1信息安全技術個人信息安全GB/T35273-2020信息安全技術個人信息安全GB/T35273-2020界定的注1：人格權是基于自然規(guī)律出生，具有民事主體資格，享有民事權利并承擔民事義務的自然人，維護人格主體自身的獨立人格利益所必備的生命健康、人格尊嚴、人身自由、個人隱注2：人格利益是自然人唯一擁有的人身權益，由生命、身體、健康、姓名、名譽、榮譽、肖像、個人隱私、人身2注：個人信息主體權利相關規(guī)則參看DB21/T1628.1。注1：個人信息處理者、個人信息控制者、個人信息消費者等均應是個人信息管理者的角色細分;注3：這些細分角色應具有個人信息管理者同樣的責任和義務，參看DB21/Ta)可以通過自動處理方式處理和使用的、特定的個人信息集合體；b)可以采用非自動處理方式處理和使用的、特定的個人信息集合體；注：個人信息數據庫的存儲介質可包括磁介質、b)個人信息主體以可鑒證的、有規(guī)范記錄的、滿足書面形式要求的非書面形式同意等。注2：單獨同意，應存在認知誤區(qū)和風險縫隙。單獨是自然人個體獨自的行為，不能確認個人信息主體，亦不能明3注3：明示同意，與明確同意的區(qū)別，明示同意更多用于正式文件（法律文書、合同約定等）。明確同意則更直接4縮略語PDCA：GB/T19001/ISO90PISMS：個人信息安全管理體系（PersonalInformationSecurityManagementSy5.1綜述適的概念，泛指自然人群體中單個個體擁有數據的畫像、5.2敏感個人信息5.3個人信息敏感性人數據，向敏感個人信息延伸，敏感個人信息的特征隨之5.5個人信息生命周期4a)個人信息獲取過程：個人信息主體同意，基于特定、明確、合法目的，直接或間接收集自然2)包括提供、委托、交換等不同的利用過c)基于生命周期的過程管理：在個人信息生命周期內，采用PD個人信息主體應是自然人群體中特定的個體，可存在2種識a)個人信息主體是可通過個人信息識別的特定的自然人個體，具有主體唯一性，且個人信息主b)個人信息基于已識別個人信息主體，依據主體唯一性獲取。a)基于特定的目的，獲得個人信息主體明確同意的管理主體；b)接受合法委托、授權，收集、擁有、保存（存儲）、管理、處理、控制、使用、利用個人信c)可擁有、控制、處理個人信息，但不應發(fā)生個人信息主體權益轉移等。）：a)基于特定目的，獲得個人信息主體明確同意，并接受合法委托、授權時；b)個人信息生命周期全過程中與個人信息主體權益相關的所有相關b)個人信息主體知悉個人信息管理目的、知識、方法、技術等相關信息的權利；d)個人信息主體知悉個人信息數據庫中與自己相關的信息的權利；e)個人信息主體知悉個人信息生命周期內個人信息管理和個人信息質量等相關信息的權利；f)個人信息主體查詢個人信息收集、處理、使用、利用及管理等5b)個人信息主體同意或否定與個人信息管理相關事項的權力；c)個人信息主體同意或否定收集、處理、使用、利用其個人信息的權利；d)個人信息主體修改、刪除、完善與之相關的個人信息，以保證個人信息質量（包括完整、準e)個人信息主體決定如何管理、處理、使用、利用與之相關的個人信息的權利；f)個人信息主體提議改進、完善個人信息生命周期內個人信息管理質量的權利等。c)個人信息主體質疑與之相關的個人信息的準確性、完整性和時效性的權利；d)個人信息主體質疑或反對個人信息收集、處理、使用、利用的目的、方式、范圍等的權利；e)個人信息主體質疑或反對與之相關的個人信息管理目的、過程等的權利；f)如果個人信息收集、處理、使用、利用的目的、方式、范圍等，及個人信息管理目的、過程違背了個人信息主體意愿或其它正當理由，個人信息主體請求停止相關活動、行為或提出撤g)個人信息主體確認停止或撤銷個人信息管理、收集、處理、使用、利用等的權利；h)個人信息主體質疑個人信息生命周期內個人信息管理質量的可靠性的權利等。a)獲得個人信息主體明確同意并接受個人信息相關委托、授權時；b)個人信息收集（各種存在形態(tài)個人信息8.1.3各種不同的個人信息需求產生的不同細分角色，應負有相同的管理責任和義務，亦應統(tǒng)稱為個a)個人信息管理者收集、處理、使用、利用、管理個人信息應獲得個人信息主體授權，并確定b)個人信息管理者應為個人信息主體提供個人信息生命周期內的服務管理；d)個人信息管理者不應因利益、條件等的變化降6制等，但均應遵循本章確立的規(guī)則，保障個人信息主體個人信息管理應是個人信息管理者為個人信息主體提供服務的過程。個人信息管理者應滿足：a)個人信息管理者應具有各類資源的轉換能力和相應的管理職能，以保證個人信息管理的有效b)個人信息管理者應建立有效的內部管理機制并形成管理體系，以保證個人信息管理質量的可a)管理責任：個人信息管理者及相應的細分角色均應負有收集、存儲、處理、使用、利用個人c)目的明確：個人信息管理者應保證個人信息管理目的與個人信息主體意愿一致，管理過程或f)保密性：個人信息管理者應對所管理的個人信息予以保密，并對個人信息管理過程中的安全9個人信息管理9.1.1個人信息管理是以占有、控制、利用、使用個人信息為目的的管理行為、活動。個人信息管理源與個人信息主體的符合性，采取相應的控制策略和措9.1.2個人信息管理者應履行管理責任和義務，協(xié)調、組織、轉換PIS9.2管理組織9.2.1要求個人信息管理者應根據管理、業(yè)務等實際，建立個人信息管理相關機構，構建PISMS，實施個人信79.2.2責任主體及職責9.2.2.1最高管理者9.2.2.2管理責任主體a)建立、落實個人信息管理責任主體，明確責任主體職能和職責；b)宜分工建立個人信息管理相關責任主體，可包括宣傳教育、安全管理、服務咨詢等；e)明確個人信息管理相關責任主體和人h)PISMS運行檢查、評估、改進、完善；可以在個人信息管理者內部選聘，或聘請社會人士擔任。其職8b)主體權利：個人信息管理應保證個人信息主體享有的權利；c)個人信息質量：在管理活動或行為中應保證個人信息的準確性、完整性和最新狀態(tài)；d)合理限制：收集、處理、使用、利用個人信息，應采用合法、合理的手段和方式，并保持公e)安全保障：應采取必要、合理的管理和技術措施，防止個人信息濫用、篡改、丟失、泄露、a)個人信息主體的權利；a)個人信息收集目的、策略；b)個人信息管理措施、策略；c)個人信息管理和各類相關資源的組織、協(xié)調、轉換和溝通；e)個人信息全生命周期過程管理和控9.8管理機制9.8.1管理制度9.8.1.1基本規(guī)章9.8.1.2管理細則9.8.1.3其它規(guī)定99.8.2人員管理9.8.2.1相關人員9.8.2.2工作人員9.8.2.3激勵9.8.3宣傳教育9.8.3.1宣傳9.8.3.1.1基本宣傳個人信息管理者應在其內部向全體工作人員及其它相關人員說明個人信息管理的重要性和相關管理策略，以得到工作人員及其它相關人員對個人信息管理工作的配9.8.3.1.2業(yè)務宣傳9.8.3.1.3社會宣傳類、紙質等材料）中增加個人信息管理的相9.8.3.2培訓教育9.8.3.2.1計劃9.8.3.2.2對象b)個人信息管理的重要性和必要性；f)違反個人信息安全相關標準可能引起的損害和后果；9.8.4文檔管理9.8.4.1記錄9.8.4.2備案9.8.5公示b)公示的目的、方式、范圍和內容；9.8.6控制個人信息管理代表應根據管理計劃適時評估PISMS的效能和個人信息管理效果，檢查、修正個人信9.8.7協(xié)調屬責任主體）與PISMS、PISMS內、PISMS與相關資源之間等的應遵循8.5、9.5的規(guī)則，基于特定、明確、合法的目的，采用科學、a)應將收集目的、范圍、方法和手段、處理方式等清晰無誤的告知個人信息主體，并征得個人c)個人信息收集應依據實際需要和個人信息主體同意的目的、范圍適當、適度，不應限于最小d)個人信息收集應嚴格區(qū)分敏感個人信息和個人信息的敏感性：2)具有敏感性個人信息收集應依據相關法規(guī)、標準和本文件規(guī)則，采取相應的安全保障措b)個人信息收集、處理、使用的目的、方法；c)通過各種電子、網絡媒介（如博客、微博、微信、論壇、云盤、網盤、郵件、即時通訊、網站、網絡視頻等）、紙媒體、公共監(jiān)控、面部識別、AI等，及大數據采集個人信息如采用假名化保存，應分別建立個人信息可識別個人信息管理者應為個人信息的存儲、保存設定意識，采取必要的安全措施，防止不正當收集個人信息，避a)應根據本文件中個人信息管理者、個人信息管理的相關規(guī)則，管控個人信息處理過程，以保b)應根據國家法律、標準和本文件中個人信息管理者、個人信息管理的相關規(guī)則，管控智能識別、智能應用等新技術應用過程中個人信息處理過程，以保證個人信息安全和個人信息主體c)應根據國家法律、標準和本文件中個人信息管理者、個人信息管理的相關規(guī)則，管控個人信a)應以各種方式征得個人信息主體同意；或為履行與個人信息主體達成的合法協(xié)議的需要；c)如需要超出個人信息收集目的范圍處理、使用個人信息，應通知并征得個人信息主體明確同d)任何處理、使用個人信息的行為，應履行8.5、務，征得個人信息主體同意，并限定在個人信息主體同意的范圍內，避免隨意泄露、傳播和意，采取適當、合法、有效的方法和手段獲得的，并不個人信息管理者合法擁有的個人信息，在向第三方提供（包括跨境提供）時，應履行第8章規(guī)定的個人信息管理者的責任和義務，保障個人信息主體的合法第三方（包括境外）接受個人信息管理者提供的個人信息安全性以及個人信息主體權益的明確承諾，避免不正a)個人信息管理者委托第三方收集個人信息；c)第三方（包括境外）委托個人信息處理業(yè)務或接受個人信息處理委托業(yè)務等。涉及個人信息委托業(yè)務時，應選擇已建立PISMS（涉及境外時，境外相關機構應已建立嚴格的個人b)委托方和受托方的權利和責任（依據國家相關法規(guī)、規(guī)范和本文件規(guī)則）；d)保護個人信息的安全措施和安全承諾；）；g)個人信息相關事件、事故的說明、責任認定和報告；b)個人信息深度開發(fā)等。a)遵守國家相關法規(guī)、標準；c)本文件規(guī)定的個人信息管理者的責任d)征得個人信息主體同意，并保障個人信息主體權益；e)限定在個人信息主體同意的范圍內，避免隨意泄露、傳播和擴散等。c)個人信息開發(fā)的目的、方式、方法和范b)基于某種利益關系的個人信息銷售等。b)應通知個人信息主體，申明個人信息主體權利并征得個人信息主體同意；c)應限定在個人信息主體同意的范圍內，避免隨意泄露、傳播和擴散；d)交易雙方均應履行本文件規(guī)定的個人信息管理原則；e)交易雙方均應履行本文件規(guī)定的個人信息管理者的責任、義務；個人信息管理者交易個人信息，應以各種形式通知個人信息主體。通知內容應包括：a)個人信息管理者相關信息；e)個人信息交易的目的、方式、方法和范h)交易完成后的處理方式等。a)根據個人信息主體意見、合同約定方式等采取的安全處理措施；c)根據個人信息主體意見、合同約定方式、個人信息管理者需求等假名化處理；d)根據個人信息主體意見、合同約定方式、個人a)如需繼續(xù)保存、使用、返還，應保證個人信息的準確性、完整性和最新狀態(tài)；b)如需個人信息假名化處理，應保證個人信息主體可識別特征信息的準確性、完整性和最新狀c)如需個人信息匿名化，應考慮個人信息碎片化后的細粒度，及可復原程度等。過程管理是個人信息生命周期內體系化管理的重要一環(huán)。應采用PDCA過程模式監(jiān)督、跟蹤、管控PISMS，保證個人信息管理質量，保障個人信息安全和個人信息主體權益。a)審核個人信息管理相關活動和行為、PISMS、PISMS實施和運行過程；應根據PISMS內審計劃，定期獨立、公平、公正地實施內審，并形成服務咨詢責任主體應接受個人信息主體、各類組織和人員提出的個人信息管理活動、PISMS的相關過程模式，定期評估、分析PISMS運行狀況，并持續(xù)改b)制定預防和改進措施；b)事故的處理流程；）；a)個人信息數據庫管理和使用制度；應根據個人信息自動和非自動處理的特點，制定相應的個人信息數據庫管理策略，包括訪問/調用應制定個人信息數據庫備份和恢復機制，并保證備份、恢復的完整性、可靠性和準確性。用個人信息，以保護個人信息主體權益。這些情a)各種網絡環(huán)境下與個人信息相關的各種行為、活動；b)各種工作環(huán)境下與個人信息相關的各種行為、活動；c)各種生活環(huán)境下與個人信息相關的