新版《个人信息安全规范》正式发布

根据2020年3月6日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告，GB／T-2020《信息安全技术 个人信息安全规范》（下称《规范》），并定于2020年10月1日实施。除此之外，还有8项国家标准正式发布。具体清单如下：



GB／T-2020《信息安全技术 个人信息安全规范》对个人信息收集、储存、使用做出了明确规定，并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力。
该标准代替 GB/T 35273-2017《信息安全技术 个人信息安全规范》，与 GB/T 35273-2017 相比，主要技术变化如下：

1、增加了“多项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”、“基于不同业务目所收集个人信息的汇聚融合”、“第三方接入管理”、“个人信息安全工程”、“个人信息处理活动记录”等内容。

《规范》建议，应通过如弹窗、文字说明、填写框、提示条、提示音等形式进行提示，并且要让用户主动做出肯定性的动作，比如勾选、点击“同意”或“下一步”。

此外，扩展的业务功能，应允许个人信息主体逐项选择同意。用户不同意的，个人信息控制者不得反复征求用户同意，除非用户主动选择开启扩展功能，且不应拒绝提供基本业务功能或降低基本业务功能的服务质量。

同时，《规范》还要求，App 在提供业务功能的过程中使用个性化展示的，应显著区分个性化展示的内容和非个性化展示的内容，比如标明“定推”字样。同时，App 应提供不针对用户特征的选项。《规范》还建议，App 向用户提供个性化展示的，宜建立用户对个人信息（如标签、画像维度）的自主控制机制，保障用户调控个性化展示相关程度的能力。

2、修改了“征得授权同意的例外”、“个人信息主体注销账户”、“明确责任部门与人员”、附录 C“实现个人信息主体自主意愿的方法”等内容。

在征得授权同意的例外中，《规范》明确，隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则，不应将其视为根据个人信息主体要求签订和履行的合同。

3、针对个人生物识别信息方面的要求，进行细化并完善。

《规范》规定在收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。

而对于生物识别信息的存储，《规范》也提出了具体的解决措施。

第一，个人生物识别信息要与个人身份信息分开存储；

第二，原则上不应存储原始个人生物识别信息，可采取的措施包括但不限于：仅存储个人生别信息的摘要信息；在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；在使用面部识别特征、 指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

新版《个人信息安全规范》（GB/T 35273-2020）的发布，更加贴近行业实践，增强了企业合规工作的可操作性。同时反映了个人信息保护相关问题的最新监管态度，对最新形势下个人信息保护面临的问题，直接进行了响应并提出了有益的合规参考。