《信息安全技术 个人信息安全规范》（2020年版） 国家标准正式发布

根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2020年第1号），由中国电子技术标准化研究院组织修订的《信息安全技术 个人信息安全规范》已于近日正式获批发布，实施时间为2020年10月1日，并替代GB/T 35273-2017版本国标。标准由全国信息安全标准化技术委员会（SAC/TC260）归口。相对于2017版标准，2020版标准进行了针对性修订。

（1）加强标准指导实践

2020版标准明确了数据安全责任人相关要求，规范了个人信息保护负责人的相应工作职责；规定了定向推送相关要求以及用户可以撤回的权利；提出了平台第三方接入责任相关要求，对第三方接入的监督管理责任进行细化。

（2）支撑APP安全认证

规范每条要求的检测评估点，便于认证工作根据标准要求逐条开展；对APP中涉及的核心功能、必要信息、必要权限等方面进行展开描述，提出清晰的要求并形成评估点，在标准条款中以APP为例进行解释说明，增强其指导性。

此次标准的修订发布，是为了进一步贯彻落实《中华人民共和国网络安全法》规定的个人信息收集、使用的“合法、正当、必要”基本原则，解决人民群众反映强烈的APP“强制索权、捆绑授权、过度索权、超范围收集”的问题。同时，针对当前APP运营管理的一些不合理现象，如告知目的不明确、注销账户难、滥用用户画像、无法关闭个性化推送信息、第三方接入缺乏有效管理、内部管理职责不明等问题，进一步梳理完善条款，指导组织使用标准完善个人信息保护体系。

修订后的标准，将进一步使标准契合我国相关法律法规的要求，增加标准指导实践的适用性，帮助提升行业和社会的个人信息保护水平，推动个人信息保护领域技术产品、咨询服务等方面产业化进一步发展，为我国信息化产业健康发展提供坚实保障。