GB/T 35273-2020《信息安全技术 个人信息安全规范》

GB/T 35273-2020《信息安全技术 个人信息安全规范》 是中国国家标准化管理委员会（SAC）发布的一项重要标准，旨在规范个人信息处理活动，确保个人信息的安全性和隐私保护。该标准对人工智能、互联网、大数据等领域的企业和组织具有重要的指导意义。以下是该标准的详细解读：

1. 标准背景

随着信息技术的快速发展，个人信息的收集、存储和使用变得越来越普遍，尤其是在人工智能和大数据应用中。然而，个人信息泄露和滥用的风险也随之增加。为了规范个人信息处理活动，保护个人隐私，GB/T 35273-2020 应运而生。

2. 适用范围

该标准适用于各类组织（如企业、政府机构等）在处理个人信息时的安全保护工作，包括：

• 个人信息的收集、存储、使用、共享、转让和公开等环节。

• 涉及个人信息的信息系统设计、开发、运营和维护。

3. 主要内容

（1）个人信息安全的基本原则

• 合法性、正当性、必要性：个人信息的处理应当遵循合法、正当、必要的原则，不得超出收集目的范围。

• 最小化原则：仅收集与处理目的相关的最少个人信息。

• 公开透明：向个人信息主体明确告知处理目的、方式和范围。

• 安全保障：采取技术和管理措施，确保个人信息安全。

（2）个人信息生命周期安全要求

• 收集阶段：

• 明确告知个人信息主体收集的目的、方式和范围。

• 获得个人信息主体的同意（明示同意或授权）。

• 存储阶段：

• 对个人信息进行分类存储，并采取加密、去标识化等技术措施。

• 设置访问权限，防止未经授权的访问。

• 使用阶段：

• 仅在授权范围内使用个人信息。

• 定期对个人信息的使用情况进行审计。

• 共享与转让：

• 共享或转让个人信息时，需获得个人信息主体的授权。

• 对接收方的安全保障能力进行评估。

• 删除与销毁：

• 在达到处理目的后，及时删除或销毁个人信息。

（3）个人信息主体的权利

• 知情权：个人信息主体有权了解其个人信息被处理的情况。

• 同意权：个人信息主体有权同意或拒绝其个人信息被处理。

• 访问权：个人信息主体有权访问其个人信息。

• 更正权：个人信息主体有权更正不准确的个人信息。

• 删除权：在特定情况下，个人信息主体有权要求删除其个人信息。

（4）安全管理要求

• 组织管理：

• 设立个人信息保护负责人。

• 制定个人信息安全管理制度。

• 技术措施：

• 采用加密、匿名化、去标识化等技术保护个人信息。

• 定期进行安全风险评估和漏洞修复。

• 应急响应：

• 制定个人信息安全事件应急预案。

• 发生安全事件时，及时采取措施并通知相关方。

4. 与人工智能的关系

在人工智能领域，尤其是涉及用户数据的应用中（如智能推荐、人脸识别、语音助手等），GB/T 35273-2020 提供了重要的合规指导：

• 数据收集：AI 系统在收集用户数据时，需遵循最小化原则，并获得用户同意。

• 数据安全：AI 系统需采取加密、去标识化等技术，确保用户数据的安全存储和使用。

• 伦理与隐私：AI 系统的设计和开发需考虑用户隐私保护，避免滥用用户数据。

5. 实施意义

• 保护用户隐私：通过规范个人信息处理活动，减少数据泄露和滥用的风险。

• 促进企业合规：为企业提供了明确的操作指南，帮助其符合法律法规要求。

• 推动行业健康发展：为人工智能、大数据等新兴技术的应用提供了安全保障，促进技术创新与隐私保护的平衡。

总结

GB/T 35273-2020《信息安全技术 个人信息安全规范》是中国在个人信息保护领域的重要标准，为人工智能和其他技术应用中的个人信息处理提供了全面的安全要求。通过遵循该标准，企业可以更好地保护用户隐私，提升数据安全管理水平，同时推动行业的规范化发展。