信息安全技術(shù) 個(gè)人信息安全規(guī)范-編制說(shuō)明

一、工作簡(jiǎn)況1.1任務(wù)來(lái)源2017年12月，GB/T35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》正式發(fā)布。本標(biāo)準(zhǔn)一經(jīng)發(fā)布便受到廣泛關(guān)注，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)針對(duì)該標(biāo)準(zhǔn)召開(kāi)多次宣貫、培訓(xùn)會(huì)，并在中央網(wǎng)信辦等四部門(mén)兩次隱私條款評(píng)審工作中得到應(yīng)用。同時(shí)，2018年標(biāo)準(zhǔn)的實(shí)踐應(yīng)用過(guò)程中，得到了一系列反饋，考慮到本標(biāo)準(zhǔn)廣泛的影響力，就其中內(nèi)容進(jìn)行修訂，以更好地指導(dǎo)組織實(shí)踐。本次標(biāo)準(zhǔn)修訂主要承辦單位：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院。標(biāo)準(zhǔn)負(fù)責(zé)人:洪延青。1.2主要工作過(guò)程1.2018年9月，由原標(biāo)準(zhǔn)制定組進(jìn)行廣泛調(diào)研2018年9月，原標(biāo)準(zhǔn)制定組根據(jù)標(biāo)準(zhǔn)應(yīng)用情況，展開(kāi)廣泛調(diào)研，摸清國(guó)內(nèi)外的研究動(dòng)向，為本標(biāo)準(zhǔn)的修訂夯實(shí)牢固的基礎(chǔ)。調(diào)研過(guò)程中，著重調(diào)研有關(guān)部門(mén)隱私條款評(píng)審、監(jiān)管約談、法律法規(guī)編制、企業(yè)實(shí)踐經(jīng)驗(yàn)等情況。2.成立標(biāo)準(zhǔn)修訂工作組2018年10月，在原有標(biāo)準(zhǔn)制定工作組基礎(chǔ)上，成立標(biāo)準(zhǔn)修訂工作組。3.工作組多次內(nèi)部討論從2018年9月至2018年11月，工作組內(nèi)部共進(jìn)行了5次內(nèi)部工作討論，分別提出了修訂原則和修訂內(nèi)容，并對(duì)提出的修改意見(jiàn)進(jìn)行反復(fù)討論和推敲。尤其是針對(duì)捆綁授權(quán)、收集必要性、定向推送等重點(diǎn)問(wèn)題進(jìn)行了探討。3.2018年11月形成草案2018年11月底，標(biāo)準(zhǔn)修訂工作組結(jié)合前期調(diào)研和討論情況，形成標(biāo)準(zhǔn)草案。4.2018年12月首次向企業(yè)征求意見(jiàn)2018年12月，標(biāo)準(zhǔn)修訂工作組就標(biāo)準(zhǔn)草案內(nèi)容首次向企業(yè)代表征求意見(jiàn)，并對(duì)意見(jiàn)進(jìn)行處理，形成草案版本2.0。5.2019年1月召開(kāi)多次專家會(huì)議完善標(biāo)準(zhǔn)，并形成征求意見(jiàn)稿2019年1月，標(biāo)準(zhǔn)修訂工作組召開(kāi)2次專家會(huì)議，召集標(biāo)準(zhǔn)化、法律、科研機(jī)構(gòu)、學(xué)校等個(gè)人信息保護(hù)相關(guān)領(lǐng)域?qū)＜疫M(jìn)行研討，并積極吸收其建議；同時(shí)，標(biāo)準(zhǔn)修訂工作組召開(kāi)2次企業(yè)代表征求意見(jiàn)會(huì)議，就標(biāo)準(zhǔn)最新內(nèi)容進(jìn)行反復(fù)研討，最終，于2019年1月30日形成草案版本3.0。6.2019年2月1日，標(biāo)準(zhǔn)草案公開(kāi)向社會(huì)征求意見(jiàn)2019年2月1日，標(biāo)準(zhǔn)修訂工作組就標(biāo)準(zhǔn)草案內(nèi)容向社會(huì)公開(kāi)征求意見(jiàn)，征求意見(jiàn)期限為45天。7.2019年3月-4月，標(biāo)準(zhǔn)工作組處理收到的意見(jiàn)2019年3月至4月，標(biāo)準(zhǔn)工作組召開(kāi)多次工作組內(nèi)會(huì)議，分別對(duì)國(guó)外機(jī)構(gòu)和國(guó)內(nèi)機(jī)構(gòu)以及個(gè)人的意見(jiàn)進(jìn)行逐條處理，進(jìn)一步完善草案。8.2019年4月，在信安標(biāo)委會(huì)議周匯報(bào)2019年4月25日，標(biāo)準(zhǔn)工作組將最細(xì)版本標(biāo)準(zhǔn)草案在信安標(biāo)委寧波會(huì)議周期間的大數(shù)據(jù)工作組內(nèi)進(jìn)行匯報(bào)，與組內(nèi)專家進(jìn)行討論，最后順利將標(biāo)準(zhǔn)推進(jìn)至征求意見(jiàn)稿。9.2019年5-6月，標(biāo)準(zhǔn)工作組內(nèi)部會(huì)議2019年5月至6月，標(biāo)準(zhǔn)工作組召開(kāi)多次工作組內(nèi)會(huì)議，對(duì)信安標(biāo)委寧波會(huì)議周期間的意見(jiàn)進(jìn)行討論，同時(shí)結(jié)合App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理工作的實(shí)踐和個(gè)人信息相關(guān)法規(guī)政策文件要求，對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)一步優(yōu)化。二、標(biāo)準(zhǔn)修訂原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題2.1修訂原則《信息安全技術(shù)個(gè)人信息安全規(guī)范》通過(guò)借鑒國(guó)外標(biāo)準(zhǔn)的研究，結(jié)合新的技術(shù)發(fā)展和國(guó)內(nèi)應(yīng)用實(shí)踐，提出與國(guó)際標(biāo)準(zhǔn)接軌、適合我國(guó)國(guó)情，具有可操作性的“個(gè)人信息保護(hù)”標(biāo)準(zhǔn)。通過(guò)該標(biāo)準(zhǔn)的實(shí)施，支撐組織提升個(gè)人信息保護(hù)水平。同時(shí)為主管監(jiān)管部門(mén)開(kāi)展個(gè)人信息安全相關(guān)監(jiān)督提供參考?！缎畔踩夹g(shù)個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)的修訂遵循以下原則：(1)先進(jìn)性：標(biāo)準(zhǔn)反映當(dāng)今個(gè)人信息保護(hù)的先進(jìn)技術(shù)水平；(2) 開(kāi)放性：標(biāo)準(zhǔn)的編制、評(píng)審與使用具有開(kāi)放性；(3) 適應(yīng)性：標(biāo)準(zhǔn)結(jié)合我國(guó)國(guó)情；(4) 簡(jiǎn)明性：標(biāo)準(zhǔn)易于理解、實(shí)現(xiàn)和應(yīng)用；(5) 中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)；(6) 一致性：術(shù)語(yǔ)與國(guó)內(nèi)外標(biāo)準(zhǔn)所用術(shù)語(yǔ)最大程度保持一致。2.2主要修訂內(nèi)容本標(biāo)準(zhǔn)與GB/T35273－2017的主要差異如下：——“3縮略語(yǔ)”中補(bǔ)充了內(nèi)容；——增加了“5.3不得強(qiáng)迫收集個(gè)人信息的要求”；——“5.7征得授權(quán)同意的例外”進(jìn)行了修改；——增加了“7.4個(gè)性化展示及退出”；——增加了“7.5基于不同業(yè)務(wù)目所收集的個(gè)人信息的匯聚融合”；——增加了“8.7第三方接入管理”；——修改了“10.1明確責(zé)任部門(mén)與人員；——增加“10.2個(gè)人信息處理活動(dòng)記錄；——修改了“資料性附錄C保障個(gè)人信息主體選擇同意權(quán)的方法”。——增加了“附錄C.1區(qū)分基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能”、“C.2基本業(yè)務(wù)功能的告知和明示同意”、“C.3擴(kuò)展業(yè)務(wù)功能的告知和明示同意”。2.3確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題1.確定標(biāo)準(zhǔn)修訂主要內(nèi)容的論據(jù)在標(biāo)準(zhǔn)的修訂過(guò)程中，修訂工作組查閱了大量國(guó)內(nèi)外相關(guān)資料，進(jìn)行學(xué)習(xí)、消化、比對(duì)和深入研究，結(jié)合自己的科研實(shí)踐，得出下述結(jié)論性意見(jiàn)，并得到多數(shù)專家的贊同。本次標(biāo)準(zhǔn)修訂核心為以下三方面內(nèi)容：1）突出基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能的劃分要求；2）增加基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能的明示、同意的規(guī)則，同時(shí)修訂附錄C，給出具體的實(shí)現(xiàn)方式；3）增加新聞、時(shí)政、廣告的定向推送的規(guī)定。修訂工作組在《個(gè)人信息安全規(guī)范》“收集”這一章提出了兩個(gè)方案。方案一：區(qū)分基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能。給出劃分原則，規(guī)定不同的授權(quán)同意方案等。但企業(yè)對(duì)方案一的反對(duì)聲音很大。方案二：不區(qū)分基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能。但是增加了“不得強(qiáng)迫收集個(gè)人信息的要求”，著重打破“強(qiáng)制索權(quán)”的問(wèn)題。同時(shí)“過(guò)度索權(quán)、過(guò)度收集個(gè)人信息”的問(wèn)題，還是主要通過(guò)個(gè)人信息分級(jí)的思路來(lái)解決。經(jīng)與專家和企業(yè)的反復(fù)討論，最終確定將方案二作為標(biāo)準(zhǔn)主體內(nèi)容，方案一作為資料性附錄供組織實(shí)現(xiàn)相應(yīng)機(jī)制時(shí)進(jìn)行參考。此外，對(duì)于定向推送，《個(gè)人信息安全規(guī)范》修訂組結(jié)合《電子商務(wù)法》等法律法規(guī)相關(guān)規(guī)定提出了相應(yīng)的要求。2.解決的主要問(wèn)題《個(gè)人信息安全規(guī)范》于2018年5月1日生效。在生效不到一年時(shí)修訂標(biāo)準(zhǔn)，根本目的是為了突出體現(xiàn)、落實(shí)《網(wǎng)絡(luò)安全法》規(guī)定的個(gè)人信息收集、使用的“合法、正當(dāng)、必要”基本原則，尤其是“必要原則”，以此解決群眾反映強(qiáng)烈的APP“強(qiáng)制索權(quán)、過(guò)度索權(quán)、超范圍收集、強(qiáng)制個(gè)性化推送”的問(wèn)題。三、主要試驗(yàn)[或驗(yàn)證]情況分析標(biāo)準(zhǔn)修訂組廣泛征求前期參與四部門(mén)隱私條款評(píng)審的相關(guān)企業(yè)和在個(gè)人信息保護(hù)領(lǐng)域有豐富經(jīng)驗(yàn)的企業(yè)，包括阿里巴巴、騰訊、京東、百度、華為技術(shù)有限公司、高德地圖、滴滴出行、微軟中國(guó)、字節(jié)跳動(dòng)、美團(tuán)點(diǎn)評(píng)等。他們對(duì)修訂后的標(biāo)準(zhǔn)進(jìn)行試用與驗(yàn)證。反饋的建議對(duì)標(biāo)準(zhǔn)的修訂奠定了良好基礎(chǔ)。四、知識(shí)產(chǎn)權(quán)情況說(shuō)明標(biāo)準(zhǔn)的技術(shù)內(nèi)容不涉及專利。五、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況個(gè)人信息保護(hù)上廣受關(guān)注。原有版本標(biāo)準(zhǔn)編制過(guò)程中，廣泛參考了國(guó)內(nèi)外的相關(guān)標(biāo)準(zhǔn)和規(guī)范，此次修訂結(jié)合目前的技術(shù)發(fā)展、我國(guó)的應(yīng)用實(shí)踐進(jìn)行修改、補(bǔ)充與完善。提出與國(guó)際標(biāo)準(zhǔn)接軌、適合我國(guó)國(guó)情的“個(gè)人信息安全規(guī)范”標(biāo)準(zhǔn)。六、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性標(biāo)準(zhǔn)符合現(xiàn)行法律、法規(guī)和規(guī)章；與相關(guān)標(biāo)準(zhǔn)沒(méi)有沖突。七、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)無(wú)。八、標(biāo)準(zhǔn)性質(zhì)的建議建議作為推薦性標(biāo)準(zhǔn)頒布。九、貫徹標(biāo)準(zhǔn)的要求和措施建議建議本標(biāo)準(zhǔn)作為網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系的一部分，配合實(shí)施。十、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議本標(biāo)準(zhǔn)將代替GB/T35273—2007。十二、其它應(yīng)予說(shuō)明的事項(xiàng)無(wú)。國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》（征求意見(jiàn)稿）修訂說(shuō)明國(guó)