ICS 35.040 L80 中华人民共和国国家标准 GB/T 35273—2020 代替 GB/T 35273-2017 信息安全技术 个人信息安全规范 Information security technology — Personal information security specification 2020-03-06 发布 2020-10-01 实施 国家市场监督管理总局 国家标准化管理委员会 发布 GB/T 35273—2020 目 次 前言 ............................................................................... III 引言 ................................................................................ IV 1 2 3 4 5 6 7 8 9 范围 ............................................................................... 5 规范性引用文件 ..................................................................... 5 术语和定义 ......................................................................... 5 个人信息安全基本原则 ............................................................... 8 个人信息的收集 ..................................................................... 8 5.1 收集个人信息的合法性 ............................................................ 8 5.2 收集个人信息的最小必要 .......................................................... 8 5.3 多项业务功能的自主选择 .......................................................... 8 5.4 收集个人信息时的授权同意 ........................................................ 9 5.5 个人信息保护政策 ................................................................ 9 5.6 征得授权同意的例外 ............................................................. 10 个人信息的存储 .................................................................... 11 6.1 个人信息存储时间最小化 ......................................................... 11 6.2 去标识化处理 ................................................................... 11 6.3 个人敏感信息的传输和存储 ....................................................... 11 6.4 个人信息控制者停止运营 ......................................................... 11 个人信息的使用 .................................................................... 11 7.1 个人信息访问控制措施 ........................................................... 11 7.2 个人信息的展示限制 ............................................................. 12 7.3 个人信息使用的目的限制 ......................................................... 12 7.4 用户画像的使用限制 ............................................................. 12 7.5 个性化展示的使用 ............................................................... 13 7.6 基于不同业务目的所收集的个人信息的汇聚融合 ..................................... 13 7.7 信息系统自动决策机制的使用 ..................................................... 13 个人信息主体的权利 ................................................................ 13 8.1 个人信息查询 ................................................................... 13 8.2 个人信息更正 ................................................................... 14 8.3 个人信息删除 ................................................................... 14 8.4 个人信息主体撤回授权同意 ....................................................... 14 8.5 个人信息主体注销账户 ........................................................... 14 8.6 个人信息主体获取个人信息副本 ................................................... 15 8.7 响应个人信息主体的请求 ......................................................... 15 8.8 投诉管理 ....................................................................... 15 个人信息的委托处理、共享、转让、公开披露 .......................................... 16 9.1 委托处理 ....................................................................... 16 I GB/T 35273—2020 9.2 个人信息共享、转让 ............................................................. 9.3 收购、兼并、重组、破产时的个人信息转让 ......................................... 9.4 个人信息公开披露 ............................................................... 9.5 共享、转让、公开披露个人信息时事先征得授权同意的例外 ........................... 9.6 共同个人信息控制者 ............................................................. 9.7 第三方接入管理 ................................................................. 9.8 个人信息跨境传输 ............................................................... 10 个人信息安全事件处置 ............................................................. 10.1 个人信息安全事件应急处置和报告 ................................................ 10.2 安全事件告知 .................................................................. 11 组织的个人信息安全管理要求 ....................................................... 11.1 明确责任部门与人员 ............................................................ 11.2 个人信息安全工程 .............................................................. 11.3 个人信息处理活动记录 .......................................................... 11.4 开展个人信息安全影响评估 ...................................................... 11.5 数据安全能力 .................................................................. 11.6 人员管理与培训 ................................................................ 11.7 安全审计 .....................