國家市場監督管理總局、國家標準化管理委員會正式發布國家標準《信息安全技術個人信息安全規範》（下稱《規範》），並定於2020 年10 月1 日實施。

《規範》對個人信息收集、儲存、使用做出了明確規定，並規定了個人信息主體具有查詢、更正、刪除、撤回授權、註銷賬戶、獲取個人信息副本等權力。

與2017 年的版本 相比，這次的變化主要有三個方面：

一、增加了“多項業務功能的自主選擇”、“用戶畫像的使用限制”、“個性化展示的使用”、“基於不同業務目所收集個人信息的匯聚融合”、“第三方接入管理”、“個人信息安全工程”、“個人信息處理活動記錄”等內容。

《規範》在附錄C 中推薦App 區分基本業務功能和擴展業務功能：

a：應根據個人信息主體選擇、使用所提供產品或服務的根本期待和最主要的需求，劃定產品或服務的基本業務功能；

b：不應將改善服務質量、提升個人信息主體體驗、研發新產品單獨作為基本業務功能；

c：將產品或服務所提供的基本業務功能之外的其他功能，劃定為擴展業務功能。

具體如何獲得用戶同意？《規範》建議，應通過如彈窗、文字說明、填寫框、提示條、提示音等形式進行提示，並且要讓用戶主動做出肯定性的動作，比如勾選、點擊“同意”或“下一步”。

此外，擴展的業務功能，應允許個人信息主體逐項選擇同意。用戶不同意的，個人信息控制者不得反复徵求用戶同意，除非用戶主動選擇開啟擴展功能，且不應拒絕提供基本業務功能或降低基本業務功能的服務質量。

同時，《規範》還要求，App 在提供業務功能的過程中使用個性化展示的，應顯著區分個性化展示的內容和非個性化展示的內容，比如標明“定推”字樣。同時，App 應提供不針對用戶特徵的選項。《規範》還建議，App 向用戶提供個性化展示的，宜建立用戶對個人信息（如標籤、畫像維度）的自主控制機制，保障用戶調控個性化展示相關程度的能力。

二、修改了“徵得授權同意的例外”、“個人信息主體註銷賬戶”、“明確責任部門與人員”、“實現個人信息主體自主意願的方法”等內容。

在徵得授權同意的例外中，《規範》明確，隱私政策的主要功能為公開個人信息控制者收集、使用個人信息範圍和規則，不應將其視為根據個人信息主體要求籤訂和履行的合同。

三、針對個人生物識別信息方面的要求，進行細化並完善。

《規範》規定在收集個人生物識別信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和範圍，以及存儲時間等規則，並徵得個人信息主體的明示同意。

而對於生物識別信息的存儲，《規範》也提出了具體的解決措施。

第一，個人生物識別信息要與個人身份信息分開存儲；

第二，原則上不應存儲原始個人生物識別信息，可採取的措施包括但不限於： 僅存儲個人生別信息的摘要信息；在採集終端中直接使用個人生物識別信息實現身份識別、認證等功能；在使用面部識別特徵、 指紋、掌紋、虹膜等實現識別身份、認證等功能後刪除可提取個人生物識別信息的原始圖像。

參考來源：個人信息安全規範附件