个人信息安全规范 GB/T 35273-2017

随着信息技术快速的发展和互联网应用的普及，越来越多的组织收集了大量的个人信息，给人们生活带来了便利的同时，也出现了个人信息的非法收集、滥用、泄露等问题，个人信息安全面临严重威胁。
针对个人信息安全问题，规范个人信息控制者的收集、保存、使用、共享、转让、公开披露等信息处理环节的相关行为，旨在遏制个人信息非法收集、滥用、泄露等现象，最大程度保障个人信息的合法权益和社会公共利益。

范围

规范个人信息处理在收集、保存、使用、共享、转让、公开披露等活动应遵循的原则和安全要求。适用于各类组织个人信息处理活动、主管监督部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。

术语和定义

个人信息，以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
个人敏感信息，一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
个人信息主体，个人信息所标识的自然人。
个人信息控制者，有权决定个人信息处理目的、方式等的组织或个人。
收集，获得对个人信息的控制权的行为，包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集，以及通过共享、转让、搜集公开信息间接获取等方式。
明示同意，个人信息主体通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为。
用户画像，通过收集、汇聚、分析个人信息，对某特定自然人个人特征，如：职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测，形成其个人特征模型的过程。
个人信息安全影响评估，针对个人信息处理活动，检验其合法合规程度，判断对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各种措施有效性的过程。
删除，在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态。
公开披露，向社会或不特定人群发布信息的行为。
转让，将个人信息控制权由一个控制者向另一个控制者转移的过程。
共享，个人信息控制者向其他控制者提供个人信息，且双方分别对个人信息拥有独立控制权的过程。
匿名化，通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息不能被复原的过程。
去标识化，通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程。

个人信息安全基本原则

权责一致，对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。
目的明确，具有合法、正当、必要、明确的个人信息处理目的。
选择同意，向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意。
最少够用，除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时根据约定删除个人信息。
公开透明，以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督。
确保安全，具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性和可用性。
主体参与，向个人信息主体提供能够访问、更改、删除其个人信息，以及撤回同意、注销账户等方法。

个人信息的收集

合法性，对个人信息控制者提出的要求，如：不得欺诈、诱骗、强迫、隐瞒、非法渠道、明令禁止等收集个人信息。
最小化要求，对个人信息控制者提出，与产品或服务业务直接相关，必须的最低频率和最少数量的个人信息。
授权同意，明确告知所提供的产品或服务收集的个人信息类型，如：收集和使用个人信息的目的、方式、频率、存放地域、存储期限、自身数据安全能力、对外共享和转让、公开披露等有关情况，获得个人信息主体的授权同意。
征得授权同意的例外，与国家安全、公共安全、犯罪刑侦、个人信息主体生命及财产等重大的合法权益，或从合法公开的新闻报道、政府信息，以及学术研究技工提供统计或学术研究等。
明示同意，应确保明示同意和完全知情的基础上自愿给出的、具体的、清晰的表示。
隐私政策的内容和发布，指定政策内容包括：个人信息控制者基本情况，收集、使用个人信息的目的和所涵盖的各个业务功能，收集的个人信息、收集方式、频率、存放地域、存储期限等个人信息处理规则和实际收集个人信息范围，对外共享、转让、公开披露个人信息的目的，信息类型，遵循的个人信息安全基本原则，具备数据安全能力，以及采集的个人信息安全保护措施。个人信息主体的权利和实现机制，如访问、更正、删除、注销、撤回等方法。提供的个人信息可能存在的安全风险、不提供个人信息可能产生的影响。处理个人信息询问、投诉、纠纷的解决结构及联系方式。隐私告知，的真实、准确、完整。内容应清晰、易懂，公开发布易于访问，政策逐一送达个人信息主体。事项变化时，应及时更新告知个人信息主体。

个人信息的保存

保存时间最小化，期限应为实现目的所需的最短时间，超出保存期限后，应对个人信息进行删除或匿名化处理。
去标识化处理，收集个人信息后，应立即去标识化处理，采取技术和管理方式，将去标识化数据与可恢复识别个人信息分开存储，并确保后续个人信息处理中不重新识别个人。
敏感信息的传输和存储，传输和存储个人敏感信息，应采取加密等安全措施，存储个人生物识别信息，应采取技术措施处理后进行存储。
个人信息控制者停止运营，个人信息控制者停止运营其产品或服务时，应及时停用且通知送达或公告个人信息主体，对所持有的个人信息进行删除或匿名化处理。

个人信息的使用

访问控制措施，对授权访问的数据操作人员，应最小化授权原则，只能访问所需的最少信息及最少数据操作权限。对修改、拷贝、下载重要操作设置审批流程。对安全管理、数据操作、审计人员权限分离。因需要超权限处理个人信息，应由个人信息保护责任人或保护机构进行审批，且记录在册。对个人敏感信息的访问、修改等行为权限控制，根据业务流程需求出发操作授权。
展示限制，展示的个人信息采取去标识化处理措施，降低个人信息在展示环节的泄露风险。
使用限制，使用时应消除明确身份指向性，避免精确确定特定个人，如：准确评价个人信用状况、直接用户画像。对收集的信息加工处理，能够单独或与其他信息结合识别自然人个人身份，反映其个人活动认定为个人信息。处理应遵循收集个人信息的授权同意范围。不得超出与收集个人信息所声称的目的直接或合理关联的范围。
访问，应向主体提供个人信息或类型，来源、所用目的、第三方身份或类型信息的访问方法。
更正，对个人信息错误或不完整，应为主体提供请求更正或补充信息的方法。
删除，违反法律、法规、与个人信息主体的约定，违反了第三方共享、转让，主体要求删除的，应立即删除且通知第三方删除和发布公告。
主体撤回同意，控制者应向主体提供方法撤回收集、使用的信息同意授权，保障拒绝接受其个人信息推送的商业广告权利。
主体注销账户，提供简易的注销账户方法，删除个人信息或做匿名化处理。
主体获得个人信息副本，根据主体请求，提供个人基本信息、个人身份信息、健康生理信息、教育工作信息。
约束信息系统自动决策，仅依据信息系统自动决策做出影响主体权益的决定，如：画像信贷额度，控制者应当向主体提供申诉方法。
响应主体的请求，控制者应及时响应主体提出的请求，与国家安全、公共安全、犯罪侦查等相关的可不响应主体请求。
申诉管理，控制者应建立申诉管理机制，包括跟踪流程、合理限期、响应方式等。

个人信息的委托处理、共享、转让、公开披露

委托处理
共享、转让
收购、兼并、重组时的个人信息转让
公开披露
共享、转让、公开披露个人信息时的事先征集授权同意例外
共同个人信息控制者
个人信息跨境传输要求

个人信息安全事件处理

安全事件应急处置和报告
安全事件告知

组织的管理要求

明确责任部门与人员
开展个人信息安全影响评估
数据安全能力

DSCMM成熟度模型借鉴CMM思想，以CMM的通用实践衡量成熟度等级，以《信息安全技术大数据服务安全能力要求》中相关安全要求为基础，指导组织持续提升数据安全能力，覆盖数据生命周期（数据采集、数据存储、数据传输、数据处理、数据交换、数据销毁）过程，明确各阶段数据安全能力及成熟度，获得组织整体数据安全能力。

数据生命周期安全，围绕数据生命周期，提炼大数据环境下，以数据为中心，针对数据生命周期各阶段的相关数据安全过程域体系；
数据安全能力维度，明确组织在各数据安全域所需具备的能力维度，包括：制度流程、人员能力、组织建设和技术工具四个关键维度；
能力成熟度等级，基于CMM的分级标准，细化组织机构在各数据安全过程域中的5个级别的能力成熟度分级要求。

人员管理与培训
安全审计

数据安全专项整治报告

企业基本情况。《企业基本情况》包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等；（企业自行提供）
盘查、梳理数据资源。《数据资源清册》（在用信息系统数据资源情况）
个人信息数据资源全生命周期情况。《个人信息敏感数据分布情况》（结合个人信息敏感数据，对在用信息系统数据资源盘点）
依照法律、法规和网络安全等级保护制度要求，落实安全保护措施。构建《DSCMM 数据安全能力成熟度》数据安全能力，提供个人信息安全保护措施，如：《数据分级分类》、《数据组织和职责角色》、《数据存储于分布》、《数据生命周期：收集、保存、使用、共享、转让、公开披露等信息处理环节措施》、《数据访问控制》《数据稽核审计策略》等。（需要构建数据治理体系，细化数据安全管理组织、制度、流程及工具支撑）