信息安全技术个人信息安全规范

近年，随着信息技术的快速发展和互联网应用的普及，越来越多的组织大量收集、使用个人信息，给人们生活带来便利的同时，也出现了对个人信息的非法收集、滥用、泄露等问题，个人信息安全面临严重威胁。

GBT3523-2020标准针对个人信身面临的安全问题，规范个人信身控制者在收售，保存，使用，共享转让、公开披露等信息处理环节中的相关行为，旨在遏制个人信息非法收集、滥用、泄漏等乱象，最大程度地保障个人的合法权益和社会公共利益，GB/T35273-2020标准规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动 应遵循的原则和安全要求。GB/T35273-2020标准适用于规范各类组织个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

判定某项信息是否属于个人信息，应考虑以下两条路径:一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。二是 关联，即从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。

对个人敏感信息的访问，修改等行为，宜在对角色的权限控制的基础上，根据业务流程的需求触发操作授权。例如，因收到客户投诉，投诉处理人员才可访问该用户的相关信息。个人信息的展示限制：GBT35273-2017标准规定涉及通过界面展示个人信息的(如显示屏幕、纸面)，个人信息控制者宜对需展示的个人信息采取去标设化外理等措施，降低个人信息在展示环节的泄露风险。例如，在个人信息展示时，防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。

个人信息的使用限制：GBT35273-2017标准规定对个人信息控制者的要求包括:除目的所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人。例如，为准确评价个人信用状况，可使用直接用户画像，而用干推送商业广告目的时，则宜使用间接用户画像:对所收集的个人信息进行加工处理而产生的信息，能够单独或与其他信息结合识别自然人个人身份，或者反映自然人个人活动情况的，应将其认定为个人信息。对其外理应遵循收集个人信息时获得的授权同意范围:注:加工处理而产生的个人信息属于个人敏感信息的，对其处理应符合本标准对个人敏感信息的要求。