标准规范下载简介
GBT 35273-2020 个人信息安全规范.pdf简介:
GBT 35273-2020《个人信息安全规范》是中国国家标准,全称为《信息安全技术 个人信息安全规范》。该标准于2020年发布,主要目的是为了规范个人信息的收集、处理、存储和使用过程中的安全保护,以保护个人信息不被非法获取、使用、泄露或丢失。标准涵盖了个人信息的收集、处理、存储、使用、保护、废弃等全生命周期,对个人信息的分类、权限管理、安全策略、安全措施、安全事件应对等方面进行了详细的规定。
该规范适用于各类组织和个人在运营、管理、服务过程中处理个人信息的活动,包括但不限于互联网企业、金融机构、公共服务机构等。通过遵循该标准,组织和个人可以有效提升个人信息保护的规范化和法制化水平,保障个人隐私权和信息安全。
GBT 35273-2020 个人信息安全规范.pdf部分内容预览:
对个人信息控制者的要求包括:
GB/T352732020
GB/T352732020
客运专线铁路箱梁运架操作口令编制与管理 工管工[2009]83号表A.1个人信息举例
GB/T 352732020
附录B (资料性附录) 个人敏感信息判定 个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致 个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含) 儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。可从以下角度判定是否属 于个人敏感信息: 泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机 构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息 在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可 能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的 身份证复印件被他人用手手机号卡实名登记、银行账户开户办卡等。 非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信 息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病 史等。 滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范 围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未 取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。 表B.1给出了个人敏感信息举例
表B.1个人敏感信息举例
GB/T352732020
附录C (资料性附录) 实现个人信息主体自主意愿的方
实现个人信息主体自主意愿的方法
保障个人信息主体自主意愿包括两个方面:一是不强迫个人信息主体接受多项业务 功能;二是保障个人信息主体对个人信息收集、使用的知情权和授权同意的权利。个人 信息控制者,尤其是移动互联网应用程序运营者,可通过以下方式实现
C.2区分基本业务功能和扩展业务功能
C.3基本业务功能的告知和明示同意
基本业务功能的告知和明示同意的实现方法如下: a) 在基本业务功能开启前(如个人信息主体初始安装、首次使用、注册账号等) 应通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式), 向个人信息主体告知基本业务功能所必要收集的个人信息类型,以及个人信息 主体拒绝提供或拒绝同意收集将造成的影响,并通过个人信息主体对信息收集 主动作出肯定性动作(如勾选、点击“同意”或“下一步”等)征得其明示同 意; 注:当产品或服务所提供的基本业务功能无需一次性全部开启时,宜根据个人信息主体的具体使用行 为逐步开启基本业务功能,并即时完成a)的告知要求。 b)个人信息主体不同意收集基本业务功能所必要收集的个人信息的,个人信息控 制者可拒绝向个人信息主体提供该业务功能; c)a)所要求的交互界面或设计应方便个人信息主体再次访问及更改其同意的范 围。 注:上述要求的实现方式可参考C. 5。
GB/T 352732020
C.4扩展业务功能的告知和明示同意
扩展业务功能的告知和明示同意的实现方法如下: a)在扩展业务功能首次使用前,应通过交互界面或设计(如弹窗、文字说明、填 与框、提示条、提示音等形式),向个人信息主体逐一告知所提供扩展业务功 能及所必要收集的个人信息,并允许个人信息主体对扩展业务功能逐项选择同 意; b)个人信息主体不同意收集扩展业务功能所必要收集的个人信息的,个人信息控 制者不应反复征求个人信息主体的同意。除非个人信息主体主动选择开启扩展 功能,在48h内向个人信息主体征求同意的次数不应超过一次; c)个人信息主体不同意收集扩展业务功能所必要收集的个人信息的,不应拒绝提 供基本业务功能或降低基本业务功能的服务质量; d)a)所要求的交互界面或设计应方便个人信息主体再次访问及更改其同意的范 围。 注:上述要求的实现方式可参考C.5。
C.5交互式功能界面设计
个人信息控制者可参考表C.1所示模板设计交互式功能界面,保障个人信息主体能 充分行使其选择同意的权利。 该功能界面应在个人信息控制者开始收集个人信息前,如产品安装过程中,或个人 言息主体首次使用产品或服务时,或个人信息主体注册账号时,由个人信息控制者主动 向个人信息主体提供。如以填写纸质材料收集个人信息的,个人信息控制者可以参考以 下模板内容设计表格,以保障个人信息主体能行使选择同意的权利
GB/T35273—2020表C.1交互式功能界面模板功能界面模板说明1、为向个人信息主体清晰展示收集个人信息的页面一:基本业务功能收集的个人信息说明目的、种类等,并分情形征得个人信息主体同意。建议个人信息控制者采用分阶段、分窗口、分屏幕等方式向个人信本产品(或服务)的基本业务功能为:息主体展示左侧模板中【赋值:个人信息控制者定义的基本业务功能及功能描述】的功能界面。一、为完成基本业务功能所需,您需要填写以下个人信息:2、个人信息控制者需明确定义其产品或服务的【赋值:个人信息控制者定义的个人信息名称】文本输入框基本业务功能,识别其【赋值:个人信息控制者定义的个人信息名称】文本输入框所需收集的个人信息。3、左侧模板中的赋值需二、为完成基本业务功能所需,我们还会自动采集以下个人信息:要个人信息控制者根据实际情形给出,且内容【赋值:个人信息控制者定义的个人信息名称】应清楚明白易懂,不应【赋值:个人信息控制者定义的个人信息名称】..使用概括性、模糊性语句描述所收集的个人信息。如您选择不提供或不同意我们采集、使用以上这些个人信息,将导致本产品(或服务)无法正常运行,我们将无法为您服务。4、个人信息控制者可结合实际的产品或服务形商业广告:我们可能会将您的个人信息用于向您推送您感兴趣的商业广态,考虑适宜、便捷等告。您可以通过以下方式退订商业广告【赋值,个人信息控制者定义的操因素实现左侧模板中的作】。功能。我已知晓本产品(或服务)的基本业务功能收集上述5、个人信息控制者在实个人信息,并同意对其的收集、使用行为。现左侧功能界面时,“勾选处”不应采用预填写取消下一页的方式。27
GB/T 352732020
附录D (资料性附录) 个人信息保护政策模板 发布个人信息保护政策是个人信息控制者遵循公开透明原则的重要体现,是保证个 人信息主体知情权的重要手段,还是约束自身行为和配合监督管理的重要机制。个人信 息保护政策应清晰、准确、完整地描述个人信息控制者的个人信息处理行为。个人信息 保护政策模板示例见表D.1。
表D.1个人信息保护政策模板
北京市房屋修缮工程工期定额(2018年)(京建发[2018]569号 北京市住房和城乡建设委员会2018年12月)GB/T352732020
GB/T352732020
GB/T 352732020
GB/T352732020
客运专线桥梁混凝土桥面防水层暂行技术条件(修订稿) 科技基[2007]56号GB/T 352732020
GB/T352732020
GB/T 352732020