中华人民共和国国家标准代替信息安全技术个人信息安全规范草案发布实施目次前言引言范围规范性引用文件术语和定义个人信息安全基本原则个人信息的收集收集个人信息的合法性要求收集个人信息的最小必要要求不得强迫收集个人信息的要求收集个人信息时的授权同意收集个人敏感信息时的明示同意隐私政策的要求征得授权同意的例外个人信息的保存个人信息保存时间最小化去标识化处理个人敏感信息的传输和存储个人信息控制者停止运营个人信息的使用个人信息访问控制措施个人信息的展示限制个人信息的使用限制个性化展示及退出基于不同业务目所收集的个人信息的汇聚融合个人信息查询个人信息更正个人信息删除个人信息主体撤回同意个人信息主体注销账户个人信息主体获取个人信息副本约束信息系统自动决策响应个人信息主体的请求申诉管理个人信息的委托处理共享转让公开披露委托处理个人信息共享转让收购兼并重组破产时的个人信息转让个人信息公开披露共享转让公开披露个人信息时事先征得授权同意的例外共同个人信息控制者第三方接入管理个人信息跨境传输要求个人信息安全事件处置个人信息安全事件应急处置和报告安全事件告知组织的管理要求明确责任部门与人员个人信息处理活动记录开展个人信息安全影响评估数据安全能力人员管理与培训安全审计附录资料性附录个人信息示例附录资料性附录个人敏感信息判定附录资料性附录保障个人信息主体选择同意权的方法附录资料性附录隐私政策模板参考文献前言本标准按照标准化工作导则第部分标准的结构和编写给出的规则起草本标准代替信息安全技术个人信息安全规范与相比主要变化如下缩略语中补充了个性化展示增加了不得强迫收集个人信息的要求修改了征得授权同意的例外增加了个性化展示及退出增加了基于不同业务目所收集的个人信息的汇聚融合增加了第三方接入管理修改了明确责任部门与人员增加个人信息处理活动记录修改了资料性附录保障个人信息主体选择同意权的方法增加了附录区分基本业务功能和扩展业务功能基本业务功能的告知和明示同意扩展业务功能的告知和明示同意请注意本文件的其他内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位中国电子技术标准化研究院北京大学北京信息安全测评中心颐信科技有限公司四川大学清华大学中国信息安全研究院有限公司公安部第一研究所上海国际问题研究院阿里巴巴北京软件服务有限公司深圳腾讯计算机系统有限公司中电长城网际系统应用有限公司阿里云计算有限公司华为技术有限公司强韵数据科技有限公司本标准主要起草人洪延青钱秀槟何延哲左晓栋陈兴蜀高磊刘贤刚邵华蔡晓丹黄晓林顾伟黄劲上官晓丽赵章界范红杜跃进杨思磊张亚男金涛叶晓俊郑斌闵京华鲁传颖周亚超杨露王海舟王建民秦颂姚相振葛小宇王道奎赵冉冉沈锡镛引言近年随着信息技术的快速发展和互联网应用的普及越来越多的组织大量收集使用个人信息给人们生活带来便利的同时也出现了对个人信息的非法收集滥用泄露等问题个人信息安全面临严重威胁本标准针对个人信息面临的安全问题规范个人信息控制者在收集保存使用共享转让公开披露等信息处理环节中的相关行为旨在遏制个人信息非法收集滥用泄漏等乱象最大程度地保障个人的合法权益和社会公共利益对标准中的具体事项法律法规另有规定的需遵照其规定执行信息安全技术个人信息安全规范范围本标准规范了开展收集保存使用共享转让公开披露等个人信息处理活动应遵循的原则和安全要求本标准适用于规范各类组织个人信息处理活动也适用于主管监管部门第三方评估机构等组织对个人信息处理活动进行监督管理和评估规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息安全技术术语术语和定义中界定的以及下列术语和定义适用于本文件个人信息以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息注个人信息包括姓名出生日期身份证件号码个人生物识别信息住址通信通讯联系方式通信记录和内容账号密码财产信息征信信息行踪轨迹住宿信息健康生理信息交易信息等注关于个人信息的范围和类型可参见附录个人敏感信息一旦泄露非法提供或滥用可能危害人身和财产安全极易导致个人名誉身心健康受到损害或歧视性待遇等的个人信息注个人敏感信息包括身份证件号码个人生物识别信息银行账号通信记录和内容财产信息征信信息行踪轨迹住宿信息健康生理信息交易信息岁以下含儿童的个人信息等注关于个人敏感信息的范围和类型可参见附录个人信息主体个人信息所标识的自然人个人信息控制者有权决定个人信息处理目的方式等的组织或个人收集获得对个人信息的控制权的行为包括由个人信息主体主动提供通过与个人信息主体交互或记录个人信息主体行为等自动采集以及通过共享转让搜集公开信息间接获取等方式注如果产品或服务的提供者提供工具供个人信息主体使用提供者不对个人信息进行访问的则不属于本标准所称的收集行为例如离线导航软件在终端获取用户位置信息后如不回传至软件提供者则不属于个人信息收集行为明示同意个人信息主体通过书面声明或主动做出肯定性动作对其个人信息进行特定处理做出明确授权的行为注肯定性动作包括个人信息主体主动作出声明电子或纸质形式主动勾选主动点击同意注册发送拨打主动填写或提供等用户画像通过收集汇聚分析个人信息对某特定自然人个人特征如其职业经济健康教育个人喜好信用行为等方面做出分析或预测形成其个人特征模型的过程注直接使用特定自然人的个人信息形成该自然人的特征模型称为直接用户画像使用来源于特定自然人以外的个人信息如其所在群体的数据形成该自然人的特征模型称为间接用户画像个人信息安全影响评估针对个人信息处理活动检验其合法合规程度判断其对个人信息主体合法权益造成损害的各种风险以及评估用于保护个人信息主体的各项措施有效性的过程删除在实现日常业务功能所涉及的系统中去除个人信息的行为使其保持不可被检索访问的状态公开披露向社会或不特定人群发布信息的行为转让将个人信息控制权由一个控制者向另一个控制者转移的过程共享个人信息控制者向其他控制者提供个人信息且双方分别对个人信息拥有独立控制权的过程匿名化通过对个人信息的技术处理使得个人信息主体无法被识别且处理后的信息不能被复原的过程注个人信息经匿名化处理后所得的信息不属于个人信息去标识化通过对个人信息的技术处理使其在不借助额外信息的情况下无法识别个人信息主体的过程注去标识化建立在个体基础之上保留了个体颗粒度采用假名加密哈希函数等技术手段替代对个人信息的标识个性化展示基于特定个人信息主体的网络浏览历史兴趣爱好消费记录和习惯等个人信息向该个人信息主体展示信息内容提供商品或服务的搜索结果等活动个人信息安全基本原则个人信息控制者开展个人信息处理活动应遵循以下基本原则权责一致原则采取技术和其他必要的措施保障个人信息的安全对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任目的明确原则具有合法正当必要明确的个人信息处理目的选择同意原则向个人信息主体明示个人信息处理目的方式范围规则等征求其授权同意最少够用原则只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量目的达成后应及时删除个人信息公开透明原则以明确易懂和合理的方式公开处理个人信息的范围目的规则等并接受外部监督确保安全原则具备与所面临的安全风险相匹配的安全能力并采取足够的管理措施和技术手段保护个人信息的保密性完整性可用性主体参与原则向个人信息主体提供能够查询更正删除其个人信息以及撤回同意注销账户投诉等方法个人信息的收集收集个人信息的合法性要求对个人信息控制者的要求包括不得以欺诈诱骗误导的方式收集个人信息不得隐瞒产品或服务所具有的收集个人信息的功能不得从非法渠道间接获取个人信息不得收集法律法规明令禁止收集的个人信息收集个人信息的最小必要要求对个人信息控制者的要求包括收集的个人信息的类型应与实现产品或服务的业务功能有直接关联直接关联是指没有该等信息的参与产品或服务的功能无法实现自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量不得强迫收集个人信息的要求当产品或服务提供多项需收集个人信息的业务功能时个人信息控制者不得违背个人信息主体的自主意愿强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求对个人信息控制者的要求包括不得通过捆绑产品或服务各项业务功能的方式要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求应根据个人信息主体主动填写点击勾选等自主行为作为产品或服务的业务功能开启或开始收集个人信息的条件并提供关闭或退出业务功能的途径或方式关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样简便注个人信息控制者可按照本标准实现业务功能的关闭或退出如个人信息主体不同意使用关闭或退出特定业务功能个人信息控制者不得频繁征求个人信息主体的同意如个人信息主体不同意使用关闭或退出特定业务功能个人信息控制者不得暂停个人信息主体自主选择使用的其他业务功能或降低业务功能的服务质量收集个人信息时的授权同意对个人信息控制者的要求包括收集个人信息前应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型以及收集使用个人信息的规则例如收集和使用个人信息的目的收集方式和频率存放地域存储期限自身的数据安全能力对外共享转让公开披露的有关情况等并获得个人信息主体的授权同意间接获取个人信息时应要求个人信息提供方说明个人信息来源并对其个人信息来源的合法性进行确认应了解个人信息提供方已获得的个人信息处理的授权同意范围包括使用目的个人信息主体是否授权同意转让共享公开披露等如本组织开展业务需进行的个人信息处理活动超出该授权同意范围应在获取个人信息后的合理期限内或处理个人信息前征得个人信息主体的明示同意收集个人敏感信息时的明示同意对个人信息控制者的要求包括收集个人敏感信息时应取得个人信息主体的明示同意应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的具体的清晰明确的愿望表示通过主动提供或自动采集方式收集个人敏感信息前应向个人信息主体告知所提供产品或服务的基本业务功能及所必需收集的个人敏感信息并明确告知拒绝提供或拒绝同意将带来的影响应允许个人信息主体选择是否提供或同意自动采集产品或服务如提供其他扩展业务功能需要收集个人敏感信息时收集前应向个人信息主体逐一说明个人敏感信息为完成何种扩展业务功能所必需并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息当个人信息主体拒绝时可不提供相应的扩展业务功能但不应以此为理由停止提供基本业务功能并应保障相应的服务质量注上述要求的实现方法可参考附录收集年满的未成年人的个人信息前应征得未成年人或其监护人的明示同意不满周岁的应征得其监护人的明示同意隐私政策的要求对个人信息控制者的要求包括应制