按照國家標準化管理委員會(huì )2017年第32 號中國國家標準公告，全國信息安全標準化技術(shù)委員會(huì )組織制定和歸口管理的國家標準GB/T 35273-2017《信息安全技術(shù)個(gè)人信息安全規范》于2017年12月29日正式發(fā)布，將于2018年5月1日實(shí)施。

  本文重點(diǎn)提煉個(gè)人信息的保存、個(gè)人信息安處理以及組織的管理要求等方面內容，解讀國家標準GB/T 35273-2017《信息安全技術(shù)個(gè)人信息安全規范》。

  一、《信息安全技術(shù)個(gè)人信息安全規范》第六點(diǎn)“個(gè)人信息的保存”，對個(gè)人信息控制者對個(gè)人信息的保存提出具體要求，包括以下內容：

  6.1 個(gè)人信息保存時(shí)間最小化

  對個(gè)人信息控制者的要求包括：

  a) 個(gè)人信息保存期限應為實(shí)現目的所必需的最短時(shí)間 ;

  b) 超出上述個(gè)人信息保存期限后，應對個(gè)人信息進(jìn)行刪除或匿名化處理。

  6.2 去標識化處理

  收集個(gè)人信息后，個(gè)人信息控制者宜立即進(jìn)行去標識化處理 ，并采取技術(shù)和管理方面的措施，將去標識化后的數據與可用于恢復識別個(gè)人的信息分開(kāi)存儲，并確保在后續的個(gè)人信息處理中不重新識別個(gè)人。

  6.3 個(gè)人敏感信息的傳輸和存儲

  對個(gè)人信息控制者的要求包括：

  a) 傳輸和存儲個(gè)人敏感信息時(shí)，應采用加密等安全措施 ;

  b) 存儲個(gè)人生物識別信息時(shí)，應采用技術(shù)措施處理后再進(jìn)行存儲，例如僅存儲個(gè)人生 物識別信息的摘要。

  6.4 個(gè)人信息控制者停止運營(yíng)

  當個(gè)人信息控制者停止運營(yíng)其產(chǎn)品或服務(wù)時(shí)，應：

  a) 及時(shí)停止繼續收集個(gè)人信息的活動(dòng);

  b) 將停止運營(yíng)的通知以逐一送達或公告的形式通知個(gè)人信息主體 ;

  c) 對其所持有的個(gè)人信息進(jìn)行刪除或匿名化處理。

  二、《信息安全技術(shù)個(gè)人信息安全規范》第九點(diǎn)

  “個(gè)人信息安全事件處置”，對個(gè)人信息控制者處理個(gè)人信息安全事件的方式方法提出具體要求，包括以下內容：

  9.1 安全事件應急處置和報告

  對個(gè)人信息控制者的要求包括：

  a) 應制定個(gè)人信息安全事件應急預案 ;

  b) 應定期 (至少每年一次 )組織內部相關(guān)人員進(jìn)行應急響應培訓和應急演練，使其掌握崗位職責和應急處置策略和規程;

  c) 發(fā)生個(gè)人信息安全事件后，個(gè)人信息控制者應根據應急響應預案進(jìn)行以下處置：

  1) 記錄事件內容，包括但不限于：發(fā)現事件的人員、時(shí)間、地點(diǎn)，涉及的個(gè)人信息及人數，發(fā)生事件的系統名稱(chēng)，對其他互聯(lián)系統的影響，是否已聯(lián)系執法機關(guān)或有關(guān)部門(mén);

  2) 評估事件可能造成的影響，并采取必要措施控制事態(tài)，消除隱患;

  3) 按《國家網(wǎng)絡(luò )安全事件應急預案》的有關(guān)規定及時(shí)上報，報告內容包括但不限于：涉及個(gè)人信息主體的類(lèi)型、數量、內容、性質(zhì)等總體情況，事件可能造成的影響，已采取或將要采取的處置措施，事件處置相關(guān)人員的聯(lián)系方式;

  4) 按照本標準 9.2 的要求實(shí)施安全事件的告知。

  d) 根據相關(guān)法律法規變化情況，以及事件處置情況，及時(shí)更新應急預案。

  9.2 安全事件告知

  對個(gè)人信息控制者的要求包括：

  a) 應及時(shí)將事件相關(guān)情況以郵件、信函、電話(huà)、推送通知等方式告知受影響的個(gè)人信息主體。難以逐一告知個(gè)人信息主體時(shí)，應采取合理、 有效的方式發(fā)布與公眾有關(guān)的警示信息;

  b) 告知內容應包括但不限于：

  1) 安全事件的內容和影響;

  2) 已采取或將要采取的處置措施;

  3) 個(gè)人信息主體自主防范和降低風(fēng)險的建議;

  4) 針對個(gè)人信息主體提供的補救措施;

  5) 個(gè)人信息保護負責人和個(gè)人信息保護工作機構的聯(lián)系方式。

  三、《信息安全技術(shù)個(gè)人信息安全規范》第十點(diǎn)“組織的管理要求”，對個(gè)人信息控制者組織管理提出具體要求，包括以下內容：

  10.1 明確責任部門(mén)與人員

  對個(gè)人信息控制者的要求包括：

  a) 應明確其法定代表人或主要負責人對個(gè)人信息安全負全面領(lǐng)導責任 ，包括為個(gè)人信息安全工作提供人力、財力、物力保障等;

  b) 應任命個(gè)人信息保護負責人和個(gè)人信息保護工作機構;

  c) 滿(mǎn)足以下條件之一的組織，應設立專(zhuān)職的個(gè)人信息保護負責人和個(gè)人信息保護工作機構，負責個(gè)人信息安全工作：

  1) 主要業(yè)務(wù)涉及個(gè)人信息處理 ，且從業(yè)人員規模大于200 人;

  2) 處理超過(guò)50 萬(wàn)人的個(gè)人信息，或在12個(gè)月內預計處理超過(guò)50萬(wàn)人的個(gè)人信息。

  d) 個(gè)人信息保護負責人和個(gè)人信息保護工作機構應履行的職責包括但不限于：

  1) 全面統籌實(shí)施組織內部的個(gè)人信息安全工作，對個(gè)人信息安全負直接責任;

  2) 制定、簽發(fā)、實(shí)施、定期更新隱私政策和相關(guān)規程;

  3) 應建立、維護和更新組織所持有的個(gè)人信息清單(包括個(gè)人信息的類(lèi)型、數量、來(lái)源、接收方等 )和授權訪(fǎng)問(wèn)策略;

  4) 開(kāi)展個(gè)人信息安全影響評估;

  5) 組織開(kāi)展個(gè)人信息安全培訓;

  6) 在產(chǎn)品或服務(wù)上線(xiàn)發(fā)布前進(jìn)行檢測，避免未知的個(gè)人信息收集、使用、共享等處理行為 ;

  7) 進(jìn)行安全審計。

  10.3 數據安全能力

  個(gè)人信息控制者應根據有關(guān)國家標準的要求，建立適當的數據安全能力，落實(shí)必要的管理和技術(shù)措施，防止個(gè)人信息的泄漏、損毀、丟失。

  10.5 安全審計

  對個(gè)人信息控制者的要求包括：

  a) 應對隱私政策和相關(guān)規程，以及安全措施的有效性進(jìn)行審計;

  b) 應建立自動(dòng)化審計系統，監測記錄個(gè)人信息處理活動(dòng);

  c) 審計過(guò)程形成的記錄應能對安全事件的處置、應急響應和事后調查提供支撐;

  d) 應防止非授權訪(fǎng)問(wèn)、篡改或刪除審計記錄;

  e) 應及時(shí)處理審計過(guò)程中發(fā)現的個(gè)人信息違規使用、濫用等情況。