1. 個人信息訪問控制措施

GBT35273-2017標準規定對個人信息控制者的要求包括：

a)對被授權訪問個人信息的內部數據操作人員，應按照最小授權的原則，使其只能訪問職責所需的最少夠用的個人信息，且僅具備完成職責所需的最少的數據操作權限；

b) 宜對個人信息的重要操作應設置內部審批流程，如批量修改、拷貝、下載等；

c) 應對安全管理人員、數據操作人員、審計人員的角色進行分離設置；

d) 如確因工作需要，需授權特定人員超權限處理個人信息的，應由個人信息保護責任人或個人信息保護工作機構進行審批，并記錄在冊；

注：個人信息保護責任人或個人信息保護工作機構的確定見本標準 10.1。

e)對個人敏感信息的訪問、修改等行為，宜在對角色的權限控制的基礎上，根據業務流程的需求觸發操作授權。例如，因收到客戶投訴，投訴處理人員才可訪問該用戶的相關信息。

2. 個人信息的展示限制

GBT35273-2017標準規定涉及通過界面展示個人信息的（如顯示屏幕、紙面），個人信息控制者宜對需展示的個人信息采取去標識化處理等措施，降低個人信息在展示環節的泄露風險。例如，在個人信息展示時，防止內部非授權人員及個人信息主體之外的其他人員未經授權獲取個人信息。

3. 個人信息的使用限制

GBT35273-2017標準規定對個人信息控制者的要求包括：

a) 除目的所必需外，使用個人信息時應消除明確身份指向性，避免精確定位到特定個人。例如，為準確評價個人信用狀況，可使用直接用戶畫像，而用于推送商業廣告目的時，則宜使用間接用戶畫像；

b) 對所收集的個人信息進行加工處理而產生的信息，能夠單獨或與其他信息結合識別自然人個人身份，或者反映自然人個人活動情況的，應將其認定為個人信息。對其處理應遵循收集個人信息時獲得的授權同意范圍；

注：加工處理而產生的個人信息屬于個人敏感信息的，對其處理應符合本標準對個人敏感信息的要求。

c) 使用個人信息時，不得超出與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍。因業務需要，確需超出上述范圍使用個人信息的，應再次征得個人信息主體明示同意。

注：將所收集的個人信息用于學術研究或得出對自然、科學、社會、經濟等現象總體狀態的描述， 屬于與收集目的具有合理關聯的范圍之內。但對外提供學術研究或描述的結果時，應對結果中所包含的個人信息進行去標識化處理。

4. 個人信息訪問

GBT35273-2017標準規定個人信息控制者應向個人信息主體提供訪問下列信息的方法：

a) 其所持有的關于該主體的個人信息或類型；

b) 上述個人信息的來源、所用于的目的；

c) 已經獲得上述個人信息的第三方身份或類型。

注：個人信息主體提出訪問非其主動提供的個人信息時，個人信息控制者可在綜合考慮不響應請求可能對個人信息主體合法權益帶來的風險和損害，以及技術可行性、實現請求的成本等因素后，做出是否響應的決定，并給出解釋說明。

5. 個人信息更正

GBT35273-2017標準規定個人信息主體發現個人信息控制者所持有的該主體的個人信息有錯誤或不完整的， 個人信息控制者應為其提供請求更正或補充信息的方法。

6. 個人信息刪除

GBT35273-2017標準規定對個人信息控制者的要求包括：

a) 符合以下情形的，個人信息主體要求刪除的，應及時刪除個人信息：

1) 個人信息控制者違反法律法規規定，收集、使用個人信息的；

2) 個人信息控制者違反了與個人信息主體的約定，收集、使用個人信息的。

b) 個人信息控制者違反法律法規規定或違反與個人信息主體的約定向第三方共享、轉讓個人信息，且個人信息主體要求刪除的，個人信息控制者應立即停止共享、轉讓的行為，并通知第三方及時刪除；

c) 個人信息控制者違反法律法規規定或與個人信息主體的約定，公開披露個人信息，且個人信息主體要求刪除的，個人信息控制者應立即停止公開披露的行為， 并發布通知要求相關接收方刪除相應的信息。

7. 個人信息主體撤回同意

GBT35273-2017標準規定對個人信息控制者的要求包括：

a) 應向個人信息主體提供方法撤回收集、使用其個人信息的同意授權。撤回同意后，個人信息控制者后續不得再處理相應的個人信息；

b) 應保障個人信息主體拒絕接收基于其個人信息推送的商業廣告的權利。對外共享、轉讓、公開披露個人信息，應向個人信息主體提供撤回同意的方法。

注：撤回同意不影響撤回前基于同意的個人信息處理。

8. 個人信息主體注銷賬戶

GBT35273-2017標準規定對個人信息控制者的要求包括：

a) 通過注冊賬戶提供服務的個人信息控制者，應向個人信息主體提供注銷賬戶的方法，且該方法應簡便易操作；

b) 個人信息主體注銷賬戶后，應刪除其個人信息或做匿名化處理。

9. 個人信息主體獲取個人信息副本

GBT35273-2017標準規定根據個人信息主體的請求，個人信息控制者應為個人信息主體提供獲取以下類型個人信息副本的方法，或在技術可行的前提下直接將以下個人信息的副本傳輸給第三方：

a) 個人基本資料、個人身份信息；

b) 個人健康生理信息、個人教育工作信息。

10. 約束信息系統自動決策

GBT35273-2017標準規定當僅依據信息系統的自動決策而做出顯著影響個人信息主體權益的決定時（例如基于用戶畫像決定個人信用及貸款額度，或將用戶畫像用于面試篩選），個人信息控制者應向個人信息主體提供申訴方法。

11. 響應個人信息主體的請求

GBT35273-2017標準規定對個人信息控制者的要求包括：

a) 在驗證個人信息主體身份后，應及時響應個人信息主體基于本標準第7.4至7.10 提出的請求，應在三十天內或法律法規規定的期限內做出答復及合理解釋，并告知個人信息主體向外部提出糾紛解決的途徑；

b) 對合理的請求原則上不收取費用，但對一定時期內多次重復的請求，可視情收取一定成本費用；

c) 如直接實現個人信息主體的請求需要付出高額的成本或存在其他顯著的困難， 個人信息控制者應向個人信息主體提供其他替代性方法，以保護個人信息主體的合法權益；

d) 以下情況可不響應個人信息主體基于本標準提出的請求，包括但不限于：

1)與國家安全、國防安全直接相關的；

2)與公共安全、公共衛生、重大公共利益直接相關的；

3)與犯罪偵查、起訴、審判和執行判決等直接相關的；

4)個人信息控制者有充分證據表明個人信息主體存在主觀惡意或濫用權利的；

5)響應個人信息主體的請求將導致個人信息主體或其他個人、組織的合法權益受到嚴重損害的；

6)涉及商業秘密的。

12. 申訴管理

GBT35273-2017標準規定個人信息控制者應建立申訴管理機制，包括跟蹤流程，并在合理的時間內，對申訴進行響應。

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯系刪除并致歉！

本文來源： http://www.rumin8raps.com/zs/202008/ccaa_5889.html