内容简介
GB/T 35273—2020 代替 GB/T 35273—2017信息安全技术个人信息安全规范
Information security technology—Personal information security specification
2020-03-06 发布
2020-10-01 实施
目 次
前言........................................1
引言........................................1
1范围......................................1
2规范性引用文件.................................1
3术语和定义................................................1
4个人信息安全基本原则.......................3
5个人信息的收集 ...................................3
5-1收集个人信息的合法性..............................33
5.2收集个人信息的最小必要.............................3
5.3多项业务功能的自主选择 .............................4
5.4收集个人信息时的授权同意............................4
5-5个人信息保护政策................................5
5.6征得授权同意的例外...............................5
6个人信息的存储 ...................................6
6-1个人信息存储时间最小化.............................6
6.2去标识化处理...................................6
6.3个人敏感信息的传输和存储............................6
6.4个人信息控制者停止运营.............................6
7个人信息的使用....................................6
7.1个人信息访问控制措施...............................6
7.2个人信息的展示限制................................7
7.3个人信息使用的目的限制.............................7
7.4用户画像的使用限制................................7
7.5个性化展示的使用.................................7
7.6基于不同业务目的所收集个人信息的汇聚融合 ....................8
7.7信息系统自动决策机制的使用...........................8
8个人信息主体的权利..................................8
8-1个人信息査询...................................8
8-2个人信息更正...................................8
8-3个人信息删除...................................9
8.4个人信息主体撤回授权同意............................9
8-5个人信息主体注销账户...............................9
8.6个人信息主体获取个人信息副本..........................9
8.7响应个人信息主体的请求.............................10
8.8投诉管理.....................................10
9个人信息的委托处理、共享、转让、公开披露 .......................10
GB/T 35273—2020
前 言
本标准按照GB/T 1.1—2009给岀的规则起草.
本标准代替GB/T 35273—2017(信息安全技术 个人信息安全规范).与GB/T 35273—2017相
比,除编辑性修改外主要技术变化如下,
—増加了“多项业务功能的自主选择”(见5.3),
—修改了“征得授权同意的例外”《见5.6.2017年版的5.4),
—増加了“用户画像的使用限制”《见7.4),
—増加了“个性化展示的使用”(见7.5),
—増加了“基于不同业务目所收集个人信息的汇豪融合”(见7.6),
—修改了“个人信息主体注销账户”(见8.5.2017年版的7.8),
—増加了“第三方接入管理”(见9.7),
—修改了“明确责任部门与人员”《见11.1.2017年版的10.1);
—増加了“个人信息安全工程”(见11.2)»
—増加了“个人信息处理活动记录”(见11.3),
—修改了“实现个人信息主体自主意愿的方法”(见附录C.2O17年版的附录C).
请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任.
本标准由全国信息安全标准化技术委员会(SAC/TC 260)提岀并归口・