新闻中心 > 国内 > 正文

个人信息安全规范修订:不得强迫收集个人信息

2019-02-02 14:49 作者:吴军林 来源:大众网 
分享到:

大众网·海报新闻济南2月2日讯(记者 吴军林)近日,全国信息安全标准化技术委员会组织开展了国家标准GB/T35273-2017 《信息安全技术个人信息安全规范》的修订工作,已形成草案,向社会公开征求意见。草案增加了“不得强迫收集个人信息的要求”“个性化展示及退出”“第三方接入管理”等内容,还修改了“征得授权同意的例外”“明确责任部门与人员”等内容。

草案明确个人信息及个人敏感信息的具体内容

海报新闻记者注意到,草案明确了“个人信息”的定义,以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

草案对“个人敏感信息”的定义是,一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。

此外,个人信息控制者指的是有权决定个人信息处理目的、方式等的组织或个人。

不得强迫收集个人信息 不能因为其拒绝而降低服务质量

草案新增的“不得强迫收集个人信息的要求”明确,当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不得违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。

在草案新增加的“扩展业务功能的告知和明示同意”部分,还明确了如个人信息主体不同意收集扩展业务功能收集所必要的个人信息,个人信息控制者不得反复征求个人信息主体的同意。除非个人信息主体主动选择开启扩展业务功能,在24小时内向用户征求同意的次数不得超过一次。

个人可拒绝基于个人信息的个性化推送,电商搜索结果不能只有个性化展示

海报新闻记者注意到,在“个性化展示及退出”条款下,个人信息控制者在向个人信息主体推送新闻或信息服务的过程中使用个性化展示的,应以显著方式标明“个性化展示”或“定推”等字样。并要为个人信息主体提供简单直观的退出个性化展示模式的选项。所谓退出定向推送模式是指向特定个人提供业务功能时,其推送方式不再基于该特定个人的个人信息。

草案明确,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。草案还特别注明,基于用户所选择的特定位置进行展示、搜索结果排序,且不因用户身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。

此外,在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力;当个人信息主体选择退出个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

明确责任部门与人员:法人、主管负责,设立个人信息保护工作机构

草案要求个人信息控制者应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作;

此外,主要业务涉及个人信息处理,且从业人员规模大于200人;或者处理超过100万人的个人信息,或在12个月内预计处理超过100万人的个人信息,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作。

12种情形,无需征得个人信息主体的授权同意

海报新闻记者注意到,草案修改了“征得授权同意的例外”,以下情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意:

a)与个人信息控制者履行法律法规规定的义务相关的;

b)与国家安全、国防安全直接相关的;

c)与公共安全、公共卫生、重大公共利益直接相关的;

d)与犯罪侦查、起诉、审判和判决执行等直接相关的;

e)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;

f)所涉及的个人信息是个人信息主体自行向社会公众公开的;

g)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;

h)用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;

i)个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的;

j)个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的。

我要爆料 免责声明
分享到:
© 青岛新闻网版权所有 青岛新闻网简介法律顾问维权指引会员注册营销服务邮箱