| | |
3.1 个人信息 personal information | 3.1 个人信息 personal information | |
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。 | 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 | 征求意见稿中“个人信息”的定义与《个人信息保护法》第四条第一款保持一致。 |
注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 注2:关于个人信息的判定方法和类型参见附录A。 | |
注3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,例如,用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。 | 注3:个人信息处理者通过个人信息或其他信息加工处理后形成的信息,例如用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。 | 主体代称重要调整,原“个人信息控制者”调整为“个人信息处理者”。 |
3.2 个人敏感信息 sensitive personal information | 3.2 敏感个人信息 sensitive personal information | 名称由“个人敏感信息”改为“敏感个人信息”,与《个人信息保护法》等法律法规保持一致。 |
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。 | 一旦遭到泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。 | 征求意见稿中“敏感个人信息”的定义与《个人信息保护法》第二十八条第一款保持一致。 删除“歧视性待遇”表述,以“人格尊严”代替“个人名誉、身心健康”,保护范围实际有扩大。
|
注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。 | 注1:敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息和不满十四周岁未成年人的个人信息。 | 列举项目与《个人信息保护法》第二十八条第一款保持一致。 此处修订对“不满十四周岁未成年人的个人信息”有两处变化:一是不再使用“儿童”的概念,直接称未成年人,同时限定年龄:二是将“以下(含)”调整为“不满”,这意味着刚好满14周岁的未成年人,其个人信息按照征求意见稿,将不再被直接认定为敏感个人信息,这与《个人信息保护法》一致。 |
注2:关于个人敏感信息的判定方法和类型参见附录B。 | 注2:关于敏感个人信息的识别和界定可参考附录B以及GB/T 45574-2025。 | 对于敏感个人信息的识别和界定依据补充了《GB/T 45574-2025 数据安全技术 敏感个人信息处理安全要求》。 《GB/T 45574-2025》对敏感个人信息的识别与处理非常有针对性,且其正文及其附录A亦包含对敏感个人信息的大量列举,其中附录A为“规范性附录”,包含敏感个人信息清单。 |
注3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,如一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的,属于个人敏感信息。 | 注3:多项个人信息汇聚后达到定义条件的,应将汇聚后的个人信息整体按照敏感个人信息进行识别与保护。 | 整体予以调整,将原“加工”调整为“汇聚”。 原概念主要在“变化”,但“加工”目前已作为一种特殊的处理活动,如继续使用“加工”将可能导致此处范围被限缩。 |
3.3 个人信息主体 personal information subject | 3.3 个人信息主体 personal information subject | |
| | “标识”调整为“识别”,与定义保持一致,同时与“去标识”一词形成区分。 |
3.4 个人信息控制者 personal information controller | 3.4 个人信息处理者 personal information processor | |
| 在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。 | 落实“自主决定”与“他主决定”这一处理者判定标准。明确处理者的认定从“自主决定”来判断,与《网络数据安全管理条例》第六十二条第一款第(三)项“网络数据处理者”的定义思路一致。 |
注1:自然人因个人或者家庭事务处理个人信息的,相关自然人无需承担个人信息处理者的法定义务,但仍可依据实际处理活动判断其是否构成个人信息处理者并适用相应的安全要求。 注2:代表组织从事个人信息处理活动的个人不认定为个人信息处理者。 注3:应针对具体的个人信息处理活动确定所对应的个人信息处理者。产品或服务涉及多项个人信息处理活动的,产品或服务的提供者可能在部分处理活动中构成个人信息处理者,在其他处理活动中构成受托人。 注4:可以通过参与方约定、生效的规则等方式明确个人信息处理活动中的角色,在没有反面证据的情况下,可以按照约定和规则内容认定相关主体在个人信息处理活动中定性。 | 新增。 “注1”响应《个人信息保护法》第七十二条第一款规定的“自然人因个人或者家庭事务处理个人信息的,不适用本法。” |
| | |
获得个人信息的控制权的行为。 注1:包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为,以及通过共享、转让、搜集公开信息等间接获取个人信息等行为。 注2:如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集。例如,离线导航软件在终端获取个人信息主体位置信息后,如果不回传至软件提供者,则不属于个人信息主体位置信息的收集。 | 获得个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等直接采集行为,通过接收其他个人信息处理者提供、转移,或搜集已公开个人信息等间接获取个人信息。 | 定义吸收原版“注1”内容,区分“直接采集”与“间接获取”两种方式,同时将“自动采集”改为“直接采集”。 注中“共享、转让”改为“提供、转移”,系因3.12–3.13相关术语已调整。 删除注2,具体理由尚不明确。笔者理解,通过更新后的“控制权”认定标准即已经可以认定。 |
3.6 明示同意 explicit consent | | 征求意见稿将原“明示同意”“授权同意”整合为“同意”,此后新增“单独同意”,与《个人信息保护法》第十三条、第十四条的相关表述衔接。 原“消极的不作为”改为“自主行为推定”,示例不变。 |
个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。 注:肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。 | 个人信息主体对其个人信息进行自愿、明确作出授权的行为。 注1:包括通过积极行为作出授权(即明示同意),或者通过自主行为推定作出授权。 注2:明示同意指个人信息主体通过书面、口头等方式对其个人信息处理作出的肯定性授权动作,如个人主动勾选或主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。 注3:自主行为推定授权如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域等。 |
3.7 授权同意 authorized consent |
个人信息主体对其个人信息进行特定处理作出明确授权的行为。注:包括通过积极的行为作出授权(即明示同意),或者通过消极的不作为而作出授权(如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域)。 |
3.7 单独同意 separate consent | 新增。 响应《个人信息保护法》第二十三条、第二十九条等条文对“单独同意”的要求。 |
个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为,不包括一次性针对多种目的或方式的个人信息处理活动作出的同意。 注:单独同意的告知内容与取得同意的方式需与其他处理活动予以区分。 |
| |
通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。 注:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。 |
3.9 个人信息安全影响评估 personal information security impact assessment | 3.9 个人信息保护影响评估 personal information protection impact assessment | 名称由“个人信息安全影响评估”改为“个人信息保护影响评估”,与《个人信息保护法》第五十五条、第五十六条用语一致。 |
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。 | 针对个人信息处理活动,检验其是否合法合规,分析其对个人信息主体合法权益造成的侵害及相应的安全风险,以及评价保护个人信息的各项措施有效性的过程。 | “合法合规程度”改为“是否合法合规”,由程度判断转为“合规”或“不合规”的二元判断。 |
| | |
在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。 | 将个人信息从其存储的所有系统中去除,使其达到不可被检索、访问或恢复的状态。 | “在实现日常业务功能所涉及的系统中”扩展为“从其存储的所有系统中”。 对于删除的状态判定,除了“不可被检索、访问”之外,增加“或恢复”。 |
3.11 信息公开披露 public disclosure | | 名称由“信息公开披露”简化为“公开”,删除“披露”,与《个人信息保护法》用语一致。 |
| 向社会或不特定人群发布信息的行为。 注:在社交媒体平台中向非特定数量的个人发布信息的,即使发布者对可见范围设置了限制,若该信息的实际或潜在接收者数量较大且超出发布者的可控范围,宜参照本定义评估其公开属性。 | 定义不变,新增注释,针对社交媒体场景下的“非公开”发布行为提供判断指引。 |
3.12 转让 transfer of control | 3.12 转移 transfer of control | 名称由“转让”改为“转移”,与《个人信息保护法》用语一致,英文翻译不变。 |
将个人信息控制权由一个控制者向另一个控制者转移的过程。 | 将个人信息控制权由一个个人信息处理者向另一个个人信息处理者转移的过程。 | |
| | 将定义“共享”更新为“提供”,响应《个人信息保护法》第四条第二款中的处理活动列举,以及第二十三条对“提供”的特殊要求。 |
个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。 | 个人信息处理者向其他个人信息处理者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。 注:委托第三方处理个人信息的,不属于向其他个人信息处理者提供个人信息的行为。 | “控制者”改为“个人信息处理者”。 新增注释,明确“委托处理”不属于“提供”。 |
| | |
通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。 注:个人信息经匿名化处理后所得的信息不属于个人信息。 | 个人信息经过处理无法识别特定自然人且不能复原的过程。 | 定义简化,与个人信息定义做协调。 删除注“个人信息经匿名化处理后所得的信息不属于个人信息”,该结论已在3.1定义中体现。 |
3.15 去标识化 de-identification | 3.15 去标识化 de-identification | |
通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。 | 个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。 | “通过对个人信息的技术处理”改为“个人信息经过处理”,表述简化。 “无法识别或者关联个人信息主体”改为“无法识别特定自然人”,与3.14用语对齐。 |
注:去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。 | |
3.16 个性化展示 personalized display | |
基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。 |
3.17 业务功能 business function | 3.17 业务功能 business function | |
满足个人信息主体的具体使用需求的服务类型。 注:如地图导航、网络约车、即时通讯、网络社区、网络支付、新闻资讯、网上购物、快递配送、交通票务等。 | 满足个人信息主体的具体使用目的的功能。 注:常见的业务功能包括地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、快递配送、交通票务等。 | “需求的服务类型”改为“目的的功能”,定义从业务视角转向产品视角,衡量其实现何种功能,而非归入类型。 “网络社区”改为“社区社交”。 |
3.18 设备信息 device information | 新增。 回应行业实践需求。为终端类产品或服务的个人信息保护提供术语支持。 |
描述设备基本属性、唯一标识、运行状态的信息,包括设备制造商在生产阶段写入的硬件参数、序列号、唯一设备识别码。 |
3.19 统一账号 unified account | 新增。 针对实践中服务商为用户提供的“一账通”模式,一个账号可用于本公司及关联公司多项业务的情形,共用账号体系仍需保障个人信息主体权益。 此处配合8.6“统一账号体系的使用”。
|
同一集团下不同无股权关系的实体之间提供的统一账号体系,用户可使用统一账号访问相关联的所有产品。 示例:同一集团下设A、B、C三家无股权关系的公司,分别运营不同的产品和服务,通过一个账号可以登录和使用A、B、C三家公司运营的多款产品和服务。 |
3.20 委托处理 commissioned processing | |
个人信息处理者委托个人、组织按照约定的目的和方式开展的个人信息处理活动。 | 响应《个人信息保护法》第二十一条,补充旧版标准缺失的“委托处理”定义。 |