按照國家標準化管理委員會2017年第32 號中國國家標準公告，全國信息安全標準化技術委員會組織制定和歸口管理的國家標準GB/T 35273-2017《信息安全技術個人信息安全規范》于2017年12月29日正式發布，將于2018年5月1日實施。

   本文重點提煉個人信息的保存、個人信息安處理以及組織的管理要求等方面內容，解讀國家標準GB/T 35273-2017《信息安全技術個人信息安全規范》。

  一、《信息安全技術個人信息安全規范》第六點“個人信息的保存”，對個人信息控制者對個人信息的保存提出具體要求，包括以下內容：

  6.1 個人信息保存時間最小化

  對個人信息控制者的要求包括：

  a) 個人信息保存期限應為實現目的所必需的最短時間 ;

   b) 超出上述個人信息保存期限后，應對個人信息進行刪除或匿名化處理。

  6.2 去標識化處理

   收集個人信息后，個人信息控制者宜立即進行去標識化處理 ，并采取技術和管理方面的措施，將去標識化后的數據與可用于恢復識別個人的信息分開存儲，并確保在后續的個人信息處理中不重新識別個人。

  6.3 個人敏感信息的傳輸和存儲

  對個人信息控制者的要求包括：

  a) 傳輸和存儲個人敏感信息時，應采用加密等安全措施 ;

   b) 存儲個人生物識別信息時，應采用技術措施處理后再進行存儲，例如僅存儲個人生 物識別信息的摘要。

  6.4 個人信息控制者停止運營

  當個人信息控制者停止運營其產品或服務時，應：

  a) 及時停止繼續收集個人信息的活動;

  b) 將停止運營的通知以逐一送達或公告的形式通知個人信息主體 ;

  c) 對其所持有的個人信息進行刪除或匿名化處理。

  二、《信息安全技術個人信息安全規范》第九點

   “個人信息安全事件處置”，對個人信息控制者處理個人信息安全事件的方式方法提出具體要求，包括以下內容：

  9.1 安全事件應急處置和報告

  對個人信息控制者的要求包括：

  a) 應制定個人信息安全事件應急預案 ;

   b) 應定期 (至少每年一次 )組織內部相關人員進行應急響應培訓和應急演練，使其掌握崗位職責和應急處置策略和規程;

   c) 發生個人信息安全事件后，個人信息控制者應根據應急響應預案進行以下處置：

   1) 記錄事件內容，包括但不限于：發現事件的人員、時間、地點，涉及的個人信息及人數，發生事件的系統名稱，對其他互聯系統的影響，是否已聯系執法機關或有關部門;

  2) 評估事件可能造成的影響，并采取必要措施控制事態，消除隱患;

   3) 按《國家網絡安全事件應急預案》的有關規定及時上報，報告內容包括但不限于：涉及個人信息主體的類型、數量、內容、性質等總體情況，事件可能造成的影響，已采取或將要采取的處置措施，事件處置相關人員的聯系方式;

  4) 按照本標準 9.2 的要求實施安全事件的告知。

   d) 根據相關法律法規變化情況，以及事件處置情況，及時更新應急預案。

  9.2 安全事件告知

  對個人信息控制者的要求包括：

   a) 應及時將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的個人信息主體。難以逐一告知個人信息主體時，應采取合理、 有效的方式發布與公眾有關的警示信息;

  b) 告知內容應包括但不限于：

  1) 安全事件的內容和影響;

  2) 已采取或將要采取的處置措施;

  3) 個人信息主體自主防范和降低風險的建議;

  4) 針對個人信息主體提供的補救措施;

  5) 個人信息保護負責人和個人信息保護工作機構的聯系方式。

  三、《信息安全技術個人信息安全規范》第十點“組織的管理要求”，對個人信息控制者組織管理提出具體要求，包括以下內容：

  10.1 明確責任部門與人員

  對個人信息控制者的要求包括：

   a) 應明確其法定代表人或主要負責人對個人信息安全負全面領導責任 ，包括為個人信息安全工作提供人力、財力、物力保障等;

  b) 應任命個人信息保護負責人和個人信息保護工作機構;

   c) 滿足以下條件之一的組織，應設立專職的個人信息保護負責人和個人信息保護工作機構，負責個人信息安全工作：

  1) 主要業務涉及個人信息處理 ，且從業人員規模大于200 人;

   2) 處理超過50 萬人的個人信息，或在12個月內預計處理超過50萬人的個人信息。

   d) 個人信息保護負責人和個人信息保護工作機構應履行的職責包括但不限于：

   1) 全面統籌實施組織內部的個人信息安全工作，對個人信息安全負直接責任;

  2) 制定、簽發、實施、定期更新隱私政策和相關規程;

   3) 應建立、維護和更新組織所持有的個人信息清單(包括個人信息的類型、數量、來源、接收方等 )和授權訪問策略;

  4) 開展個人信息安全影響評估;

  5) 組織開展個人信息安全培訓;

   6) 在產品或服務上線發布前進行檢測，避免未知的個人信息收集、使用、共享等處理行為 ;

  7) 進行安全審計。

  10.3 數據安全能力

   個人信息控制者應根據有關國家標準的要求，建立適當的數據安全能力，落實必要的管理和技術措施，防止個人信息的泄漏、損毀、丟失。

  10.5 安全審計

  對個人信息控制者的要求包括：

  a) 應對隱私政策和相關規程，以及安全措施的有效性進行審計;

  b) 應建立自動化審計系統，監測記錄個人信息處理活動;

   c) 審計過程形成的記錄應能對安全事件的處置、應急響應和事后調查提供支撐;

  d) 應防止非授權訪問、篡改或刪除審計記錄;

  e) 應及時處理審計過程中發現的個人信息違規使用、濫用等情況。