GB/T 35273-2020信息安全技术　个人信息安全规范.pdf

ICS 35.040 L80 中华人民共和国国家标准 GB/T 35273—2020 代替GB/T 35273-2017 信息安全技术 个人信息安全规范 Information security technology — Personal information security specification 2020-03-06 发布 2020-10-01 实施 国家市场监督管理总局 国家标准化管理委员会 发布 GB/T 35273—2020 目 次 前言 III 引言 IV 1 范围 5 2 规范性引用文件 5 3 术语和定义 5 4 个人信息安全基本原则 8 5 个人信息的收集 8 5.1 收集个人信息的合法性 8 5.2 收集个人信息的最小必要 8 5.3 多项业务功能的自主选择 8 5.4 收集个人信息时的授权同意 9 5.5 个人信息保护政策 9 5.6 征得授权同意的例外 10 6 个人信息的存储 11 6.1 个人信息存储时间最小化 11 6.2 去标识化处理 11 6.3 个人敏感信息的传输和存储 11 6.4 个人信息控制者停止运营 11 7 个人信息的使用 11 7.1 个人信息访问控制措施 11 7.2 个人信息的展示限制 12 7.3 个人信息使用的目的限制 12 7.4 用户画像的使用限制 12 7.5 个性化展示的使用 13 7.6 基于不同业务目的所收集的个人信息的汇聚融合 13 7.7 信息系统自动决策机制的使用 13 8 个人信息主体的权利 13 8.1 个人信息查询 13 8.2 个人信息更正 14 8.3 个人信息删除 14 8.4 个人信息主体撤回授权同意 14 8.5 个人信息主体注销账户 14 8.6 个人信息主体获取个人信息副本 15 8.7 响应个人信息主体的请求 15 8.8 投诉管理 15 9 个人信息的委托处理、共享、转让、公开披露 16 9.1 委托处理 16 I GB/T 35273—2020 9.2 个人信息共享、转让 16 9.3 收购、兼并、重组、破产时的个人信息转让 17 9.4 个人信息公开披露 17 9.5 共享、转让、公开披露个人信息时事先征得授权同意的例外 17 9.6 共同个人信息控制者 18 9.7 第三方接入管理 18 9.8 个人信息跨境传输 18 10 个人信息安全事件处置 19 10.1 个人信息安全事件应急处置和报告 19 10.2 安全事件告知 19 11 组织的个人信息安全管理要求 19 11.1 明确责任部门与人员 19 11.2 个人信息安全工程 20 11.3 个人信息处理活动记录 20 11.4 开展个人信息安全影响评估 20 11.5 数据安全能力 21 11.6 人员管理与培训 21 11.7 安全审计 21 附录A （资料性附录）个人信息示例 23 附录B （资料性附录）个人敏感信息判定 24 附录C （资料性附录）实现个人信息主体自主意愿的方法 25 附录D （资料性附录）个人信息保护政策模板 30 参考文献 37 II