信息安全技术 基于个人请求的个人信息转移要求标准文本.docx

《信息安全技术 基于个人请求的个人信息转移要求标准文本.docx》由会员分享，可在线阅读，更多相关《信息安全技术 基于个人请求的个人信息转移要求标准文本.docx（12页珍藏版）》请在优知文库上搜索。

1、ICS35.030CCS1.80中华人民共和国家标准GB/TXXXXX-XXXX数据安全技术基于个人请求的个人信息转移要求Datasecuritytechnology一Requirementsforpersonalinformationtransferbasedonrequestofpersonalinformationsubject（草案）（本稿完成时间：2024年4月1日）在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。XXXX-XX-XX发布XXXX-XX-XX实施国家市场监督管理总局国家标准化管理委员会1范围12规范性引用文件13术语和定义14缩略语25概述26个人信息转

2、移的适用范围37个人信息转移行使的条件48个人信息转移行使流程的一般性要求59个人信息转移的自动化处理要求810对代理人或代理机构的要求811不满十四周岁未成年人个人信息转移请求处理的要求812涉及第三方的个人信息转移请求处理的要求813涉及跨境提供的个人信息转移请求处理的要求814完全以个人信息主体为中心模式的个人信息转移要求915个人信息转入方（接收方）积极主动模式的要个人信息转移求916代理模式的个人信息转移要求9参考文献11,yz,a-刖百本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件由全国网络安全标准化技术委员会(SAC/TC2

3、60)提出并归口。本文件起草单位：北京理工大学等。本文件主要起草人：洪延青等。数据安全技术基于个人请求的个人信息转移要求1范围本文件规定了基于个人信息主体请求转移其个人信息的适用和行使的条件、可请求转移的个人信息范围，以及个人信息处理者在处理个人信息主体转移个人信息的请求时应遵守流程和要求。本文件适用于个人信息处理者响应个人信息主体转移信息请求的全流程，也可用于监管部门、第三方评估机构对基于个人请求而转移个人信息相关的处理活动所进行的监督、管理、评估参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件，仅该日期对应的版本适用于本文件；不注

4、日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GBZT250692022信息安全技术术语GB/T352732020信息安全技术个人信息安全规范3术语和定义GB/T250692022GBZT352732020界定的以及下列术语和定义适用于本文件。3. 1个人信息转移personalinformationtransfer个人信息主体请求处理其个人信息的个人信息处理者，将其所处理的个人信息转移至个人信息主体指定的其他个人信息处理者的过程。3.2衍生个人信息derivedpersonalinformation根据对个人信息的分析、计算、处理等方式得出的、与个人相关的新数据。注：这些数据可

5、能与原始数据不同，但仍然属于个人信息，并保留了与个人关联的特性。3.3请求人requester发起个人信息转移请求的主体。注：包括个人信息主体本人、个人信息主体的监护人及受个人信息主体委托发起转移请求的受托人。3.4结构化structured具备一定的规则、格式或模式，使得软件能够提取数据的特定元素的数据组织方式。注1：如在电子表格中，数据以行和列的方式表示。注2：结构化数据通常是由已定义好的架构、模板、字段等组成，其中每个数据元素都有特定的含义和类型，并严格遵循特定的格式、约定和标准，以便于被计算机等程序自动处理和解糅。3.5机器可读machine-readable可以由计算机软件应用程序自

6、动读取和处理的数据存储格式。4缩略语下列缩略语适用于本文件。CSV：字符分隔值(Comma-SeparatedValues)XM1.：可扩展标记语言(ExtensibleMarkup1.anguage)JSON：JaVaSCriPt对象表示法(JavaScriptObjectNotation)SFTP：安全的文件传输协议(SSHFileTransferProtocol)5概述个人信息转移过程中涉及到个人信息主体、个人信息处理者、转移个人信息接收者、转移请求代理等角色，基于各方在个人信息转移过程中的作用，将个人信息转移方式分为三种：完全以个人信息主体为中心的个人信息转移，个人信息接收方(转入方)

7、积极主动模式的个人信息转移以及代理模式的个人信息转移。5.1完全以个人信息主体为中心的个人信息转移图1完全以个人信息主体为中心的个人信息转移对于以个人信息主体为中心的个人信息转移，个人信息主体发起个人信息转移请求；个人信息处理者完成个人信息转移请求的验证，个人信息处理者将需要转移的个人信息提供给个人信息主体，个人信息主体接收基于个人同意的转移个人信息，并提供给转移个人信息接收者。如图1所示。5. 2个人信息接收方(转入方)积极主动模式的个人信息转移图2个人信息转入方（接收方）积极主动模式此模式中，接收个人信息处理者提前公开接收个人信息接口，或者个人信息处理者提前公开转移个人信息接口；个人信息主

8、体向转移个人信息接收者发起个人信息转移请求；转移个人信息接收者在收到个人信息处理者请求后，完成个人信息主体认证；在完成认证后，个人信息转移请求将由转移个人信息接收者发送给个人信息处理者，并同步转移个人信息主体验证信息；对于已经通过个人信息处理者验证的个人信息转移请求，个人信息处理者将需要转移的个人信息以机器可读的格式直接提供给转移个人信息接收者。如图2所示。5.3代理模式的个人信息转移图3代理模式的个人信息转移对于代理模式的个人信息转移，个人信息主体发起个人信息转移请求到代理机构；代理机构依据个人信息处理者、转移个人信息接收者的验证要求，收集个人信息主体相关信息。首先，代理机构按照个人信息主体

9、要求，将转移个人信息请求发送给个人信息处理者，并同步传递个人信息主体验证所需相关信息；个人信息处理者负责个人信息转移请求的验证，并将需要转移的个人信息以机器可读的格式提供给代理机构；代理机构随后将转移个人信息发送给个人信息主体指定的接收者，并同步传递个人信息主体验证所需相关信息；转移个人信息接收者在收到转移个人信息请求后，完成个人信息主体验证，并将验证结果明确告知代理机构。最后，代理机构将汇总个人信息转移处理过程中各个阶段信息并发送给个人信息主体。如图3所示。6个人信息转移的适用范围6.1 可请求转移的信息范围个人信息主体可请求转移的个人信息包括：a）个人信息主体在知情的情况下主动提供的个人信

10、息（例如姓名、性别、年龄、邮编等）；b）个人信息主体因使用产品或服务而被观察和收集的信息（例如因使用地图应用程序而提供的个人位置信息等、使用物联网设备直接采集到的信息如心率数据等）。注：个人信息转移不适用于个人信息处理者对上述两类个人信息开展处理而形成的衍生个人信息，以及匿名化处理后的信息。6.2 可请求转移的主体要求仅个人信息主体可请求转移其个人信息，特殊情况包括：a）不满14周岁的未成年人享有个人信息转移的权利，但其个人信息的转移应取得未成年人的父母或者其他监护人的同意；注：第U章提出了关于未成年人个人信息转移行使的具体要求。b）死者个人信息原则上不属于个人信息转移的适用范围，但死者生前另

11、有安排或法律另有规定的除外。7个人信息转移行使的条件71一般性要求个人信息主体要求个人信息处理者响应其转移个人信息的请求，应同时满足7.27.5的要求。7）合法性要求合法性要求包括：a）请求转移的个人信息应是基于同意或者订立、履行合同所必需而处理的个人信息；b）对于按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需而处理的个人信息，个人信息转移的行使通常仅限于以个人信息主体为一方当事人所订立、履行合同所必需而处理的个人信息。注：基于以下合法性基础处理的个人信息不适用个人信息转移请求：一是为履行法定职责或者法定义务所必需；二是为公共利益实施新闻报道、舆论监督等行为，在合理的范围

12、内处理个人信息；三是依照个人信息保护法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。7?以电子方式记录的要求个人信息转移权利的行使仅限于以电子方式记录的个人信息。7d不损害他人合法权益的要求当个人信息主体请求转移的信息包括他人信息时，个人信息处理者应：a）核验他人信息是请求人合法获得的，且不违背他人意愿；b）明确他人信息是请求人有法定权利处理的；c）要求个人信息转移的请求目的仅限于私人或家庭活动需要；d）拒绝响应请求人的转移请求，当其知晓个人信息转移的行使将损害他人合法权益；注1:8.4.2规定了个人信息处理者拒绝个人信息转移请求时应遵守的具体要求。e）原则上告知他人并取得

13、其同意，除非征求他人的同意不具有技术可行性。注2：个人信息处理者拒绝转移他人个人信息时，应保留相应记录，并向请求人说明拒绝的原因。74请求的合理性要求请求转移个人信息应在合理的限度之内。具体要求包括：a）个人信息主体应指定与个人信息处理者签订个人信息转移协议的主体作为个人信息接收方；注：如个人信息主体所指定的个人信息接收方尚未与个人信息处理者签订个人信息转移协议，则个人信息主体可以请求个人信息处理者与个人信息接收方签订个人信息转移协议。如因个人信息转移协议无法签订导致个人信息无法转移的，个人信息处理者应说明理由和原因。b）个人信息主体请求转移个人信息的频次应在合理时间间隔内。个人信息处理者可根

14、据以下因素评估时间间隔的合理性：1）个人信息更改的频率；2）个人信息的性质；3）个人信息处理的目的；4）后续的请求是否与之前的请求涉及相同类型的个人信息或处理活动。c）个人信息处理者可以拒绝明显没有根据或者过分的请求，但应对基本事实进行记录，并告知个人信息主体。注：8.4.2规定了个人信息处理者拒绝个人信息转移请求时应遵守的具体要求。8个人信息转移行使流程的一般性要求8.1基本流程图4个人信息转移基本流程个人信息转移请求行使的基本流程主要包含请求发起、请求验证、请求处理、个人信息导出以及转移的个人信息导入五个步骤，各步骤及转移个人信息的格式应满足8.28.7要求。8.2请求的发起个人信息处理者

15、应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知行使个人信息转移请求的方式和程序，并为个人信息主体提供便捷的发起请求的途径。具体发起方式包括：a）通过在线或书面等提出个人信息转移的请求；b）委托第三方（如亲属、朋友、代理机构等）代表其提出个人信息转移的请求，个人信息处理者应确认请求的有效性，例如核验第三方所提供证明的真实性。8.3请求的验证个人信息处理者应对请求人的请求进行验证，包括对请求者身份验证、请求内容、请求频次、第三方身份及授权证明有效性等。验证要求包括：a）个人信息处理者应实施个人信息主体的身份认证程序，以确定个人信息转移请求的真实性，并确保处理个人信息转移请求的整个过程的安全性；b）个人信息主体身份认证要求提供信息应是合理、符合比例的，并遵循最小必要原则；0当确对请求人的身份有合理疑问时，个人信息处理者可以要求请求人提供额外信息。但该额外信息应仅限于确认其身份所必需的信息，且不超过个人信息主体使用或注册时提供的信息。d）对于第三方提出的个人信息转移请求，个人信息处理者可以要求其提供适当的受