一文读懂GB/T 35273《个人信息安全规范(征求意见稿)》修订要点
一文读懂GB/T 35273《个人信息安全规范(征求意见稿)》修订要点
新版《规范》不仅全面衔接了近年来出台的法律法规及国家标准,而且针对生成式人工智能、大语言模型、统一账号体系、智能终端以及跨境数据处理等新兴场景新增了大量规则,进一步细化了个人信息处理的实践要求。尽管新版《规范》目前仍处于公开征求意见阶段,相关内容后续仍可能根据反馈意见进行调整,但是其修订方向具有较强的前瞻性和实践指导意义,值得企业提前关注。
本文结合征求意见稿,对新版《规范》的主要修订内容进行梳理,同时对企业提出行动建议。
一、术语定义与基本原则的调整
新版《规范》在术语层面进行了关键增补,并对基本原则进行了扩充:
调整“敏感个人信息”定义(见3.2):新版完全采纳《个人信息保护法》表述,明确敏感个人信息的识别和界定可参考附录B以及2025年新发布的国家标准GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》。
新增“单独同意”定义(见3.7):明确单独同意是针对特定处理活动的具体授权,不包括一次性针对多种目的的同意。单独同意的告知内容与取得同意的方式需与其他处理活动相区分。
新增“统一账号”定义(见3.19):同一集团下无股权关系的不同实体之间提供的统一账号体系,用户可使用统一账号访问相关联的所有产品。
原则增补(见第4章):新增了“保证质量原则”与“权利保障原则”,要求通过提醒、校验、核实等手段确保个人信息的真实性和准确性,并要求向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回同意、注销账号、投诉等方法。
二、新增“合法性基础”章节
新版《规范》强调了对合法性基础的识别和记录,要求建立合法性基础的“可核验、可追溯、可审计的证据链”(见5.1)。此外,新版《规范》基于《个人信息保护法》规定的个人信息处理合法性框架,进一步细化了适用各类合法性基础应满足的条件,例如:
对于“个人同意”(见5.2),默认同意、被动同意、以继续使用为条件强迫同意等均不应视为有效同意,同意的记录方式参照GB/T 42574-2023《个人信息处理中告知和同意的实施指南》;
对于“订立、履行合同所必需”(见5.3),仅限于实现合同核心目的所必需的处理,不得将个性化广告、用户画像等与合同履行无直接关联的处理纳入该合法性基础,应在处理活动记录中标注合同条款/要约要素与个人信息字段的对应关系;
对于“人力资源管理所必需”(见5.4),仅限于劳动用工、人力资源管理、劳动纪律管理、薪酬福利、绩效考核、劳动争议处理等管理目的所必需,且应以依法制定的劳动规章制度、依法签订的集体合同或劳动合同等为依据,并在处理活动记录中标明对应依据;
对于“已公开个人信息”(见5.8),明确应建立处理已公开个人信息清单,明确信息来源、获取时间、公开依据、限制条件、处理目的与范围、必要性评估与去标识化措施等,批量抓取或聚合使用前应开展个人信息保护影响评估,采取合理措施并设置个人权利响应通道。
三、前沿技术相关合规要求
新版《规范》在第6章和第8章中,针对当前热门技术领域新增了多项专项条款:
1. 人工智能类产品或服务的收集要求(见6.7):
a) 人脸、人声等生物识别信息编辑类深度合成功能应需显著提示并取得单独同意。
b) 使用个人信息进行预训练、优化训练等需显著告知处理目的、处理方式及影响范围,并取得同意(法律法规要求的,还应取得个人的单独同意)。
c) 人工智能产品调用第三方服务实现功能的,应根据业务模式准确识别数据提供、委托处理或共同处理等法律关系,明确各方责任。
2. 生成式人工智能的使用要求(见8.5.4):企业业务运营所使用的信息系统接入大语言模型或使用大语言模型提供服务的智能体处理个人信息,且可能会对个人信息主体权益重大影响活动的,应遵守:
a) 事先并定期开展个人信息保护影响评估(PIA)。
b) 建立健全输出内容审核及风险监测措施。
c) 建立便捷反馈渠道,收到请求应在15个工作日内完成核验及删除工作。
d) 宜建立识别和过滤机制,对训练数据中无授权或个人信息主体明确拒绝的个人信息进行识别和过滤,并能优化参数防止输出。
3. 终端类产品或服务的收集要求(见6.8):
a) 无用户交互界面或交互界面有限的终端产品(如智能监控摄像头、门锁、音箱、手表、手环等),应通过配套App、网页或用户手册等适当方式向用户显著展示个人信息处理规则;
b) 在公共场所安装图像采集设备的,应设置明显提示标识;
c) 在终端使用过程中收集的非必要个人信息,或者未依法取得用户同意收集的个人信息,应及时删除或者进行匿名化处理。
4. 统一账号体系的使用规范(见8.6):
a) 建立统一账号专项个人信息处理规则,告知统一账号关联的个人信息的种类、目的、处理方式等,统一账号间个人信息提供情况应明确标识或突出显示;
b) 单独产品的数据宜分开存储;
c) 为用户提供对单项产品数据的查询、复制、修改等响应能力或入口;
d) 用户有权注销单独产品的账号而不影响统一账号的其他数据;
e) 跨产品共享个人信息超出原处理目的或范围的,应重新取得同意;
f) 定期审查账号间个人信息共享情况。
四、保障个人信息主体权利
新版《规范》进一步细化了个人信息主体权利的响应标准:
缩短响应时限:对于更正请求、删除请求、账号注销请求以及各类权利响应(见9.7a),应在验证个人信息主体身份后的15个工作日内或法律法规规定的期限内做出答复及合理解释,并告知用户外部纠纷解决途径。
设置功能界面:直接在产品或服务提供的界面中设置专门的功能或选项,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账号等权利(见9.7b);
死者近亲属行使权利(见9.7.f):新增自然人死亡后,近亲属为了自身合法利益对死者个人信息行使查阅、复制等权利的规定,死者生前另有安排的除外,与《个人信息保护法》保持一致。
五、新增内部管理要求
第13章“组织的个人信息安全管理要求”进行了大幅扩充:
明确需任命“个人信息保护负责人”的情形(见13.1):被认定为大型网络平台、主要业务涉及个人信息处理且相关业务从业人员规模大于200人、处理超100万人的个人信息或10万人敏感信息的组织,必须设立个人信息保护负责人,同时对个人信息保护负责人的独立性及国籍限制等提出要求。
细化个人信息保护影响评估(见13.5):规定了业务模式、信息系统或运行环境发生重大变更等情况下需要开展评估,并明确了宜“委托第三方实施评估”的情形,包括处理1000万人个人信息、向第三方提供10万人个人信息、处理10万人敏感个人信息、处理1万人未成年人个人信息或向境外提供1万人个人信息等。
新增“合规审计”要求(见13.8):要求建立合规审计管理制度,并参照GB/T 46903-2025《数据安全技术 个人信息保护合规审计要求》开展定期审计。
个人信息处理活动记录(见13.4):明确如涉及处理敏感个人信息、进行自动化决策、委托处理个人信息、向第三方提供个人信息、向境外提供个人信息等情况,应建立并维护个人信息处理活动记录,记录应至少保存3年。
六、新增海外法律管辖判定与冲突处理
新版《规范》首次专设第11章,对跨境个人信息处理中的域外法律适用及法律冲突问题作出规定,主要包括:
管辖判定四要素(见11.1.1):建立了判断是否触发境外个人信息保护法律适用的分析框架,从属地联系(如处理环节发生地、本地实体或雇员、数据中心或云计算结算地域)、效果联系(如当地语种、币种、配送承诺等)、属人联系(如境外实体的设立与经营关联)以及行业专项规则(如金融、电信等领域的域外监管要求)四个维度综合判断法律适用。
法律冲突分层处置(见11.2):针对企业同时受到中国法与境外法律规制的情形,提出法律冲突识别与分层处置思路,明确了法律冲突的优先处理顺序,并提出可综合采取地域隔离与数据本地化、数据最小化及去标识化、差异化跨境传输机制、政府数据请求管理、第三方风险管理以及合规证据留存等措施,降低跨境数据处理中的法律冲突。
笔者点评
总体来看,新版《规范》的修订方向与《个人信息保护法》实施以来的立法、监管及执法实践保持一致,预计正式发布后仍将成为企业开展个人信息保护合规的重要参考依据。
从修订内容来看,新版《规范》主要呈现出四个趋势:一是由“原则合规”向“证据合规”转变,进一步细化个人信息处理合法性基础,并强化处理活动记录、影响评估、合规审计等可证明性要求;二是由传统互联网场景向新技术场景延伸,围绕生成式人工智能、大语言模型、智能体、统一账号体系及智能终端等新兴业务建立专项规则;三是由单项义务向体系化治理升级,进一步完善个人信息保护负责人、个人信息保护影响评估、合规审计、个人信息处理活动记录等内部治理机制;四是由境内合规向全球合规拓展,首次建立域外法律适用判断及法律冲突处理框架,为企业开展跨境数据合规提供实践指引。
可以预见,未来个人信息保护监管将更加注重企业的持续治理能力和体系化合规建设。建议企业密切关注新版《规范》的修订动态,结合新版《规范》的修订方向,提前完善人工智能、统一账号、跨境数据等重点业务场景的管理机制,持续优化个人信息保护管理体系。