GB/T 35273—2020 信息安全技术 个人信息安全规范
近年,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息, 给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临 严重威胁。
GB/T 35273—2020标准针对个人信息面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公 开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保 障个人的合法权益和社会公共利益。
GB/T 35273—2020标准规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动 应遵循的原则和安全要求。
GB/T 35273—2020标准适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评 估机构等组织对个人信息处理活动进行监督、管理和评估。
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定 自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号 码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产 信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个 人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是 关联,即从个人到信息,如已知特定自然人,则由该特定自然人在其活动中产生的信息 (如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。
| 个人财产信息 | 银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、 房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟 货币、虚拟交易、游戏类兑换码等虚拟财 |
| 个人健康生理信息 | 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、 手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以 往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康 状况产生的相关信息等 |
| 个人生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
| 个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等 |
| 网络身份标识信息 | 系统账号、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个 人数字证书等 |
| 其他信息 | 个人电话号码、性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记 录和内容、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等 |
2024-03-01GB/T 35273 与 ISO/IEC 27701 标准的区别
GB/T 35273更侧重于中国的个人信息保护要求,而ISO/IEC 27701提供了一个国际认可的隐私信息管理系统框架,两者都是帮助组织改进个人信息保护措施的重要工具,但适用的地理范围和焦点有所不同。…[详细]
2020-03-07GB/T 35273-2020 标准 对个人敏感信息的判定
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息。可从以下…[详细]
2020-03-07GB/T 35273-2020 标准 个人信息示例
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账…[详细]
2020-02-11GBT35273-2017 个人信息安全事件处置
安全事件应急处置和报告GBT35273-2017标准规定对个人信息控制者的要求包括:a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责…[详细]
2020-02-11GBT35273-2017 个人信息的委托处理、共享、转让、公开披露
GBT35273-2017标准规定委托处理个人信息时,应遵守以下要求:a) 个人信息控制者作出委托行为,不得超出已征得个人信息主体授权同意的范围或遵守本标准5.4规定的情形;b) 个人信息控制者应对委托行为进行…[详细]
2020-02-11GBT35273-2017 个人信息的访问 使用
GBT35273-2017标准规定对个人信息控制者的要求包括:a) 对被授权访问个人信息的内部数据操作人员,应按照最小授权的原则,使其只能访问职责所需的最少够用的个人信息,且仅具备完成职责所需的最少的数据操作权…[详细]
2020-02-11GBT35273-2017 个人信息的保存
个人信息保存时间最小化GBT35273-2017标准规定对个人信息控制者的要求包括:a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。…[详细]
2020-02-11GBT35273-2017 个人信息的收集要求
1. 收集个人信息的合法性要求 GBT35273-2017标准规定对个人信息控制者的要求包括: a)不得欺诈、诱骗、强迫个人信息主体提供其个人信息; b)不得隐瞒产品或服务所具有的收集个人信息的功能; …[详细]
2020-02-11GBT35273-2017 个人信息安全基本原则
GBT35273-2017标准规定个人信息控制者开展个人信息处理活动,应遵循以下基本原则: a)权责一致原则对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。 b)目的明确原则具有合法、正当、必…[详细]
