标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB_T 35273-2020 信息安全技术 个人信息安全规范.pdf对个人信息控制者的要求包括:
a)在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容 和非个性化展示的内容。 注1:显著区分的方式包括但不限于:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等, b)在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其 提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的 选项。 注2:基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一 样的内容和搜索结果排序,则属于不针对其个人特征的选项。 c)在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应: 1)为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项; 2)当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化 定向推送活动所基于的个人信息的选项 d)在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化 展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化 展示相关性程度的能力
对个人信息控制者的要求包括: a) 应遵守7.3的要求; b) 应根据汇聚融合后个人信息所用于的目的GB/T 50964-2014 小型水电站运行维护技术规范(完整正版、清晰无水印).pdf,开展个人信息安全影响评估,采取有效的个人信息 保护措施
个人信息控制者应向个人信息主体提供查询下列信息的方法: a)其所持有的关于该主体的个人信息或个人信息的类型; b)上述个人信息的来源、所用于的目的; c)已经获得上述个人信息的第三方身份或类型。 注:个人信息主体提出查询非其主动提供的个人信息时,个人信息控制者可在综合考虑不响应请求可能对个人信 息主体合法权益带来的风险和损害,以及技术可行性、实现请求的成本等因素后,作出是否响应的决定,并给出 解释说明
个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制
者应为其提供请求更正或补充信息的方法,
GB/T 35273—2020
对个人信息控制者的要求包括: a)符合以下情形,个人信息主体要求删除的,应及时删除个人信息: 1)个人信息控制者违反法律法规规定,收集、使用个人信息的; 2)个人信息控制者违反与个人信息主体的约定,收集、使用个人信息的。 b)个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信 息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方 及时删除。 c)个人信息控制者违反法律法规规定或违反与个人信息主体的约定,公开披露个人信息,且个人 信息主体要求删除的,个人信息控制者应立即停止公开披露的行为,并发布通知要求相关接收 方删除相应的信息。
8.4个人信息主体撤回授权同意
对个人信息控制者的要求包括: a) 1 应向个人信息主体提供撤回收集、使用其个人信息的授权同意的方法。撤回授权同意后,个人 信息控制者后续不应再处理相应的个人信息, D) 1 应保障个人信息主体拒绝接收基于其个人信息推送商业广告的权利。对外共享、转让、公开披 露个人信息,应向个人信息主体提供撤回授权同意的方法。 注:撤回授权同意不影响撤回前基于授权同意的个人信息处理。
8.5个人信息主体注销账户
对个人信息控制者的要求包括: a)i 通过注册账户提供产品或服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且 方法简便易操作; b)受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和 处理; C) 1 注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型不应多于注册、使用 等服务环节收集的个人信息类型; d)注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视 同注销多个产品或服务,要求个人信息主体填写精确的历史操作记录作为注销的必要条件等; 注1:多个产品或服务之间存在必要业务关联关系的,例如,一旦注销某个产品或服务的账户,将会导致其他产品或 服务的必要业务功能无法实现或者服务质量明显下降的,需向个人信息主体进行详细说明。 注2:产品或服务没有独立的账户体系的,可采取对该产品或服务账号以外其他个人信息进行删除,并切断账户体 系与产品或服务的关联等措施实现注销 e) 1 注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施, 如达成目的后立即删除或匿名化处理等; f) 1 个人信息主体注销账户后,应及时删除其个人信息或匿名化处理。因法律法规规定需要留存 个人信息的,不能再次将其用于日常业务活动中
方法,或在技术可行的前提下直接将以下类型个人信息的副本传输给个人信息主体指定的第三方: a)本人的基本资料、身份信息; b)本人的健康生理信息、教育工作信息
8.7响应个人信息主体的请求
对个人信息控制者的要求包括: a)在验证个人信息主体身份后,应及时响应个人信息主体基于8.1~8.6提出的请求,应在三十 天内或法律法规规定的期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径, b)采用交互式页面(如网站、移动互联网应用程序、客户端软件等)提供产品或服务的,宜直接设 置便捷的交互式页面提供功能或选项,便于个人信息主体在线行使其访问、更正、删除、撤回授 权同意、注销账户等权利。 c)对合理的请求原则上不收取费用,但对一定时期内多次重复的请求,可视情收取一定成本 费用。 d)直接实现个人信息主体的请求需要付出高额成本或存在其他显著困难的,个人信息控制者应 向个人信息主体提供替代方法,以保障个人信息主体的合法权益。 e)以下情行可不响应个人信息主体基于8.1~8.6提出的请求,包括: 1)与个人信息控制者履行法律法规规定的义务相关的; 2)与国家安全、国防安全直接相关的; 3)与公共安全、公共卫生、重大公共利益直接相关的; 4)与刑事侦查、起诉、审判和执行判决等直接相关的; 5)个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的; 6)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权 同意的; 7)响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损 害的; 8)涉及商业秘密的。 f)如决定不响应个人信息主体的请求,应向个人信息主体告知该决定的理由,并向个人信息主体 提供投诉的途径
个人信息控制者委托第三方处理个人信息时,应符合以下要求: 日) 个人信息控制者作出委托行为,不应超出已征得个人信息主体授权同意的范围或应遵守5.6 所列情形。 b) )个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者达到11.5的数据安 全能力要求。 C) 受委托者应: 1)严格按照个人信息控制者的要求处理个人信息。受委托者因特殊原因未按照个人信息控 制者的要求处理个人信息的,应及时向个人信息控制者反馈
9.2个人信息共享、转让
当个人信息控制者发生收购、兼并、重组、破产等变更时,对个人信息控制者的要求包括: Aa) 向个人信息主体告知有关情况; D) 变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息
目的时,应重新取得个人信息主体的明示同意; 如破产且无承接方的,对数据做删除处理。
9.4个人信息公开披露
个人信息原则上不应公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时,应 等合以下要求: a)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施; b)向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意; c)公开披露个人敏感信息前,除b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感 信息的内容; d)准确记录和存储个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等; e)承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任; f) 1A 不应公开披露个人生物识别信息; g) )不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果
以下情形中,个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权 同意: a) 1 与个人信息控制者履行法律法规规定的义务相关的; b) 1. 与国家安全、国防安全直接相关的; c) 1 与公共安全、公共卫生、重大公共利益直接相关的; d) )与刑事侦查、起诉、审判和判决执行等直接相关的; e) 1 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同 意的; () 个人信息主体自行向社会公众公开的个人信息; g)从合法公开披露的信息中收集个人信息的·如合法的新闻报道、政府信息公开等渠道。
9.6共同个人信息控制者
对个人信息控制者的要求包括: a)当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与 第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别 承担的责任和义务,并向个人信息主体明确告知; b)如未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第三方应分别承 担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。 注:如个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如,网站经营者与在其网 页或应用程序中部署统计分析工具、软件开发工具包SDK、调用地图API接口),且该第三方并未单独向个人信 息主体征得收集个人信息的授权同意,则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控 制者。
当个人信息控制者在其产品或服务中接人具备收集个人信息功能的第三方产品或服务且不适 和9.6时,对个人信息控制者的要求包括: a) 建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接
条件; b) 1 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全 措施; C) 应向个人信息主体明确标识产品或服务由第三方提供; d) 应妥善留存平台第三方接人有关合同和管理记录,确保可供相关方查阅; e) 1 应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核 验其实现的方式; f)应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查 询使用; g)应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安 全管理要求和责任的,应及时督促整改,必要时停止接人; h)产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小 程序等)的,宜采取以下措施: 1)开展技术检测确保其个人信息收集、使用行为符合约定要求; 2)对第三方嵌人或接人的自动化工具收集个人信息的行为进行审计,发现超出约定的行为, 及时切断接人
11.1明确责任部门与人员
11.2个人信息安全工程
开发具有处理个人信息功能的产品或服务时,个人信息控制者宜根据国家有关标准在需求、设计 、测试、发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同 、同步建设和同步使用
码头钻孔灌注桩施工方案11.3个人信息处理活动记录
个人信息控制者宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录的内容可包括: a) 所涉及个人信息的类型、数量、来源(如从个人信息主体直接收集或通过间接获取方式获得)
GB/T 35273—2020
b) 根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公 开披露、是否涉及出境等情况: 1 与个人信息处理活动各环节相关的信息 、组织或人员
个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措 施,防止个人信息的泄漏、损毁、丢失、纂改
54石膏板吊顶技术交底记录11.6人员管理与培训
对个人信息控制者的要求包括: