一、工作簡況

1.1任務來源

2017年12月，GB/T35273-2017《信息安全技術個人信息安全規(guī)范》正

式發(fā)布。本標準一經(jīng)發(fā)布便受到廣泛關注，全國信息安全標準化技術委員會針對

該標準召開多次宣貫、培訓會，并在中央網(wǎng)信辦等四部門兩次隱私條款評審工作

中得到應用。同時，2018年標準的實踐應用過程中，得到了一系列反饋，考慮

到本標準廣泛的影響力，就其中內容進行修訂，以更好地指導組織實踐。本次標

準修訂主要承辦單位：中國電子技術標準化研究院。標準負責人:洪延青。

1.2主要工作過程

1.2018年9月，由原標準制定組進行廣泛調研

2018年9月，原標準制定組根據(jù)標準應用情況，展開廣泛調研，摸清國內外

的研究動向，為本標準的修訂夯實牢固的基礎。調研過程中，著重調研有關部門

隱私條款評審、監(jiān)管約談、法律法規(guī)編制、企業(yè)實踐經(jīng)驗等情況。

2.成立標準修訂工作組

2018年10月，在原有標準制定工作組基礎上，成立標準修訂工作組。

3.工作組多次內部討論

從2018年9月至2018年11月，工作組內部共進行了5次內部工作討論，

分別提出了修訂原則和修訂內容，并對提出的修改意見進行反復討論和推敲。尤

其是針對捆綁授權、收集必要性、定向推送等重點問題進行了探討。

3.2018年11月形成草案

2018年11月底，標準修訂工作組結合前期調研和討論情況，形成標準草案。

4.2018年12月首次向企業(yè)征求意見

2018年12月，標準修訂工作組就標準草案內容首次向企業(yè)代表征求意見，

并對意見進行處理，形成草案版本2.0。

5.2019年1月召開多次專家會議完善標準，并形成征求意見稿

2019年1月，標準修訂工作組召開2次專家會議，召集標準化、法律、科

研機構、學校等個人信息保護相關領域專家進行研討，并積極吸收其建議；

同時，標準修訂工作組召開2次企業(yè)代表征求意見會議，就標準最新內容進

行反復研討，最終，于2019年1月30日形成草案版本3.0。

6.2019年2月1日，標準草案公開向社會征求意見

2019年2月1日，標準修訂工作組就標準草案內容向社會公開征求意見，

征求意見期限為45天。

7.2019年3月-4月，標準工作組處理收到的意見

2019年3月至4月，標準工作組召開多次工作組內會議，分別對國外機構

和國內機構以及個人的意見進行逐條處理，進一步完善草案。

8.2019年4月，在信安標委會議周匯報

2019年4月25日，標準工作組將最細版本標準草案在信安標委寧波會議周

期間的大數(shù)據(jù)工作組內進行匯報，與組內專家進行討論，最后順利將標準推進至

征求意見稿。

9.2019年5-6月，標準工作組內部會議

2019年5月至6月，標準工作組召開多次工作組內會議，對信安標委寧波

會議周期間的意見進行討論，同時結合App違法違規(guī)收集使用個人信息專項治

理工作的實踐和個人信息相關法規(guī)政策文件要求，對標準內容進一步優(yōu)化。

二、標準修訂原則和確定主要內容的論據(jù)及解決的主要問題

2.1修訂原則

《信息安全技術個人信息安全規(guī)范》通過借鑒國外標準的研究，結合新的

技術發(fā)展和國內應用實踐，提出與國際標準接軌、適合我國國情，具有可操作性

的“個人信息保護”標準。通過該標準的實施，支撐組織提升個人信息保護水平。

同時為主管監(jiān)管部門開展個人信息安全相關監(jiān)督提供參考。

《信息安全技術個人信息安全規(guī)范》標準的修訂遵循以下原則：

(1)先進性：標準反映當今個人信息保護的先進技術水平；

(2)開放性：標準的編制、評審與使用具有開放性；

(3)適應性：標準結合我國國情；

(4)簡明性：標準易于理解、實現(xiàn)和應用；

(5)中立性：公正、中立，不與任何利益攸關方發(fā)生關聯(lián)；

(6)一致性：術語與國內外標準所用術語最大程度保持一致。

2.2主要修訂內容

本標準與GB/T35273－2017的主要差異如下：

——“3縮略語”中補充了內容；

——增加了“5.3不得強迫收集個人信息的要求”；

——“5.7征得授權同意的例外”進行了修改；

——增加了“7.4個性化展示及退出”；

——增加了“7.5基于不同業(yè)務目所收集的個人信息的匯聚融合”；

——增加了“8.7第三方接入管理”；

——修改了“10.1明確責任部門與人員；

——增加“10.2個人信息處理活動記錄；

——修改了“資料性附錄C保障個人信息主體選擇同意權的方法”。

——增加了“附錄C.1區(qū)分基本業(yè)務功能和擴展業(yè)務功能”、“C.2基本業(yè)

務功能的告知和明示同意”、“C.3擴展業(yè)務功能的告知和明示同意”。

2.3確定主要內容的論據(jù)及解決的主要問題

1.確定標準修訂主要內容的論據(jù)

在標準的修訂過程中，修訂工作組查閱了大量國內外相關資料，進行學習、

消化、比對和深入研究，結合自己的科研實踐，得出下述結論性意見，并得到多

數(shù)專家的贊同。

本次標準修訂核心為以下三方面內容：1）突出基本業(yè)務功能和擴展業(yè)務功

能的劃分要求；2）增加基本業(yè)務功能和擴展業(yè)務功能的明示、同意的規(guī)則，同

時修訂附錄C，給出具體的實現(xiàn)方式；3）增加新聞、時政、廣告的定向推送的

規(guī)定。

修訂工作組在《個人信息安全規(guī)范》“收集”這一章提出了兩個方案。

方案一：區(qū)分基本業(yè)務功能和擴展業(yè)務功能。給出劃分原則，規(guī)定不同的授

權同意方案等。但企業(yè)對方案一的反對聲音很大。

方案二：不區(qū)分基本業(yè)務功能和擴展業(yè)務功能。但是增加了“不得強迫收集

個人信息的要求”，著重打破“強制索權”的問題。同時“過度索權、過度收集個人

信息”的問題，還是主要通過個人信息分級的思路來解決。

經(jīng)與專家和企業(yè)的反復討論，最終確定將方案二作為標準主體內容，方案一

作為資料性附錄供組織實現(xiàn)相應機制時進行參考。

此外，對于定向推送，《個人信息安全規(guī)范》修訂組結合《電子商務法》等

法律法規(guī)相關規(guī)定提出了相應的要求。

2.解決的主要問題

《個人信息安全規(guī)范》于2018年5月1日生效。在生效不到一年時修訂標準，

根本目的是為了突出體現(xiàn)、落實《網(wǎng)絡安全法》規(guī)定的個人信息收集、使用的“合

法、正當、必要”基本原則，尤其是“必要原則”，以此解決群眾反映強烈的

APP“強制索權、過度索權、超范圍收集、強制個性化推送”的問題。

三、主要試驗[或驗證]情況分析

標準修訂組廣泛征求前期參與四部門隱私條款評審的相關企業(yè)和在個人信

息保護領域有豐富經(jīng)驗的企業(yè)，包括阿里巴巴、騰訊、京東、百度、華為技術有

限公司、高德地圖、滴滴出行、微軟中國、字節(jié)跳動、美團點評等。他們對修訂

后的標準進行試用與驗證。反饋的建議對標準的修訂奠定了良好基礎。

四、知識產(chǎn)權情況說明

標準的技術內容不涉及專利。

五、采用國際標準和國外先進標準情況

個人信息保護上廣受關注。原有版本標準編制過程中，廣泛參考了國內外的

相關標準和規(guī)范，此次修訂結合目前的技術發(fā)展、我國的應用實踐進行修改、補

充與完善。提出與國際標準接軌、適合我國國情的“個人信息安全規(guī)范”標準。

六、與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調性

標準符合現(xiàn)行法律、法規(guī)和規(guī)章；與相關標準沒有沖突。

七、重大分歧意見的處理經(jīng)過和依據(jù)

無。

八、標準性質的建議

建議作為推薦性標準頒布。

九、貫徹標準的要求和措施建