ICS 35.040 L80 中华人民共和国国家标准 GB/T 35273—XXXX 代替 GB/T 35273-2017 信息安全技术 个人信息安全规范 Information security technology — Personal information security specification （草案） 2019-1-30 20XX - XX - XX 发布 20XX - XX - XX 实施 GB/T 35273—20XX 目 次 前 言 ........................................................................... III 引 言 ............................................................................ IV 1 2 3 4 5 范围 ............................................................................... 1 规范性引用文件 ..................................................................... 1 术语和定义 ......................................................................... 1 个人信息安全基本原则 ............................................................... 3 个人信息的收集 ..................................................................... 4 5.1 收集个人信息的合法性要求 ........................................................ 4 5.2 收集个人信息的最小必要要求 ...................................................... 4 5.3 不得强迫收集个人信息的要求 ...................................................... 4 5.4 收集个人信息时的授权同意 ........................................................ 4 5.5 收集个人敏感信息时的明示同意 .................................................... 5 5.6 隐私政策的要求 .................................................................. 5 5.7 征得授权同意的例外 .............................................................. 6 6 个人信息的保存 ..................................................................... 7 6.1 个人信息保存时间最小化 .......................................................... 7 6.2 去标识化处理 .................................................................... 7 6.3 个人敏感信息的传输和存储 ........................................................ 7 6.4 个人信息控制者停止运营 .......................................................... 7 7 个人信息的使用 ..................................................................... 7 7.1 个人信息访问控制措施 ............................................................ 7 7.2 个人信息的展示限制 .............................................................. 7 7.3 个人信息的使用限制 .............................................................. 8 7.4 个性化展示及退出 ................................................................ 8 7.5 基于不同业务目所收集的个人信息的汇聚融合 ........................................ 8 7.6 个人信息查询 .................................................................... 9 7.7 个人信息更正 .................................................................... 9 7.8 个人信息删除 .................................................................... 9 7.9 个人信息主体撤回同意 ............................................................ 9 7.10 个人信息主体注销账户 ........................................................... 9 7.11 个人信息主体获取个人信息副本 ................................................... 9 7.12 约束信息系统自动决策 .......................................................... 10 7.13 响应个人信息主体的请求 ........................................................ 10 7.14 申诉管理 ...................................................................... 10 8 个人信息的委托处理、共享、转让、公开披露 .......................................... 10 8.1 委托处理 ....................................................................... 11 8.2 个人信息共享、转让 ............................................................. 11 I GB/T XXXXX—XXXX 8.3 收购、兼并、重组、破产时的个人信息转让 ......................................... 8.4 个人信息公开披露 ............................................................... 8.5 共享、转让、公开披露个人信息时事先征得授权同意的例外 ........................... 8.6 共同个人信息控制者 ............................................................. 8.7 第三方接入管理 ................................................................. 8.8 个人信息跨境传输要求 ........................................................... 9 个人信息安全事件处置 .............................................................. 9.1 个人信息安全事件应急处置和报告 ................................................. 9.2 安全事件告知 ................................................................... 10 组织的管理要求 ................................................................... 10.1 明确责任部门与人员 ............................................................ 10.2 个人信息处理活动记录 .......................................................... 10.3 开展个人信息安全影响评估 ...................................................... 10.4 数据安全能力 .................................................................. 10.5 人员管理与培训 ................................................................ 10.6 安全审计 ...................................................................... 11 11 12 12 12 13 13 13 13 14 14 14 15 15 15 16 附 录 A （资料性附录） 个人信息示例 .........................................