个人信息安全规范(GBT35273-2017)——正文
知识 | 案例 | 其他 | 随笔 | 元旦短句5字声音 下不为例歌词 |
编者按
个人信息安全规范,集成了众多大咖智慧,着重解决司法实践、企业合规审查、个人信息保护意识等诸方面棘手问题。在洪延青博士的指导下,本号全文登载一下。因内容较多,本期将采用“多图文”方式进行刊发。本篇仅包含:正文。
前 言
本标准按照GB/T 1.1—2009《标准化工作导则 第1部分:标准的结构和编写》给出的规则起草。
请注意本文件的其他内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:北京信息安全测评中心、中国电子技术标准化研究院、颐信科技有限公司、四川大学、北京大学、清华大学、中国信息安全研究院有限公司、公安部第一研究所、上海国际问题研究院、阿里巴巴(北京)软件服务有限公司、深圳腾讯计算机系统有限公司、中电长城网际系统应用有限公司、阿里云计算有限公司、华为技术有限公司、强韵数据科技有限公司。
本标准主要起草人:洪延青、钱秀槟、何延哲、左晓栋、陈兴蜀、高磊、刘贤刚、邵华、蔡晓丹、黄晓林、顾伟、黄劲、上官晓丽、赵章界、范红、杜跃进、杨思磊、张亚男、金涛、叶晓俊、郑斌、闵京华、鲁传颖、周亚超、杨露、王海舟、王建民、秦颂、姚相振、葛小宇、王道奎、赵冉冉、沈锡镛。
引言
近年,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息,给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临严重威胁。
苹果笔记本装win7本标准针对个人信息面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。
对标准中的具体事项,法律法规另有规定的,需遵照其规定执行。
信息安全技术 个人信息安全规范
1 范围
本标准规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求。
本标准适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用
于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069—2010 信息安全技术 术语
3 术语和定义
GB/T 25069—2010中界定的以及下列术语和定义适用于本文件。
3.1
个人信息personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
注2:关于个人信息的范围和类型可参见附录A。
3.2
个人敏感信息personal sensitive information
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。
注2:关于个人敏感信息的范围和类型可参见附录B。
3.3
个人信息主体personal data subject
个人信息所标识的自然人。
3.4
个人信息控制者personal data controller
有权决定个人信息处理目的、方式等的组织或个人。
3.5
收集 collect
获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。
注:如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集行为。例如,离线导航软件在终端获取用户位置信息后,如不回传至软件提供者,则不属于个人信息收集行为。
3.6
明示同意explicit consent
局域网ip设置个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。
注:肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。
3.7
用户画像user profiling
通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人特征模型的过程。
注:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外的个人信息,如其所在体的数据,形成该自然人的特征模型,称为间接用户画像。
3.8 导购员培训
个人信息安全影响评估 personal information security impact assessment
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
3.9
删除delete
在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。
3.10
公开披露 public disclosure
向社会或不特定人发布信息的行为。
3.11
转让transfer of control
将个人信息控制权由一个控制者向另一个控制者转移的过程。
3.12
共享sharing
个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。
板块轮动3.13
匿名化anonymization
通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论