2020年03月26日
3月6日,國家市場監督管理總局、國家標準化管理委員會發布《 GB/T35273-2020信息安全技術 個人信息安全規范》,(以下簡稱“新規范”)并定于2020年10月1日實施。本文對新規范的新增內容和修改部分進行了闡述,并從多項業務功能的自主選擇、用戶畫像及個性化展示的使用、第三方接入管理、個人生物信息的安全等方面做了重點解讀。
新規范相較于2017版增加了如下幾個方面:
5.3 多項業務功能的自主選擇;
7.4 用戶畫像的使用限制;
7.5 個性化展示的使用;
7.6 基于不同業務目的所收集個人信息的匯聚融合;
9.7 第三方接入管理;
11.2 個人信息安全工程;
11.3 個人信息處理活動記錄。
在2017版基礎上修改了如下幾個方面:
5.6征得授權同意的例外;
8.5個人信息主體注銷賬戶;
11.1明確責任部門與人員;
附錄C 實現個人信息主體自主意愿的方法。
個人信息保護不只是簡單的技術防護,它需要企業打出“組合拳”,提升管理水平和技術能力。管理要求方面,新版標準要求個人信息控制者在組織內部指定個人信息保護主要負責人,建立個人信息保護的工作機構及其負責人,明確工作職責,在產品和服務的生命周期中考慮個人信息安全保護要求;技術方面提出了“去標識化”、“匿名化”、“加密”等技術防護手段。通過實現7大個人信息安全基本原則,落實個人信息保護工作。
新版標準除延續原有的保護要求,新增的條款對個人信息安全保護的熱點問題,如多項業務捆綁要求用戶一攬子授權、用戶畫像使用、個人生物信息的保護等提出了針對性的保護要求。
01
多項業務功能的自主選擇
新版標準針對部分產品和服務捆綁業務功能要求用戶一攬子授權的現象,提出個人信息控制者在收集信息前應先梳理業務、識別基本業務功能和擴展業務功能,并針對不同的業務功能分別向個人信息主體征求授權。
如個人信息主體拒絕基本業務功能的信息采集授權,個人信息控制者可拒絕為個人信息主體提供服務和產品。若個人信息控制者授權基本業務功能拒絕了擴展業務功能,個人信息控制者仍應提供穩定的基本業務功能,且不得頻繁騷擾索要擴展業務功能,不得以提升服務質量等為由要求個人信息主體授權。
02
用戶畫像和個性化展示的使用
隨著技術的發展,對由個人信息匯聚、加工、處理而生成的用戶畫像和個性化信息的使用更加普遍,新的標準針對用戶畫像和個性化信息的使用,提出了如下的要求:
03
第三方接入管理
當個人信息控制者在其產品或服務中接入具備收集個人信息功能的第三方產品或服務且不屬于委托處理和共同個人信息者時,個人信息控制者應建立第三方產品的安全接入機制,通過合同等方式明確雙方的安全責任和應實施的義務,并向個人主體明確標識產品或服務由第三方提供 。
個人信息主體應要求第三方應遵循本標準的要求,包括授權同意、響應個人主體請求等。
個人信息主體應監督第三方加強個人信息安全管理,發現第三方沒有落實安全管理要求時,應督促其整改,必要時停止接入。
04
個人生物信息的安全
新規范對敏感信息尤其是個人生物信息的保護更加重視,在采集、存儲等多方面補充了如下要求:
《GB/T35273-2020信息安全技術 個人信息安全規范》通過6大管理措施和7大控制點對信息人信息進行保護,相較于2017版標準重點對社會上較關注的個人信息的授權、使用過程中的問題提出了指導方案。
但《GB/T35273-2020信息安全技術 個人信息安全規范》屬于推薦執行的標準,適用對象為個人信息控制者和主管監管機構、第三方評估機構,主要用來指導個人信息控制者做好個人信息保護工作。個人信息保護的執法機構、刑事責任等問題仍需要法律來明確。
目前個人信息保護法尚在制訂中,我們期待新的法律可以明確法律執行機構、刑事責任等問題,為個人信息保護提供法律依據,加大個人信息保護力度,成為保障公民個人信息合法權益的堅實盾牌。
微信號 : jiangsuguojun
新浪微博:江蘇國駿-網絡安全管理專家
● 掃碼關注我們