《信息安全技術(shù) 個人信息安全規(guī)范》正式發(fā)布

3 月 6 日，國家市場監(jiān)督管理總局、國家標準化管理委員會正式發(fā)布國家標準《信息安全技術(shù) 個人信息安全規(guī)范》（下稱《規(guī)范》），并定于 2020 年 10 月 1 日實施。該《規(guī)范》對個人信息收集、儲存、使用做出了明確規(guī)定，并規(guī)定了個人信息主體具有查詢、更正、刪除、撤回授權(quán)、注銷賬戶、獲取個人信息副本等權(quán)力。

一 《信息安全技術(shù) 個人信息安全規(guī)范》早有淵源

早在 2017 年 12 月，全國信息安全標準化技術(shù)委員會組織制定和歸口管理的國家標準 GB/T 35273-2017《信息安全技術(shù) 個人信息安全規(guī)范》就已正式發(fā)布，當時《規(guī)范》規(guī)定將于 2018 年 5 月 1 日實施。

2019 年 6 月，據(jù) App 專項治理工作組顯示，《規(guī)范》公開向社會征求意見，截止 10 月，標準編制組共收到并處理意見約 400 條。基于各單位反饋意見以及 App 違法違規(guī)收集使用個人信息專項治理工作實踐經(jīng)驗。

此后，標準編制組對征求意見稿版本予以補充完善、優(yōu)化和更新，2019 年 10 月 24 日，《信息安全技術(shù) 個人信息安全規(guī)范》最新版征求意見稿（簡稱「新版征求意見稿」）對外發(fā)布。相比 6 月份的征求意見稿，新版征求意見稿規(guī)定，App 應提供簡便易操作的注銷功能，核驗身份時不得要求用戶提供超過注冊、使用時收集的個人信息。

二 「不應存儲原始個人生物識別信息」

2020 版《規(guī)范》繼續(xù)沿用了 2017 版的七大原則，分別是：權(quán)責一致原則、目的明確原則、選擇同意原則、最少夠用原則、公開透明原則、確保安全原則、主體參與原則。

與 2017 版《規(guī)范》相比，2020 版也有了新變化。

首先，個人信息安全規(guī)范無外乎用戶隱私泄露問題，而從 2019 年 10 月「人臉識別第一案」到之后爆出的人臉照片黑色產(chǎn)業(yè)鏈，以及各類 APP「換臉大法」，都讓個人隱私成為技術(shù)發(fā)展應用后，大眾追問的話題，便利用戶、技術(shù)運用不應該成為竊取用戶隱私的「遮羞布」。

針對個人生物識別信息方面，新版《規(guī)范》也提出具體的解決措施。

《規(guī)范》規(guī)定在收集個人生物識別信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規(guī)則，并征得個人信息主體的明示同意。

第一，個人生物識別信息要與個人身份信息分開存儲；

第二，原則上不應存儲原始個人生物識別信息，可采取的措施包括但不限于：

僅存儲個人性別信息的摘要信息；在采集終端中直接使用個人生物識別信息實現(xiàn)身份識別、認證等功能；在使用面部識別特征、 指紋、掌紋、虹膜等實現(xiàn)識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像。

其次，此版《規(guī)范》增加了「多項業(yè)務功能的自主選擇」「用戶畫像的使用限制」「個性化展示的使用」「基于不同業(yè)務目所收集個人信息的匯聚融合」「第三方接入管理」「個人信息安全工程」「個人信息處理活動記錄」等內(nèi)容。

在「多項業(yè)務功能的自主選擇」方面，根據(jù)個人信息主體選擇、使用所提供產(chǎn)品或服務的根本期待和最主要的需求，劃定產(chǎn)品或服務的基本業(yè)務功能，產(chǎn)品或服務所提供的基本業(yè)務功能之外的其他功能，劃定為擴展業(yè)務功能。

據(jù)《規(guī)范》顯示，擴展的業(yè)務功能，應允許個人信息主體逐項選擇同意。用戶不同意的，個人信息控制者不得反復征求用戶同意，除非用戶主動選擇開啟擴展功能，且不應拒絕提供基本業(yè)務功能或降低基本業(yè)務功能的服務質(zhì)量。

在選擇同意的流程中，《規(guī)范》建議，應通過如彈窗、文字說明、填寫框、提示條、提示音等形式進行提示，并且要讓用戶主動做出肯定性的動作，比如勾選、點擊「同意」或「下一步」。

在「個性化展示的使用」方面，App 在提供業(yè)務功能的過程中使用個性化展示的，應顯著區(qū)分個性化展示的內(nèi)容和非個性化展示的內(nèi)容，比如標明「定推」字樣。同時，App 應提供不針對用戶特征的選項。《規(guī)范》還建議，App 向用戶提供個性化展示的，宜建立用戶對個人信息（如標簽、畫像維度）的自主控制機制，保障用戶調(diào)控個性化展示相關程度的能力。

當個人信息主體選擇退出個性化展示模式時，應向個人信息主體提供刪除或匿名化定向推送活動所基于的個人信息的選項。

最后，在征得授權(quán)同意的例外中，《規(guī)范》明確，隱私政策的主要功能為公開個人信息控制者收集、使用個人信息范圍和規(guī)則，不應將其視為根據(jù)個人信息主體要求簽訂和履行的合同，并在此基礎上修改「征得授權(quán)同意的例外」「個人信息主體注銷賬戶」「明確責任部門與人員」「實現(xiàn)個人信息主體自主意愿的方法」等內(nèi)容。

《規(guī)范》持續(xù)強調(diào)個人信息控制者應承擔的義務，并新增要求「不強迫接受多項業(yè)務功能，即當產(chǎn)品或服務提供多項需收集個人信息的業(yè)務功能時，個人信息控制者不應違背個人信息主體的自主意愿，強迫個人信息主體接受產(chǎn)品或服務所提供的業(yè)務功能及相應的個人信息收集請求」，但目前尚未明確定義個人信息處理者、個人信息聯(lián)合控制者、個人信息外包方等角色應履行的義務。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構(gòu)，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202403/ccaa_61657.html