信息安全技术 个人信息安全规范

ICS35.040L80中华人民共和国国家标准GB/T35273—2017信息安全技术个人信息安全Informationsecuritytechnology—Personalinformationsecurityspecification（报批稿）2017-11-302017-12-29发布2018-05-01实施GB/T35273—2017I目次前言...............................................................................III引言................................................................................IV1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14个人信息安全基本原则...............................................................35个人信息的收集.....................................................................45.1收集个人信息的合法性要求........................................................45.2收集个人信息的最小化要求........................................................45.3收集个人信息时的授权同意........................................................45.4征得授权同意的例外..............................................................45.5收集个人敏感信息时的明示同意....................................................55.6隐私政策的内容和发布............................................................56个人信息的保存.....................................................................66.1个人信息保存时间最小化..........................................................66.2去化处理....................................................................66.3个人敏感信息的传输和存储........................................................66.4个人信息控制者停止运营..........................................................67个人信息的使用.....................................................................67.1个人信息访问控制措施............................................................77.2个人信息的展示限制..............................................................77.3个人信息的使用限制..............................................................77.4个人信息访问....................................................................77.5个人信息更正....................................................................87.6个人信息删除....................................................................87.7个人信息主体撤回同意............................................................87.8个人信息主体注销账户............................................................87.9个人信息主体获取个人信息副本....................................................87.10约束信息系统自动决策...........................................................87.11响应个人信息主体的请求.........................................................97.12申诉管理.......................................................................98个人信息的委托处理、共享、转让、公开披露...........................................98.1委托处理........................................................................98.2个人信息共享、转让.............................................................108.3收购、兼并、重组时的个人信息转让...............................................108.4个人信息公开披露...............................................................108.5共享、转让、公开披露个人信息时事先征得授权同意的例外...........................11GB/T35273—2017II8.6共同个人信息控制者.............................................................118.7个人信息跨境传输要求...........................................................119个人信息安全事件处置..............................................................119.1安全事件应急处置和报告.........................................................119.2安全事件告知...................................................................1210组织的管理要求...................................................................1210.1明确责任部门与人员............................................................1210.2开展个人信息安全影响评估......................................................1210.3数据安全能力..................................................................1310.4人员管理与培训................................................................1310.5安全审计......................................................................13附录A（资料性附录）个人信息示例...................................................15附录B（资料性附录）个人敏感信息判定...............................................16附录C（资料性附录）保障个人信息主体选择同意权的方法................................17附录D（资料性附录）隐私政策模板..................................................20参考文献............................................................................29GB/T35273—2017III前言本标准按照GB/T1.1—2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。请注意本文件的其他内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：北京信息安全测评中心、中国电子技术标准化研究院、颐信科技有限公司、四川大学、北京大学、清华大学、中国信息安全研究院有限公司、公安部第一研究所、上海国际问题研究院、阿里巴巴（北京）软件服务有限公司、深圳腾讯计算机系统有限公司、中电长城网际系统应用有限公司、阿里云计算有限公司、华为技术有限公司、强韵数据科技有限公司。本标准主要起草人：洪延青、钱秀槟、何延哲、左晓栋、陈兴蜀、高磊、刘贤刚、邵华、蔡晓丹、黄晓林、顾伟、黄劲、上官晓丽、赵章界、范红、杜跃进、杨思磊、张亚男、金涛、叶晓俊、郑斌、闵京华、鲁传颖、周亚超、杨露、王海舟、王建民、秦颂、姚相振、葛小宇、王道奎、赵冉冉、沈锡镛。GB/T35273—2017IV引言近年，随着信息技术的快速发展和互联网应用的普及，越来越多的组织大量收集、使用个人信息，给人们生活带来便利的同时，也出现了对个人信息的非法收集、滥用、泄露等问题，个人信息安全面临严重威胁。本标准针对个人信息面临的安全问题，规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为，旨在遏制个人信息非法收集、滥用、泄漏等乱象，最大程度地保障个人的合法权益和社会公共利益。对标准中的具体事项，法律法规另有规定的，需遵照其规定执行。GB/T35273—20171信息安全技术个人信息安全规范1范围本标准规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求。本标准适用于规范各类组织个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069—2010信息安全技术术语3术语和定义GB/T25069—2010中界定的以及下列术语和定义适用于本文件。3.1个人信息personalinformation以电子或者其他方式的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。注2：关于个人信息的范围和类型可参见附录A。3.2个人敏感信息personalsensitiveinformation一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。注1：个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。注2：关于个人敏感信息的范围和类型可参见附录B。GB/T35273—201723.3个人信息主体personaldatasubject个人信息所标识的自然人。3.4个人信息控制者personaldatacontroller有权决定个人信息处理目的、方式等的组织或个人。3.5收集collect获得对个人信息的控制权的行为，包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集，以及通过共享、转让、搜集公开信息间接获取等方式。注：如果产品或服务的提供者提供工具供个人信息主体使用，提供者不对个人信息进行访问的，则不属于本标准所称的收集行为。例如，离线导航软件在终端获取用户位置信息后，如不回传至软件提供者，则不属于个人信息收集行为。3.6明示同意explicitconsent个人信息主体通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为。注：肯定性动作包括个人信息主体主动作出声明（电子或纸质形式）、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。3.7用户画像userprofiling通过收集、汇聚、分析个人信息，对某特定自然人个人特征，如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测，形成其个人特征模型的过程。注：直接使用特定自然人的个人信息，形成该自然人的特征模型，称为直接用户画像。使用来源于特定自然人以外的个人信息，如其所在群体的数据，形成该自然人的特征模型，称为间接用户画像。3.8个人信息安全影响评估personalinformationsecurityimpactassessment针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。3.9删除delete在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态。GB/T35273—201733.10公开披露publicdisclosure向社会或不特定人群发布信息的行为。3.11转让transferofcontrol将个人信息控制权由一个控制者向另一个控制者转移的过程。3.12共享sharing个人信息控制者向其他控制者提供个人信息，且双方分别对个人信息拥有独立控制权的过程。3.13匿名化anonymization通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息不能被复原的过程。注：个人信息经匿名化处理后所得的信息不属于个人信息。3.14去标识化de-identification通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程。注：去标识化建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信息的标识。4个人信息安全基本原则个人信息控制者开展个人信息处理活动，应遵循以下基本原则：a)权责一致原则——对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。b)目的明确原则——具有合法、正当、必要、明确的个人信息处理目的。c)选择同意原则——向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意。d)最少够用原则——除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时根据约定删除个人信息。e)公开透明原则——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督。f)确保安全原则——具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性。GB/T35273—20174g)主体参与原则——向个人信息主体提供能够访问、更正、删除其个人信息，以及撤回同意、注销账户等方法。5个人信息的收集5.1收集个人信息的合法性要求对个人信息控制者的要求包括：a)不得欺诈、诱骗、强迫个人信息主体提供其个人信息；b)不得隐瞒产品或服务所具有的收集个人信息的功能；c)不得从非法渠道获取个人信息；d)不得收集法律法规明令禁止收集的个人信息。5.2收集个人信息的最小化要求对个人信息控制者的要求包括：a)收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与，产品或服务的功能无法实现；b)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；c)间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。5.3收集个人信息时的授权同意对个人信息控制者的要求包括：a)收集个人信息前，应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型，以及收集、使用个人信息的规则（例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等），并获得个人信息主体的授权同意；b)间接获取个人信息时：1)应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认；2)应了解个人信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，个人信息主体是否授权同意转让、共享、公开披露等。如本组织开展业务需进行的个人信息处理活动超出该授权同意范围，应在获取个人信息后的合理期限内或处理个人信息前，征得个人信息主体的明示同意。5.4征得授权同意的例外以下情形中，个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意：a)与国家安全、国防安全直接相关的；b)与公共安全、公共卫生、重大公共利益直接相关的；c)与犯罪侦查、起诉、审判和判决执行等直接相关的；d)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的；e)所收集的个人信息是个人信息主体自行向社会公众公开的；GB/T35273—20175f)从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道；g)根据个人信息主体要求签订和履行所必需的；h)用于维护所提供的产品或服务的安全稳定运行所必需的，例如发现、处置产品或服务的故障；i)个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的；j)个人信息控制者为学术研究机构，出于公共利益开展统计或学术研究所必要，且其对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的；k)法律法规规定的其他情形。5.5收集个人敏感信息时的明示同意对个人信息控制者的要求包括：a)收集个人敏感信息时，应取得个人信息主体的明示同意。应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示；b)通过主动提供或自动采集方式收集个人敏感信息前，应：1)向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息，并明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集；2)产品或服务如提供其他附加功能，需要收集个人敏感信息时，收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需，并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时，可不提供相应的附加功能，但不应以此为理由停止提供核心业务功能，并应保障相应的服务质量。注：上述要求的实现方法可参考附录C。c)收集年满14的未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意。5.6隐私政策的内容和发布对个人信息控制者的要求包括：a)个人信息控制者应制定隐私政策，内容应包括但不限于：1)个人信息控制者的基本情况，包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等；2)收集、使用个人信息的目的，以及目的所涵盖的各个业务功能，例如将个人信息用于推送商业广告，将个人信息用于形成直接用户画像及其用途等；3)各业务功能分别收集的个人信息，以及收集方式和频率、存放地域、存储期限等个人信息处理规则和实际收集的个人信息范围；4)对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型，以及所承担的相应法律责任；5)遵循的个人信息安全基本原则，具备的数据安全能力，以及采取的个人信息安全保护措施；GB/T35273—201766)个人信息主体的权利和实现机制，如访问方法、更正方法、删除方法、注销账户的方法、撤回同意的方法、获取个人信息副本的方法、约束信息系统自动决策的方法等；7)提供个人信息后可能存在的安全风险，及不提供个人信息可能产生的影响；8)处理个人信息主体询问、投诉的渠道和机制，以及外部纠纷解决机构及联络方式。b)隐私政策所告知的信息应真实、准确、完整；c)隐私政策的内容应清晰易懂，符合通用的语言习惯，使用标准化的数字、图示等，避免使用有歧义的语言，并在起始部分提供摘要，简述告知内容的重点；d)隐私政策应公开发布且易于访问，例如，在网站主页、移动应用程序安装页、社交媒体首页等显著位置设置链接；e)隐私政策应逐一送达个人信息主体。当成本过高或有显著困难时，可以公告的形式发布；f)在本条a）所载事项发生变化时，应及时更新隐私政策并重新告知个人信息主体。注：隐私政策的内容可参考附录D。6个人信息的保存6.1个人信息保存时间最小化对个人信息控制者的要求包括：a)个人信息保存期限应为实现目的所必需的最短时间；b)超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。6.2去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。6.3个人敏感信息的传输和存储对个人信息控制者的要求包括：a)传输和存储个人敏感信息时，应采用加密等安全措施；b)存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。6.4个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a)及时停止继续收集个人信息的活动；b)将停止运营的通知以逐一送达或公告的形式通知个人信息主体；c)对其所持有的个人信息进行删除或匿名化处理。7个人信息的使用GB/T35273—201777.1个人信息访问控制措施对个人信息控制者的要求包括：a)对被授权访问个人信息的内部数据操作人员，应按照最小授权的原则，使其只能访问职责所需的最少够用的个人信息，且仅具备完成职责所需的最少的数据操作权限；b)宜对个人信息的重要操作应设置内部审批流程，如批量修改、拷贝、下载等；c)应对安全管理人员、数据操作人员、审计人员的角色进行分离设置；d)如确因工作需要，需授权特定人员超权限处理个人信息的，应由个人信息保护责任人或个人信息保护工作机构进行审批，并记录在册；注：个人信息保护责任人或个人信息保护工作机构的确定见本标准10.1。e)对个人敏感信息的访问、修改等行为，宜在对角色的权限控制的基础上，根据业务流程的需求触发操作授权。例如，因收到客户投诉，投诉处理人员才可访问该用户的相关信息。7.2个人信息的展示限制涉及通过界面展示个人信息的（如显示屏幕、纸面），个人信息控制者宜对需展示的个人信息采取去标识化处理等措施，降低个人信息在展示环节的泄露风险。例如，在个人信息展示时，防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。7.3个人信息的使用限制对个人信息控制者的要求包括：a)除目的所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人。例如，为准确个人信用状况，可使用直接用户画像，而用于推送商业广告目的时，则宜使用间接用户画像；b)对所收集的个人信息进行加工处理而产生的信息，能够单独或与其他信息结合识别自然人个人身份，或者反映自然人个人活动情况的，应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围；注：加工处理而产生的个人信息属于个人敏感信息的，对其处理应符合本标准对个人敏感信息的要求。c)使用个人信息时，不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意。注：将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述，属于与收集目的具有合理关联的范围之内。但对外提供学术研究或描述的结果时，应对结果中所包含的个人信息进行去标识化处理。7.4个人信息访问个人信息控制者应向个人信息主体提供访问下列信息的方法：a)其所持有的关于该主体的个人信息或类型；b)上述个人信息的来源、所用于的目的；c)已经获得上述个人信息的第三方身份或类型。GB/T35273—20178注：个人信息主体提出访问非其主动提供的个人信息时，个人信息控制者可在综合考虑不响应请求可能对个人信息主体合法权益带来的风险和损害，以及技术可行性、实现请求的成本等因素后，做出是否响应的决定，并给出解释说明。7.5个人信息更正个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的，个人信息控制者应为其提供请求更正或补充信息的方法。7.6个人信息删除对个人信息控制者的要求包括：a)符合以下情形的，个人信息主体要求删除的，应及时删除个人信息：1)个人信息控制者违反法律法规规定，收集、使用个人信息的；2)个人信息控制者违反了与个人信息主体的约定，收集、使用个人信息的。b)个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息，且个人信息主体要求删除的，个人信息控制者应立即停止共享、转让的行为，并通知第三方及时删除；c)个人信息控制者违反法律法规规定或与个人信息主体的约定，公开披露个人信息，且个人信息主体要求删除的，个人信息控制者应立即停止公开披露的行为，并发布通知要求相关接收方删除相应的信息。7.7个人信息主体撤回同意对个人信息控制者的要求包括：a)应向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。撤回同意后，个人信息控制者后续不得再处理相应的个人信息；b)应保障个人信息主体拒绝接收基于其个人信息推送的商业广告的权利。对外共享、转让、公开披露个人信息，应向个人信息主体提供撤回同意的方法。注：撤回同意不影响撤回前基于同意的个人信息处理。7.8个人信息主体注销账户对个人信息控制者的要求包括：a)通过注册账户提供服务的个人信息控制者，应向个人信息主体提供注销账户的方法，且该方法应简便易操作；b)个人信息主体注销账户后，应删除其个人信息或做匿名化处理。7.9个人信息主体获取个人信息副本根据个人信息主体的请求，个人信息控制者应为个人信息主体提供获取以下类型个人信息副本的方法，或在技术可行的前提下直接将以下个人信息的副本传输给第三方：a)个人基本资料、个人身份信息；b)个人健康生理信息、个人教育工作信息。7.10约束信息系统自动决策GB/T35273—20179当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时（例如基于用户画像决定个人信用及贷款额度，或将用户画像用于面试筛选），个人信息控制者应向个人信息主体提供申诉方法。7.11响应个人信息主体的请求对个人信息控制者的要求包括：a)在验证个人信息主体身份后，应及时响应个人信息主体基于本标准第7.4至7.10提出的请求，应在三十天内或法律法规规定的期限内做出答复及合理解释，并告知个人信息主体向外部提出纠纷解决的途径；b)对合理的请求原则上不收取费用，但对一定时期内多次重复的请求，可视情收取一定成本费用；c)如直接实现个人信息主体的请求需要付出高额的成本或存在其他显著的困难，个人信息控制者应向个人信息主体提供其他替代性方法，以保护个人信息主体的合法权益；d)以下情况可不响应个人信息主体基于本标准7.4至7.10提出的请求，包括但不限于：1)与国家安全、国防安全直接相关的；2)与公共安全、公共卫生、重大公共利益直接相关的；3)与犯罪侦查、起诉、审判和执行判决等直接相关的；4)个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的；5)响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的；6)涉及商业秘密的。7.12申诉管理个人信息控制者应建立申诉管理机制，包括跟踪流程，并在合理的时间内，对申诉进行响应。8个人信息的委托处理、共享、转让、公开披露8.1委托处理委托处理个人信息时，应遵守以下要求：a)个人信息控制者作出委托行为，不得超出已征得个人信息主体授权同意的范围或遵守本标准5.4规定的情形；b)个人信息控制者应对委托行为进行个人信息安全影响评估，确保受委托者具备足够的数据安全能力，提供了足够的安全保护水平；c)受委托者应：1)严格按照个人信息控制者的要求处理个人信息。如受委托者因特殊原因未按照个人信息控制者的要求处理个人信息，应及时向个人信息控制者反馈；2)如受委托者确需再次委托时，应事先征得个人信息控制者的授权；3)协助个人信息控制者响应个人信息主体基于本标准7.4至7.10提出的请求；GB/T35273—2017104)如受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件，应及时向个人信息控制者反馈；5)在委托关系解除时不再保存个人信息。d)个人信息控制者应对受委托者进行监督，方式包括但不限于：1)通过合同等方式规定受委托者的责任和义务；2)对受委托者进行审计。e)个人信息控制者应准确记录和保存委托处理个人信息的情况。8.2个人信息共享、转让个人信息原则上不得共享、转让。个人信息控制者确需共享、转让时，应充分重视风险。共享、转让个人信息，非因收购、兼并、重组原因的，应遵守以下要求：a)事先开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施；b)向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型，并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息，且确保数据接收方无法重新识别个人信息主体的除外；c)共享、转让个人敏感信息前，除8.2b）中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力，并事先征得个人信息主体的明示同意；d)准确记录和保存个人信息的共享、转让的情况，包括共享、转让的日期、规模、目的，以及数据接收方基本情况等；e)承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任；f)帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况，以及个人信息主体的权利，例如，访问、更正、删除、注销账户等。8.3收购、兼并、重组时的个人信息转让当个人信息控制者发生收购、兼并、重组等变更时，个人信息控制者应：a)向个人信息主体告知有关情况；b)变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务，如变更个人信息使用目的时，应重新取得个人信息主体的明示同意。8.4个人信息公开披露个人信息原则上不得公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时，应充分重视风险，遵守以下要求：a)事先开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施；b)向个人信息主体告知公开披露个人信息的目的、类型，并事先征得个人信息主体明示同意；c)公开披露个人敏感信息前，除8.4b）中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的内容；d)准确记录和保存个人信息的公开披露的情况，包括公开披露的日期、规模、目的、公开范围等；e)承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任；GB/T35273—201711f)不得公开披露个人生物识别信息。8.5共享、转让、公开披露个人信息时事先征得授权同意的例外以下情形中，个人信息控制者共享、转让、公开披露个人信息无需事先征得个人信息主体的授权同意：a)与国家安全、国防安全直接相关的；b)与公共安全、公共卫生、重大公共利益直接相关的；c)与犯罪侦查、起诉、审判和判决执行等直接相关的；d)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的；e)个人信息主体自行向社会公众公开的个人信息；f)从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道。8.6共同个人信息控制者当个人信息控制者与第三方为共同个人信息控制者时（例如服务平台与平台上的签约商家），个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求，以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。注：个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件（例如网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包SDK、调用地图API接口），且该第三方并未单独向个人信息主体征得收集、使用个人信息的授权同意，则个人信息控制者与该第三方为共同个人信息控制者。8.7个人信息跨境传输要求在中华人民共和国境内运营中收集和产生的个人信息向境外提供的，个人信息控制者应当按照国家网信部门会同国务院有关部门制定的办法和相关标准进行安全评估，并符合其要求。9个人信息安全事件处置9.1安全事件应急处置和报告对个人信息控制者的要求包括：a)应制定个人信息安全事件应急预案；b)应定期（至少每年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程；c)发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1)记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门；2)评估事件可能造成的影响，并采取必要措施控制事态，消除隐患；GB/T35273—2017123)按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式；4)按照本标准9.2的要求实施安全事件的告知。d)根据相关法律法规变化情况，以及事件处置情况，及时更新应急预案。9.2安全事件告知对个人信息控制者的要求包括：a)应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时，应采取合理、有效的方式发布与公众有关的警示信息；b)告知内容应包括但不限于：1)安全事件的内容和影响；2)已采取或将要采取的处置措施；3)个人信息主体自主防范和降低风险的建议；4)针对个人信息主体提供的补救措施；5)个人信息保护负责人和个人信息保护工作机构的联系方式。10组织的管理要求10.1明确责任部门与人员对个人信息控制者的要求包括：a)应明确其法定代表人或主要负责人对个人信息安全负全面领导责任，包括为个人信息安全工作提供人力、财力、物力保障等；b)应任命个人信息保护负责人和个人信息保护工作机构；c)满足以下条件之一的组织，应设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作：1)主要业务涉及个人信息处理，且从业人员规模大于200人；2)处理超过50万人的个人信息，或在12个月内预计处理超过50万人的个人信息。d)个人信息保护负责人和个人信息保护工作机构应履行的职责包括但不限于：1)全面统筹实施组织内部的个人信息安全工作，对个人信息安全负直接责任；2)制定、签发、实施、定期更新隐私政策和相关规程；3)应建立、维护和更新组织所持有的个人信息清单（包括个人信息的类型、数量、来源、接收方等）和授权访问策略；4)开展个人信息安全影响评估；5)组织开展个人信息安全培训；6)在产品或服务上线发布前进行检测，避免未知的个人信息收集、使用、共享等处理行为；7)进行安全审计。10.2开展个人信息安全影响评估GB/T35273—201713对个人信息控制者的要求包括：a)建立个人信息安全影响评估制度，定期（至少每年一次）开展个人信息安全影响评估；b)个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况，以及个人信息处理活动对个人信息主体合法权益的影响，内容包括但不限于：1)个人信息收集环节是否遵循目的明确、选择同意、最少够用等原则；2)个人信息处理是否可能对个人信息主体合法权益造成不利影响，包括处理是否会危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等；3)个人信息安全措施的有效性；4)匿名化或去标识化处理后的数据集重新识别出个人信息主体的风险；5)共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响；6)如发生安全事件，对个人信息主体合法权益可能产生的不利影响。c)在法律法规有新的要求时，或在业务模式、信息系统、运行环境发生重大变更时，或发生重大个人信息安全事件时，应重新进行个人信息安全影响评估；d)形成个人信息安全影响评估报告，并以此采取保护个人信息主体的措施，使风险降低到可接受的水平；e)妥善留存个人信息安全影响评估报告，确保可供相关方查阅，并以适宜的形式对外公开。10.3数据安全能力个人信息控制者应根据有关国家标准的要求，建立适当的数据安全能力，落实必要的管理和技术措施，防止个人信息的泄漏、损毁、丢失。10.4人员管理与培训对个人信息控制者的要求包括：a)应与从事个人信息处理岗位上的相关人员签署保密协议，对大量接触个人敏感信息的人员进行背景审查；b)应明确内部涉及个人信息处理不同岗位的安全职责，以及发生安全事件的处罚机制；c)应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时，继续履行保密义务；d)应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求，与其签署保密协议，并进行监督；e)应定期（至少每年一次）或在隐私政策发生重大变化时，对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核，确保相关人员熟练掌握隐私政策和相关规程。10.5安全审计对个人信息控制者的要求包括：a)应对隐私政策和相关规程，以及安全措施的有效性进行审计；GB/T35273—201714b)应建立自动化审计系统，监测记录个人信息处理活动；c)审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑；d)应防止非授权访问、篡改或删除审计记录；e)应及时处理审计过程中发现的个人信息违规使用、滥用等情况。GB/T35273—201715附录A（资料性附录）个人信息示例个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。二是关联，即从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。表A.1个人信息举例个人基本资料个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮箱等个人身份信息身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等个人生物识别信息个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等网络身份标识信息系统账号、IP地址、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等个人健康生理信息个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以及与个人身体健康状况产生的相关信息，及体重、身高、肺活量等个人教育工作信息个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等个人财产信息银行账号、鉴别信息(口令)、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息个人通信信息通信记录和内容、短信、彩信、电子邮件，以及描述个人通信的数据（通常称为元数据）等联系人信息通讯录、好友列表、群列表、电子邮件地址列表等个人上网记录指通过日志储存的用户操作记录，包括网站浏览记录、软件使用记录、点击记录等个人常用设备信息指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码（如IMEI/androidID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等）等在内的描述个人常用设备基本情况的信息个人位置信息包括行踪轨迹、精准定位信息、住宿信息、经纬度等其他信息婚史、宗教信仰、性取向、未公开的违法犯罪记录等GB/T35273—201716附录B（资料性附录）个人敏感信息判定个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下，14岁以下（含）儿童的个人信息和自然人的隐私信息属于个人敏感信息。可从以下角度判定是否属于个人敏感信息：泄露：个人信息一旦泄露，将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后，被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析，可能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。非法提供：某些个人信息仅因在个人信息主体授权同意范围外扩散，即可对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，性取向、存款信息、传染病史等。滥用：某些个人信息在被超出授权合理界限时使用（如变更处理目的、扩大处理范围等），可能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，在未取得个人信息主体授权时，将健康信息用于保险公司营销和确定个体保费高低。表B.1给出了个人敏感信息的示例。表B.1个人敏感信息举例个人财产信息银行账号、鉴别信息(口令)、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息个人健康生理信息个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以及与个人身体健康状况产生的相关信息等个人生物识别信息个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等个人身份信息身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等网络身份标识信息系统账号、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等其他信息个人电话号码、性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等GB/T35273—201717附录C（资料性附录）保障个人信息主体选择同意权的方法本附录给出了向个人信息主体就个人敏感信息的收集、使用，以及个人信息的共享、转让、公开披露等事项征求授权同意的实现方法。个人信息控制者可参考以下模板设计功能界面，保障个人信息主体能充分行使其选择同意的权利。该功能界面应在个人信息控制者开始收集个人敏感信息前，如产品安装过程中，或个人信息主体首次使用产品或服务时，或个人信息主体注册账号时，由个人信息控制者主动向个人信息主体提供。如以填写纸质材料收集个人敏感信息的，个人信息控制者可以参考以下模板内容设计表格，以保障个人信息主体能行使选择同意的权利。功能界面模板说明1、为向个人信息主体清晰展示收集个人敏感信息的目的、种类等，并分情形征得个人信息主体同意。建议个人信息控制者采用分阶段、分窗口、分屏幕等方式向个人信息主体展示左侧模板中的功能界面。2、个人信息控制者需明确定义其产品（或服务）的核心业务功能，识别其必需收集的个人敏感信息。3、左侧模板中的赋值需要个人信息控制者根据实际情形给出，且内容应清楚明白易懂，不得使用概括性、模糊性语句描述所收集的个人敏感信息。4、个人信息控制者可结合实际的产品（或服务）形态，考虑适宜、便捷等因素实现左侧模板中的功能。5、个人信息控制者在实现左侧功能界面时，“勾选处”不得采用预填写的方式。GB/T35273—201718功能界面模板说明6、附加业务功能是核心业务功能之外的其他功能，常见的附加业务功能如：提高产品（或服务）的使用体验的附加功能（如语音识别、图片识别、地理定位等）、提升产品（或服务）的安全机制的附加功能等（如收集密保邮箱、指纹等）。7、附加业务功能一般具有可选择、可退订、不影响核心业务等特点，个人信息控制者在识别附加业务功能时需要充分分析其是否具备这些特点，不得将附加业务功能等同于核心业务功能，强制收集个人敏感信息。8、在此页面中，综合个人信息主体主动填写的个人敏感信息项和同意自动采集的个人敏感信息项，个人信息控制者可即时展示个人信息主体可使用的附加功能。9、个人信息控制者应告知个人信息主体再次访问该功能界面的方法，保障个人信息主体撤回同意的权利。GB/T35273—201719功能界面模板说明10、与第三方共享、转让和公开披露的情形可能因业务功能复杂的原因变得多样化。个人信息控制者可酌情在此页面增加共享、转让、公开披露的场景，或在用户使用过程中以弹窗等形式单独告知，并征得同意。11、数据安全能力指个人信息控制者保护个人信息保密性、完整性和可用性的能力，个人信息控制者可以通过开展相关的国家标准合规工作证明其数据安全能力，并将相关证明以链接形式向个人信息主体展示。12、个人信息控制者应向个人信息主体提供针对处理规则的答疑渠道，如果个人信息主体不认可其处理规则，可以选择不继续使用该产品（或服务）。13、应向个人信息主体告知与个人信息控制者联系的方式。14、应明示隐私政策的链接，以便个人信息主体查阅。GB/T35