GB35273認證

2020年3月6日，國家市場監(jiān)督管理總局/國家標準化管理委員會發(fā)布了中華人民共和國國家標準公告（2020年第1號）。全國信息安全標準化技術委員會歸口的GB/T 35273-2020《信息安全技術 個人信息安全規(guī)范》正式發(fā)布，并將于2020年10月1日實施。

GB/T 35273-2020《信息安全技術 個人信息安全規(guī)范》新標準的變化之處：
延續(xù)七大原則
2020版繼續(xù)沿用了2017版的七大原則，分別是：權責一致原則、目的明確原則、選擇同意原則、最少夠用原則、公開透明原則、確保安全原則、主體參與原則。
雖未明確定義“準確和質(zhì)量、問責、收集限制、隱私合規(guī)”等原則，略感遺憾，但相關原則的控制措施卻躍然紙上。
定義控制者的義務
在架構上持續(xù)強調(diào)個人信息控制者應承擔的義務，而未明確定義個人信息處理者、個人信息聯(lián)合控制者、個人信息外包方等角色應履行的義務。
術語的變化
較2017版，2020版新增了“個性化展示”、“業(yè)務功能”兩個術語。

要求的變化
1、選擇同意原則下，新增要求“不強迫接受多項業(yè)務功能：當產(chǎn)品或服務提供多項需收集個人信息的業(yè)務功能時，個人信息控制者不應違背個人信息主體的自主意愿，強迫個人信息主體接受產(chǎn)品或服務所提供的業(yè)務功能及相應的個人信息收集請求”。
2、在目的明確原則下，新增要求“如產(chǎn)品或服務僅提供一項收集、使用個人信息的業(yè)務功能時，個人信息控制者可通過隱私政策的形式，實現(xiàn)向個人信息主體的告知；產(chǎn)品或服務提供多項收集、使用個人信息的業(yè)務功能的，除隱私政策外，個人信息控制者宜在實際開始收集特定個人信息時，向個人信息主體提供收集、使用該個人信息的目的、方式和范圍，以便個人信息主體在作出具體的授權同意前，能充分考慮對其的具體影響”。
3、在選擇同意原則下，強調(diào)了“隱私政策的主要功能為公開個人信息控制者收集、使用個人信息范圍和規(guī)則，不應將其視為個人信息主體要求簽訂的合同”。
4、確保安全原則下，新增的要求較多，分別是：
1）“將個人生物識別信息的原始信息和摘要分開存儲”的技術要求。
2）在信息系統(tǒng)自動決策機制的使用中定期（至少每年一次）開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的措施、向個人信息主體提供針對自動決策結果的申訴渠道，并對自動決策結果進行人工復核。
3）明確組織應為個人信息保護負責人和個人信息保護工作機構提供必要的資源，保障其獨立履行職責。如采用公布投訴、舉報方式等信息并及時受理投訴舉報、與監(jiān)督、管理部門保持溝通，通報或報告?zhèn)€人信息保護和事件處置等情況等。
4）要求組織記錄的內(nèi)容包括：所涉及個人信息的類型、數(shù)量、來源（例如從個人信息主體直接收集或通過間接獲取方式獲得）；根據(jù)業(yè)務功能和授權情況區(qū)分個人信息的處理目的、使用場景，以及委托處理、共享、轉(zhuǎn)讓、公開披露、是否涉及出境等情況。
5、在最少夠用的原則下，新增的要求較多，分別是：
1）要求了用戶個人畫像的特征描述不能為“淫穢、色情、賭博、迷信、恐怖、暴力”；業(yè)務運營或?qū)ν鈽I(yè)務合作中使用用戶畫像不能侵害保護公民、法人和其他組織的合法權益，不能危害國家安全、榮譽和利益。
2）除為達到主體授權同意的使用目的所必需外，使用個人信息時應消除明確身份指向性，避免精確定位到特定個人。
3）在向主體推送新聞信息服務的過程中使用個性化展示時應：顯著區(qū)分個性化推送服務，如標明“個性化展示”或“定推”等字樣，為主體提供簡單直觀的退出或關閉個性化展示模式的選項。
4）電子商務經(jīng)營者根據(jù)消費者的興趣愛好、消費習慣等特征向其提供商品或者服務搜索結果的個性化展示的，應當同時向該消費者提供不針對其個人特征的選項。
5）在向主體提供業(yè)務功能的過程中，如使用個性化展示時，建立個人信息主體對個性化展示所依賴的個人信息（如標簽、畫像維度等）的自主控制機制，保障個人信息主體調(diào)控個性化展示相關程度的能力。
6）當個人信息主體選擇退出個性化展示模式時，應向個人信息主體提供刪除或匿名化定向推送活動所基于的個人信息的選項。
6、在公開透明原則的原則下，新增要求應向主體提供查詢方法，能讓主體知曉持有的個人信息的類型；上述個人信息的來源、所用于的目的；已經(jīng)獲得上述個人信息的第三方身份或類型；宜直接在產(chǎn)品或服務提供的功能界面中（例如應用程序可設置專門的選項、功能、界面等）設置相應的機制，便于個人信息主體在線行使其訪問、更正、刪除、撤回授權同意、注銷賬戶等權利。
7、新增的其他要求包括：
1）應承擔第三方接入管理
2）收集年滿14周歲未成年人的個人信息前，應征得未成年人或其監(jiān)護人的明示同意；不滿14周歲的，應征得其監(jiān)護人的明示同意。