信息安全技术 个人信息安全 第1部分：要求

1信息安全技术个人信息安全GB/T35273-2020信息安全技术个人信息安全GB/T35273-2020界定的注1：人格权是基于自然规律出生，具有民事主体资格，享有民事权利并承担民事义务的自然人，维护人格主体自身的独立人格利益所必备的生命健康、人格尊严、人身自由、个人隐注2：人格利益是自然人唯一拥有的人身权益，由生命、身体、健康、姓名、名誉、荣誉、肖像、个人隐私、人身2注：个人信息主体权利相关规则参看DB21/T1628.1。注1：个人信息处理者、个人信息控制者、个人信息消费者等均应是个人信息管理者的角色细分;注3：这些细分角色应具有个人信息管理者同样的责任和义务，参看DB21/Ta)可以通过自动处理方式处理和使用的、特定的个人信息集合体；b)可以采用非自动处理方式处理和使用的、特定的个人信息集合体；注：个人信息数据库的存储介质可包括磁介质、b)个人信息主体以可鉴证的、有规范记录的、满足书面形式要求的非书面形式同意等。注2：单独同意，应存在认知误区和风险缝隙。单独是自然人个体独自的行为，不能确认个人信息主体，亦不能明3注3：明示同意，与明确同意的区别，明示同意更多用于正式文件（法律文书、合同约定等）。明确同意则更直接4缩略语PDCA：GB/T19001/ISO90PISMS：个人信息安全管理体系（PersonalInformationSecurityManagementSy5.1综述适的概念，泛指自然人群体中单个个体拥有数据的画像、5.2敏感个人信息5.3个人信息敏感性人数据，向敏感个人信息延伸，敏感个人信息的特征随之5.5个人信息生命周期4a)个人信息获取过程：个人信息主体同意，基于特定、明确、合法目的，直接或间接收集自然2)包括提供、委托、交换等不同的利用过c)基于生命周期的过程管理：在个人信息生命周期内，采用PD个人信息主体应是自然人群体中特定的个体，可存在2种识a)个人信息主体是可通过个人信息识别的特定的自然人个体，具有主体唯一性，且个人信息主b)个人信息基于已识别个人信息主体，依据主体唯一性获取。a)基于特定的目的，获得个人信息主体明确同意的管理主体；b)接受合法委托、授权，收集、拥有、保存（存储）、管理、处理、控制、使用、利用个人信c)可拥有、控制、处理个人信息，但不应发生个人信息主体权益转移等。）：a)基于特定目的，获得个人信息主体明确同意，并接受合法委托、授权时；b)个人信息生命周期全过程中与个人信息主体权益相关的所有相关b)个人信息主体知悉个人信息管理目的、知识、方法、技术等相关信息的权利；d)个人信息主体知悉个人信息数据库中与自己相关的信息的权利；e)个人信息主体知悉个人信息生命周期内个人信息管理和个人信息质量等相关信息的权利；f)个人信息主体查询个人信息收集、处理、使用、利用及管理等5b)个人信息主体同意或否定与个人信息管理相关事项的权力；c)个人信息主体同意或否定收集、处理、使用、利用其个人信息的权利；d)个人信息主体修改、删除、完善与之相关的个人信息，以保证个人信息质量（包括完整、准e)个人信息主体决定如何管理、处理、使用、利用与之相关的个人信息的权利；f)个人信息主体提议改进、完善个人信息生命周期内个人信息管理质量的权利等。c)个人信息主体质疑与之相关的个人信息的准确性、完整性和时效性的权利；d)个人信息主体质疑或反对个人信息收集、处理、使用、利用的目的、方式、范围等的权利；e)个人信息主体质疑或反对与之相关的个人信息管理目的、过程等的权利；f)如果个人信息收集、处理、使用、利用的目的、方式、范围等，及个人信息管理目的、过程违背了个人信息主体意愿或其它正当理由，个人信息主体请求停止相关活动、行为或提出撤g)个人信息主体确认停止或撤销个人信息管理、收集、处理、使用、利用等的权利；h)个人信息主体质疑个人信息生命周期内个人信息管理质量的可靠性的权利等。a)获得个人信息主体明确同意并接受个人信息相关委托、授权时；b)个人信息收集（各种存在形态个人信息8.1.3各种不同的个人信息需求产生的不同细分角色，应负有相同的管理责任和义务，亦应统称为个a)个人信息管理者收集、处理、使用、利用、管理个人信息应获得个人信息主体授权，并确定b)个人信息管理者应为个人信息主体提供个人信息生命周期内的服务管理；d)个人信息管理者不应因利益、条件等的变化降6制等，但均应遵循本章确立的规则，保障个人信息主体个人信息管理应是个人信息管理者为个人信息主体提供服务的过程。个人信息管理者应满足：a)个人信息管理者应具有各类资源的转换能力和相应的管理职能，以保证个人信息管理的有效b)个人信息管理者应建立有效的内部管理机制并形成管理体系，以保证个人信息管理质量的可a)管理责任：个人信息管理者及相应的细分角色均应负有收集、存储、处理、使用、利用个人c)目的明确：个人信息管理者应保证个人信息管理目的与个人信息主体意愿一致，管理过程或f)保密性：个人信息管理者应对所管理的个人信息予以保密，并对个人信息管理过程中的安全9个人信息管理9.1.1个人信息管理是以占有、控制、利用、使用个人信息为目的的管理行为、活动。个人信息管理源与个人信息主体的符合性，采取相应的控制策略和措9.1.2个人信息管理者应履行管理责任和义务，协调、组织、转换PIS9.2管理组织9.2.1要求个人信息管理者应根据管理、业务等实际，建立个人信息管理相关机构，构建PISMS，实施个人信79.2.2责任主体及职责9.2.2.1最高管理者9.2.2.2管理责任主体a)建立、落实个人信息管理责任主体，明确责任主体职能和职责；b)宜分工建立个人信息管理相关责任主体，可包括宣传教育、安全管理、服务咨询等；e)明确个人信息管理相关责任主体和人h)PISMS运行检查、评估、改进、完善；可以在个人信息管理者内部选聘，或聘请社会人士担任。其职8b)主体权利：个人信息管理应保证个人信息主体享有的权利；c)个人信息质量：在管理活动或行为中应保证个人信息的准确性、完整性和最新状态；d)合理限制：收集、处理、使用、利用个人信息，应采用合法、合理的手段和方式，并保持公e)安全保障：应采取必要、合理的管理和技术措施，防止个人信息滥用、篡改、丢失、泄露、a)个人信息主体的权利；a)个人信息收集目的、策略；b)个人信息管理措施、策略；c)个人信息管理和各类相关资源的组织、协调、转换和沟通；e)个人信息全生命周期过程管理和控9.8管理机制9.8.1管理制度9.8.1.1基本规章9.8.1.2管理细则9.8.1.3其它规定99.8.2人员管理9.8.2.1相关人员9.8.2.2工作人员9.8.2.3激励9.8.3宣传教育9.8.3.1宣传9.8.3.1.1基本宣传个人信息管理者应在其内部向全体工作人员及其它相关人员说明个人信息管理的重要性和相关管理策略，以得到工作人员及其它相关人员对个人信息管理工作的配9.8.3.1.2业务宣传9.8.3.1.3社会宣传类、纸质等材料）中增加个人信息管理的相9.8.3.2培训教育9.8.3.2.1计划9.8.3.2.2对象b)个人信息管理的重要性和必要性；f)违反个人信息安全相关标准可能引起的损害和后果；9.8.4文档管理9.8.4.1记录9.8.4.2备案9.8.5公示b)公示的目的、方式、范围和内容；9.8.6控制个人信息管理代表应根据管理计划适时评估PISMS的效能和个人信息管理效果，检查、修正个人信9.8.7协调属责任主体）与PISMS、PISMS内、PISMS与相关资源之间等的应遵循8.5、9.5的规则，基于特定、明确、合法的目的，采用科学、a)应将收集目的、范围、方法和手段、处理方式等清晰无误的告知个人信息主体，并征得个人c)个人信息收集应依据实际需要和个人信息主体同意的目的、范围适当、适度，不应限于最小d)个人信息收集应严格区分敏感个人信息和个人信息的敏感性：2)具有敏感性个人信息收集应依据相关法规、标准和本文件规则，采取相应的安全保障措b)个人信息收集、处理、使用的目的、方法；c)通过各种电子、网络媒介（如博客、微博、微信、论坛、云盘、网盘、邮件、即时通讯、网站、网络视频等）、纸媒体、公共监控、面部识别、AI等，及大数据采集个人信息如采用假名化保存，应分别建立个人信息可识别个人信息管理者应为个人信息的存储、保存设定意识，采取必要的安全措施，防止不正当收集个人信息，避a)应根据本文件中个人信息管理者、个人信息管理的相关规则，管控个人信息处理过程，以保b)应根据国家法律、标准和本文件中个人信息管理者、个人信息管理的相关规则，管控智能识别、智能应用等新技术应用过程中个人信息处理过程，以保证个人信息安全和个人信息主体c)应根据国家法律、标准和本文件中个人信息管理者、个人信息管理的相关规则，管控个人信a)应以各种方式征得个人信息主体同意；或为履行与个人信息主体达成的合法协议的需要；c)如需要超出个人信息收集目的范围处理、使用个人信息，应通知并征得个人信息主体明确同d)任何处理、使用个人信息的行为，应履行8.5、务，征得个人信息主体同意，并限定在个人信息主体同意的范围内，避免随意泄露、传播和意，采取适当、合法、有效的方法和手段获得的，并不个人信息管理者合法拥有的个人信息，在向第三方提供（包括跨境提供）时，应履行第8章规定的个人信息管理者的责任和义务，保障个人信息主体的合法第三方（包括境外）接受个人信息管理者提供的个人信息安全性以及个人信息主体权益的明确承诺，避免不正a)个人信息管理者委托第三方收集个人信息；c)第三方（包括境外）委托个人信息处理业务或接受个人信息处理委托业务等。涉及个人信息委托业务时，应选择已建立PISMS（涉及境外时，境外相关机构应已建立严格的个人b)委托方和受托方的权利和责任（依据国家相关法规、规范和本文件规则）；d)保护个人信息的安全措施和安全承诺；）；g)个人信息相关事件、事故的说明、责任认定和报告；b)个人信息深度开发等。a)遵守国家相关法规、标准；c)本文件规定的个人信息管理者的责任d)征得个人信息主体同意，并保障个人信息主体权益；e)限定在个人信息主体同意的范围内，避免随意泄露、传播和扩散等。c)个人信息开发的目的、方式、方法和范b)基于某种利益关系的个人信息销售等。b)应通知个人信息主体，申明个人信息主体权利并征得个人信息主体同意；c)应限定在个人信息主体同意的范围内，避免随意泄露、传播和扩散；d)交易双方均应履行本文件规定的个人信息管理原则；e)交易双方均应履行本文件规定的个人信息管理者的责任、义务；个人信息管理者交易个人信息，应以各种形式通知个人信息主体。通知内容应包括：a)个人信息管理者相关信息；e)个人信息交易的目的、方式、方法和范h)交易完成后的处理方式等。a)根据个人信息主体意见、合同约定方式等采取的安全处理措施；c)根据个人信息主体意见、合同约定方式、个人信息管理者需求等假名化处理；d)根据个人信息主体意见、合同约定方式、个人a)如需继续保存、使用、返还，应保证个人信息的准确性、完整性和最新状态；b)如需个人信息假名化处理，应保证个人信息主体可识别特征信息的准确性、完整性和最新状c)如需个人信息匿名化，应考虑个人信息碎片化后的细粒度，及可复原程度等。过程管理是个人信息生命周期内体系化管理的重要一环。应采用PDCA过程模式监督、跟踪、管控PISMS，保证个人信息管理质量，保障个人信息安全和个人信息主体权益。a)审核个人信息管理相关活动和行为、PISMS、PISMS实施和运行过程；应根据PISMS内审计划，定期独立、公平、公正地实施内审，并形成服务咨询责任主体应接受个人信息主体、各类组织和人员提出的个人信息管理活动、PISMS的相关过程模式，定期评估、分析PISMS运行状况，并持续改b)制定预防和改进措施；b)事故的处理流程；）；a)个人信息数据库管理和使用制度；应根据个人信息自动和非自动处理的特点，制定相应的个人信息数据库管理策略，包括访问/调用应制定个人信息数据库备份和恢复机制，并保证备份、恢复的完整性、可靠性和准确性。用个人信息，以保护个人信息主体权益。这些情a)各种网络环境下与个人信息相关的各种行为、活动；b)各种工作环境下与个人信息相关的各种行为、活动；c)各种生活环境下与个人信息相关的