GB/T 35273- -2020 信息安全技术个人信息安全规范

GB/T 35273-2020标准规范了开展收集、保存、 使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求。

GB/T 35273-2020标准适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机. 构等组织对个人信息处理活动进行监督、管理和评估。

近年,随着信息技术的快速发展和互联网应用的普及, 越来越多的组织大量收集、使用个人信息 ，给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、 泄露等问题,个人信息安全面临严重威胁。

GB/T 35273-2020标准针对个人信息 面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、 泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、 通信通讯联系方式、通信记录和内容、账号密码、财产信息征信信息行踪轨迹、 住宿信息健康生理信息、 交易信息等。

判定某项信息是否属于个人信息,应考虑以下两条路径: -是识别,即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人，则由该特定自然人在其活动中产生的信息(如个人位置信息个人通话记录个人浏览记录等)即为个人信息。符合.上述两种情形之一的信息,均应判定为个人信息。

1.个人信息保存时间最小化

GBT35273-2017标准规定对个人信息控制者的要求包括:

a)个人信息保存期限应为实现目的所必需的最短时间;

b)超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。

2.去标识化处理

GBT35273-2017标准规定收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。

3.个人敏感信息的传输和存储

GBT35273-2017标准规定对个人信息控制者的要求包括:

a)传输和存储个人敏感信息时,应采用加密等安全措施;存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人

b)生物识别信息的摘要。

4.个人信息控制者停止运营GBT35273-2017标准规定当个人信息控制者停止运营其产品或服务时,应:

a)及时停止继续收集个人信息的活动;

b)将停止运营的通知以逐一送达或公告的形式通知个人信息主体;

c)对其所挂有的个人信自进行删除或磨名化外理

GBT35273-2017标准规定个人信息控制者开展个人信息处理活动,应遵循以下基本原则:

a)权责-致原则——对其个人信息处理活动对个人信息 主体台法权益造成的损害承担责任。

b)目的明确原则——具有合法、 正当、必要、明确的个人信息处理目的。

c)选择同意原则——向个人信 息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意。

d)最少够用原则——除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。

e)公开透明原则——以明确、 易懂和合理的方式公开处理个人信息的范围、目的、 规则等,并接受外部监督。

f)确保安全原则——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。

g)主体参与原则——向个人信息主体提供能够访问、 正、删除其个人信息,以及撤回同意、注销账户等方法。

本公司专业办理GBT35273个人信息安全管理体系认证证书，，流程快，权威证书认监委网站可查询。