GBT35273-2017 个人信息的访问 使用

1. 个人信息访问控制措施

GBT35273-2017标准规定对个人信息控制者的要求包括：

a) 对被授权访问个人信息的内部数据操作人员，应按照最小授权的原则，使其只能访问职责所需的最少够用的个人信息，且仅具备完成职责所需的最少的数据操作权限；

b) 宜对个人信息的重要操作应设置内部审批流程，如批量修改、拷贝、下载等；

c) 应对安全管理人员、数据操作人员、审计人员的角色进行分离设置；

d) 如确因工作需要，需授权特定人员超权限处理个人信息的，应由个人信息保护责任人或个人信息保护工作机构进行审批，并记录在册；

注：个人信息保护责任人或个人信息保护工作机构的确定见本标准 10.1。

e)对个人敏感信息的访问、修改等行为，宜在对角色的权限控制的基础上，根据业务流程的需求触发操作授权。例如，因收到客户投诉，投诉处理人员才可访问该用户的相关信息。

2. 个人信息的展示限制

GBT35273-2017标准规定涉及通过界面展示个人信息的（如显示屏幕、纸面），个人信息控制者宜对需展示的个人信息采取去标识化处理等措施，降低个人信息在展示环节的泄露风险。例如，在个人信息展示时，防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。

3. 个人信息的使用限制

GBT35273-2017标准规定对个人信息控制者的要求包括：

a) 除目的所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人。例如，为准确评价个人信用状况，可使用直接用户画像，而用于推送商业广告目的时，则宜使用间接用户画像；

b) 对所收集的个人信息进行加工处理而产生的信息，能够单独或与其他信息结合识别自然人个人身份，或者反映自然人个人活动情况的，应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围；

注：加工处理而产生的个人信息属于个人敏感信息的，对其处理应符合本标准对个人敏感信息的要求。

c) 使用个人信息时，不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意。

注：将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述， 属于与收集目的具有合理关联的范围之内。但对外提供学术研究或描述的结果时，应对结果中所包含的个人信息进行去标识化处理。

4. 个人信息访问

GBT35273-2017标准规定个人信息控制者应向个人信息主体提供访问下列信息的方法：

a) 其所持有的关于该主体的个人信息或类型；

b) 上述个人信息的来源、所用于的目的；

c) 已经获得上述个人信息的第三方身份或类型。

注：个人信息主体提出访问非其主动提供的个人信息时，个人信息控制者可在综合考虑不响应请求可能对个人信息主体合法权益带来的风险和损害，以及技术可行性、实现请求的成本等因素后，做出是否响应的决定，并给出解释说明。

5. 个人信息更正

GBT35273-2017标准规定个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的， 个人信息控制者应为其提供请求更正或补充信息的方法。

6. 个人信息删除

GBT35273-2017标准规定对个人信息控制者的要求包括：

a) 符合以下情形的，个人信息主体要求删除的，应及时删除个人信息：

1) 个人信息控制者违反法律法规规定，收集、使用个人信息的；

2) 个人信息控制者违反了与个人信息主体的约定，收集、使用个人信息的。

b) 个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息，且个人信息主体要求删除的，个人信息控制者应立即停止共享、转让的行为，并通知第三方及时删除；

c) 个人信息控制者违反法律法规规定或与个人信息主体的约定，公开披露个人信息，且个人信息主体要求删除的，个人信息控制者应立即停止公开披露的行为， 并发布通知要求相关接收方删除相应的信息。

7. 个人信息主体撤回同意

GBT35273-2017标准规定对个人信息控制者的要求包括：

a) 应向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。撤回同意后，个人信息控制者后续不得再处理相应的个人信息；

b) 应保障个人信息主体拒绝接收基于其个人信息推送的商业广告的权利。对外共享、转让、公开披露个人信息，应向个人信息主体提供撤回同意的方法。

注：撤回同意不影响撤回前基于同意的个人信息处理。

8. 个人信息主体注销账户

GBT35273-2017标准规定对个人信息控制者的要求包括：

a) 通过注册账户提供服务的个人信息控制者，应向个人信息主体提供注销账户的方法，且该方法应简便易操作；

b) 个人信息主体注销账户后，应删除其个人信息或做匿名化处理。

9. 个人信息主体获取个人信息副本

GBT35273-2017标准规定根据个人信息主体的请求，个人信息控制者应为个人信息主体提供获取以下类型个人信息副本的方法，或在技术可行的前提下直接将以下个人信息的副本传输给第三方：

a) 个人基本资料、个人身份信息；

b) 个人健康生理信息、个人教育工作信息。

10. 约束信息系统自动决策

GBT35273-2017标准规定当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时（例如基于用户画像决定个人信用及贷款额度，或将用户画像用于面试筛选），个人信息控制者应向个人信息主体提供申诉方法。

11. 响应个人信息主体的请求

GBT35273-2017标准规定对个人信息控制者的要求包括：

a) 在验证个人信息主体身份后，应及时响应个人信息主体基于本标准第7.4至7.10 提出的请求，应在三十天内或法律法规规定的期限内做出答复及合理解释，并告知个人信息主体向外部提出纠纷解决的途径；

b) 对合理的请求原则上不收取费用，但对一定时期内多次重复的请求，可视情收取一定成本费用；

c) 如直接实现个人信息主体的请求需要付出高额的成本或存在其他显著的困难， 个人信息控制者应向个人信息主体提供其他替代性方法，以保护个人信息主体的合法权益；

d) 以下情况可不响应个人信息主体基于本标准提出的请求，包括但不限于：

1)与国家安全、国防安全直接相关的；

2)与公共安全、公共卫生、重大公共利益直接相关的；

3)与犯罪侦查、起诉、审判和执行判决等直接相关的；

4)个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的；

5)响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的；

6)涉及商业秘密的。

12. 申诉管理

GBT35273-2017标准规定个人信息控制者应建立申诉管理机制，包括跟踪流程，并在合理的时间内，对申诉进行响应。