1月24日，《中国消费者报》记者从全国信息安全标准化技术委员会获悉，由该委员会制定和归口管理的个人信息保护的国家标准《信息安全技术 个人信息安全规范》(GB/T35273-2017)(以下简称《规范》)于日前正式发布，内容涵盖个人信息的收集、保存、使用、共享转让以及安全事件处置等方方方面。该《规范》将于2018年5月1日实施。

在个人信息收集方面，《规定》要求，不得欺诈、诱骗、强迫个人信息主体提供其个人信息;不得隐瞒产品或服务所具有的收集个人信息的功能;不得从非法渠道获取个人信息;不得收集法律法规明令禁止收集的个人信息。

对于个人敏感信息的收集，《规定》指出，应取得个人信息主体的明示同意，应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。

个人信息保存期限应为实现目的所必须的最短时间，超出后应对个人信息进行删除或匿名化处理。

当个人信息控制者停止运营其产品或者服务时，应及时停止继续收集个人信息的活动;将停止运营的通知以逐一送达或公告的形式通知个人信息主体;将对其所持有的个人信息进行删除或匿名化处理。

在个人信息使用方面，个人信息控制者除目的所必须外，使用个人信息应消除明确身份指向性，避免精确定位到特定个人，不得超出与收集个人时所生成的目的具有直接或合理关联的范围。

个人信息原则上不得共享、转让。个人信息控制着确需共享、转让时，应充分重视风险，共享、转让个人信息，非因收购、兼并、重组原因的也应遵守《规定》提出的具体要求。

个人信息控制者应制定个人信息安全时间应急预案，定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程，发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行处置。