3月6日��,國(guó)家市場(chǎng)監(jiān)督管理總局����、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布《 GB/T35273-2020信息安全技術(shù) 個(gè)人信息安全規(guī)范》�,(以下簡(jiǎn)稱“新規(guī)范”)并定于2020年10月1日實(shí)施��。本文對(duì)新規(guī)范的新增內(nèi)容和修改部分進(jìn)行了闡述�,并從多項(xiàng)業(yè)務(wù)功能的自主選擇、用戶畫像及個(gè)性化展示的使用��、第三方接入管理����、個(gè)人生物信息的安全等方面做了重點(diǎn)解讀����。
新規(guī)范相較于2017版增加了如下幾個(gè)方面:
5.3 多項(xiàng)業(yè)務(wù)功能的自主選擇;
7.4 用戶畫像的使用限制��;
7.5 個(gè)性化展示的使用���;
7.6 基于不同業(yè)務(wù)目的所收集個(gè)人信息的匯聚融合����;
9.7 第三方接入管理���;
11.2 個(gè)人信息安全工程���;
11.3 個(gè)人信息處理活動(dòng)記錄����。
在2017版基礎(chǔ)上修改了如下幾個(gè)方面:
5.6征得授權(quán)同意的例外��;
8.5個(gè)人信息主體注銷賬戶�;
11.1明確責(zé)任部門與人員;
附錄C 實(shí)現(xiàn)個(gè)人信息主體自主意愿的方法��。
個(gè)人信息保護(hù)不只是簡(jiǎn)單的技術(shù)防護(hù)�����,它需要企業(yè)打出“組合拳”�����,提升管理水平和技術(shù)能力�。管理要求方面,新版標(biāo)準(zhǔn)要求個(gè)人信息控制者在組織內(nèi)部指定個(gè)人信息保護(hù)主要負(fù)責(zé)人�,建立個(gè)人信息保護(hù)的工作機(jī)構(gòu)及其負(fù)責(zé)人,明確工作職責(zé)�,在產(chǎn)品和服務(wù)的生命周期中考慮個(gè)人信息安全保護(hù)要求;技術(shù)方面提出了“去標(biāo)識(shí)化”、“匿名化”�����、“加密”等技術(shù)防護(hù)手段���。通過(guò)實(shí)現(xiàn)7大個(gè)人信息安全基本原則�����,落實(shí)個(gè)人信息保護(hù)工作�����。
新版標(biāo)準(zhǔn)除延續(xù)原有的保護(hù)要求,新增的條款對(duì)個(gè)人信息安全保護(hù)的熱點(diǎn)問(wèn)題���,如多項(xiàng)業(yè)務(wù)捆綁要求用戶一攬子授權(quán)��、用戶畫像使用����、個(gè)人生物信息的保護(hù)等提出了針對(duì)性的保護(hù)要求�����。
多項(xiàng)業(yè)務(wù)功能的自主選擇
新版標(biāo)準(zhǔn)針對(duì)部分產(chǎn)品和服務(wù)捆綁業(yè)務(wù)功能要求用戶一攬子授權(quán)的現(xiàn)象,提出個(gè)人信息控制者在收集信息前應(yīng)先梳理業(yè)務(wù)���、識(shí)別基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能���,并針對(duì)不同的業(yè)務(wù)功能分別向個(gè)人信息主體征求授權(quán)。
如個(gè)人信息主體拒絕基本業(yè)務(wù)功能的信息采集授權(quán)����,個(gè)人信息控制者可拒絕為個(gè)人信息主體提供服務(wù)和產(chǎn)品。若個(gè)人信息控制者授權(quán)基本業(yè)務(wù)功能拒絕了擴(kuò)展業(yè)務(wù)功能����,個(gè)人信息控制者仍應(yīng)提供穩(wěn)定的基本業(yè)務(wù)功能,且不得頻繁騷擾索要擴(kuò)展業(yè)務(wù)功能�����,不得以提升服務(wù)質(zhì)量等為由要求個(gè)人信息主體授權(quán)��。
隨著技術(shù)的發(fā)展����,對(duì)由個(gè)人信息匯聚、加工、處理而生成的用戶畫像和個(gè)性化信息的使用更加普遍�����,新的標(biāo)準(zhǔn)針對(duì)用戶畫像和個(gè)性化信息的使用�,提出了如下的要求:
當(dāng)個(gè)人信息控制者在其產(chǎn)品或服務(wù)中接入具備收集個(gè)人信息功能的第三方產(chǎn)品或服務(wù)且不屬于委托處理和共同個(gè)人信息者時(shí),個(gè)人信息控制者應(yīng)建立第三方產(chǎn)品的安全接入機(jī)制�,通過(guò)合同等方式明確雙方的安全責(zé)任和應(yīng)實(shí)施的義務(wù),并向個(gè)人主體明確標(biāo)識(shí)產(chǎn)品或服務(wù)由第三方提供 ����。
個(gè)人信息主體應(yīng)要求第三方應(yīng)遵循本標(biāo)準(zhǔn)的要求,包括授權(quán)同意����、響應(yīng)個(gè)人主體請(qǐng)求等。
個(gè)人信息主體應(yīng)監(jiān)督第三方加強(qiáng)個(gè)人信息安全管理����,發(fā)現(xiàn)第三方?jīng)]有落實(shí)安全管理要求時(shí)��,應(yīng)督促其整改����,必要時(shí)停止接入。
新規(guī)范對(duì)敏感信息尤其是個(gè)人生物信息的保護(hù)更加重視,在采集�、存儲(chǔ)等多方面補(bǔ)充了如下要求:
《GB/T35273-2020信息安全技術(shù) 個(gè)人信息安全規(guī)范》通過(guò)6大管理措施和7大控制點(diǎn)對(duì)信息人信息進(jìn)行保護(hù),相較于2017版標(biāo)準(zhǔn)重點(diǎn)對(duì)社會(huì)上較關(guān)注的個(gè)人信息的授權(quán)�、使用過(guò)程中的問(wèn)題提出了指導(dǎo)方案。
但《GB/T35273-2020信息安全技術(shù) 個(gè)人信息安全規(guī)范》屬于推薦執(zhí)行的標(biāo)準(zhǔn)��,適用對(duì)象為個(gè)人信息控制者和主管監(jiān)管機(jī)構(gòu)��、第三方評(píng)估機(jī)構(gòu)�,主要用來(lái)指導(dǎo)個(gè)人信息控制者做好個(gè)人信息保護(hù)工作。個(gè)人信息保護(hù)的執(zhí)法機(jī)構(gòu)����、刑事責(zé)任等問(wèn)題仍需要法律來(lái)明確。
目前個(gè)人信息保護(hù)法尚在制訂中����,我們期待新的法律可以明確法律執(zhí)行機(jī)構(gòu)、刑事責(zé)任等問(wèn)題�����,為個(gè)人信息保護(hù)提供法律依據(jù)��,加大個(gè)人信息保護(hù)力度���,成為保障公民個(gè)人信息合法權(quán)益的堅(jiān)實(shí)盾牌��。
微信號(hào) : jiangsuguojun
新浪微博:江蘇國(guó)駿-網(wǎng)絡(luò)安全管理專家
● 掃碼關(guān)注我們
