不得隐瞒产品收集个人信息的功能

消费报讯 1月24日，记者从全国信息安全标准化技术委员会获悉，由该委员会制定和归口管理的个人信息保护的国家标准《信息安全技术个人信息安全规范》(GB/T35273-2017)(以下简称《规范》)于日前正式发布，内容涵盖个人信息的收集、保存、使用、共享转让以及安全事件处置等方方面面。该《规范》将于2018年5月1日实施。

在个人信息收集方面，《规定》要求，不得欺诈、诱骗、强迫个人信息主体提供其个人信息;不得隐瞒产品或服务所具有的收集个人信息的功能;不得从非法渠道获取个人信息;不得收集法律法规明令禁止收集的个人信息。

对于个人敏感信息的收集，《规定》指出，应取得个人信息主体的明示同意，确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。个人信息保存期限应为实现目的所必须的最短时间，超出后应进行删除或匿名化处理。

当个人信息控制者停止运营其产品或者服务时，应及时停止继续收集个人信息的活动;将停止运营的通知以逐一送达或公告的形式通知个人信息主体;将对持有的个人信息删除或匿名化处理。

在个人信息使用方面，个人信息控制者除目的所必须外，使用个人信息应消除明确身份指向性，避免精确定位到特定个人，不得超出与收集个人时所生成的目的具有直接或合理关联的范围。

个人信息原则上不得共享、转让。个人信息控制着确需共享、转让时，应充分重视风险，共享、转让个人信息，非因收购、兼并、重组原因的也应遵守《规定》提出的具体要求。

个人信息控制者应制定个人信息安全时间应急预案，定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程，发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行处置。(冯松龄)