中华人民共和国国家标准信息安全技术个人信息安全规范报批稿发布实施目次前言引言范围规范性引用文件术语和定义个人信息安全基本原则个人信息的收集收集个人信息的合法性要求收集个人信息的最小化要求收集个人信息时的授权同意征得授权同意的例外收集个人敏感信息时的明示同意隐私政策的内容和发布个人信息的保存个人信息保存时间最小化去标识化处理个人敏感信息的传输和存储个人信息控制者停止运营个人信息的使用个人信息访问控制措施个人信息的展示限制个人信息的使用限制个人信息访问个人信息更正个人信息删除个人信息主体撤回同意个人信息主体注销账户个人信息主体获取个人信息副本约束信息系统自动决策响应个人信息主体的请求申诉管理个人信息的委托处理共享转让公开披露委托处理个人信息共享转让收购兼并重组时的个人信息转让个人信息公开披露共享转让公开披露个人信息时事先征得授权同意的例外共同个人信息控制者个人信息跨境传输要求个人信息安全事件处置安全事件应急处置和报告安全事件告知组织的管理要求明确责任部门与人员开展个人信息安全影响评估数据安全能力人员管理与培训安全审计附录资料性附录个人信息示例附录资料性附录个人敏感信息判定附录资料性附录保障个人信息主体选择同意权的方法附录资料性附录隐私政策模板参考文献前言本标准按照标准化工作导则第部分标准的结构和编写给出的规则起草请注意本文件的其他内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位北京信息安全测评中心中国电子技术标准化研究院颐信科技有限公司四川大学北京大学清华大学中国信息安全研究院有限公司公安部第一研究所上海国际问题研究院阿里巴巴北京软件服务有限公司深圳腾讯计算机系统有限公司中电长城网际系统应用有限公司阿里云计算有限公司华为技术有限公司强韵数据科技有限公司本标准主要起草人洪延青钱秀槟何延哲左晓栋陈兴蜀高磊刘贤刚邵华蔡晓丹黄晓林顾伟黄劲上官晓丽赵章界范红杜跃进杨思磊张亚男金涛叶晓俊郑斌闵京华鲁传颖周亚超杨露王海舟王建民秦颂姚相振葛小宇王道奎赵冉冉沈锡镛引言近年随着信息技术的快速发展和互联网应用的普及越来越多的组织大量收集使用个人信息给人们生活带来便利的同时也出现了对个人信息的非法收集滥用泄露等问题个人信息安全面临严重威胁本标准针对个人信息面临的安全问题规范个人信息控制者在收集保存使用共享转让公开披露等信息处理环节中的相关行为旨在遏制个人信息非法收集滥用泄漏等乱象最大程度地保障个人的合法权益和社会公共利益对标准中的具体事项法律法规另有规定的需遵照其规定执行信息安全技术个人信息安全规范范围本标准规范了开展收集保存使用共享转让公开披露等个人信息处理活动应遵循的原则和安全要求本标准适用于规范各类组织个人信息处理活动也适用于主管监管部门第三方评估机构等组织对个人信息处理活动进行监督管理和评估规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息安全技术术语术语和定义中界定的以及下列术语和定义适用于本文件个人信息以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息注个人信息包括姓名出生日期身份证件号码个人生物识别信息住址通信通讯联系方式通信记录和内容账号密码财产信息征信信息行踪轨迹住宿信息健康生理信息交易信息等注关于个人信息的范围和类型可参见附录个人敏感信息一旦泄露非法提供或滥用可能危害人身和财产安全极易导致个人名誉身心健康受到损害或歧视性待遇等的个人信息注个人敏感信息包括身份证件号码个人生物识别信息银行账号通信记录和内容财产信息征信信息行踪轨迹住宿信息健康生理信息交易信息岁以下含儿童的个人信息等注关于个人敏感信息的范围和类型可参见附录个人信息主体个人信息所标识的自然人个人信息控制者有权决定个人信息处理目的方式等的组织或个人收集获得对个人信息的控制权的行为包括由个人信息主体主动提供通过与个人信息主体交互或记录个人信息主体行为等自动采集以及通过共享转让搜集公开信息间接获取等方式注如果产品或服务的提供者提供工具供个人信息主体使用提供者不对个人信息进行访问的则不属于本标准所称的收集行为例如离线导航软件在终端获取用户位置信息后如不回传至软件提供者则不属于个人信息收集行为明示同意个人信息主体通过书面声明或主动做出肯定性动作对其个人信息进行特定处理做出明确授权的行为注肯定性动作包括个人信息主体主动作出声明电子或纸质形式主动勾选主动点击同意注册发送拨打等用户画像通过收集汇聚分析个人信息对某特定自然人个人特征如其职业经济健康教育个人喜好信用行为等方面做出分析或预测形成其个人特征模型的过程注直接使用特定自然人的个人信息形成该自然人的特征模型称为直接用户画像使用来源于特定自然人以外的个人信息如其所在群体的数据形成该自然人的特征模型称为间接用户画像个人信息安全影响评估针对个人信息处理活动检验其合法合规程度判断其对个人信息主体合法权益造成损害的各种风险以及评估用于保护个人信息主体的各项措施有效性的过程删除在实现日常业务功能所涉及的系统中去除个人信息的行为使其保持不可被检索访问的状态公开披露向社会或不特定人群发布信息的行为转让将个人信息控制权由一个控制者向另一个控制者转移的过程共享个人信息控制者向其他控制者提供个人信息且双方分别对个人信息拥有独立控制权的过程匿名化通过对个人信息的技术处理使得个人信息主体无法被识别且处理后的信息不能被复原的过程注个人信息经匿名化处理后所得的信息不属于个人信息去标识化通过对个人信息的技术处理使其在不借助额外信息的情况下无法识别个人信息主体的过程注去标识化建立在个体基础之上保留了个体颗粒度采用假名加密哈希函数等技术手段替代对个人信息的标识个人信息安全基本原则个人信息控制者开展个人信息处理活动应遵循以下基本原则权责一致原则对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任目的明确原则具有合法正当必要明确的个人信息处理目的选择同意原则向个人信息主体明示个人信息处理目的方式范围规则等征求其授权同意最少够用原则除与个人信息主体另有约定外只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量目的达成后应及时根据约定删除个人信息公开透明原则以明确易懂和合理的方式公开处理个人信息的范围目的规则等并接受外部监督确保安全原则具备与所面临的安全风险相匹配的安全能力并采取足够的管理措施和技术手段保护个人信息的保密性完整性可用性主体参与原则向个人信息主体提供能够访问更正删除其个人信息以及撤回同意注销账户等方法个人信息的收集收集个人信息的合法性要求对个人信息控制者的要求包括不得欺诈诱骗强迫个人信息主体提供其个人信息不得隐瞒产品或服务所具有的收集个人信息的功能不得从非法渠道获取个人信息不得收集法律法规明令禁止收集的个人信息收集个人信息的最小化要求对个人信息控制者的要求包括收集的个人信息的类型应与实现产品或服务的业务功能有直接关联直接关联是指没有该信息的参与产品或服务的功能无法实现自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量收集个人信息时的授权同意对个人信息控制者的要求包括收集个人信息前应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型以及收集使用个人信息的规则例如收集和使用个人信息的目的收集方式和频率存放地域存储期限自身的数据安全能力对外共享转让公开披露的有关情况等并获得个人信息主体的授权同意间接获取个人信息时应要求个人信息提供方说明个人信息来源并对其个人信息来源的合法性进行确认应了解个人信息提供方已获得的个人信息处理的授权同意范围包括使用目的个人信息主体是否授权同意转让共享公开披露等如本组织开展业务需进行的个人信息处理活动超出该授权同意范围应在获取个人信息后的合理期限内或处理个人信息前征得个人信息主体的明示同意征得授权同意的例外以下情形中个人信息控制者收集使用个人信息无需征得个人信息主体的授权同意与国家安全国防安全直接相关的与公共安全公共卫生重大公共利益直接相关的与犯罪侦查起诉审判和判决执行等直接相关的出于维护个人信息主体或其他个人的生命财产等重大合法权益但又很难得到本人同意的所收集的个人信息是个人信息主体自行向社会公众公开的从合法公开披露的信息中收集个人信息的如合法的新闻报道政府信息公开等渠道根据个人信息主体要求签订和履行合同所必需的用于维护所提供的产品或服务的安全稳定运行所必需的例如发现处置产品或服务的故障个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的个人信息控制者为学术研究机构出于公共利益开展统计或学术研究所必要且其对外提供学术研究或描述的结果时对结果中所包含的个人信息进行去标识化处理的法律法规规定的其他情形收集个人敏感信息时的明示同意对个人信息控制者的要求包括收集个人敏感信息时应取得个人信息主体的明示同意应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的具体的清晰明确的愿望表示通过主动提供或自动采集方式收集个人敏感信息前应向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息并明确告知拒绝提供或拒绝同意将带来的影响应允许个人信息主体选择是否提供或同意自动采集产品或服务如提供其他附加功能需要收集个人敏感信息时收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息当个人信息主体拒绝时可不提供相应的附加功能但不应以此为理由停止提供核心业务功能并应保障相应的服务质量注上述要求的实现方法可参考附录收集年满的未成年人的个人信息前应征得未成年人或其监护人的明示同意不满周岁的应征得其监护人的明示同意隐私政策的内容和发布对个人信息控制者的要求包括个人信息控制者应制定隐私政策内容应包括但不限于个人信息控制者的基本情况包括注册名称注册地址常用办公地点和相关负责人的联系方式等收集使用个人信息的目的以及目的所涵盖的各个业务功能例如将个人信息用于推送商业广告将个人信息用于形成直接用户画像及其用途等各业务功能分别收集的个人信息以及收集方式和频率存放地域存储期限等个人信息处理规则和实际收集的个人信息范围对外共享转让公开披露个人信息的目的涉及的个人信息类型接收个人信息的第三方类型以及所承担的相应法律责任遵循的个人信息安全基本原则具备的数据安全能力以及采取的个人信息安全保护措施个人信息主体的权利和实现机制如访问方法更正方法删除方法注销账户的方法撤回同意的方法获取个人信息副本的方法约束信息系统自动决策的方法等提供个人信息后可能存在的安全风险及不提供个人信息可能产生的影响处理个人信息主体询问投诉的渠道和机制以及外部纠纷解决机构及联络方式隐私政