个人信息安全规范标准

近年，随着信息技术的快速发展和互联网应用的普及，越来越多的组织大量收集、使用个人信息，给人们生活带来便利的同时，也出现了对个人信息的非法收集、滥用、泄露等问题，个人信息安全面临严重威胁。

2017年12月29日，质检总局、国家标准委发布了2017年第32号国家标准公告，批准发布了GB/T 35273—2017《信息安全技术 个人信息安全规范》，该标准将于2018年5月1日正式实施。

该标准针对个人信息面临的安全问题，规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为，旨在遏制个人信息非法收集、滥用、泄露等乱象，最大程度地保障个人的合法权益和社会公共利益。对标准中的具体事项，法律法规另有规定的，需遵照其规定执行。

该标准中规定了“个人信息”“个人敏感信息”的定义。

3.1

个人信息 personal information

以电子或者其他方式记录的能够单独或者與其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式、通信记和

内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

注2：关于个人信息的范围和类型可参见附录A。

3.2

个人敏感信息 personal sensitive information

一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

注1：个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信

息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下（含）儿童的个人信息等。

注2：关于个人敏感信息的范围和类型可参见附录B。

该标准规定了个人信息安全基本原则——权责一致原则、目的明确原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则、主体参与原则。

该标准还规定了：个人信息的收集（第5章），个人信息的保存（第6章），个人信息的使用（第7章），个人信息的委托处理、共享、转让、公开披露（第8章），个人信息安全事件处置（第9章），以及组织的管理要求（第10章）。

该标准的四个资料性附录中分别列出了：个人信息示例（附录A），个人敏感信息判定（附录B），保障个人信息主体选择同意权的方法（附录C），以及隐私政策模板（附录D）。

该标准适用于规范各类组织个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。