1范圍

本標準規(guī)定了開展收集保存使用共享轉(zhuǎn)讓公開披露等個人信息處理活動應(yīng)遵循的原則和安

、、、、、

全要求

。

本標準適用于規(guī)范各類組織個人信息處理活動也適用于主管監(jiān)管部門第三方評估機構(gòu)等組織對

,、

個人信息處理活動進行監(jiān)督管理和評估

、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2010。

31

.

個人信息personalinformation

以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然

人活動情況的各種信息

。

注1個人信息包括姓名出生日期身份證件號碼個人生物識別信息住址通信聯(lián)系方式通信記錄和內(nèi)容賬號

:、、、、、、、

密碼財產(chǎn)信息征信信息行蹤軌跡住宿信息健康生理信息交易信息等

、、、、、、。

注2關(guān)于個人信息的范圍和類型可參見附錄

: