信息安全技術個人信息安全規范

目次

前言.................................................................................III

引言................................................................................IV

1范圍.....................................................................................1

2規范性引用文件..........................................................................1

3術語和定義..............................................................................1

4個人信息安全基本原則...................................................................4

5個人信息的收集..........................................................................4

5.1收集個人信息的合法性...............................................................4

5.2收集個人信息的最小必要.............................................................4

5.3多項業務功能的自主選擇.............................................................4

5.4收集個人信息時的授權同意...........................................................5

5.5個人信息保護政策...................................................................5

5.6征得授權同意的例外.................................................................6

6個人信息的存儲..........................................................................7

6.1個人信息存儲時間最小化.............................................................7

6.2去標識化處理........................................................................7

6.3個人敏感信息的傳輸和存儲...........................................................7

6.4個人信息控制者停止運營.............................................................7

7個人信息的使用..........................................................................7

7.1個人信息訪問控制措施...............................................................7

7.2個人信息的展示限制.................................................................8

7.3個人信息使用的目的限制.............................................................8

7.4用戶畫像的使用限制.................................................................8

7.5個性化展示的使用...................................................................8

7.6基于不同業務目的所收集的個人信息的匯聚融合........................................9

7.7信息系統自動決策機制的使用.........................................................9

8個人信息主體的權利......................................................................9

8.1個人信息查詢........................................................................9

8.2個人信息更正.......................................................................10

8.3個人信息刪除.......................................................................10

8.4個人信息主體撤回授權同意..........................................................10

8.5個人信息主體注銷賬戶..............................................................10

8.6個人信息主體獲取個人信息副本......................................................11

8.7響應個人信息主體的請求............................................................11

8.8投訴管理...........................................................................11

9個人信息的委托處理、共享、轉讓、公開披露.............................................11

9.1委托處理............................................................................11

I

9.2個人信息共享、轉讓................................................................12

9.3收購、兼并、重組、破產時的個人信息轉讓...........................................13

9.4個人信息公開披露..................................................................13

9.5共享、轉讓、公開披露個人信息時事先征得授權同意的例外............................13

9.6共同個人信息控制者................................................................13

9.7第三方接入管理.....................................................................14

9.8個人信息跨境傳輸..................................................................14

10個人信息安全事件處置..................................................................14

10.1個人信息安全事件應急處置和報告...................................................14

10.2安全事件告知......................................................................15

11組織的個人信息安全管理要求...........................................................15

11.1明確責任部門與人員...............................................................15

11.2個人信息安全工程.................................................................16

11.3個人信息處理活動記錄.............................................................16

11.4開展個人信息安全影響評估.........................................................16

11.5數據安全能力......................................................................17

11.6人員管理與培訓...................................................................17

11.7安全審計..........................................................................17

附錄A（資料性附錄）個人信息示例..................................................18

附錄B（資料性附錄）個人敏感信息判定...............................................19

附錄C（資料性附錄）實現個人信息主體自主意愿的方法................................20

C.1區分基本業務功能和擴展業務功能....................................................20

C.2基本業務功能的告知和明示同意......................................................20

C.3擴展業務功能的告知和明示同意......................................................21

C.4交互式功能界面設計................................................................21

附錄D（資料性附錄）個人信息保護政策模板..........................................25

參考文獻.................................................................................31

信息安全技術個人信息安全規范

1范圍

本標準規范了開展收集、存儲、使用、共享、轉讓、公開披露、刪除等個人信息處理

活動應遵循的原則和安全要求。

本標準適用于規范各類組織個人信息處理活動，也適用于主管監管部門、第三方評估

機構等組織對個人信息處理活動進行監督、管理和評估。

2規范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本

適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文

件。

GB/T25069—2010信息安全技術術語

3術語和定義

GB/T25069—2010中界定的以及下列術語和定義適用于本文件。

3.1

個人信息personaIinformation

以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者

反映特定自然人活動情況的各種信息。

注1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方

式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信

息、交易信息等。

注2：關于個人信息的判定方法和類型可參見附錄A.

注3；個人信息控制者通過個人信息或其他信息加工處理后形成的信息，例如用戶畫像或特征標簽,

能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的，屬于

個人信息。

3.2

個人敏感信息personaIsensitiveinformation

一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受

到損害或歧視性待遇等的個人信息。

注1：個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產

信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒

童的個人信息等。

注2：關于個人敏感信息的判定方法和類型可參見附錄B。

注3：個人信息控制者通過個人信息或其他信息加工處理后形成的信息，如一旦泄露、非法提供或

濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的，

屬于個人敏感信息。

3.3

個人信息主體personaIinformationsubject

個人信息所標識或者關聯的自然人。

3.4

個人信息控制者personaIinformationcontrolIer

有權【有能力】決定個人信息處理目的、方式等的組織或個人。

3.5

收集coIIect

獲得個人信息的控制權的行為，包括由個人信息主體主動提供、通過與個人信息主體

交互或記錄個人信息主體行為等自動采集行為，以及通過共享、轉讓、搜集公開信息等間接

獲取個人信息等行為。

注：如果產品或服務的提供者提供工具供個人信息主體使用，提供者不對個人信息進行訪問的，

則不屬于本標準所稱的收集。例如，離線導航軟件在終端獲取個人信息主體位置信息后，如果

不回傳至軟件提供者，則不屬于個人信息主體位置信息的收集。

3.6

明示同意explicitconsent

個人信息主體通過書面、口頭等方式主動作出紙質或電子形式的聲明，或者自主作出

肯定性動作，對其個人信息進行特定處理作出明確授權的行為。

注：肯定性動作包括個人信息主體主動勾選、主動點擊“同意”“注冊”“發送”“撥打”、

主動填寫或提供等。

3.7

授權同意consent

個人信息主體對其個人信息進行特定處理作出明確授權的行為，包括通過積極的行

為作出授權（即明示同意），或者通過消極的不作為而作出授權（例如信息采集區域內的個人信

息主體在被告知信息收集行為后沒有離開該區域）。

3.8用戶畫像userprofiIing

通過收集、匯聚、分析個人信息，對某特定自然人個人特征，如職業、經濟、健康、教育、

個人喜好、信用、行為等方面作出分析或預測，形成其個人特征模型的過程。

注：直接使用特定自然人的個人信息，形成該自然人的特征模型，稱為直接用戶畫像。使用來

源于特定自然人以外的個人信息，如其所在群體的數據，形成該自然人的特征模型，稱為間

接用戶畫像。

2

3.9

個人信息安全影響評估personaIinformationsecurityimpactassessment

針對個人信息處理活動，檢驗其合法合規程度，判斷其對個人信息主體合法權益造成

損害的各種風險，以及評估用于保護個人信息主體的各項措施有效性的過程。

3.10

刪除deIete

在實現日常業務功能所涉及的系統中去除個人信息的行為，使其保持不可被檢索、訪

問的狀態。

3.11

公開披露publicdisclosure

向社會或不特定人群發布信息的行為。

3.12

轉讓transferofcontroI

將個人信息控制權由一個控制者向另一個控制者轉移的過程。

3.13

共享sharing

個人信息控制者向其他控制者提供個人信息，且雙方分別對個人信息擁有獨立控制權

的過程。

3.14

匿名化anonymization

通過對個人信息的技術處理，使得個人信息主體無法被識別或者關聯，且處理后的信

息不能被復原的過程。

注：個人信息經匿名化處理后所得的信息不屬于個人信息。

3.15

去標識化de-identification

通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別或者關聯個

人信息主體的過程。

注：去標識化建立在個體基礎之上，保留了個體顆粒度，采用假名、加密、哈希函數等技術手

段替代對個人信息的標識。

3.16

個性化展示personaIizeddisplay

基于特定個人信息主體的網絡瀏覽歷史、興趣愛好、消費記錄和習慣等個人信息，向

該個人信息主體展示信息內容、提供商品或服務的搜索結果等活動。

3

3.17

業務功能businessfunction

滿足個人信息主體的具體使用需求的服務類型。如地圖導航、網絡約車、即時通訊、社

區社交、網絡支付、新聞資訊、網上購物、快遞配送、交通票務等。

4個人信息安全基本原則

個人信息控制者開展個人信息處理活動應遵循合法、正當、必要的原則，具體包括:

a）權責一致一一采取技術和其他必要的措施保障個人信息的安全，對其個人信息處

理活動對個人信息主體合法權益造成的損害承擔責任。

b）目的明確一一具有明確、清晰、具體的個人信息處理目的。

c）選擇同意一一向個人信息主體明示個人信息處理目的、方式、范圍、規則等，

征求其授權同意。

d）最小必要一一只處理滿足個人信息主體授權同意的目的所需的最少個人信息類

型和數量。目的達成后，應及時刪除個人信息。

e）公開透明一以明確、易懂和合理的方式公開處理個人信息的范圍、目的、規則

等，并接受外部監督。

f）確保安全一一具備與所面臨的安全風險相匹配的安全能力，并采取足夠的管理措

施和技術手段，保護個人信息的保密性、完整性、可用性。

g）主體參與—向個人信息主體提供能夠查詢、更正、刪除其個人信息，以及撤回

授權同意、注銷賬戶、投訴等方法。

5個人信息的收集

5.1收集個人信息的合法性

對個人信息控制者的要求包括：

a）不應以欺詐、誘騙、誤導的方式收集個人信息；

b）不應隱瞞產品或服務所具有的收集個人信息的功能；

c）不應從非法渠道獲取個人信息。

5.2收集個人信息的最小必要

對個人信息控制者的要求包括：

a）收集的個人信息的類型應與實現產品或服務的業務功能有直接關聯；直接關聯是

指沒有上述個人信息的參與，產品或服務的功能無法實現；

b）自動采集個人信息的頻率應是實現產品或服務的業務功能所必需的最低頻率；

c）間接獲取個人信息的數量應是實現產品或服務的業務功能所必需的最少數量。

5.3多項業務功能的自主選擇

當產品或服務提供多項需收集個人信息的業務功能時，個人信息控制者不應違背個人

信息主體的自主意愿，強迫個人信息主體接受產品或服務所提供的業務功能及相應的個人信息

收集請求。對個人信息控制者的要求包括：

4

a）不應通過捆綁產品或服務各項業務功能的方式，要求個人信息主體一次性接受并

授權同意其未申請或使用的業務功能收集個人信息的請求。

b）應把個人信息主體自主作出的肯定性動作，如主動點擊、勾選、填寫等，作為產

品或服務的特定業務功能的開啟條件。個人信息控制者應僅在個人信息主體開啟該

業務功能后，開始收集個人信息；

c）關閉或退出業務功能的途徑或方式應與個人信息主體選擇使用業務功能的途徑

或方式同樣方便。個人信息主體選擇關閉或退出特定業務功能后，個人信息控

制者應停止該業務功能的個人信息收集活動；

d）個人信息主體不授權同意使用、關閉或退出特定業務功能的，不應頻繁征求個人

信息主體的授權同意；

e）個人信息主體不授權同意使用、關閉或退出特定業務功能的，不應暫停個人信息

主體自主選擇使用的其他業務功能，或降低其他業務功能的服務質量；

f）不得以改善服務質量、提升個人信息主體體驗、研發新產品、增強安全性等為由,

強制要求個人信息主體同意收集個人信息。

5.4收集個人信息時的授權同意

對個人信息控制者的要求包括：

a）收集個人信息，應向個人信息主體告知收集、使用個人信息的目的、方式和范圍,

并獲得個人信息主體的授權同意；

注1：如產品或服務僅提供一項收集、使用個人信息的業務功能時，個人信息控制者可通過個人

信息保護政策的形式，實現向個人信息主體的告知；產品或服務提供多項收集、使用個人

信息的業務功能的，除個人信息保護政策外，個人信息控制者宜在實際開始收集特定個人

信息時，向個人信息主體提供收集、使用該個人信息的目的、方式和范圍，以便個人信息

主體在作出具體的授權同意前，能充分考慮對其的具體影響。

注2：符合本標準5.3和5.4a）要求的實現方法，可參考附錄C。

b）收集個人敏感信息前，應征得個人信息主體的明示同意，并應確保個人信息主體的

明示同意是其在完全知情的基礎上自主給出的、具體的、清晰明確的意愿表示；

c）收集年滿14周歲未成年人的個人信息前，應征得未成年人或其監護人的明示同意;

不滿14周歲的，應征得其監護人的明示同意；

d）間接獲取個人信息時：

1）應要求個人信息提供方說明個人信息來源，并對其個人信息來源的合法性進

行確認；

2）應了解個人信息提供方已獲得的個人信息處理的授權同意范圍，包括使用

目的，個人信息主體是否授權同意轉讓、共享、公開披露、刪除等；

3）如開展業務所需進行的個人信息處理活動超出已獲得的授權同意范圍的，

應在獲取個人信息后的合理期限內或處理個人信息前，征得個人信息主體

的明示同意，或通過個人信息提供方征得個人信息主體的明示同意。

5.5個人信息保護政策

對個人信息控制者的要求包括：

a）應制定個人信息保護政策，內容應包括但不限于：

1）個人信息控制者的基本情況，包括主體身份、聯系方式；

5

2）收集、使用個人信息的業務功能，以及各業務功能分別收集的個人信息類型。

涉及個人敏感信息的，需明確標識或突出顯示；

3）個人信息收集方式、存儲期限、涉及數據出境情況等個人信息處理規則；

4）對外共享、轉讓、公開披露個人信息的目的、涉及的個人信息類型、接收個人

信息的第三方類型，以及各自的安全和法律責任；

5）個人信息主體的權利和實現機制，如查詢方法、更正方法、刪除方法、注銷

賬戶的方法、撤回授權同意的方法、獲取個人信息副本的方法、對信息系統自

動決策結果進行投訴的方法等；

6）提供個人信息后可能存在的安全風險，及不提供個人信息可能產生的影響；

7）遵循的個人信息安全基本原則，具備的數據安全能力，以及采取的個人信息

安全保護措施，必要時可公開數據安全和個人信息保護相關的合規證明；

8）處理個人信息主體詢問、投訴的渠道和機制，以及外部糾紛解決機構及聯絡

方式。

b）個人信息保護政策所告知的信息應真實、準確、完整；

c）個人信息保護政策的內容應清晰易懂，符合通用的語言習慣，使用標準化的數字、

圖示等，避免使用有歧義的語言；

d）個人信息保護政策應公開發布且易于訪問，例如，在網站主頁、移動應用程序安

裝頁、本標準附錄C中的交互界面或設計等顯著位置設置鏈接；

e）個人信息保護政策應逐一送達個人信息主體。當成本過高或有顯著困難時，可以

公告的形式發布；

f）在本條a）所載事項發生變化時，應及時更新個人信息保護政策并重新告知個

人信息主體。

注1：許多組織將個人信息保護政策命名為隱私政策。

注2：個人信息保護政策的內容可參考附錄D。

注3：在個人信息主體首次打開產品或服務、注冊賬號等情形時,宜通過彈窗等形式主動向其展

示個人信息保護政策的主要或核心內容，幫助個人信息主體理解該產品或服務的個人信息

處理范圍和規則，并決定是否繼續使用該產品或服務。

5.6征得授權同意的例外

以下情形中，個人信息控制者收集、使用個人信息不必征得個人信息主體的授權同

意：

a）與個人信息控制者履行法律法規規定的義務相關的；

b）與國家安全、國防安全直接相關的；

c）與公共安全、公共衛生、重大公共利益直接相關的；

d）與刑事偵查、起訴、審判和判決執行等直接相關的；

e）出于維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本

人授權同意的；

f）所涉及的個人信息是個人信息主體自行向社會公眾公開的；

g）根據個人信息主體要求簽訂和履行合同所必需的：

注：個人信息保護政策的主要功能為公開個人信息控制者收集、使用個人信息范圍和規則，不

應將其視為本條中的合同。

h）從合法公開披露的信息中收集個人信息的，如合法的新聞報道、政府信息公開

等渠道；

6

i）維護所提供產品或服務的安全穩定運行所必需的，例如發現、處置產品或服務的

故障；

j）個人信息控制者為新聞單位，且其開展合法的新聞報道所必需的；

k）個人信息控制者為學術研究機構，出于公共利益開展統計或學術研究所必要，

且其對外提供學術研究或描述的結果時，對結果中所包含的個人信息進行去標識

化處理的。

6個人信息的存儲

6.1個人信息存儲時間最小化

對個人信息控制者的要求包括：

a）個人信息存儲期限應為實現個人信息主體授權使用的目的所必需的最短時間，

法律法規另有規定或者個人信息主體另行授權同意的除外；

b）超出上述個人信息存儲期限后，應對個人信息進行刪除或匿名化處理。

6.2去標識化處理

收集個人信息后，個人信息控制者宜立即進行去標識化處理，并采取技術和管理方面的

措施，將可用于恢復識別個人的信息與去標識化后的信息分開存儲并加強訪問和使用的權限管

理。

6.3個人敏感信息的傳輸和存儲

對個人信息控制者的要求包括：

a）傳輸和存儲個人敏感信息時，應采用加密等安全措施；

b）存儲個人生物識別信息時，應采用技術措施確保信息安全后再進行存儲，例如將

個人生物識別信息的原始信息和摘要分開存儲，或僅收集、存儲、使用摘要信息。

6.4個人信息控制者停止運營

當個人信息控制者停止運營其產品或服務時，應：

a）及時停止繼續收集個人信息；

b）將停止運營的通知以逐一送達或公告的形式通知個人信息主體；

c）對其所持有的個人信息進行刪除或匿名化處理。

7個人信息的使用

7.1個人信息訪問控制措施

對個人信息控制者的要求包括：

a）對被授權訪問個人信息的人員，應建立最小授權的訪問控制策略，使其只能訪問

職責所需的最小必要的個人信息，且僅具備完成職責所需的最少的數據操作權限；

b）對個人信息的重要操作設置內部審批流程，如進行批量修改、拷貝、下教等重要

操作；

7

C）對安全管理人員、數據操作人員、審計人員的角色進行分離設置；

d）確因工作需要，需授權特定人員超權限處理個人信息的，應經個人信息保護責任人

或個人信息保護工作機構進行審批，并記錄在冊；

注：個人信息保護責任人或個人信息保護工作機構的確定見本標準1（）.1。

e）對個人敏感信息的訪問、修改等操作行為，宜在對角色權限控制的基礎上，按照

業務流程的需求觸發操作授權。例如，當收到客戶投訴，投訴處理人員才可訪問該

個人信息主體的相關信息。

7.2個人信息的展示限制

涉及通過界面展示個人信息的（如顯示屏幕、紙面），個人信息控制者宜對需展示的

個人信息采取去標識化處理等措施，降低個人信息在展示環節的泄露風險。例如，在個人信

息展示時，防止內部非授權人員及個人信息主體之外的其他人員未經授權獲取個人信息。

7.3個人信息使用的目的限制

對個人信息控制者的要求包括：

a）使用個人信息時，不應超出與收集個人信息時所聲稱的目的具有直接或合理關聯的

范圍。因業務需要，確需超出上述范圍使用個人信息的，應再次征得個人信息主體

明示同意；

注：將所收集的個人信息用于學術研究或得出對自然、科學、社會、經濟等現象總體狀態的描

述，屬于與收集目的具有合理關聯的范圍之內。但對外提供學術研究或描述的結果時，應

對結果中所包含的個人信息進行去標識化處理。

b）如所收集的個人信息進行加工處理而產生的信息，能夠單獨或與其他信息結合

識別特定自然人身份或者反映特定自然人活動情況的，應將其認定為個人信息。對

其處理應遵循收集個人信息時獲得的授權同意范圍。

注：加工處理而產生的個人信息屬于個人敏感信息的，對其處理應符合本標準對個人敏感信息

的要求。

7.4用戶畫像的使用限制

對個人信息控制者的要求包括：

a）用戶畫像中對個人信息主體的特征描述，不應：

1）包含淫穢、色情、賭博、迷信、恐怖、暴力的內容；

2）表達對民族、種族、宗教、殘疾、疾病歧視的內容。

b）在業務運營或對外業務合作中使用用戶畫像的，不應：

1）侵害保護公民、法人和其他組織的合法權益；

2）危害國家安全、榮譽和利益，煽動顛覆國家政權、推翻社會主義制度，煽動

分裂國家、破壞國家統一，宣揚恐怖主義、極端主義，宣揚民族仇恨、民族歧

視，傳播暴力、淫穢色情信息，編造、傳播虛假信息擾亂經濟秩序和社會秩

序。

c）除為達到個人信息主體授權同意的使用目的所必需外，使用個人信息時應消除

明確身份指向性，避免精確定位到特定個人。例如，為準確評價個人信用狀況，可使用

直接用戶畫像，而用于推送商業廣告目的時，則宜使用間接用戶畫像。

7.5個性化展示的使用

8

對個人信息控制者的要求包括：

a）在向個人信息主體提供業務功能的過程中使用個性化展示的，應顯著區分個性化

展示的內容和非個性化展示的內容；

注：顯著區分的方式包括但不限于：標明“定推”等字樣，或通過不同的欄目、版塊、頁

面分別展示等。

b）在向個人信息主體提供電子商務服務的過程中，根據消費者的興趣愛好、消費

習慣等特征向其提供商品或者服務搜索結果的個性化展示的，應當同時向該消費

者提供不針對其個人特征的選項；

注：基于個人信息主體所選擇的特定位置進行展示、搜索結果排序，且不因個人信息主體

身份不同展示不一樣的內容和搜索結果排序，則屬于不針對其個人特征的選項。

c）在向個人信息主體推送新聞信息服務的過程中使用個性化展示的，應：

1）為個人信息主體提供簡單直觀的退出或關閉個性化展示模式的選項；

2）當個人信息主體選擇退出或關閉個性化展示模式時，向個人信息主體提供刪

除或匿名化定向推送活動所基于的個人信息的選項。

d）在向個人信息主體提供業務功能的過程中使用個性化展示的，宜建立個人信息

主體對個性化展示所依賴的個人信息（如標簽、畫像維度等）的自主控制機制，保

障個人信息主體調控個性化展示相關程度的能力。

7.6基于不同業務目的所收集的個人信息的匯聚融合

對個人信息控制者的要求包括：

a）遵守本標準7.3的要求；

b）根據匯聚融合后個人信息所用于的目的，開展個人信息安全影響評估，采取有效

的個人信息保護措施。

7.7信息系統自動決策機制的使用

個人信息控制者業務運營所使用的信息系統，具備自動決策機制且能對個人信息主體

權益造成顯著影響的（例如自動決定個人征信及貸款額度，或用于面試人員的自動化篩選

等），應：

a）在規劃設計階段或首次使用前開展個人信息安全影響評估，并依評估結果采取有

效的保護個人信息主體的措施；

b）在使用過程中定期（至少每年一次）開展個人信息安全影響評估，并依評估結果

改進保護個人信息主體的措施；

c）向個人信息主體提供針對自動決策結果的投訴渠道，并對自動決策結果進行人工

復核。

8個人信息主體的權利

8.1個人信息查詢

個人信息控制者應向個人信息主體提供查詢下列信息的方法：

a）其所持有的關于該主體的個人信息或個人信息的類型；

b）上述個人信息的來源、所用于的目的；

c）已經獲得上述個人信息的第三方身份或類型。

9

注：個人信息主體提出查詢非其主動提供的個人信息時，個人信息控制者可在綜合考慮不響應

請求可能對個人信息主體合法權益帶來的風險和損害，以及技術可行性、實現請求的成本

等因素后，作出是否響應的決定，并給出解釋說明。

8.2個人信息更正

個人信息主體發現個人信息控制者所持有的該主體的個人信息有錯誤或不完整的，個

人信息控制者應為其提供請求更正或補充信息的方法。

8.3個人信息刪除

對個人信息控制者的要求包括：

a）符合以下情形，個人信息主體要求刪除的，應及時刪除個人信息：

1）個人信息控制者違反法律法規規定，收集、使用個人信息的；

2）個人信息控制者違反與個人信息主體的約定，收集、使用個人信息的。

b）個人信息控制者違反法律法規規定或違反與個人信息主體的約定向第三方共享、

轉讓個人信息，且個人信息主體要求刪除的，個人信息控制者應立即停止共享、

轉讓的行為，并通知第三方及時刪除；

c）個人信息控制者違反法律法規規定或違反與個人信息主體的約定，公開披露個人

信息，且個人信息主體要求刪除的，個人信息控制者應立即停止公開披露的行為，

并發布通知要求相關接收方刪除相應的信息。

8.4個人信息主體撤回授權同意

對個人信息控制者的要求包括：

a）應向個人信息主體提供撤回收集、使用其個人信息的授權同意的方法。撤回授權

同意后，個人信息控制者后續不應再處理相應的個人信息；

b）應保障個人信息主體拒絕接收基于其個人信息推送商業廣告的權利。對外共享、轉

讓、公開披露個人信息，應向個人信息主體提供撤回授權同意的方法。

注：撤歸I授權同意不影響撤回前基于授權按同意的個人信息處理。

8.5個人信息主體注銷賬戶

對個人信息控制者的要求包括：

a）通過注冊賬戶提供服務的個人信息控制者，應向個人信息主體提供注銷賬戶的方

法，且該方法應簡便易操作；

b）宜直接設置便捷的注銷功能交互式頁面，及時響應個人信息主體注銷請求；

c）受理注銷賬號請求后，需要人工處理的，應在承諾時限內（不超過15日）完成核

查和處理；

d）注銷過程進行身份核驗需要個人信息主體重新提供的個人信息不應多于注冊、

使用等服務環節收集的個人信息；

e）注銷過程不應設置不合理的條件或提出額外要求增加個人信息主體義務，如注銷

單個賬戶視同注銷多個產品或服務，要求個人信息主體填寫精確的歷史操作記錄作

為必要注銷條件等；

f）注銷賬戶的過程需收集個人敏感信息核驗身份時，應明確對收集個人敏感信息后

的處理措施，如達成目的后立即刪除或匿名化處理等；

g）個人信息主體注銷賬戶后，應及時刪除其個人信息或做匿名化處理。

10

8.6個人信息主體獲取個人信息副本

根據個人信息主體的請求，個人信息控制者宜為個人信息主體提供獲取以下類型個人信

息副本的方法，或在技術可行的前提下直接將以下類型個人信息的副本傳輸給個人信息主體指

定的第三方：

a）本人的基本資料、身份信息；

b）本人的健康生理信息、教育工作信息。

8.7響應個人信息主體的請求

對個人信息控制者的要求包括：

a）在驗證個人信息主體身份后，應及時響應個人信息主體基于本標準&1至&6提

出提出的請求，應在三十天內或法律法規規定的期限內作出答復及合理解釋，

并告知個人信息主體外部糾紛解決途徑；

b）宜直接在產品或服務提供的界面中設置專門的功能或選項，便于個人信息主體在

線行使其訪問、更正、刪除、撤回授權同意、注銷賬戶等權利；

c）對合理的請求原則上不收取費用，但對一定時期內多次重復的請求，可視情收取

一定成本費用；

d）直接實現個人信息主體的請求需要付出高額成本或存在其他顯著困難的，個人信

息控制者應向個人信息主體提供替代性方法，以保護個人信息主體的合法權益；

e）以下情況可不響應個人信息主體基于本標準8.1至8.6提出的請求，包括：

1）與個人信息控制者履行法律法規規定的義務相關的；

2）與國家安全、國防安全直接相關的；

3）與公共安全、公共衛生、重大公共利益直接相關的；

4）與刑事偵查、起訴、審判和執行判決等直接相關的；

5）個人信息控制者有充分證據表明個人信息主體存在主觀惡意或濫用權利

的；

6）出于維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得

到本人授權同意的；

7）響應個人信息主體的請求將導致個人信息主體或其他個人、組織的合法權益

受到嚴重損害的；

8）涉及商業秘密的。

f）如決定不響應個人信息主體的請求，應向個人信息主體告知該決定的理由，并向

個人信息主體提供投訴的途徑。

8.8投訴管理

個人信息控制者應建立投訴管理機制和投訴跟蹤流程，并在合理的時間內對投訴進行

響應。

9個人信息的委托處理、共享、轉讓、公開披露

9.1委托處理

個人信息控制者委托第三方處理個人信息時，應符合以下要求：

11

a）個人信息控制者作出委托行為，不應超出已征得個人信息主體授權同意的范圍或

應遵守本標準5.6所列情形；

b）個人信息控制者應對委托行為進行個人信息安全影響評估，確保受委托者達到本

標準10.4的數據安全能力要求；

c）受委托者應：

1）嚴格按照個人信息控制者的要求處理個人信息。受委托者因特殊原因未按

照個人信息控制者的要求處理個人信息的，應及時向個人信息控制者反饋；

2）受委托者確需再次委托時，應事先征得個人信息控制者的授權；

3）協助個人信息控制者響應個人信息主體基于本標準&1至8.6提出的請求；

4）受委托者在處理個人信息過程中無法提供足夠的安全保護水平或發生了

安全事件的，應及時向個人信息控制者反饋；

5）在委托關系解除時不再存儲相關個人信息。

d）個人信息控制者應對受委托者進行監督，方式包括但不限于：

1）通過合同等方式規定受委托者的責任和義務；

2）對受委托者進行審計。

e）個人信息控制者應準確記錄和存儲委托處理個人信息的情況；

f）個人信息控制者得知或者發現受委托者未按照委托要求處理個人信息，或未能有

效履行個人信息安全保護責任的，應立即要求受托者停止相關行為，且采取或要求

受委托者采取有效補救措施（例如更改口令、回收權限、斷開網絡連接等）控制或

消除個人信息面臨的安全風險。必要時個人信息控制者應終止與受委托者的業務

關系，并要求受委托者及時刪除從個人信息控制者獲得的個人信息。

9.2個人信息共享、轉讓

個人信息控制者共享、轉讓個人信息時，應充分重視風險。共享、轉讓個人信息、，非

因收購、兼并、重組、破產原因的，應符合以下要求：

a）事先開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的

措施；

b）向個人信息主體告知共享、轉讓個人信息的目的、數據接收方的類型以及可能產

生的后果，并事先征得個人信息主體的授權同意。共享、轉讓經去標識化處理的個

人信息，且確保數據接收方無法重新識別或者關聯個人信息主體的除外；

c）共享、轉讓個人敏感信息前，除9.2b）中告知的內容外，還應向個人信息主體

告知涉及的個人敏感信息類型、數據接收方的身份和數據安全能力，并事先征得個

人信息主體的明示同意；

d）通過合同等方式規定數據接收方的責任和義務：

e）準確記錄和存儲個人信息的共享、轉讓情況，包括共享、轉讓的日期、規模、

目的，以及數據接收方基本情況等；

f）個人信息控制者發現數據接收方違反法律法規要求或雙方約定處理個人信息的，

應立即要求數據接收方停止相關行為，且采取或要求數據接收方采取有效補救措

施（例如更改口令、回收權限、斷開網絡連接等）控制或消除個人信息面臨的

安全風險；必要時個人信息控制者應解除與數據接收方的業務關系，并要求數據

接收方及時刪除從個人信息控制者獲得的個人信息。

12

g）因共享、轉讓個人信息發生安全事件而對個人信息主體合法權益造成損害的，

個人信息控制者應承擔相應的責任；

h）幫助個人信息主體了解數據接收方對個人信息的存儲、使用等情況，以及個人信

息主體的權利，例如，訪問、更正、刪除、注銷賬戶等。

9.3收購、兼并、重組、破產時的個人信息轉讓

當個人信息控制者發生收購、兼并、重組、破產等變更時，個人信息控制者應：

a）向個人信息主體告知有關情況；

b）變更后的個人信息控制者應繼續履行原個人信息控制者的責任和義務，如變更個

人信息使用目的時，應重新取得個人信息主體的明示同意；

c）如破產且無承接方的，對數據做刪除處理。

9.4個人信息公開披露

個人信息原則上不應公開披露。個人信息控制者經法律授權或具備合理事由確需公開

披露時，應符合以下要求：

a）事先開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的

措施；

b）向個人信息主體告知公開披露個人信息的目的、類型，并事先征得個人信息主體

明示同意；

c）公開披露個人敏感信息前，除9.4b）中告知的內容外，還應向個人信息主體告

知涉及的個人敏感信息的內容；

d）準確記錄和存儲個人信息的公開披露的情況，包括公開披露的日期、規模、目的、

公開范圍等；

e）承擔因公開披露個人信息對個人信息主體合法權益造成損害的相應責任；

f）不應公開披露個人生物識別信息；

g）不應公開披露我國公民的種族、民族、政治觀點、宗教信仰等個人敏感數據的分

析結果。

9.5共享、轉讓、公開披露個人信息時事先征得授權同意的例外

以下情形中，個人信息控制者共享、轉讓、公開披露個人信息不必事先征得個人信息主

體的授權同意：

a）與個人信息控制者履行法律法規規定的義務相關的；

b）與國家安全、國防安全直接相關的；

c）與公共安全、公共衛生、重大公共利益直接相關的；