信息安全技術 個人信息安全規(guī)范-編制說明

一、工作簡況1.1任務來源2017年12月，GB/T35273-2017《信息安全技術個人信息安全規(guī)范》正式發(fā)布。本標準一經發(fā)布便受到廣泛關注，全國信息安全標準化技術委員會針對該標準召開多次宣貫、培訓會，并在中央網信辦等四部門兩次隱私條款評審工作中得到應用。同時，2018年標準的實踐應用過程中，得到了一系列反饋，考慮到本標準廣泛的影響力，就其中內容進行修訂，以更好地指導組織實踐。本次標準修訂主要承辦單位：中國電子技術標準化研究院。標準負責人:洪延青。1.2主要工作過程1.2018年9月，由原標準制定組進行廣泛調研2018年9月，原標準制定組根據標準應用情況，展開廣泛調研，摸清國內外的研究動向，為本標準的修訂夯實牢固的基礎。調研過程中，著重調研有關部門隱私條款評審、監(jiān)管約談、法律法規(guī)編制、企業(yè)實踐經驗等情況。2.成立標準修訂工作組2018年10月，在原有標準制定工作組基礎上，成立標準修訂工作組。3.工作組多次內部討論從2018年9月至2018年11月，工作組內部共進行了5次內部工作討論，分別提出了修訂原則和修訂內容，并對提出的修改意見進行反復討論和推敲。尤其是針對捆綁授權、收集必要性、定向推送等重點問題進行了探討。3.2018年11月形成草案2018年11月底，標準修訂工作組結合前期調研和討論情況，形成標準草案。4.2018年12月首次向企業(yè)征求意見2018年12月，標準修訂工作組就標準草案內容首次向企業(yè)代表征求意見，并對意見進行處理，形成草案版本2.0。5.2019年1月召開多次專家會議完善標準，并形成征求意見稿2019年1月，標準修訂工作組召開2次專家會議，召集標準化、法律、科研機構、學校等個人信息保護相關領域專家進行研討，并積極吸收其建議；同時，標準修訂工作組召開2次企業(yè)代表征求意見會議，就標準最新內容進行反復研討，最終，于2019年1月30日形成草案版本3.0。6.2019年2月1日，標準草案公開向社會征求意見2019年2月1日，標準修訂工作組就標準草案內容向社會公開征求意見，征求意見期限為45天。7.2019年3月-4月，標準工作組處理收到的意見2019年3月至4月，標準工作組召開多次工作組內會議，分別對國外機構和國內機構以及個人的意見進行逐條處理，進一步完善草案。8.2019年4月，在信安標委會議周匯報2019年4月25日，標準工作組將最細版本標準草案在信安標委寧波會議周期間的大數據工作組內進行匯報，與組內專家進行討論，最后順利將標準推進至征求意見稿。9.2019年5-6月，標準工作組內部會議2019年5月至6月，標準工作組召開多次工作組內會議，對信安標委寧波會議周期間的意見進行討論，同時結合App違法違規(guī)收集使用個人信息專項治理工作的實踐和個人信息相關法規(guī)政策文件要求，對標準內容進一步優(yōu)化。二、標準修訂原則和確定主要內容的論據及解決的主要問題2.1修訂原則《信息安全技術個人信息安全規(guī)范》通過借鑒國外標準的研究，結合新的技術發(fā)展和國內應用實踐，提出與國際標準接軌、適合我國國情，具有可操作性的“個人信息保護”標準。通過該標準的實施，支撐組織提升個人信息保護水平。同時為主管監(jiān)管部門開展個人信息安全相關監(jiān)督提供參考?！缎畔踩夹g個人信息安全規(guī)范》標準的修訂遵循以下原則：(1)先進性：標準反映當今個人信息保護的先進技術水平；(2) 開放性：標準的編制、評審與使用具有開放性；(3) 適應性：標準結合我國國情；(4) 簡明性：標準易于理解、實現和應用；(5) 中立性：公正、中立，不與任何利益攸關方發(fā)生關聯；(6) 一致性：術語與國內外標準所用術語最大程度保持一致。2.2主要修訂內容本標準與GB/T35273－2017的主要差異如下：——“3縮略語”中補充了內容；——增加了“5.3不得強迫收集個人信息的要求”；——“5.7征得授權同意的例外”進行了修改；——增加了“7.4個性化展示及退出”；——增加了“7.5基于不同業(yè)務目所收集的個人信息的匯聚融合”；——增加了“8.7第三方接入管理”；——修改了“10.1明確責任部門與人員；——增加“10.2個人信息處理活動記錄；——修改了“資料性附錄C保障個人信息主體選擇同意權的方法”。——增加了“附錄C.1區(qū)分基本業(yè)務功能和擴展業(yè)務功能”、“C.2基本業(yè)務功能的告知和明示同意”、“C.3擴展業(yè)務功能的告知和明示同意”。2.3確定主要內容的論據及解決的主要問題1.確定標準修訂主要內容的論據在標準的修訂過程中，修訂工作組查閱了大量國內外相關資料，進行學習、消化、比對和深入研究，結合自己的科研實踐，得出下述結論性意見，并得到多數專家的贊同。本次標準修訂核心為以下三方面內容：1）突出基本業(yè)務功能和擴展業(yè)務功能的劃分要求；2）增加基本業(yè)務功能和擴展業(yè)務功能的明示、同意的規(guī)則，同時修訂附錄C，給出具體的實現方式；3）增加新聞、時政、廣告的定向推送的規(guī)定。修訂工作組在《個人信息安全規(guī)范》“收集”這一章提出了兩個方案。方案一：區(qū)分基本業(yè)務功能和擴展業(yè)務功能。給出劃分原則，規(guī)定不同的授權同意方案等。但企業(yè)對方案一的反對聲音很大。方案二：不區(qū)分基本業(yè)務功能和擴展業(yè)務功能。但是增加了“不得強迫收集個人信息的要求”，著重打破“強制索權”的問題。同時“過度索權、過度收集個人信息”的問題，還是主要通過個人信息分級的思路來解決。經與專家和企業(yè)的反復討論，最終確定將方案二作為標準主體內容，方案一作為資料性附錄供組織實現相應機制時進行參考。此外，對于定向推送，《個人信息安全規(guī)范》修訂組結合《電子商務法》等法律法規(guī)相關規(guī)定提出了相應的要求。2.解決的主要問題《個人信息安全規(guī)范》于2018年5月1日生效。在生效不到一年時修訂標準，根本目的是為了突出體現、落實《網絡安全法》規(guī)定的個人信息收集、使用的“合法、正當、必要”基本原則，尤其是“必要原則”，以此解決群眾反映強烈的APP“強制索權、過度索權、超范圍收集、強制個性化推送”的問題。三、主要試驗[或驗證]情況分析標準修訂組廣泛征求前期參與四部門隱私條款評審的相關企業(yè)和在個人信息保護領域有豐富經驗的企業(yè)，包括阿里巴巴、騰訊、京東、百度、華為技術有限公司、高德地圖、滴滴出行、微軟中國、字節(jié)跳動、美團點評等。他們對修訂后的標準進行試用與驗證。反饋的建議對標準的修訂奠定了良好基礎。四、知識產權情況說明標準的技術內容不涉及專利。五、采用國際標準和國外先進標準情況個人信息保護上廣受關注。原有版本標準編制過程中，廣泛參考了國內外的相關標準和規(guī)范，此次修訂結合目前的技術發(fā)展、我國的應用實踐進行修改、補充與完善。提出與國際標準接軌、適合我國國情的“個人信息安全規(guī)范”標準。六、與現行相關法律、法規(guī)、規(guī)章及相關標準的協調性標準符合現行法律、法規(guī)和規(guī)章；與相關標準沒有沖突。七、重大分歧意見的處理經過和依據無。八、標準性質的建議建議作為推薦性標準頒布。九、貫徹標準的要求和措施建議建議本標準作為網絡安全標準體系的一部分，配合實施。十、替代或廢止現行相關標準的建議本標準將代替GB/T35273—2007。十二、其它應予說明的事項無。國家標準《信息安全技術個人信息安全規(guī)范》（征求意見稿）修訂說明國