GB/T 43506-2023《电信和互联网服务 用户个人信息保护技术要求》

GB/T 43506-2023《电信和互联网服务 用户个人信息保护技术要求》基本信息

标准号：GB/T 43506-2023

中文名称：《电信和互联网服务 用户个人信息保护技术要求》

发布日期：2023-12-28    

实施日期：2024-04-01

发布部门：国家市场监督管理总局 国家标准化管理委员会    

提出单位：工业和信息化部    

归口单位：全国通信服务标准化技术委员会(SAC/TC 543)    

起草单位：中国信息通信研究院、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、阿里巴巴云计算(北京)有限公司、中移互联网有限公司、中国联合网络通信集团有限公司、中国电信集团有限公司、北京捷兴信源信息技术有限公司、北京卓易讯畅科技有限公司等

起草人：汤立波 常浩伦 臧磊 李成 于润东 郭文双 李鑫 李宗祥 顾伟 黄晓林 葛雨明 张雪丽 马峰 黎伟健 胡莉琼 高枫 王兰芳 杨澄宇 刘淼 张屹 周群 陈学宝 贾科 张航 朱政 陈鑫 张亚男    

中国标准分类号：M42通信线路设备

国际标准分类号：33.030电信业务、应用

GB/T 43506-2023《电信和互联网服务 用户个人信息保护技术要求》介绍

国家市场监督管理总局与国家标准化管理委员会于2023年12月28日发布了GB/T 43506-2023《电信和互联网服务 用户个人信息保护技术要求》（以下简称“本标准”）。本标准将于2024年4月1日正式实施。

一、标准概述

标准涵盖了用户个人信息的收集、存储、使用、传输和删除等各个环节，并对相关技术要求进行了明确规定。

二、用户个人信息的定义与分类

1、定义

本标准首先对“用户个人信息”进行了定义，将其界定为能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于姓名、出生日期、身份证件号码、联系方式、通信记录和健康信息等。

2、分类

用户个人信息按敏感程度分为一般信息和敏感信息两类。敏感信息包括个人生物识别信息、银行账户信息、行踪轨迹信息等，需要更严格的保护措施。

三、个人信息的收集

1、合法性原则

本标准要求，服务提供商在收集用户个人信息时，必须遵循合法性原则，即必须基于合法目的、合法方式，并征得用户明确同意。

2、最小化原则

收集的信息应遵循最小化原则，即只收集实现服务目的所必需的最少量信息。

3、透明度原则

服务提供商还需向用户明确告知收集信息的目的、方式和范围，确保信息收集过程的透明度。

四、个人信息的存储

1、安全存储

本标准规定，服务提供商必须采取适当的技术和管理措施，确保用户个人信息的存储安全，防止信息泄露、篡改或丢失。

2、数据加密

对于敏感信息，服务提供商必须采取加密措施，以提高数据的保密性和完整性。

五、个人信息的使用

1、目的限制原则

服务提供商使用用户个人信息时，必须遵循目的限制原则，即个人信息的使用目的必须与收集时告知的目的一致。

2、数据隔离

对于敏感信息，服务提供商应采取数据隔离措施，确保敏感信息不被非授权人员访问。

六、个人信息的传输

1、安全传输

服务提供商在传输用户个人信息时，必须采用加密等安全措施，确保信息在传输过程中的安全。

2、传输限制

对于跨境传输个人信息，服务提供商需遵守相关法律法规，并采取相应措施保护信息安全。

七、个人信息的删除

1、删除机制

本标准要求服务提供商建立个人信息删除机制，当个人信息不再需要或用户要求删除时，应及时删除相关信息。

2、删除记录

服务提供商还需保留删除操作的记录，以备后续审计和监管。

八、监管与法律责任

1、监管机构

本标准明确了监管机构的职责，要求其定期对服务提供商的个人信息保护措施进行监督检查。

2、法律责任

违反本标准规定的服务提供商，将依法承担相应的法律责任。

GB/T 43506-2023《电信和互联网服务 用户个人信息保护技术要求》的发布，标志着我国在个人信息保护领域迈出了重要一步。通过实施本标准，可以有效提升电信和互联网服务的个人信息保护水平，保障用户的隐私权和信息安全，促进行业的健康发展。