中华人民共和国国家标准 信息安全技术 个人信息安全规范
GB/T35273—2020
代替 GB/T35273—2017
GB/T35273—2020
GB/T35273—2017から置き換え
目 次
前言
引言
1 范围
2 规范性引用文件
3 术语和定义
4 个人信息安全基本原则
5 个人信息的收集
5.1 收集个人信息的合法性
5.2 收集个人信息的最小必要
5.3 多项业务功能的自主选择
5.4 收集个人信息时的授权同意
5.5 个人信息保护政策
5.6 征得授权同意的例外
6 个人信息的存储
6.1 个人信息存储时间最小化
6.2 去标识化处理
6.3 个人敏感信息的传输和存储
6.4 个人信息控制者停止运营
7 个人信息的使用
7.1 个人信息访问控制措施
7.2 个人信息的展示限制
7.3 个人信息使用的目的限制
7.4 用户画像的使用限制
7.5 个性化展示的使用
7.6 基于不同业务目的所收集个人信息的汇聚融合
7.7 信息系统自动决策机制的使用
8 个人信息主体的权利
8.1 个人信息查询
8.2 个人信息更正
8.3 个人信息删除
8.4 个人信息主体撤回授权同意
8.5 个人信息主体注销账户
8.6 个人信息主体获取个人信息副本
8.7 响应个人信息主体的请求
8.8 投诉管理
9 个人信息的委托处理、共享、转让、公开披露
9.1 委托处理
9.2 个人信息共享、转让
9.3 收购、兼并、重组、破产时的个人信息转让
9.4 个人信息公开披露
9.5 共享、转让、公开披露个人信息时事先征得授权同意的例外
9.6 共同个人信息控制者
9.7 第三方接入管理
9.8 个人信息跨境传输
10 个人信息安全事件处置
10.1 个人信息安全事件应急处置和报告
10.2 安全事件告知
11 组织的个人信息安全管理要求
11.1 明确责任部门与人员
11.2 个人信息安全工程
11.3 个人信息处理活动记录
11.4 开展个人信息安全影响评估
11.5 数据安全能力
11.6 人员管理与培训
11.7 安全审计
附录 A (资料性附录) 个人信息示例
附录B (资料性附录) 个人敏感信息判定
附录C (资料性附录) 实现个人信息主体自主意愿的方法
附录D (资料性附录) 个人信息保护政策模板
参考文献
前文
序文
1 範囲
2 規範的参考文献
3 用語と定義
4 個人情報セキュリティの基本原則
5 個人情報の収集
5.1 個人情報収集の適法性
5.2 個人情報を収集するために最低限必要なもの
5.3 複数の業務機能を自主的に選択
5.4 個人情報収集時の授権同意
5.5 個人情報保護ポリシー
5.6 授権同意取得の例外
6 個人情報の保存
6.1 個人情報保存期間の最小化
6.2 非識別化の取扱い
6.3 個人センシティブ情報の送信と保存
6.4 個人情報支配者による運用停止
7 個人情報の利用
7.1 個人情報アクセスコントロール措置
7.2 個人情報の表示に関する制限
7.3 個人情報の利用目的の制限
7.4 ユーザープロファイル画像の使用に関する制限
7.5 パーソナライズした表示の使用
7.6 異なる業務目的に基づいて収集された個人情報の集約および統合
7.7 情報システムの自動意思決定メカニズムの使用
8 個人情報の対象者の権利
8.1 個人情報の照会
8.2 個人情報の訂正
8.3 個人情報の削除
8.4 個人情報の対象者による授権同意の撤回
8.5 個人情報の対象者のアカウント解約
8.6 個人情報の対象者による個人情報コピーの取得
8.7 個人情報の対象者からの請求への対応
8.8 苦情申立管理
9 個人情報の委託取扱い、共有、譲渡、公開
9.1 委託取扱い
9.2 個人情報の共有と譲渡
9.3 買収、合併、組織再編、破産時の個人情報の譲渡
9.4 個人情報の公開
9.5 個人情報の共有、譲渡、または公開する際の授権同意事前取得の例外
9.6 共同個人情報支配者
9.7 第三者によるアクセス管理
9.8 個人情報の越境移転
10 個人情報セキュリティインシデントの取扱い
10.1 個人情報セキュリティインシデントの緊急処理時対応と報告
10.2 セキュリティインシデントの通知
11 組織の個人情報セキュリティ管理要件
11.1 責任部署と担当者の明確化
11.2 個人情報セキュリティエンジニアリング
11.3 個人情報取扱い記録
11.4 個人情報セキュリティ影響評価の実施
11.5 データセキュリティ能力
11.6 人事管理と研修
11.7 セキュリティ監査
付録A(資料性付録) 個人情報の例
付録B(資料性付録) 個人センシティブ情報の判定
付録C(資料性付録) 個人情報の対象者の自己意図を実現する方法
付録D(資料性付録) 個人情報保護ポリシーテンプレート
参考文献
本标准按照GB/T1 .1-2009 给出的规则起草。
本标准代替GB/T35273—2017《信息安全技术 个人信息安全规范》与GB/T35273-2017相比, 主要技术变化如下:
本標準はGB/T35273—2017に取って代わるもので、「情報セキュリティ技術 個人情報セキュリティ規範」 、GB/T35273―201と比べ、主な技術な変化点は以下の通りである。
———增加了“多项业务功能的自主选择”(见5.3);
———修改了“征得授权同意的例外”(见5.6,2017年版的5.4);
———增加了“用户画像的使用限制”(见7.4);
———增加了“个性化展示的使用”(见7.5);
———增加了“基于不同业务目所收集个人信息的汇聚融合”(见7.6);
———修改了“个人信息主体注销账户”(见8.5,2017年版的7.8);
———增加了“第三方接入管理”(见9.7);
———修改了“明确责任部门与人员”(见11.1,2017年版的10.1);
———增加了“个人信息安全工程”(见11.2);
———增加了“个人信息处理活动记录”(见11.3);
———修改了“实现个人信息主体自主意愿的方法”(见附录C,2017年版的附录C)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
———「授権同意取得の例外」を改定(2017年版5.4の5.6参照)
———「ユーザープロファイル画像の使用に関する制限」を追加(7.4参照)
——— 「パーソナライズした表示の使用」を追加(7.5参照)
——— 「異なる業務目的に基づいて収集された個人情報の集約および統合」を追加(7.6参照)
——— 「個人情報の対象者のアカウント解約」を改定(8.5 2017年版の7.8参照)
——— 「第三者によるアクセス管理」を追加(9.7参照)
——— 「責任部署と担当者の明確化」を改定(11.1 2017年版の10.1参照)
——— 「個人情報セキュリティエンジニアリング」を追加(11.2参照)
——— 「個人情報取扱い記録」を追加(11.3参照)
——— 「個人情報の対象者の自己意志を実現する方法」を改定(2017年版の付録Cを参照)
この文書の一部は特許に関連している可能性があることに注意されたい。この文書の発行機関は、これらの特許を特定する責任を負わない。
この標準は、国家情報セキュリティ標準化技術委員会(SAC/TC260)によって提案され、帰属している。
本标准起草单位:中国电子技术标准化研究院、北京信息安全测评中心、颐信科技有限公司、四川大学、清华大学、中国信息通信研究院、公安部第一研究所、中国网络安全审查技术与认证中心、深圳腾讯计算机系统有限公司、上海国际问题研究院、阿里巴巴(北京)软件服务有限公司、中电长城网际系统应用有限公司、阿里云计算有限公司、华为技术有限公司、强韵数据科技有限公司。
本标准主要起草人:洪延青、何延哲、杨建军、钱秀槟、陈兴蜀、刘贤刚、上官晓丽、高林、邵正强、金涛、胡影、赵冉冉、韩煜、陈湉、高磊、张晓梅、张志强、葛鑫、周晨炜、秦小伟、邵华、蔡晓丹、黄晓林、顾伟、黄劲、李媛、许静慧、赵章界、孔耀晖、范红、杜跃进、杨思磊、张亚男、叶晓俊、郑斌、闵京华、鲁传颖、周亚超、杨露、王海舟、王建民、秦颂、姚相振、葛小宇、王道奎、沈锡镛。
本标准所代替标准的历次版本发布情况为:
— GB/T35273-2017。
— GB/T35273-2017。
近年,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息,给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临严重威胁。
本标准针对个人信息面临的安全问题,根据《中华人民共和国网络安全法》等相关法律,规范个人信息控制者在收集、存储、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。
对标准中的具体事项,法律法规另有规定的,需遵照其规定执行。
本標準は、個人情報が直面するセキュリティ問題を対象としており、「中華人民共和国サイバーセキュリティ法」などの関連法に基づき、個人情報支配者の情報収集、保存、利用、共有、譲渡、公開などの過程での行動を規制し、個人情報の不法な収集、誤用、漏洩を抑制し、個人の正当な権利利益と社会の公益を最大限に保護することを目的としている。
規格の具体的な事項については、別の法律や法規に規定されている場合、その定めに従う。
1 范围
本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。
本标准适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
本標準は、事業者が個人情報の収集、保存、利用、共有、譲渡、公開、削除などの適正な取扱いに関して、事業者が講ずる措置が適切かつ有効に実施されることを目的として、個人情報の保護の原則とセキュリティ要件を規定したものである。
本標準は、さまざまな組織の個人情報を取り扱う上での規制に適用され、管轄の規制当局および第三者評価機関などの組織による個人情報取扱いにおける監督、管理、および評価にも適用される。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069—2010 信息安全技术 术语
本文書の適用には、以下の文書が必須となる。日付が記載されている引用文書のものは、その日付入りバージョンのみが本文書に適用される。日付がない引用文書は、その最新版(全ての変更を含む)が本文書に適用されるものとする。
GB/T25069-2010 情報セキュリティ技術の用語
このページを全てご覧になりたい場合は、有料会員でログインください
■【更新】中国サイバーセキュリティ法関連法規・ガイドライン一覧
■関連コンテンツ
【参考訳】中国サイバーセキュリティ法(2017年6月施行)
【参考訳】情報セキュリティ技術 個人情報セキュリティ規範(2020年10月施行)
【参考訳】中国データセキュリティ法(2021年9月施行)
【参考訳】中国個人情報保護法(2021年11月施行)
【参考訳】個人情報越境移転標準契約規則(2023年6月施行)
【参考訳】《データ越境移転の促進及び規範に関する規定》と当局発表のQ&A