您好,歡迎來到安徽省安全技術防范行業協會!
0551- 62818875 64280445

安徽省安全技術防范行業協會

AnHui Security Technology & Protection Industry Association

網站首頁>政策法規>標準規范
行業動態

標準規范

新版個人信息安全規范正式發布

來源:雷鋒網 發布時間:2020/03/17
 

  3月6日,國家市場監督管理總局、國家標準化管理委員會正式發布國家標準《信息安全技術個人信息安全規范》(下稱《規范》),并定于2020年10月1日實施。



  《規范》對個人信息收集、儲存、使用做出了明確規定,并規定了個人信息主體具有查詢、更正、刪除、撤回授權、注銷賬戶、獲取個人信息副本等權力。


  與 2017 年的版本 相比,這次的變化主要有三個方面:


  一、增加了“多項業務功能的自主選擇”、“用戶畫像的使用限制”、“個性化展示的使用”、“基于不同業務目所收集個人信息的匯聚融合”、“第三方接入管理”、“個人信息安全工程”、“個人信息處理活動記錄”等內容。


  《規范》在附錄C中推薦 App 區分基本業務功能和擴展業務功能:

  a:應根據個人信息主體選擇、使用所提供產品或服務的根本期待和最主要的需 求,劃定產品或服務的基本業務功能;

  b:不應將改善服務質量、提升個人信息主體體驗、研發新產品單獨作為基本業務 功能;

  c:將產品或服務所提供的基本業務功能之外的其他功能,劃定為擴展業務功能。

  具體如何獲得用戶同意?《規范》建議,應通過如彈窗、文字說明、填寫框、提示條、提示音等形式進行提示,并且要讓用戶主動做出肯定性的動作,比如勾選、點擊“同意”或“下一步”。

  此外,擴展的業務功能,應允許個人信息主體逐項選擇同意。用戶不同意的,個人信息控制者不得反復征求用戶同意,除非用戶主動選擇開啟擴展功能,且不應拒絕提供基本業務功能或降低基本業務功能的服務質量。

  同時,《規范》還要求,App 在提供業務功能的過程中使用個性化展示的,應顯著區分個性化展示的內容和非個性化展示的內容,比如標明“定推”字樣。同時,App 應提供不針對用戶特征的選項。《規范》還建議,App 向用戶提供個性化展示的,宜建立用戶對個人信息(如標簽、畫像維度)的自主控制機制,保障用戶調控個性化展示相關程度的能力。


  二、修改了“征得授權同意的例外”、“個人信息主體注銷賬戶”、“明確責任部門與人員”、“實現個人信息主體自主意愿的方法”等內容。


  在征得授權同意的例外中,《規范》明確,隱私政策的主要功能為公開個人信息控制者收集、使用個人信息范圍和規則,不應將其視為根據個人信息主體要求簽訂和履行的合同。


  三、針對個人生物識別信息方面的要求,進行細化并完善。


  《規范》規定在收集個人生物識別信息前,應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍,以及存儲時間等規則,并征得個人信息主體的明示同意。

  而對于生物識別信息的存儲,《規范》也提出了具體的解決措施。

  第一,個人生物識別信息要與個人身份信息分開存儲;

  第二,原則上不應存儲原始個人生物識別信息,可采取的措施包括但不限于:僅存儲個人生別信息的摘要信息;在采集終端中直接使用個人生物識別信息實現身份識別、認證等功能;在使用面部識別特征、 指紋、掌紋、虹膜等實現識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像。



高手论坛免费精选资料