根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),由中国电子技术标准化研究院组织修订的《信息安全技术 个人信息安全规范》已于近日正式获批发布,实施时间为2020年10月1日,并替代GB/T 35273-2017版本国标。标准由全国信息安全标准化技术委员会(SAC/TC260)归口。相对于2017版标准,2020版标准进行了针对性修订。
(1)加强标准指导实践
2020版标准明确了数据安全责任人相关要求,规范了个人信息保护负责人的相应工作职责;规定了定向推送相关要求以及用户可以撤回的权利;提出了平台第三方接入责任相关要求,对第三方接入的监督管理责任进行细化。
(2)支撑APP安全认证
规范每条要求的检测评估点,便于认证工作根据标准要求逐条开展;对APP中涉及的核心功能、必要信息、必要权限等方面进行展开描述,提出清晰的要求并形成评估点,在标准条款中以APP为例进行解释说明,增强其指导性。
此次标准的修订发布,是为了进一步贯彻落实《中华人民共和国网络安全法》规定的个人信息收集、使用的“合法、正当、必要”基本原则,解决人民群众反映强烈的APP“强制索权、捆绑授权、过度索权、超范围收集”的问题。同时,针对当前APP运营管理的一些不合理现象,如告知目的不明确、注销账户难、滥用用户画像、无法关闭个性化推送信息、第三方接入缺乏有效管理、内部管理职责不明等问题,进一步梳理完善条款,指导组织使用标准完善个人信息保护体系。
修订后的标准,将进一步使标准契合我国相关法律法规的要求,增加标准指导实践的适用性,帮助提升行业和社会的个人信息保护水平,推动个人信息保护领域技术产品、咨询服务等方面产业化进一步发展,为我国信息化产业健康发展提供坚实保障。