1. 個人信息訪問控制措施
GBT35273-2017標準規(guī)定對個人信息控制者的要求包括:
a)對被授權(quán)訪問個人信息的內(nèi)部數(shù)據(jù)操作人員,應(yīng)按照最小授權(quán)的原則,使其只能訪問職責(zé)所需的最少夠用的個人信息,且僅具備完成職責(zé)所需的最少的數(shù)據(jù)操作權(quán)限;
b) 宜對個人信息的重要操作應(yīng)設(shè)置內(nèi)部審批流程,如批量修改、拷貝、下載等;
c) 應(yīng)對安全管理人員、數(shù)據(jù)操作人員、審計人員的角色進行分離設(shè)置;
d) 如確因工作需要,需授權(quán)特定人員超權(quán)限處理個人信息的,應(yīng)由個人信息保護責(zé)任人或個人信息保護工作機構(gòu)進行審批,并記錄在冊;
注:個人信息保護責(zé)任人或個人信息保護工作機構(gòu)的確定見本標準 10.1。
e)對個人敏感信息的訪問、修改等行為,宜在對角色的權(quán)限控制的基礎(chǔ)上,根據(jù)業(yè)務(wù)流程的需求觸發(fā)操作授權(quán)。例如,因收到客戶投訴,投訴處理人員才可訪問該用戶的相關(guān)信息。
2. 個人信息的展示限制
GBT35273-2017標準規(guī)定涉及通過界面展示個人信息的(如顯示屏幕、紙面),個人信息控制者宜對需展示的個人信息采取去標識化處理等措施,降低個人信息在展示環(huán)節(jié)的泄露風(fēng)險。例如,在個人信息展示時,防止內(nèi)部非授權(quán)人員及個人信息主體之外的其他人員未經(jīng)授權(quán)獲取個人信息。
3. 個人信息的使用限制
GBT35273-2017標準規(guī)定對個人信息控制者的要求包括:
a) 除目的所必需外,使用個人信息時應(yīng)消除明確身份指向性,避免精確定位到特定個人。例如,為準確評價個人信用狀況,可使用直接用戶畫像,而用于推送商業(yè)廣告目的時,則宜使用間接用戶畫像;
b) 對所收集的個人信息進行加工處理而產(chǎn)生的信息,能夠單獨或與其他信息結(jié)合識別自然人個人身份,或者反映自然人個人活動情況的,應(yīng)將其認定為個人信息。對其處理應(yīng)遵循收集個人信息時獲得的授權(quán)同意范圍;
注:加工處理而產(chǎn)生的個人信息屬于個人敏感信息的,對其處理應(yīng)符合本標準對個人敏感信息的要求。
c) 使用個人信息時,不得超出與收集個人信息時所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍。因業(yè)務(wù)需要,確需超出上述范圍使用個人信息的,應(yīng)再次征得個人信息主體明示同意。
注:將所收集的個人信息用于學(xué)術(shù)研究或得出對自然、科學(xué)、社會、經(jīng)濟等現(xiàn)象總體狀態(tài)的描述, 屬于與收集目的具有合理關(guān)聯(lián)的范圍之內(nèi)。但對外提供學(xué)術(shù)研究或描述的結(jié)果時,應(yīng)對結(jié)果中所包含的個人信息進行去標識化處理。
4. 個人信息訪問
GBT35273-2017標準規(guī)定個人信息控制者應(yīng)向個人信息主體提供訪問下列信息的方法:
a) 其所持有的關(guān)于該主體的個人信息或類型;
b) 上述個人信息的來源、所用于的目的;
c) 已經(jīng)獲得上述個人信息的第三方身份或類型。
注:個人信息主體提出訪問非其主動提供的個人信息時,個人信息控制者可在綜合考慮不響應(yīng)請求可能對個人信息主體合法權(quán)益帶來的風(fēng)險和損害,以及技術(shù)可行性、實現(xiàn)請求的成本等因素后,做出是否響應(yīng)的決定,并給出解釋說明。
5. 個人信息更正
GBT35273-2017標準規(guī)定個人信息主體發(fā)現(xiàn)個人信息控制者所持有的該主體的個人信息有錯誤或不完整的, 個人信息控制者應(yīng)為其提供請求更正或補充信息的方法。
6. 個人信息刪除
GBT35273-2017標準規(guī)定對個人信息控制者的要求包括:
a) 符合以下情形的,個人信息主體要求刪除的,應(yīng)及時刪除個人信息:
1) 個人信息控制者違反法律法規(guī)規(guī)定,收集、使用個人信息的;
2) 個人信息控制者違反了與個人信息主體的約定,收集、使用個人信息的。
b) 個人信息控制者違反法律法規(guī)規(guī)定或違反與個人信息主體的約定向第三方共享、轉(zhuǎn)讓個人信息,且個人信息主體要求刪除的,個人信息控制者應(yīng)立即停止共享、轉(zhuǎn)讓的行為,并通知第三方及時刪除;
c) 個人信息控制者違反法律法規(guī)規(guī)定或與個人信息主體的約定,公開披露個人信息,且個人信息主體要求刪除的,個人信息控制者應(yīng)立即停止公開披露的行為, 并發(fā)布通知要求相關(guān)接收方刪除相應(yīng)的信息。
7. 個人信息主體撤回同意
GBT35273-2017標準規(guī)定對個人信息控制者的要求包括:
a) 應(yīng)向個人信息主體提供方法撤回收集、使用其個人信息的同意授權(quán)。撤回同意后,個人信息控制者后續(xù)不得再處理相應(yīng)的個人信息;
b) 應(yīng)保障個人信息主體拒絕接收基于其個人信息推送的商業(yè)廣告的權(quán)利。對外共享、轉(zhuǎn)讓、公開披露個人信息,應(yīng)向個人信息主體提供撤回同意的方法。
注:撤回同意不影響撤回前基于同意的個人信息處理。
8. 個人信息主體注銷賬戶
GBT35273-2017標準規(guī)定對個人信息控制者的要求包括:
a) 通過注冊賬戶提供服務(wù)的個人信息控制者,應(yīng)向個人信息主體提供注銷賬戶的方法,且該方法應(yīng)簡便易操作;
b) 個人信息主體注銷賬戶后,應(yīng)刪除其個人信息或做匿名化處理。
9. 個人信息主體獲取個人信息副本
GBT35273-2017標準規(guī)定根據(jù)個人信息主體的請求,個人信息控制者應(yīng)為個人信息主體提供獲取以下類型個人信息副本的方法,或在技術(shù)可行的前提下直接將以下個人信息的副本傳輸給第三方:
a) 個人基本資料、個人身份信息;
b) 個人健康生理信息、個人教育工作信息。
10. 約束信息系統(tǒng)自動決策
GBT35273-2017標準規(guī)定當(dāng)僅依據(jù)信息系統(tǒng)的自動決策而做出顯著影響個人信息主體權(quán)益的決定時(例如基于用戶畫像決定個人信用及貸款額度,或?qū)⒂脩舢嬒裼糜诿嬖嚭Y選),個人信息控制者應(yīng)向個人信息主體提供申訴方法。
11. 響應(yīng)個人信息主體的請求
GBT35273-2017標準規(guī)定對個人信息控制者的要求包括:
a) 在驗證個人信息主體身份后,應(yīng)及時響應(yīng)個人信息主體基于本標準第7.4至7.10 提出的請求,應(yīng)在三十天內(nèi)或法律法規(guī)規(guī)定的期限內(nèi)做出答復(fù)及合理解釋,并告知個人信息主體向外部提出糾紛解決的途徑;
b) 對合理的請求原則上不收取費用,但對一定時期內(nèi)多次重復(fù)的請求,可視情收取一定成本費用;
c) 如直接實現(xiàn)個人信息主體的請求需要付出高額的成本或存在其他顯著的困難, 個人信息控制者應(yīng)向個人信息主體提供其他替代性方法,以保護個人信息主體的合法權(quán)益;
d) 以下情況可不響應(yīng)個人信息主體基于本標準提出的請求,包括但不限于:
1)與國家安全、國防安全直接相關(guān)的;
2)與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的;
3)與犯罪偵查、起訴、審判和執(zhí)行判決等直接相關(guān)的;
4)個人信息控制者有充分證據(jù)表明個人信息主體存在主觀惡意或濫用權(quán)利的;
5)響應(yīng)個人信息主體的請求將導(dǎo)致個人信息主體或其他個人、組織的合法權(quán)益受到嚴重損害的;
6)涉及商業(yè)秘密的。
12. 申訴管理
GBT35273-2017標準規(guī)定個人信息控制者應(yīng)建立申訴管理機制,包括跟蹤流程,并在合理的時間內(nèi),對申訴進行響應(yīng)。
中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢,檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu),儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商,法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
認證推薦知識