联系电话
首页 服务范围 IT行业 GB/T35273
服务范围
 └ 常规标准   └ISO9001   └ISO14001   └ISO45001   └HSE   └SA8000   └GB/T27922-2011  └ IT行业   └ISO27001   └ISO20000   └CMMI   └SPAC   └ITSS   └ITIL   └软件著作权   └通信网络代维   └ISO22301   └ISO29151   └GB/T35273   └信息系统业务安全服务资质   └信息安全服务资质   └DCMM   └DSMM   └ISO38505   └ISO27701   └ISO29100   └信息系统建设和服务能力资质   └信息系统服务交付能力等级认证   └信息化建设及服务能力资质  └ 军工四证   └GJB9001   └涉密/保密等级资格   └武器装备科研生产许可   └武器装备承制单位资格  └ 食品、餐饮行业   └ISO22000   └HACCP  └ 其他行业   └企业信用等级评价   └ISO28000
新闻动态推荐
热点文章推荐

GBT35273-2017 个人信息的委托处理、共享、转让、公开披露

添加时间:2020-02-11 11:11:50   浏览:

1. 委托处理

GBT35273-2017标准规定委托处理个人信息时,应遵守以下要求:

a) 个人信息控制者作出委托行为,不得超出已征得个人信息主体授权同意的范围或遵守本标准5.4规定的情形;

b) 个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者具备足够的数据安全能力,提供了足够的安全保护水平;

c) 受委托者应:

1) 严格按照个人信息控制者的要求处理个人信息。如受委托者因特殊原因未 按照个人信息控制者的要求处理个人信息,应及时向个人信息控制者反馈;

2) 如受委托者确需再次委托时,应事先征得个人信息控制者的授权;

3) 协助个人信息控制者响应个人信息主体基于本标准7.4至7.10提出的请求;

4) 如受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件,应及时向个人信息控制者反馈;

5) 在委托关系解除时不再保存个人信息。

d) 个人信息控制者应对受委托者进行监督,方式包括但不限于:

1) 通过合同等方式规定受委托者的责任和义务;

2) 对受委托者进行审计。

e) 个人信息控制者应准确记录和保存委托处理个人信息的情况。

2. 个人信息共享、转让

GBT35273-2017标准规定个人信息原则上不得共享、转让。个人信息控制者确需共享、转让时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组原因的,应遵守以下要求:

a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;

b) 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别个人信息主体的除外;

c) 共享、转让个人敏感信息前,除2 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;

d) 准确记录和保存个人信息的共享、转让的情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;

e) 承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任;

f) 帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等。

3. 收购、兼并、重组时的个人信息转让

GBT35273-2017标准规定当个人信息控制者发生收购、兼并、重组等变更时,个人信息控制者应:

a) 向个人信息主体告知有关情况;

b) 变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。

4. 个人信息公开披露

GBT35273-2017标准规定个人信息原则上不得公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时,应充分重视风险,遵守以下要求:

a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;

b) 向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意;

c) 公开披露个人敏感信息前,除4 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;

d) 准确记录和保存个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;

e) 承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;

f) 不得公开披露个人生物识别信息。

5. 共享、转让、公开披露个人信息时事先征得授权同意的例外

GBT35273-2017标准规定以下情形中,个人信息控制者共享、转让、公开披露个人信息无需事先征得个人信息主体的授权同意:

a) 与国家安全、国防安全直接相关的;

b) 与公共安全、公共卫生、重大公共利益直接相关的;

c) 与犯罪侦查、起诉、审判和判决执行等直接相关的;

d) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;

e) 个人信息主体自行向社会公众公开的个人信息;

f) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。

6. 共同个人信息控制者

GBT35273-2017标准规定当个人信息控制者与第三方为共同个人信息控制者时(例如服务平台与平台上的签约商家),个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。

注:个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包 SDK、调用地图 API 接口),且该第三方并未单独向个人信息主体征得收集、使用个人信息的授权同意,则个人信息控制者与该第三方为共同个人信息控制者。

7. 个人信息跨境传输要求

在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应当按照国家网信部门会同国务院有关部门制定的办法和相关标准进行安全评估,并符合其要求。

分享到:
上一篇:GBT35273-2017 个人信息的访问 使用
下一篇:GBT35273-2017 个人信息安全事件处置

相关文章推荐

返回顶部
收缩

  • 付老师:业务咨询
  • 简老师:业务咨询
  • 金老师:业务咨询
  • 徐老师:业务咨询

  • 技术支持

  • 010-83607858
  • 010-83683376