在今天开启的全国信息安全标准化技术委员会2019年第一次工作组会议周中,公号君汇报了一个标准修订项目——《个人信息安全规范》。在此把PPT贴出来,供大家参考。在PPT中,大家能找到最新的标准文本的修订内容。

最新的使用环节中新增的文本如下:

1.1 个人信息使用的目的限制

对个人信息控制者的要求包括:

a) 使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意;

注:将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述,属于与收集目的具有合理关联的范围之内。但对外提供学术研究或描述的结果时,应对结果中所包含的个人信息进行去标识化处理。

b) 对所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别自然人个人身份,或者反映自然人个人活动情况的,应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围。

注:加工处理而产生的个人信息属于个人敏感信息的,对其处理应符合本标准对个人敏感信息的要求。

1.2 用户画像的使用限制

对个人信息控制者的要求包括:

a) 用户画像中对个人信息主体的特征描述,不应:

1) 包含淫秽、色情、赌博、迷信、恐怖、暴力的内容;

2) 表达对民族、种族、宗教、残疾、疾病歧视的内容。

b) 在业务运营或对外业务合作中使用用户画像的,不应:

1) 侵害保护公民、法人和其他组织的合法权益;

2) 危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序。

c) 除为达到个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。

1.3 个性化展示及退出

对个人信息控制者的要求包括:

a) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应:

1) 显著区分个性化推送服务,如标明“个性化展示”或“定推”等字样;

2) 为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项。

b) 电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;

注:基于用户所选择的特定位置进行展示、搜索结果排序,且不因用户身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。

c) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜:

1) 建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力;

2) 当个人信息主体选择退出个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

1.4 基于不同业务目的所收集的个人信息的汇聚融合

对个人信息控制者的要求包括:

a) 遵守本标准7.3的要求;

b) 根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施。

1.5 信息系统自动决策机制的使用

个人信息控制者业务运营所使用的信息系统,具备自动决策机制且能对个人信息主体权益造成显著影响的(例如自动决定个人征信及贷款额度,或用于面试人员的自动化筛选等),应:

a) 在规划设计阶段或首次使用前开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;

b) 在使用过程中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果改进保护个人信息主体的措施;

c) 向个人信息主体提供针对自动决策结果的申诉渠道,并对自动决策结果进行人工复核。

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。