152024-09-06發(fā)布 1 1 1 2 3 4 4 5 56.4影響評估 66.5供應鏈管理 66.6培訓教育 7 76.8合規(guī)審計 8 8 8 9 7.4個人信息加工要求 7.5個人信息使用要求 7.8個人信息刪除要求 I本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。個人信息保護規(guī)范本文件適用于規(guī)范個人信息處理者的個人信息GB/T35273—2020信息安全技術(shù)個人信息安GB/T37964信息安全技術(shù)個人信息去標識化GB/T39335—2020信息安全技術(shù)個人信息安全影響評估GB/T41391—2022信息安全技術(shù)移動互聯(lián)網(wǎng)應用程序（App）收集個人信息基本TC260—PG—20212A網(wǎng)絡安全標準實踐指南網(wǎng)絡數(shù)據(jù)分類TC260—PG—20231A網(wǎng)絡安全標準實踐指南網(wǎng)絡數(shù)據(jù)安全風險評估實GB/T35273、GB/T39335、GB/T41393.1以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然3.23.313.43.53.63.73.8App第三方服務提供者Appthird-partyserviceprovid相對于用戶和App以外的，為App提供軟件開發(fā)工具包（SDK）、封裝、加固、編譯環(huán)3.9由App開發(fā)運營者之外的其他法人實體提供，通a)應遵循合法、正當、必要和誠信原則，不應通過誤導、欺詐、脅迫等方式處理個人信息；b)應具有明確、合理的目的，并應與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式；d)應保證個人信息的質(zhì)量，避免因個人信息不準確、不完整對個人權(quán)益造成不利影響；2e)個人信息處理者應對個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安f)除法律、行政法規(guī)另有規(guī)定外，個人信息處理者取得個人的同意方可處理個人信息。個人信息處理活動總體上應滿足合法、必要、誠信、目的合32)組織開展個人信息保護宣傳教育培訓工b)數(shù)據(jù)安全風險評估、個人信息安全影響評4f)與履行個人信息保護職責的部門溝通匯報工作機制；g)個人信息保護負責人及相關(guān)人員履職評價制度。6.2分類分級b)應按照業(yè)務維度或其他維度對個人信息進行分類，常見個人信息見附錄A。身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年注：關(guān)于常見敏感個人信息的判定方法和類型參見附錄B。感個人信息的要求外，還應滿足重要數(shù)據(jù)的安全管6.3風險評估個人信息處理者按照國家和行業(yè)領(lǐng)域的分級標準對數(shù)據(jù)進行分級后，對于重要數(shù)據(jù)應開展數(shù)據(jù)安b)個人信息處理者可以采取以下手段開展數(shù)據(jù)安全風險評估：4)使用技術(shù)手段檢測防護措施的有效性。56.4影響評估委托符合條件的第三方評估機構(gòu)開展評估工作，其流程及相關(guān)信息系統(tǒng)或程序應允許履行個c)履行個人信息保護職責的部門可以發(fā)起個人信息安全影響評估工作；d)開展個人信息安全影響評估時應采取以下手段：a)個人信息處理者應符合以下要求：注：不必征得個人信息主體的授權(quán)同意的情形，按照GB/T352b)受委托者應符合以下要求：6a)通過第三方應用采集個人信息的，需告知個人信息主體并獲得授權(quán)；f)第三方應用應具備個人信息安全防護能力；g)第三方應用提供者應提供有效的個人信息安全受理機制、事件響應機制。a)個人信息處理者應制定并實施個人信息保護安全教育和培訓計劃，計劃內(nèi)容包括但不限于培c)個人信息保護培訓教育內(nèi)容，應包括但不限于：3)個人信息保護培訓教育對象的職能6.7應急預案個人信息處理者應制定個人信息安全事件應急預案，預案內(nèi)容包括但不a)指導思想和基本策略；b)對涉及個人信息處理的業(yè)務的風險評估和預測；c)根據(jù)風險評估結(jié)果，按照GB/T20986對個人信息安全事件進d)應急組織架構(gòu)、責任部門、角色職責、對應人員，應急響應人員的聯(lián)絡信息；f)人力資源、財力保障、物資保障、個人信息處理者應對制定的應急預案組織實施，包括但不7造成危害的，個人信息處理者可以不通知個a)個人信息處理者應定期開展個人信息保護合規(guī)審計；b)個人信息處理者可以自行或者委托符合條件的第三方c)個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規(guī)審計的，應盡快按照要求選定專業(yè)機構(gòu)進行個人信息保護合規(guī)審計，并將其出具的個人信息保護合規(guī)審計d)個人信息處理者應按照專業(yè)機構(gòu)提出的整改建議進行整改，并將專業(yè)機構(gòu)復核后的整改情況b)收集外部機構(gòu)個人信息前，應對外部機構(gòu)個2)個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；8d)個人信息處理者履行上述告知事項義務后，還應滿足如下要求：1)上述事項發(fā)生變更的，個人信息處理者應3)有法律法規(guī)規(guī)定應保密的或者不需要告知個人信息主體的，個人信息處理者可以不告知4)緊急情況下為保護個人信息主體的生命健康和財產(chǎn)安全無法及時向個人告知的，個人信b)應僅在個人信息主體使用業(yè)務功能期間，d)除滿足基本安全要求的告知事項要求外，個人信息處理者還應向個人信息主體告知收集敏感個人信息的必要性以及對個人權(quán)益的影響；依照法律法規(guī)可以不向個人告知的除外；2)未成年人個人信息存儲的地點、期限及到期后的處理方式；3)對未成年人個人信息采取的安全保4)未成年人及其監(jiān)護人投訴、舉報的渠道、方式；6)未成年人及其監(jiān)護人拒絕個人信息處理規(guī)則的后果。a)個人信息的保存期限應為實現(xiàn)處理目的所必要的最短時間，超出后應及時進行刪除或匿名化92)采用權(quán)限控制技術(shù)：實現(xiàn)對個人信息的訪問及使用權(quán)限最小化；4)采用隱私計算技術(shù)，實現(xiàn)在不暴露個人信息的前提下進行分析計算，達到b)經(jīng)過加密、去標識化處理后的敏感個人信息應與解密異常情況進行及時響應，動態(tài)調(diào)整安全保護措施，按照就高從嚴原則設定安全保7.3個人信息傳輸要求a)傳輸敏感個人信息時，應采用加密等安全措施b)傳輸中實時記錄敏感個人信息的傳輸日志，包括傳輸時間、雙方身份信息等；個人信息處理者在開展個人信息轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動過程中，應遵循以下要求：人信息主體的內(nèi)容相一致，不一致的應說明理由，并告知個人信b)在加工個人信息時，應做好全程管控工作，防止個人信息泄露、篡改、丟失；全、經(jīng)濟安全、社會穩(wěn)定、個人權(quán)益的，應立即停止加工a)對敏感個人信息的處理行為進行識別、審批、b)加工處理敏感個人信息前，應進行個人信息保護影響評估，并對處理情況進行記錄。a)應具有明確、合理的目的，并應與使用目的直接相關(guān)，采取對個人權(quán)益影響最小的方式；c)應保證個人信息的質(zhì)量，避免因個人信息不準確、不完整對個人權(quán)益造成不利影響；d)應對其個人信息使用活動負責，并采取必要措施保障個人信息安全；7.6個人信息公開要求a)個人信息處理者不應公開其處理的個人信息，取得個人單獨同意的除外；b)個人信息處理者經(jīng)法律授權(quán)或具備合c)以下情形中，公開個人信息不必事先征得個人信息主體的授權(quán)同意：2)為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需a)公開敏感個人信息前應向個人告知公開的必要性以及對個人權(quán)益的影響；b)未經(jīng)個人單獨同意，不應公開已識b)提供個人信息前應開展個人信息保護影響評估，并依評估結(jié)果采取有效的防護措施；c)個人信息提供范圍應限于實現(xiàn)處理目的的最小范圍，如不需在接收方進行本地存儲而能滿足應用需求的，不應引導個人信息主體進行過要時個人信息提供方應解除與接收方的業(yè)務關(guān)系，并要求接收方及時刪除從個人信息提供方注：不必征得個人信息主體的授權(quán)同意的情形，按照GB/T352c)應通過個人信息提供方獲取個人信息主體授權(quán)同意后方可存儲個人信息；e)變更原先告知的處理目的、處理方式的，應通過個人信息提供方重新取得個人同意。a)應提供可靠的安全防護環(huán)境，并為個人信息提供方、接收方提供安全防護能力說明；c)應保證平臺方對提供方、接收方系統(tǒng)和數(shù)據(jù)的操作可被提供方、接收方核查；f)平臺方需將個人信息安全威脅信息及時傳達給提供方、接收方。政務數(shù)據(jù)共享過程涉及個人信息時，對于個人信息提供方、接收方、平臺方的要求如下。a)對提供方的要求：2)在接收方為非政府單位性質(zhì)時，個人信息提供方處理個人信息時需獲得個人信息主體的人信息保護負責人審核同意，并由雙方簽訂5)個人信息內(nèi)部流轉(zhuǎn)時涉及個人信息敏感數(shù)據(jù)時需進行加密或脫敏處理，因業(yè)務處理的要3)接收方非必要不應對個人信息數(shù)據(jù)進行本地存儲，確需進行本地存儲的要和個人信息提4)接收方未經(jīng)提供方同意不應向第三方提供接收的個人信息。4)平臺方未經(jīng)提供方同意不應向第三方提供個人信息。注：明示同意指個人信息主體通過書面、口頭等方式主動作出紙質(zhì)或電子形式的聲明，或者自主作出肯定性動作，對其個人信息進行特定處理作出明確授權(quán)的行為。肯定性動作包括個人信息主體主動勾選、主動點擊“同意”c)提供敏感個人信息前，需核驗接收方的個人信息保護能力不低于提供方；通道加密和內(nèi)容加密算法應符合有關(guān)行業(yè)技術(shù)標準與履行個人信息保護職責的部門有關(guān)規(guī)定7.8個人信息刪除要求2)個人信息處理者停止提供產(chǎn)品或者服務，或者保存期限已屆滿；將個人信息返還個人信息處理者或者予以刪除，不應保留；b)應定期評估敏感個人信息刪除或匿名化處理效果，確保已刪除或匿名化處理的敏感個人信息b)應建立與個人信息相關(guān)的平臺規(guī)則、隱私政策和算法策略披露制度；e)未經(jīng)用戶同意不應將個人信息與來自第三方產(chǎn)品和服務的個人信息合并使用；注：用戶使用業(yè)務功能期間，通常是從用戶點擊觸發(fā)該業(yè)d)當無須收集用戶個人信息即可提供App業(yè)務功能時，應確保用戶在不提供個人信息f)不應在沒有用戶主動觸發(fā)業(yè)務功能的注：關(guān)閉服務類型包括個人信息主體明確表明放棄使9.4App第三方服務提供者包括如下要求：c)在沒有用戶同意或在缺乏合理業(yè)務場景常見個人信息清單為各行業(yè)個人信息示例，個人信息處123456789所在工作單位統(tǒng)一“三屬”分類“三屬”認定時間息市市息b)容易導致個人信息主體的人身、財產(chǎn)安全受到危害；對個人人格尊嚴和社會評價有