新规速递 | 最新解读GB/T 35273-2020《个人信息安全规范》

2020版继续沿用了2017版的七大原则，分别是：权责一致原则、目的明确原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则、主体参与原则。

虽未明确定义“准确和质量、问责、收集限制、隐私合规”等原则，略感遗憾，但相关原则的控制措施却跃然纸上。

在架构上持续强调个人信息控制者应承担的义务，而未明确定义个人信息处理者、个人信息联合控制者、个人信息外包方等角色应履行的义务。

较2017版，2020版新增了“个性化展示”、“业务功能”两个术语。

1、选择同意原则下，新增要求“不强迫接受多项业务功能：当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不应违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求”。

2、在目的明确原则下，新增要求“如产品或服务仅提供一项收集、使用个人信息的业务功能时，个人信息控制者可通过隐私政策的形式，实现向个人信息主体的告知；产品或服务提供多项收集、使用个人信息的业务功能的，除隐私政策外，个人信息控制者宜在实际开始收集特定个人信息时，向个人信息主体提供收集、使用该个人信息的目的、方式和范围，以便个人信息主体在作出具体的授权同意前，能充分考虑对其的具体影响”。

3、在选择同意原则下，强调了“隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则，不应将其视为个人信息主体要求签订的合同”。

4、确保安全原则下，新增的要求较多，分别是：

• 1）“将个人生物识别信息的原始信息和摘要分开存储”的技术要求。
• 2）在信息系统自动决策机制的使用中定期（至少每年一次）开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施、向个人信息主体提供针对自动决策结果的申诉渠道，并对自动决策结果进行人工复核。
• 3）明确组织应为个人信息保护负责人和个人信息保护工作机构提供必要的资源，保障其独立履行职责。如采用公布投诉、举报方式等信息并及时受理投诉举报、与监督、管理部门保持沟通，通报或报告个人信息保护和事件处置等情况等。
• 4）要求组织记录的内容包括：所涉及个人信息的类型、数量、来源（例如从个人信息主体直接收集或通过间接获取方式获得）；根据业务功能和授权情况区分个人信息的处理目的、使用场景，以及委托处理、共享、转让、公开披露、是否涉及出境等情况。 

5、在最少够用的原则下，新增的要求较多，分别是：

• 1）要求了用户个人画像的特征描述不能为“淫秽、色情、赌博、迷信、恐怖、暴力”；业务运营或对外业务合作中使用用户画像不能侵害保护公民、法人和其他组织的合法权益，不能危害国家安全、荣誉和利益
• 2）除为达到主体授权同意的使用目的所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人
• 3）在向主体推送新闻信息服务的过程中使用个性化展示时应：显著区分个性化推送服务，如标明“个性化展示”或“定推”等字样，为主体提供简单直观的退出或关闭个性化展示模式的选项。
• 4）电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的，应当同时向该消费者提供不针对其个人特征的选项。
• 5）在向主体提供业务功能的过程中，如使用个性化展示时，建立个人信息主体对个性化展示所依赖的个人信息（如标签、画像维度等）的自主控制机制，保障个人信息主体调控个性化展示相关程度的能力。
• 6）当个人信息主体选择退出个性化展示模式时，应向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

6、在公开透明原则的原则下，新增要求应向主体提供查询方法，能让主体知晓持有的个人信息的类型；上述个人信息的来源、所用于的目的；已经获得上述个人信息的第三方身份或类型；宜直接在产品或服务提供的功能界面中（例如应用程序可设置专门的选项、功能、界面等）设置相应的机制，便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利。

7、新增的其他要求包括：

• 1）应承担第三方接入管理
• 2）收集年满14周岁未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意。