5分钟带你了解2020 个人信息安全规范

发布时间 2020-03-24

3月6日,国家市场监督管理总局、国家标准化管理委员会发布《 GB/T35273-2020信息安全技术 个人信息安全规范》,(以下简称“新规范”)并定于2020年10月1日实施。本文对新规范的新增内容和修改部分进行了阐述,并从多项业务功能的自主选择、用户画像及个性化展示的使用、第三方接入管理、个人生物信息的安全、个人生物信息的安全等方面做了重点解读。


3月6日

《GB/T35273-2020信息安全技术

个人信息安全规范》正式发布

本次新规范的出台

有哪些变化呢?

又有哪些重点内容需要重视呢?


莫慌

小编认为此时

先来一波背景先容是必须地


2017年6月1日《中华人民共和国网络安全法》正式实施。作为我国第一部网络安全领域的法律,网络安全法肯定了个人信息保护的重要性,并要求运营者采取措施保护个人信息安全。


为落实网络安全法中个人信息安全保护的要求,2017年12月29日《GB/T 35273-2017 个人信息安全技术 个人信息安全规范》发布。此次标准的发布,对引导个人信息控制者建立个人信息保护体系和完善个人信息保护等方面起到积极正面的作用。


为了进一步优化、完善个人信息保护的要求,2020年3月6日国家市场监督管理总局、国家标准化管理委员会发布《GB/T35273-2020信息安全技术 个人信息安全规范》。


那么,此次新规范相较于2017版

增加了哪些内容?修改了哪些方面?

请听小编娓娓道来~


新规范相较于2017版增加了如下几个方面:

5.3 多项业务功能的自主选择;

7.4 用户画像的使用限制;

7.5 个性化展示的使用;

7.6 基于不同业务目的所收集个人信息的汇聚融合;

9.7 第三方接入管理;

11.2 个人信息安全工程;

11.3 个人信息处理活动记录。


在2017版基础上修改了如下几个方面:

5.6征得授权同意的例外;

8.5个人信息主体注销账户;

11.1明确责任部门与人员;

附录C 实现个人信息主体自主意愿的方法。


现在,请打起十二分精神

因为,大家要一起进入

重点解读 时刻啦


个人信息保护不只是简单的技术防护,它需要企业打出“组合拳”,提升管理水平和技术能力。管理要求方面,新版标准要求个人信息控制者在组织内部指定个人信息保护主要负责人,建立个人信息保护的工作机构及其负责人,明确工作职责,在产品和服务的生命周期中考虑个人信息安全保护要求;技术方面提出了“去标识化”、“匿名化”、“加密”等技术防护手段。通过实现7大个人信息安全基本原则,落实个人信息保护工作。



新版标准除延续原有的保护要求,新增的条款对个人信息安全保护的热点问题,如多项业务捆绑要求用户一揽子授权、用户画像使用、个人生物信息的保护等提出了针对性的保护要求。


多项业务功能的自主选择


新版标准针对部分产品和服务捆绑业务功能要求用户一揽子授权的现象,提出个人信息控制者在收集信息前应先梳理业务,识别基本业务功能和扩展业务功能,并针对不同的业务功能分别向个人信息主体征求授权。


如个人信息主体拒绝基本业务功能的信息采集授权,个人信息控制者可拒绝为个人信息主体提供服务和产品。若个人信息控制者授权基本业务功能拒绝了扩展业务功能,个人信息控制者仍应提供稳定的基本业务功能,且不得频繁骚扰所要扩展业务功能,不得以提升服务质量等为由要求个人信息主体授权。


用户画像和个性化展示的使用


随着技术的发展,对由个人信息汇聚、加工、处理而生成的用户画像和个性化信息的使用更加普遍,新的标准针对用户画像和个性化信息的使用,提出了如下的要求:



第三方接入管理


当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不属于委托处理和共同个人信息者时,个人信息控制者应建立第三方产品的安全接入机制,通过合同等方式明确双方的安全责任和应实施的义务,并向个人主体明确标识产品或服务由第三方提供 。


个人信息主体应要求第三方应遵循本标准的要求,包括授权同意、响应个人主体请求等。


个人信息主体应监督第三方加强个人信息安全管理,发现第三方没有落实安全管理要求时,应督促其整改,必要时停止接入。


个人生物信息的安全


新规范对敏感信息尤其是个人生物信息的保护更加重视,在采集、存储等多方面补充了如下要求:



当当当~ 看到这里时

说明你离结尾已经不远了

知道你舍不得

这不,小编又总结归纳了

新规范的6大管理措施 &7大控制点

供您欣赏


《GB/T35273-2020信息安全技术 个人信息安全规范》通过6大管理措施和7大控制点对信息人信息进行保护,相较于2017版标准重点对社会上较关注的个人信息的授权、使用过程中的问题提出了引导方案。



但《GB/T35273-2020信息安全技术 个人信息安全规范》属于推荐实行的标准,适用对象为个人信息控制者和主管监管机构、第三方评估机构,主要用来引导个人信息控制者做好个人信息保护工作。个人信息保护的执法机构、刑事责任等问题仍需要法律来明确。


目前个人信息保护法尚在制订中,大家期待新的法律可以明确法律实行机构、刑事责任等问题,为个人信息保护提供法律依据,加大个人信息保护力度,成为保障公民个人信息合法权益的坚实盾牌。