GB35273認(rèn)證

2020年3月6日，國(guó)家市場(chǎng)監(jiān)督管理總局/國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布了中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)公告（2020年第1號(hào)）。全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》正式發(fā)布，并將于2020年10月1日實(shí)施。

GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》新標(biāo)準(zhǔn)的變化之處：
延續(xù)七大原則
2020版繼續(xù)沿用了2017版的七大原則，分別是：權(quán)責(zé)一致原則、目的明確原則、選擇同意原則、最少夠用原則、公開透明原則、確保安全原則、主體參與原則。
雖未明確定義“準(zhǔn)確和質(zhì)量、問(wèn)責(zé)、收集限制、隱私合規(guī)”等原則，略感遺憾，但相關(guān)原則的控制措施卻躍然紙上。
定義控制者的義務(wù)
在架構(gòu)上持續(xù)強(qiáng)調(diào)個(gè)人信息控制者應(yīng)承擔(dān)的義務(wù)，而未明確定義個(gè)人信息處理者、個(gè)人信息聯(lián)合控制者、個(gè)人信息外包方等角色應(yīng)履行的義務(wù)。
術(shù)語(yǔ)的變化
較2017版，2020版新增了“個(gè)性化展示”、“業(yè)務(wù)功能”兩個(gè)術(shù)語(yǔ)。

要求的變化
1、選擇同意原則下，新增要求“不強(qiáng)迫接受多項(xiàng)業(yè)務(wù)功能：當(dāng)產(chǎn)品或服務(wù)提供多項(xiàng)需收集個(gè)人信息的業(yè)務(wù)功能時(shí)，個(gè)人信息控制者不應(yīng)違背個(gè)人信息主體的自主意愿，強(qiáng)迫個(gè)人信息主體接受產(chǎn)品或服務(wù)所提供的業(yè)務(wù)功能及相應(yīng)的個(gè)人信息收集請(qǐng)求”。
2、在目的明確原則下，新增要求“如產(chǎn)品或服務(wù)僅提供一項(xiàng)收集、使用個(gè)人信息的業(yè)務(wù)功能時(shí)，個(gè)人信息控制者可通過(guò)隱私政策的形式，實(shí)現(xiàn)向個(gè)人信息主體的告知；產(chǎn)品或服務(wù)提供多項(xiàng)收集、使用個(gè)人信息的業(yè)務(wù)功能的，除隱私政策外，個(gè)人信息控制者宜在實(shí)際開始收集特定個(gè)人信息時(shí)，向個(gè)人信息主體提供收集、使用該個(gè)人信息的目的、方式和范圍，以便個(gè)人信息主體在作出具體的授權(quán)同意前，能充分考慮對(duì)其的具體影響”。
3、在選擇同意原則下，強(qiáng)調(diào)了“隱私政策的主要功能為公開個(gè)人信息控制者收集、使用個(gè)人信息范圍和規(guī)則，不應(yīng)將其視為個(gè)人信息主體要求簽訂的合同”。
4、確保安全原則下，新增的要求較多，分別是：
1）“將個(gè)人生物識(shí)別信息的原始信息和摘要分開存儲(chǔ)”的技術(shù)要求。
2）在信息系統(tǒng)自動(dòng)決策機(jī)制的使用中定期（至少每年一次）開展個(gè)人信息安全影響評(píng)估，并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施、向個(gè)人信息主體提供針對(duì)自動(dòng)決策結(jié)果的申訴渠道，并對(duì)自動(dòng)決策結(jié)果進(jìn)行人工復(fù)核。
3）明確組織應(yīng)為個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)提供必要的資源，保障其獨(dú)立履行職責(zé)。如采用公布投訴、舉報(bào)方式等信息并及時(shí)受理投訴舉報(bào)、與監(jiān)督、管理部門保持溝通，通報(bào)或報(bào)告?zhèn)€人信息保護(hù)和事件處置等情況等。
4）要求組織記錄的內(nèi)容包括：所涉及個(gè)人信息的類型、數(shù)量、來(lái)源（例如從個(gè)人信息主體直接收集或通過(guò)間接獲取方式獲得）；根據(jù)業(yè)務(wù)功能和授權(quán)情況區(qū)分個(gè)人信息的處理目的、使用場(chǎng)景，以及委托處理、共享、轉(zhuǎn)讓、公開披露、是否涉及出境等情況。
5、在最少夠用的原則下，新增的要求較多，分別是：
1）要求了用戶個(gè)人畫像的特征描述不能為“淫穢、色情、賭博、迷信、恐怖、暴力”；業(yè)務(wù)運(yùn)營(yíng)或?qū)ν鈽I(yè)務(wù)合作中使用用戶畫像不能侵害保護(hù)公民、法人和其他組織的合法權(quán)益，不能危害國(guó)家安全、榮譽(yù)和利益。
2）除為達(dá)到主體授權(quán)同意的使用目的所必需外，使用個(gè)人信息時(shí)應(yīng)消除明確身份指向性，避免精確定位到特定個(gè)人。
3）在向主體推送新聞信息服務(wù)的過(guò)程中使用個(gè)性化展示時(shí)應(yīng)：顯著區(qū)分個(gè)性化推送服務(wù)，如標(biāo)明“個(gè)性化展示”或“定推”等字樣，為主體提供簡(jiǎn)單直觀的退出或關(guān)閉個(gè)性化展示模式的選項(xiàng)。
4）電子商務(wù)經(jīng)營(yíng)者根據(jù)消費(fèi)者的興趣愛好、消費(fèi)習(xí)慣等特征向其提供商品或者服務(wù)搜索結(jié)果的個(gè)性化展示的，應(yīng)當(dāng)同時(shí)向該消費(fèi)者提供不針對(duì)其個(gè)人特征的選項(xiàng)。
5）在向主體提供業(yè)務(wù)功能的過(guò)程中，如使用個(gè)性化展示時(shí)，建立個(gè)人信息主體對(duì)個(gè)性化展示所依賴的個(gè)人信息（如標(biāo)簽、畫像維度等）的自主控制機(jī)制，保障個(gè)人信息主體調(diào)控個(gè)性化展示相關(guān)程度的能力。
6）當(dāng)個(gè)人信息主體選擇退出個(gè)性化展示模式時(shí)，應(yīng)向個(gè)人信息主體提供刪除或匿名化定向推送活動(dòng)所基于的個(gè)人信息的選項(xiàng)。
6、在公開透明原則的原則下，新增要求應(yīng)向主體提供查詢方法，能讓主體知曉持有的個(gè)人信息的類型；上述個(gè)人信息的來(lái)源、所用于的目的；已經(jīng)獲得上述個(gè)人信息的第三方身份或類型；宜直接在產(chǎn)品或服務(wù)提供的功能界面中（例如應(yīng)用程序可設(shè)置專門的選項(xiàng)、功能、界面等）設(shè)置相應(yīng)的機(jī)制，便于個(gè)人信息主體在線行使其訪問(wèn)、更正、刪除、撤回授權(quán)同意、注銷賬戶等權(quán)利。
7、新增的其他要求包括：
1）應(yīng)承擔(dān)第三方接入管理
2）收集年滿14周歲未成年人的個(gè)人信息前，應(yīng)征得未成年人或其監(jiān)護(hù)人的明示同意；不滿14周歲的，應(yīng)征得其監(jiān)護(hù)人的明示同意。