GBT35273-2017 個(gè)人信息的委托處理、共享、轉(zhuǎn)讓、公開(kāi)披露
發(fā)布時(shí)間:2025-07-20 點(diǎn)擊:21
1. 委托處理
GBT35273-2017標(biāo)準(zhǔn)規(guī)定委托處理個(gè)人信息時(shí),應(yīng)遵守以下要求:
a) 個(gè)人信息控制者作出委托行為,不得超出已征得個(gè)人信息主體授權(quán)同意的范圍或遵守本標(biāo)準(zhǔn)5.4規(guī)定的情形;
b) 個(gè)人信息控制者應(yīng)對(duì)委托行為進(jìn)行個(gè)人信息安全影響評(píng)估,確保受委托者具備足夠的數(shù)據(jù)安全能力,提供了足夠的安全保護(hù)水平;
c) 受委托者應(yīng):
1) 嚴(yán)格按照個(gè)人信息控制者的要求處理個(gè)人信息。如受委托者因特殊原因未 按照個(gè)人信息控制者的要求處理個(gè)人信息,應(yīng)及時(shí)向個(gè)人信息控制者反饋;
2) 如受委托者確需再次委托時(shí),應(yīng)事先征得個(gè)人信息控制者的授權(quán);
3) 協(xié)助個(gè)人信息控制者響應(yīng)個(gè)人信息主體基于本標(biāo)準(zhǔn)7.4至7.10提出的請(qǐng)求;
4) 如受委托者在處理個(gè)人信息過(guò)程中無(wú)法提供足夠的安全保護(hù)水平或發(fā)生了安全事件,應(yīng)及時(shí)向個(gè)人信息控制者反饋;
5) 在委托關(guān)系解除時(shí)不再保存?zhèn)€人信息。
d) 個(gè)人信息控制者應(yīng)對(duì)受委托者進(jìn)行監(jiān)督,方式包括但不限于:
1) 通過(guò)合同等方式規(guī)定受委托者的責(zé)任和義務(wù);
2) 對(duì)受委托者進(jìn)行審計(jì)。
e) 個(gè)人信息控制者應(yīng)準(zhǔn)確記錄和保存委托處理個(gè)人信息的情況。
2. 個(gè)人信息共享、轉(zhuǎn)讓
GBT35273-2017標(biāo)準(zhǔn)規(guī)定個(gè)人信息原則上不得共享、轉(zhuǎn)讓。個(gè)人信息控制者確需共享、轉(zhuǎn)讓時(shí),應(yīng)充分重視風(fēng)險(xiǎn)。共享、轉(zhuǎn)讓個(gè)人信息,非因收購(gòu)、兼并、重組原因的,應(yīng)遵守以下要求:
a) 事先開(kāi)展個(gè)人信息安全影響評(píng)估,并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施;
b) 向個(gè)人信息主體告知共享、轉(zhuǎn)讓個(gè)人信息的目的、數(shù)據(jù)接收方的類型,并事先征得個(gè)人信息主體的授權(quán)同意。共享、轉(zhuǎn)讓經(jīng)去標(biāo)識(shí)化處理的個(gè)人信息,且確保數(shù)據(jù)接收方無(wú)法重新識(shí)別個(gè)人信息主體的除外;
c) 共享、轉(zhuǎn)讓個(gè)人敏感信息前,除2 b)中告知的內(nèi)容外,還應(yīng)向個(gè)人信息主體告知涉及的個(gè)人敏感信息的類型、數(shù)據(jù)接收方的身份和數(shù)據(jù)安全能力,并事先征得個(gè)人信息主體的明示同意;
d) 準(zhǔn)確記錄和保存?zhèn)€人信息的共享、轉(zhuǎn)讓的情況,包括共享、轉(zhuǎn)讓的日期、規(guī)模、目的,以及數(shù)據(jù)接收方基本情況等;
e) 承擔(dān)因共享、轉(zhuǎn)讓個(gè)人信息對(duì)個(gè)人信息主體合法權(quán)益造成損害的相應(yīng)責(zé)任;
f) 幫助個(gè)人信息主體了解數(shù)據(jù)接收方對(duì)個(gè)人信息的保存、使用等情況,以及個(gè)人信息主體的權(quán)利,例如,訪問(wèn)、更正、刪除、注銷賬戶等。
3. 收購(gòu)、兼并、重組時(shí)的個(gè)人信息轉(zhuǎn)讓
GBT35273-2017標(biāo)準(zhǔn)規(guī)定當(dāng)個(gè)人信息控制者發(fā)生收購(gòu)、兼并、重組等變更時(shí),個(gè)人信息控制者應(yīng):
a) 向個(gè)人信息主體告知有關(guān)情況;
b) 變更后的個(gè)人信息控制者應(yīng)繼續(xù)履行原個(gè)人信息控制者的責(zé)任和義務(wù),如變更個(gè)人信息使用目的時(shí),應(yīng)重新取得個(gè)人信息主體的明示同意。
4. 個(gè)人信息公開(kāi)披露
GBT35273-2017標(biāo)準(zhǔn)規(guī)定個(gè)人信息原則上不得公開(kāi)披露。個(gè)人信息控制者經(jīng)法律授權(quán)或具備合理事由確需公開(kāi)披露時(shí),應(yīng)充分重視風(fēng)險(xiǎn),遵守以下要求:
a) 事先開(kāi)展個(gè)人信息安全影響評(píng)估,并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施;
b) 向個(gè)人信息主體告知公開(kāi)披露個(gè)人信息的目的、類型,并事先征得個(gè)人信息主體明示同意;
c) 公開(kāi)披露個(gè)人敏感信息前,除4 b)中告知的內(nèi)容外,還應(yīng)向個(gè)人信息主體告知涉及的個(gè)人敏感信息的內(nèi)容;
d) 準(zhǔn)確記錄和保存?zhèn)€人信息的公開(kāi)披露的情況,包括公開(kāi)披露的日期、規(guī)模、目的、公開(kāi)范圍等;
e) 承擔(dān)因公開(kāi)披露個(gè)人信息對(duì)個(gè)人信息主體合法權(quán)益造成損害的相應(yīng)責(zé)任;
f) 不得公開(kāi)披露個(gè)人生物識(shí)別信息。
5. 共享、轉(zhuǎn)讓、公開(kāi)披露個(gè)人信息時(shí)事先征得授權(quán)同意的例外
GBT35273-2017標(biāo)準(zhǔn)規(guī)定以下情形中,個(gè)人信息控制者共享、轉(zhuǎn)讓、公開(kāi)披露個(gè)人信息無(wú)需事先征得個(gè)人信息主體的授權(quán)同意:
a) 與國(guó)家安全、國(guó)防安全直接相關(guān)的;
b) 與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的;
c) 與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的;
d) 出于維護(hù)個(gè)人信息主體或其他個(gè)人的生命、財(cái)產(chǎn)等重大合法權(quán)益但又很難得到本人同意的;
e) 個(gè)人信息主體自行向社會(huì)公眾公開(kāi)的個(gè)人信息;
f) 從合法公開(kāi)披露的信息中收集個(gè)人信息的,如合法的新聞報(bào)道、政府信息公開(kāi)等渠道。
6. 共同個(gè)人信息控制者
GBT35273-2017標(biāo)準(zhǔn)規(guī)定當(dāng)個(gè)人信息控制者與第三方為共同個(gè)人信息控制者時(shí)(例如服務(wù)平臺(tái)與平臺(tái)上的簽約商家),個(gè)人信息控制者應(yīng)通過(guò)合同等形式與第三方共同確定應(yīng)滿足的個(gè)人信息安全要求,以及在個(gè)人信息安全方面自身和第三方應(yīng)分別承擔(dān)的責(zé)任和義務(wù),并向個(gè)人信息主體明確告知。
注:個(gè)人信息控制者在提供產(chǎn)品或服務(wù)的過(guò)程中部署了收集個(gè)人信息的第三方插件(例如網(wǎng)站經(jīng)營(yíng)者與在其網(wǎng)頁(yè)或應(yīng)用程序中部署統(tǒng)計(jì)分析工具、軟件開(kāi)發(fā)工具包 SDK、調(diào)用地圖 API 接口),且該第三方并未單獨(dú)向個(gè)人信息主體征得收集、使用個(gè)人信息的授權(quán)同意,則個(gè)人信息控制者與該第三方為共同個(gè)人信息控制者。
7. 個(gè)人信息跨境傳輸要求
在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息向境外提供的,個(gè)人信息控制者應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法和相關(guān)標(biāo)準(zhǔn)進(jìn)行安全評(píng)估,并符合其要求。
ISO17025實(shí)驗(yàn)室認(rèn)可準(zhǔn)則
分享如何避免企業(yè)的ISO9001認(rèn)證只走形式?
知識(shí)產(chǎn)權(quán)貫標(biāo)認(rèn)證需要多長(zhǎng)時(shí)間
發(fā)明專利申請(qǐng)流程費(fèi)用標(biāo)準(zhǔn)審查時(shí)間審查流程
ISO14001認(rèn)證機(jī)構(gòu)是不是越松越好
什么是iso14001認(rèn)證 做這個(gè)對(duì)企業(yè)有啥好處嗎
【iso體系認(rèn)證技術(shù)】iso體系認(rèn)證的好處
傳媒公司是否有注冊(cè)商標(biāo)的必要?
GBT35273-2017標(biāo)準(zhǔn)規(guī)定委托處理個(gè)人信息時(shí),應(yīng)遵守以下要求:
a) 個(gè)人信息控制者作出委托行為,不得超出已征得個(gè)人信息主體授權(quán)同意的范圍或遵守本標(biāo)準(zhǔn)5.4規(guī)定的情形;
b) 個(gè)人信息控制者應(yīng)對(duì)委托行為進(jìn)行個(gè)人信息安全影響評(píng)估,確保受委托者具備足夠的數(shù)據(jù)安全能力,提供了足夠的安全保護(hù)水平;
c) 受委托者應(yīng):
1) 嚴(yán)格按照個(gè)人信息控制者的要求處理個(gè)人信息。如受委托者因特殊原因未 按照個(gè)人信息控制者的要求處理個(gè)人信息,應(yīng)及時(shí)向個(gè)人信息控制者反饋;
2) 如受委托者確需再次委托時(shí),應(yīng)事先征得個(gè)人信息控制者的授權(quán);
3) 協(xié)助個(gè)人信息控制者響應(yīng)個(gè)人信息主體基于本標(biāo)準(zhǔn)7.4至7.10提出的請(qǐng)求;
4) 如受委托者在處理個(gè)人信息過(guò)程中無(wú)法提供足夠的安全保護(hù)水平或發(fā)生了安全事件,應(yīng)及時(shí)向個(gè)人信息控制者反饋;
5) 在委托關(guān)系解除時(shí)不再保存?zhèn)€人信息。
d) 個(gè)人信息控制者應(yīng)對(duì)受委托者進(jìn)行監(jiān)督,方式包括但不限于:
1) 通過(guò)合同等方式規(guī)定受委托者的責(zé)任和義務(wù);
2) 對(duì)受委托者進(jìn)行審計(jì)。
e) 個(gè)人信息控制者應(yīng)準(zhǔn)確記錄和保存委托處理個(gè)人信息的情況。
2. 個(gè)人信息共享、轉(zhuǎn)讓
GBT35273-2017標(biāo)準(zhǔn)規(guī)定個(gè)人信息原則上不得共享、轉(zhuǎn)讓。個(gè)人信息控制者確需共享、轉(zhuǎn)讓時(shí),應(yīng)充分重視風(fēng)險(xiǎn)。共享、轉(zhuǎn)讓個(gè)人信息,非因收購(gòu)、兼并、重組原因的,應(yīng)遵守以下要求:
a) 事先開(kāi)展個(gè)人信息安全影響評(píng)估,并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施;
b) 向個(gè)人信息主體告知共享、轉(zhuǎn)讓個(gè)人信息的目的、數(shù)據(jù)接收方的類型,并事先征得個(gè)人信息主體的授權(quán)同意。共享、轉(zhuǎn)讓經(jīng)去標(biāo)識(shí)化處理的個(gè)人信息,且確保數(shù)據(jù)接收方無(wú)法重新識(shí)別個(gè)人信息主體的除外;
c) 共享、轉(zhuǎn)讓個(gè)人敏感信息前,除2 b)中告知的內(nèi)容外,還應(yīng)向個(gè)人信息主體告知涉及的個(gè)人敏感信息的類型、數(shù)據(jù)接收方的身份和數(shù)據(jù)安全能力,并事先征得個(gè)人信息主體的明示同意;
d) 準(zhǔn)確記錄和保存?zhèn)€人信息的共享、轉(zhuǎn)讓的情況,包括共享、轉(zhuǎn)讓的日期、規(guī)模、目的,以及數(shù)據(jù)接收方基本情況等;
e) 承擔(dān)因共享、轉(zhuǎn)讓個(gè)人信息對(duì)個(gè)人信息主體合法權(quán)益造成損害的相應(yīng)責(zé)任;
f) 幫助個(gè)人信息主體了解數(shù)據(jù)接收方對(duì)個(gè)人信息的保存、使用等情況,以及個(gè)人信息主體的權(quán)利,例如,訪問(wèn)、更正、刪除、注銷賬戶等。
3. 收購(gòu)、兼并、重組時(shí)的個(gè)人信息轉(zhuǎn)讓
GBT35273-2017標(biāo)準(zhǔn)規(guī)定當(dāng)個(gè)人信息控制者發(fā)生收購(gòu)、兼并、重組等變更時(shí),個(gè)人信息控制者應(yīng):
a) 向個(gè)人信息主體告知有關(guān)情況;
b) 變更后的個(gè)人信息控制者應(yīng)繼續(xù)履行原個(gè)人信息控制者的責(zé)任和義務(wù),如變更個(gè)人信息使用目的時(shí),應(yīng)重新取得個(gè)人信息主體的明示同意。
4. 個(gè)人信息公開(kāi)披露
GBT35273-2017標(biāo)準(zhǔn)規(guī)定個(gè)人信息原則上不得公開(kāi)披露。個(gè)人信息控制者經(jīng)法律授權(quán)或具備合理事由確需公開(kāi)披露時(shí),應(yīng)充分重視風(fēng)險(xiǎn),遵守以下要求:
a) 事先開(kāi)展個(gè)人信息安全影響評(píng)估,并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施;
b) 向個(gè)人信息主體告知公開(kāi)披露個(gè)人信息的目的、類型,并事先征得個(gè)人信息主體明示同意;
c) 公開(kāi)披露個(gè)人敏感信息前,除4 b)中告知的內(nèi)容外,還應(yīng)向個(gè)人信息主體告知涉及的個(gè)人敏感信息的內(nèi)容;
d) 準(zhǔn)確記錄和保存?zhèn)€人信息的公開(kāi)披露的情況,包括公開(kāi)披露的日期、規(guī)模、目的、公開(kāi)范圍等;
e) 承擔(dān)因公開(kāi)披露個(gè)人信息對(duì)個(gè)人信息主體合法權(quán)益造成損害的相應(yīng)責(zé)任;
f) 不得公開(kāi)披露個(gè)人生物識(shí)別信息。
5. 共享、轉(zhuǎn)讓、公開(kāi)披露個(gè)人信息時(shí)事先征得授權(quán)同意的例外
GBT35273-2017標(biāo)準(zhǔn)規(guī)定以下情形中,個(gè)人信息控制者共享、轉(zhuǎn)讓、公開(kāi)披露個(gè)人信息無(wú)需事先征得個(gè)人信息主體的授權(quán)同意:
a) 與國(guó)家安全、國(guó)防安全直接相關(guān)的;
b) 與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的;
c) 與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的;
d) 出于維護(hù)個(gè)人信息主體或其他個(gè)人的生命、財(cái)產(chǎn)等重大合法權(quán)益但又很難得到本人同意的;
e) 個(gè)人信息主體自行向社會(huì)公眾公開(kāi)的個(gè)人信息;
f) 從合法公開(kāi)披露的信息中收集個(gè)人信息的,如合法的新聞報(bào)道、政府信息公開(kāi)等渠道。
6. 共同個(gè)人信息控制者
GBT35273-2017標(biāo)準(zhǔn)規(guī)定當(dāng)個(gè)人信息控制者與第三方為共同個(gè)人信息控制者時(shí)(例如服務(wù)平臺(tái)與平臺(tái)上的簽約商家),個(gè)人信息控制者應(yīng)通過(guò)合同等形式與第三方共同確定應(yīng)滿足的個(gè)人信息安全要求,以及在個(gè)人信息安全方面自身和第三方應(yīng)分別承擔(dān)的責(zé)任和義務(wù),并向個(gè)人信息主體明確告知。
注:個(gè)人信息控制者在提供產(chǎn)品或服務(wù)的過(guò)程中部署了收集個(gè)人信息的第三方插件(例如網(wǎng)站經(jīng)營(yíng)者與在其網(wǎng)頁(yè)或應(yīng)用程序中部署統(tǒng)計(jì)分析工具、軟件開(kāi)發(fā)工具包 SDK、調(diào)用地圖 API 接口),且該第三方并未單獨(dú)向個(gè)人信息主體征得收集、使用個(gè)人信息的授權(quán)同意,則個(gè)人信息控制者與該第三方為共同個(gè)人信息控制者。
7. 個(gè)人信息跨境傳輸要求
在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息向境外提供的,個(gè)人信息控制者應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法和相關(guān)標(biāo)準(zhǔn)進(jìn)行安全評(píng)估,并符合其要求。
ISO17025實(shí)驗(yàn)室認(rèn)可準(zhǔn)則
分享如何避免企業(yè)的ISO9001認(rèn)證只走形式?
知識(shí)產(chǎn)權(quán)貫標(biāo)認(rèn)證需要多長(zhǎng)時(shí)間
發(fā)明專利申請(qǐng)流程費(fèi)用標(biāo)準(zhǔn)審查時(shí)間審查流程
ISO14001認(rèn)證機(jī)構(gòu)是不是越松越好
什么是iso14001認(rèn)證 做這個(gè)對(duì)企業(yè)有啥好處嗎
【iso體系認(rèn)證技術(shù)】iso體系認(rèn)證的好處
傳媒公司是否有注冊(cè)商標(biāo)的必要?