GBT35273-2017 个人信息的收集要求

1. 收集个人信息的合法性要求

GBT35273-2017标准规定对个人信息控制者的要求包括：

a)不得欺诈、诱骗、强迫个人信息主体提供其个人信息；

b)不得隐瞒产品或服务所具有的收集个人信息的功能；

c)不得从非法渠道获取个人信息；

d)不得收集法律法规明令禁止收集的个人信息。

2. 收集个人信息的最小化要求

GBT35273-2017标准规定对个人信息控制者的要求包括：

a)收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与，产品或服务的功能无法实现；

b)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；

c)间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

3. 收集个人信息时的授权同意

GBT35273-2017标准规定对个人信息控制者的要求包括：

a)收集个人信息前，应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型，以及收集、使用个人信息的规则（例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等），并获得个人信息主体的授权同意；

b)间接获取个人信息时：

1)应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认；

2)应了解个人信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，个人信息主体是否授权同意转让、共享、公开披露等。如本组织开展业务需进行的个人信息处理活动超出该授权同意范围，应在获取个人信息后的合理期限内或处理个人信息前，征得个人信息主体的明示同意。

4. 征得授权同意的例外

GBT35273-2017标准规定以下情形中，个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意：

a)与国家安全、国防安全直接相关的；

b)与公共安全、公共卫生、重大公共利益直接相关的；

c)与犯罪侦查、起诉、审判和判决执行等直接相关的；

d)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的；

e)所收集的个人信息是个人信息主体自行向社会公众公开的；

f)从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道；

g)根据个人信息主体要求签订和履行合同所必需的；

h)用于维护所提供的产品或服务的安全稳定运行所必需的，例如发现、处置产品或服务的故障；

i)个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的；

j)个人信息控制者为学术研究机构，出于公共利益开展统计或学术研究所必要， 且其对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的；

k)法律法规规定的其他情形。

5. 收集个人敏感信息时的明示同意

GBT35273-2017标准规定对个人信息控制者的要求包括：

a)收集个人敏感信息时，应取得个人信息主体的明示同意。应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示；

b)通过主动提供或自动采集方式收集个人敏感信息前，应：

1)向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息，并明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集；

2)产品或服务如提供其他附加功能，需要收集个人敏感信息时，收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需，并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时，可不提供相应的附加功能，但不应以此为理由停止提供核心业务功能，并应保障相应的服务质量。

c)收集年满14的未成年人的个人信息前，应征得未成年人或其监护人的明示同意； 不满14周岁的，应征得其监护人的明示同意。

6. 隐私政策的内容和发布

GBT35273-2017标准规定对个人信息控制者的要求包括：

a)个人信息控制者应制定隐私政策，内容应包括但不限于：

1)个人信息控制者的基本情况，包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等；

2)收集、使用个人信息的目的，以及目的所涵盖的各个业务功能，例如将个 人信2)息用于推送商业广告，将个人信息用于形成直接用户画像及其用途等；

3)各业务功能分别收集的个人信息，以及收集方式和频率、存放地域、存储期限等个人信息处理规则和实际收集的个人信息范围；

4)对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型，以及所承担的相应法律责任；

5)遵循的个人信息安全基本原则，具备的数据安全能力，以及采取的个人信息安全保护措施；

6)个人信息主体的权利和实现机制，如访问方法、更正方法、删除方法、注销账户的方法、撤回同意的方法、获取个人信息副本的方法、约束信息系统自动决策的方法等；

7)提供个人信息后可能存在的安全风险，及不提供个人信息可能产生的影响；

8)处理个人信息主体询问、投诉的渠道和机制，以及外部纠纷解决机构及联络方式。

b)隐私政策所告知的信息应真实、准确、完整；

c)隐私政策的内容应清晰易懂，符合通用的语言习惯，使用标准化的数字、图示等，避免使用有歧义的语言，并在起始部分提供摘要，简述告知内容的重点；

d)隐私政策应公开发布且易于访问，例如，在网站主页、移动应用程序安装页、社交媒体首页等显著位置设置链接；

e)隐私政策应逐一送达个人信息主体。当成本过高或有显著困难时，可以公告的形式发布；

f)在本条a）所载事项发生变化时，应及时更新隐私政策并重新告知个人信息主体。