1. 委托處理
GBT35273-2017標準規定委托處理個人信息時,應遵守以下要求:
a) 個人信息控制者作出委托行為,不得超出已征得個人信息主體授權同意的范圍或遵守本標準5.4規定的情形;
b) 個人信息控制者應對委托行為進行個人信息安全影響評估,確保受委托者具備足夠的數據安全能力,提供了足夠的安全保護水平;
c) 受委托者應:
1) 嚴格按照個人信息控制者的要求處理個人信息。如受委托者因特殊原因未 按照個人信息控制者的要求處理個人信息,應及時向個人信息控制者反饋;
2) 如受委托者確需再次委托時,應事先征得個人信息控制者的授權;
3) 協助個人信息控制者響應個人信息主體基于本標準7.4至7.10提出的請求;
4) 如受委托者在處理個人信息過程中無法提供足夠的安全保護水平或發生了安全事件,應及時向個人信息控制者反饋;
5) 在委托關系解除時不再保存個人信息。
d) 個人信息控制者應對受委托者進行監督,方式包括但不限于:
1) 通過合同等方式規定受委托者的責任和義務;
2) 對受委托者進行審計。
e) 個人信息控制者應準確記錄和保存委托處理個人信息的情況。
2. 個人信息共享、轉讓
GBT35273-2017標準規定個人信息原則上不得共享、轉讓。個人信息控制者確需共享、轉讓時,應充分重視風險。共享、轉讓個人信息,非因收購、兼并、重組原因的,應遵守以下要求:
a) 事先開展個人信息安全影響評估,并依評估結果采取有效的保護個人信息主體的措施;
b) 向個人信息主體告知共享、轉讓個人信息的目的、數據接收方的類型,并事先征得個人信息主體的授權同意。共享、轉讓經去標識化處理的個人信息,且確保數據接收方無法重新識別個人信息主體的除外;
c) 共享、轉讓個人敏感信息前,除2 b)中告知的內容外,還應向個人信息主體告知涉及的個人敏感信息的類型、數據接收方的身份和數據安全能力,并事先征得個人信息主體的明示同意;
d) 準確記錄和保存個人信息的共享、轉讓的情況,包括共享、轉讓的日期、規模、目的,以及數據接收方基本情況等;
e) 承擔因共享、轉讓個人信息對個人信息主體合法權益造成損害的相應責任;
f) 幫助個人信息主體了解數據接收方對個人信息的保存、使用等情況,以及個人信息主體的權利,例如,訪問、更正、刪除、注銷賬戶等。
3. 收購、兼并、重組時的個人信息轉讓
GBT35273-2017標準規定當個人信息控制者發生收購、兼并、重組等變更時,個人信息控制者應:
a) 向個人信息主體告知有關情況;
b) 變更后的個人信息控制者應繼續履行原個人信息控制者的責任和義務,如變更個人信息使用目的時,應重新取得個人信息主體的明示同意。
4. 個人信息公開披露
GBT35273-2017標準規定個人信息原則上不得公開披露。個人信息控制者經法律授權或具備合理事由確需公開披露時,應充分重視風險,遵守以下要求:
a) 事先開展個人信息安全影響評估,并依評估結果采取有效的保護個人信息主體的措施;
b) 向個人信息主體告知公開披露個人信息的目的、類型,并事先征得個人信息主體明示同意;
c) 公開披露個人敏感信息前,除4 b)中告知的內容外,還應向個人信息主體告知涉及的個人敏感信息的內容;
d) 準確記錄和保存個人信息的公開披露的情況,包括公開披露的日期、規模、目的、公開范圍等;
e) 承擔因公開披露個人信息對個人信息主體合法權益造成損害的相應責任;
f) 不得公開披露個人生物識別信息。
5. 共享、轉讓、公開披露個人信息時事先征得授權同意的例外
GBT35273-2017標準規定以下情形中,個人信息控制者共享、轉讓、公開披露個人信息無需事先征得個人信息主體的授權同意:
a) 與國家安全、國防安全直接相關的;
b) 與公共安全、公共衛生、重大公共利益直接相關的;
c) 與犯罪偵查、起訴、審判和判決執行等直接相關的;
d) 出于維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人同意的;
e) 個人信息主體自行向社會公眾公開的個人信息;
f) 從合法公開披露的信息中收集個人信息的,如合法的新聞報道、政府信息公開等渠道。
6. 共同個人信息控制者
GBT35273-2017標準規定當個人信息控制者與第三方為共同個人信息控制者時(例如服務平臺與平臺上的簽約商家),個人信息控制者應通過合同等形式與第三方共同確定應滿足的個人信息安全要求,以及在個人信息安全方面自身和第三方應分別承擔的責任和義務,并向個人信息主體明確告知。
注:個人信息控制者在提供產品或服務的過程中部署了收集個人信息的第三方插件(例如網站經營者與在其網頁或應用程序中部署統計分析工具、軟件開發工具包 SDK、調用地圖 API 接口),且該第三方并未單獨向個人信息主體征得收集、使用個人信息的授權同意,則個人信息控制者與該第三方為共同個人信息控制者。
7. 個人信息跨境傳輸要求
在中華人民共和國境內運營中收集和產生的個人信息向境外提供的,個人信息控制者應當按照國家網信部門會同國務院有關部門制定的辦法和相關標準進行安全評估,并符合其要求。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
