据App专项治理工作组官方微信“App个人信息举报”24日消息,国家标准GB/T 35273《信息安全技术 个人信息安全规范》(以下简称“《规范》”)更新后的征求意见稿公布。
App专项治理工作组介绍,今年6月,《规范》公开向社会征求意见,截止目前,标准编制组共收到并处理意见约400条。基于各单位反馈意见以及App违法违规收集使用个人信息专项治理工作实践经验,标准编制组对征求意见稿版本予以补充完善、优化和更新,涉及的主要内容有8方面:
1.对部分定义补充完善,优化部分专业词汇描述;2.优化对基本原则的描述;3.对不得强迫接受多项业务功能、授权同意等内容进行更新;4.对个性化展示的使用部分予以更新;5.针对注销难,补充了对注销机制的要求;6.补充了对委托处理、共享、转让等中对受委托者和接受方的管理要求;7.对个人信息共同控制者进行更新;8.其他改动。
《规范》(征求意见稿)将10月27日全国信息安全标准化技术委员会2019年第二次工作组“会议周”期间,在大数据工作组进行汇报,届时欢迎参会人员对标准进行研讨,共同推进标准修订工作。
具体来看,《规范》(征求意见稿)明确了开展收集、保存、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求;旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。
个人信息安全基本原则方面,《规范》(征求意见稿)拟提出:
来源:App专项治理工作组官方微信
个人信息收集方面,《规范》(征求意见稿)拟明确,不强迫接受多项业务功能,包括不应以改善服务质量、提升个人信息主体体验、研发新产品、增强安全性等为由,强迫要求个人信息主体同意收集个人信息。在收集个人信息时的授权同意部分,拟要求间接获取个人信息时,应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等。
来源:App专项治理工作组官方微信
对于个人信息主体注销账户,《规范》(征求意见稿)对个人信息控制者提出了更多细化要求,包括宜直接设置便捷的注销功能交互式页面,及时响应个人信息主体注销请求;受理注销账号请求后,需要人工处理的,应在承诺时限内(原则上不超过十五天)完成核查和处理;注销过程进行身份核验需要个人信息主体重新提供的个人信息不应多于注册、使用等服务环节收集的个人信息等。
针对共同个人信息控制者,《规范》(征求意见稿)新增如未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第 三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。
另外,《规范》(征求意见稿)还将规定,在部分情形中,个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意,包括与个人信息控制者履行法律法规规定的义务相关的,与国家安全、国防安全直接相关的,与公共安全、公共卫生、重大公共利益直接相关的,与刑事侦查、起诉、审判和判决执行等直接相关等。
