PDF《ICS 35.040》

1 信息安全技术 个人信息安全规范

1 范围 本标准规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动 应遵循的原则和安全要求. 本标准适用于规范各类组织个人信息处理活动, 也适用于主管监管部门、 第三方评 估机构等组织对个人信息处理活动进行监督、管理和评估.

2 规范性引用文件 下列文件对于本文件的应用是必不可少的. 凡是注日期的引用文件, 仅注日期的版 本适用于本文件.凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件. GB/T 25069―2010 信息安全技术 术语

3 术语和定义 GB/T 25069―2010中界定的以及下列术语和定义适用于本文件. 3.1 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或 者反映特定自然人活动情况的各种信息. 注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系 方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生 理信息、交易信息等. 注2:关于个人信息的范围和类型可参见附录 A. 3.2 个人敏感信息 personal sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健 康受到损害或歧视性待遇等的个人信息. 注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产 信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童 的个人信息等. 注2:关于个人敏感信息的范围和类型可参见附录 B. GB/T 35273―2017

2 3.3 个人信息主体 personal data subject 个人信息所标识的自然人. 3.4 个人信息控制者 personal data controller 有权决定个人信息处理目的、方式等的组织或个人. 3.5 收集 collect 获得对个人信息的控制权的行为, 包括由个人信息主体主动提供、 通过与个人信息 主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间 接获取等方式. 注: 如果产品或服务的提供者提供工具供个人信息主体使用, 提供者不对个人信息进行访问的, 则不属于本标准所称的收集行为.例如,离线导航软件在终端获取用户位置信息后,如不回 传至软件提供者,则不属于个人信息收集行为. 3.6 明示同意 explicit consent 个人信息主体通过书面声明或主动做出肯定性动作, 对其个人信息进行特定处理做 出明确授权的行为. 注:肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击 同意 、 注册 、 发送 、 拨打 等. 3.7 用户画像 user profiling 通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健康、 教育、 个人喜好、 信用、 行为等方面做出分析或预测, 形成其个人特征模型的过程. 注:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像.使用来源 于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接 用户画像. 3.8 个人信息安全影响评估 personal information security impact assessment 针对个人信息处理活动, 检验其合法合规程度, 判断其对个人信息主体合法权益造 成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程. 3.9 删除 delete 在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、 访问的状态. GB/T 35273―2017