個人信息安全規(guī)范標(biāo)準(zhǔn)

近年，隨著信息技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)應(yīng)用的普及，越來越多的組織大量收集、使用個人信息，給人們生活帶來便利的同時，也出現(xiàn)了對個人信息的非法收集、濫用、泄露等問題，個人信息安全面臨嚴(yán)重威脅。

2017年12月29日，質(zhì)檢總局、國家標(biāo)準(zhǔn)委發(fā)布了2017年第32號國家標(biāo)準(zhǔn)公告，批準(zhǔn)發(fā)布了GB/T 35273—2017《信息安全技術(shù) 個人信息安全規(guī)范》，該標(biāo)準(zhǔn)將于2018年5月1日正式實(shí)施。

該標(biāo)準(zhǔn)針對個人信息面臨的安全問題，規(guī)范個人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為，旨在遏制個人信息非法收集、濫用、泄露等亂象，最大程度地保障個人的合法權(quán)益和社會公共利益。對標(biāo)準(zhǔn)中的具體事項(xiàng)，法律法規(guī)另有規(guī)定的，需遵照其規(guī)定執(zhí)行。

該標(biāo)準(zhǔn)中規(guī)定了“個人信息”“個人敏感信息”的定義。

3.1

個人信息 personal information

以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。

注1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信聯(lián)系方式、通信記和

內(nèi)容、賬號密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

注2：關(guān)于個人信息的范圍和類型可參見附錄A。

3.2

個人敏感信息 personal sensitive information

一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待遇等的個人信息。

注1：個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內(nèi)容、財(cái)產(chǎn)信息、征信

息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14周歲以下（含）兒童的個人信息等。

注2：關(guān)于個人敏感信息的范圍和類型可參見附錄B。

該標(biāo)準(zhǔn)規(guī)定了個人信息安全基本原則——權(quán)責(zé)一致原則、目的明確原則、選擇同意原則、最少夠用原則、公開透明原則、確保安全原則、主體參與原則。

該標(biāo)準(zhǔn)還規(guī)定了：個人信息的收集（第5章），個人信息的保存（第6章），個人信息的使用（第7章），個人信息的委托處理、共享、轉(zhuǎn)讓、公開披露（第8章），個人信息安全事件處置（第9章），以及組織的管理要求（第10章）。

該標(biāo)準(zhǔn)的四個資料性附錄中分別列出了：個人信息示例（附錄A），個人敏感信息判定（附錄B），保障個人信息主體選擇同意權(quán)的方法（附錄C），以及隱私政策模板（附錄D）。

該標(biāo)準(zhǔn)適用于規(guī)范各類組織個人信息處理活動，也適用于主管監(jiān)管部門、第三方評估機(jī)構(gòu)等組織對個人信息處理活動進(jìn)行監(jiān)督、管理和評估。