信息安全技术个人信息安全规范
《信息安全技术个人信息安全规范》规范了个人信息控制者在收集、保存、使用、共享、转让、公开被披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大程度地保障个人的合法权益和社会公共利益。GB/T 35273-2020《信息安全技术个人信息安全规范》2020年3月6日发布,2020年10月1日代替GB/T 35273-2017 《信息安全技术个人信息安全规范》实施。
GB/T 35273-2020《信息安全技术个人信息安全规范》共分为十个章节,其中包括范围,规范性引用文件,术语和定义,个人信息安全基本原则,个人信息的收集,个人信息的保存,个人信息的使用,个人信息的委托处理、共享、转让、公开披露,个人信息安全事件处置以及组织的管理要求。其中,个人信息的收集,存储,使用,委托处理、共享、转让、公开披露是个人信息在流转过程中的常见行为。
《信息安全技术个人信息安全规范》要求,在个人信息的收集过程中,需要遵循合法性以及信息收集最小化的要求,也即直接关联、最低频率和最少数量。在收集个人信息时,一般情形下必须获得个人信息主体在明确该收集行为前提下的完全同意,只有当该信息与国家安全、公共安全或者犯罪侦查等公共项目相关时,方可不经个人信息主体同意而对其个人信息进行强制收集。而对于个人信息中的敏感内容,必须经过个人信息主体的明示同意方可收集。可见,在个人信息保护问题上,作为信息源头的收集过程已逐渐得到细化规制。
个人信息的保存问题,要求对于信息的保存要做到去标识化处理,同时保存时间要遵循所需时间的最短要求,在信息的传输过程中也必须做到高度的安全防范措施,以避免个人信息在传输或者保存过程中出现不当泄露。同时,个人信息在展示及使用时的场合、范围限制,还是个人信息的访问、删除、更正以及撤回问题,都有严格的程序及原则要求。