大眾網(wǎng)?海報新聞濟南2月2日訊(記者 吳軍林) 近日，全國信息安全標準化技術(shù)委員會組織開展了國家標準GB/T 35273-2017 《信息安全技術(shù) 個人信息安全規(guī)范》的修訂工作，已形成草案，向社會公開征求意見。草案增加了“不得強迫收集個人信息的要求”“個性化展示及退出”“第三方接入管理”等內(nèi)容，還修改了“ 征得授權(quán)同意的例外”“明確責任部門與人員”等內(nèi)容。

草案明確個人信息及個人敏感信息的具體內(nèi)容

海報新聞記者注意到，草案明確了“個人信息”的定義，以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

草案對“個人敏感信息”的定義是，一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下(含)兒童的個人信息等。

此外，個人信息控制者指的是有權(quán)決定個人信息處理目的、方式等的組織或個人。

不得強迫收集個人信息 不能因為其拒絕而降低服務質(zhì)量

草案新增的“不得強迫收集個人信息的要求”明確，當產(chǎn)品或服務提供多項需收集個人信息的業(yè)務功能時，個人信息控制者不得違背個人信息主體的自主意愿，強迫個人信息主體接受產(chǎn)品或服務所提供的業(yè)務功能及相應的個人信息收集請求。

相關條款下，對個人信息控制者的要求包括：a) 不得通過捆綁產(chǎn)品或服務各項業(yè)務功能的方式，要求個人信息主體一次性接受并授權(quán)同意各項業(yè)務功能收集個人信息的請求;b) 應根據(jù)個人信息主體主動填寫、點擊、勾選等自主行為，作為產(chǎn)品或服務的業(yè)務功能開啟或開始收集個人信息的條件，并提供關閉或退出業(yè)務功能的途徑或方式。關閉或退出業(yè)務功能的途徑或方式應與個人信息主體選擇使用業(yè)務功能的途徑或方式同樣簡便;c) 如個人信息主體不同意使用、關閉或退出特定業(yè)務功能，個人信息控制者不得頻繁征求個人信息主體的同意;d) 如個人信息主體不同意使用、關閉或退出特定業(yè)務功能，個人信息控制者不得暫停個人信息主體自主選擇使用的其他業(yè)務功能，或降低業(yè)務功能的服務質(zhì)量。

在草案新增加的“擴展業(yè)務功能的告知和明示同意”部分，還明確了如個人信息主體不同意收集擴展業(yè)務功能收集所必要的個人信息，個人信息控制者不得反復征求個人信息主體的同意。除非個人信息主體主動選擇開啟擴展業(yè)務功能，在24小時內(nèi)向用戶征求同意的次數(shù)不得超過一次。

個人可拒絕基于個人信息的個性化推送，電商搜索結(jié)果不能只有個性化展示

海報新聞記者注意到，在“個性化展示及退出”條款下，個人信息控制者在向個人信息主體推送新聞或信息服務的過程中使用個性化展示的，應以顯著方式標明“個性化展示”或“定推”等字樣。并要為個人信息主體提供簡單直觀的退出個性化展示模式的選項。所謂退出定向推送模式是指向特定個人提供業(yè)務功能時，其推送方式不再基于該特定個人的個人信息。

草案明確，電子商務經(jīng)營者根據(jù)消費者的興趣愛好、消費習慣等特征向其提供商品或者服務搜索結(jié)果的個性化展示的，應當同時向該消費者提供不針對其個人特征的選項。草案還特別注明，基于用戶所選擇的特定位置進行展示、搜索結(jié)果排序，且不因用戶身份不同展示不一樣的內(nèi)容和搜索結(jié)果排序，則屬于不針對其個人特征的選項。

此外， 在向個人信息主體提供業(yè)務功能的過程中使用個性化展示的，宜建立個人信息主體對個性化展示所依賴的個人信息(如標簽、畫像維度等)的自主控制機制，保障個人信息主體調(diào)控個性化展示相關程度的能力;當個人信息主體選擇退出個性化展示模式時，向個人信息主體提供刪除或匿名化定向推送活動所基于的個人信息的選項。

明確責任部門與人員：法人、主管負責，設立個人信息保護工作機構(gòu)

草案要求個人信息控制者應明確其法定代表人或主要負責人對個人信息安全負全面領導責任，包括為個人信息安全工作提供人力、財力、物力保障等;應任命個人信息保護負責人和個人信息保護工作機構(gòu)，個人信息保護負責人應由具有相關管理工作經(jīng)歷和個人信息保護專業(yè)知識的人員擔任，參與有關個人信息處理活動的重要決策直接向組織主要負責人報告工作;

此外，主要業(yè)務涉及個人信息處理，且從業(yè)人員規(guī)模大于200人;或者處理超過100萬人的個人信息，或在12個月內(nèi)預計處理超過100萬人的個人信息，應設立專職的個人信息保護負責人和個人信息保護工作機構(gòu)，負責個人信息安全工作。

12種情形，無需征得個人信息主體的授權(quán)同意

海報新聞記者注意到， 草案修改了“征得授權(quán)同意的例外”，以下情形中，個人信息控制者收集、使用個人信息無需征得個人信息主體的授權(quán)同意：

a) 與個人信息控制者履行法律法規(guī)規(guī)定的義務相關的;

b) 與國家安全、國防安全直接相關的;

c) 與公共安全、公共衛(wèi)生、重大公共利益直接相關的;

d) 與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關的;

e) 出于維護個人信息主體或其他個人的生命、財產(chǎn)等重大合法權(quán)益但又很難得到

本人同意的;

f) 所涉及的個人信息是個人信息主體自行向社會公眾公開的;

g) 從合法公開披露的信息中收集個人信息的，如合法的新聞報道、政府信息公開

等渠道;

h) 用于維護所提供的產(chǎn)品或服務的安全穩(wěn)定運行所必需的，例如發(fā)現(xiàn)、處置產(chǎn)品

或服務的故障;

i) 個人信息控制者為新聞單位且其在開展合法的新聞報道所必需的;

j) 個人信息控制者為學術(shù)研究機構(gòu)，出于公共利益開展統(tǒng)計或?qū)W術(shù)研究所必要，

且其對外提供學術(shù)研究或描述的結(jié)果時，對結(jié)果中所包含的個人信息進行去標識

化處理的。

[責任編輯：楊凡、徐紅梅]

想爆料？請登錄《陽光連線》（ https://minsheng.iqilu.com/）、撥打新聞熱線0531-66661234或96678，或登錄齊魯網(wǎng)官方微博（@齊魯網(wǎng)）提供新聞線索。齊魯網(wǎng)廣告熱線0531-81695052，誠邀合作伙伴。