3月6日,國(guó)家市場(chǎng)監(jiān)督管理總局���、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布《 GB/T35273-2020信息安全技術(shù) 個(gè)人信息安全規(guī)范》��,(以下簡(jiǎn)稱“新規(guī)范”)并定于2020年10月1日實(shí)施��。本文對(duì)新規(guī)范的新增內(nèi)容和修改部分進(jìn)行了闡述���,并從多項(xiàng)業(yè)務(wù)功能的自主選擇���、用戶畫(huà)像及個(gè)性化展示的使用、第三方接入管理����、個(gè)人生物信息的安全等方面做了重點(diǎn)解讀。
新規(guī)范相較于2017版增加了如下幾個(gè)方面:
5.3 多項(xiàng)業(yè)務(wù)功能的自主選擇����;
7.4 用戶畫(huà)像的使用限制;
7.5 個(gè)性化展示的使用��;
7.6 基于不同業(yè)務(wù)目的所收集個(gè)人信息的匯聚融合�;
9.7 第三方接入管理�����;
11.2 個(gè)人信息安全工程����;
11.3 個(gè)人信息處理活動(dòng)記錄����。
在2017版基礎(chǔ)上修改了如下幾個(gè)方面:
5.6征得授權(quán)同意的例外;
8.5個(gè)人信息主體注銷賬戶�;
11.1明確責(zé)任部門與人員;
附錄C 實(shí)現(xiàn)個(gè)人信息主體自主意愿的方法�����。
個(gè)人信息保護(hù)不只是簡(jiǎn)單的技術(shù)防護(hù)���,它需要企業(yè)打出“組合拳”����,提升管理水平和技術(shù)能力�。管理要求方面,新版標(biāo)準(zhǔn)要求個(gè)人信息控制者在組織內(nèi)部指定個(gè)人信息保護(hù)主要負(fù)責(zé)人,建立個(gè)人信息保護(hù)的工作機(jī)構(gòu)及其負(fù)責(zé)人��,明確工作職責(zé)��,在產(chǎn)品和服務(wù)的生命周期中考慮個(gè)人信息安全保護(hù)要求����;技術(shù)方面提出了“去標(biāo)識(shí)化”、“匿名化”����、“加密”等技術(shù)防護(hù)手段�����。通過(guò)實(shí)現(xiàn)7大個(gè)人信息安全基本原則�,落實(shí)個(gè)人信息保護(hù)工作。
新版標(biāo)準(zhǔn)除延續(xù)原有的保護(hù)要求�����,新增的條款對(duì)個(gè)人信息安全保護(hù)的熱點(diǎn)問(wèn)題�����,如多項(xiàng)業(yè)務(wù)捆綁要求用戶一攬子授權(quán)、用戶畫(huà)像使用�����、個(gè)人生物信息的保護(hù)等提出了針對(duì)性的保護(hù)要求�����。
多項(xiàng)業(yè)務(wù)功能的自主選擇
新版標(biāo)準(zhǔn)針對(duì)部分產(chǎn)品和服務(wù)捆綁業(yè)務(wù)功能要求用戶一攬子授權(quán)的現(xiàn)象�,提出個(gè)人信息控制者在收集信息前應(yīng)先梳理業(yè)務(wù)、識(shí)別基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能���,并針對(duì)不同的業(yè)務(wù)功能分別向個(gè)人信息主體征求授權(quán)�。
如個(gè)人信息主體拒絕基本業(yè)務(wù)功能的信息采集授權(quán)���,個(gè)人信息控制者可拒絕為個(gè)人信息主體提供服務(wù)和產(chǎn)品����。若個(gè)人信息控制者授權(quán)基本業(yè)務(wù)功能拒絕了擴(kuò)展業(yè)務(wù)功能����,個(gè)人信息控制者仍應(yīng)提供穩(wěn)定的基本業(yè)務(wù)功能,且不得頻繁騷擾索要擴(kuò)展業(yè)務(wù)功能���,不得以提升服務(wù)質(zhì)量等為由要求個(gè)人信息主體授權(quán)��。
隨著技術(shù)的發(fā)展���,對(duì)由個(gè)人信息匯聚���、加工、處理而生成的用戶畫(huà)像和個(gè)性化信息的使用更加普遍��,新的標(biāo)準(zhǔn)針對(duì)用戶畫(huà)像和個(gè)性化信息的使用�����,提出了如下的要求:
當(dāng)個(gè)人信息控制者在其產(chǎn)品或服務(wù)中接入具備收集個(gè)人信息功能的第三方產(chǎn)品或服務(wù)且不屬于委托處理和共同個(gè)人信息者時(shí)���,個(gè)人信息控制者應(yīng)建立第三方產(chǎn)品的安全接入機(jī)制,通過(guò)合同等方式明確雙方的安全責(zé)任和應(yīng)實(shí)施的義務(wù)�����,并向個(gè)人主體明確標(biāo)識(shí)產(chǎn)品或服務(wù)由第三方提供 �����。
個(gè)人信息主體應(yīng)要求第三方應(yīng)遵循本標(biāo)準(zhǔn)的要求,包括授權(quán)同意���、響應(yīng)個(gè)人主體請(qǐng)求等�。
個(gè)人信息主體應(yīng)監(jiān)督第三方加強(qiáng)個(gè)人信息安全管理���,發(fā)現(xiàn)第三方?jīng)]有落實(shí)安全管理要求時(shí)����,應(yīng)督促其整改���,必要時(shí)停止接入���。
新規(guī)范對(duì)敏感信息尤其是個(gè)人生物信息的保護(hù)更加重視,在采集����、存儲(chǔ)等多方面補(bǔ)充了如下要求:
《GB/T35273-2020信息安全技術(shù) 個(gè)人信息安全規(guī)范》通過(guò)6大管理措施和7大控制點(diǎn)對(duì)信息人信息進(jìn)行保護(hù),相較于2017版標(biāo)準(zhǔn)重點(diǎn)對(duì)社會(huì)上較關(guān)注的個(gè)人信息的授權(quán)���、使用過(guò)程中的問(wèn)題提出了指導(dǎo)方案��。
但《GB/T35273-2020信息安全技術(shù) 個(gè)人信息安全規(guī)范》屬于推薦執(zhí)行的標(biāo)準(zhǔn)����,適用對(duì)象為個(gè)人信息控制者和主管監(jiān)管機(jī)構(gòu)、第三方評(píng)估機(jī)構(gòu)���,主要用來(lái)指導(dǎo)個(gè)人信息控制者做好個(gè)人信息保護(hù)工作�。個(gè)人信息保護(hù)的執(zhí)法機(jī)構(gòu)�����、刑事責(zé)任等問(wèn)題仍需要法律來(lái)明確���。
目前個(gè)人信息保護(hù)法尚在制訂中��,我們期待新的法律可以明確法律執(zhí)行機(jī)構(gòu)�����、刑事責(zé)任等問(wèn)題,為個(gè)人信息保護(hù)提供法律依據(jù)��,加大個(gè)人信息保護(hù)力度���,成為保障公民個(gè)人信息合法權(quán)益的堅(jiān)實(shí)盾牌�����。
微信號(hào) : jiangsuguojun
新浪微博:江蘇國(guó)駿-網(wǎng)絡(luò)安全管理專家
● 掃碼關(guān)注我們
