个人信息安全规范更新征求意见稿：注销核验信息不应多于注册

10月24日，App专项治理工作组在其官方微信号上公布了国家标准GB/T 35273《信息安全技术 个人信息安全规范》更新后的征求意见稿。
据App专项治理工作组消息，国家标准GB/T 35273《信息安全技术 个人信息安全规范》于2019年6月公开向社会征求意见。截至目前，标准编制组共收到并处理意见约400条。基于各单位反馈意见以及App违法违规收集使用个人信息专项治理工作实践经验，标准编制组对征求意见稿版本予以补充完善、优化和更新。
更新的方面包括： 1，对部分定义补充完善，优化部分专业词汇描述；2，优化对基本原则的描述；3，对不得强迫接受多项业务功能、授权同意等内容进行更新；4，对个性化展示的使用部分予以更新；5， 针对注销难，补充了对注销机制的要求；6，补充了对委托处理、共享、转让等中对受委托者和接受方的管理要求；7，对个人信息共同控制者进行更新；以及8其他改动。
《信息安全技术 个人信息安全规范》（征求意见稿）由市场监督管理总局、中国国家标准化管理委员会发布。该标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。全国信息安全标准化技术委员会是在信息安全技术专业领域内，从事信息安全标准化工作的技术工作组织。 全国信息安全标准化技术委员会与中国消费者协会、中国互联网协会、中国网络空间安全协会成立了App违法违规收集使用个人信息专项治理工作组，简称App专项治理工作组，具体推动App违法违规收集使用个人信息评估工作。
国家标准GB/T 35273《信息安全技术 个人信息安全规范》（征求意见稿）称，本标准针对个人信息面临的安全问题，根据《网络安全法》规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为，旨在遏制个人信息非法收集、滥用、泄漏等乱象，最大程度地保障个人的合法权益和社会公共利益。
该标准规范了开展收集、保存、使用、共享、转让、公开披露、删除等个人信息处 理活动应遵循的原则和安全要求。
在不得强迫接受多项业务功能部分，新版的《信息安全技术 个人信息安全规范》征求意见稿新增了 不应以改善服务质量、提升个人信息主体体验、研发新产品、增强安全性等为由，强迫要求个人信息主体同意收集个人信息。
在收集个人信息时的授权同意部分，新版征求意见稿在“间接获取个人信息时”新增了应了解个人信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，个人信息主体是否授权同意转让、共享、公开披露、删除等内容。
在个人信息主体注销账户一节，新版征求意见稿对个人信息控制者提出了更多细化要求，包括宜直接设置便捷的注销功能交互式页面，及时响应个人信息主体注销请求；受理注销账号请求后，需要人工处理的，应在承诺时限内(原则上不超过十五 天)完成核查和处理； 注销过程进行身份核验需要个人信息主体重新提供的个人信息不应多于注册、使用等服务环节收集的个人信息等。
在共同信息控制者一节，新版征求意见稿新增了如未向个人信息主体明确告知第三方身份，以及在个人信息安全方面自身和第 三方应分别承担的责任和义务，个人信息控制者应承担因第三方引起的个人信息安全责任。
其中还值得关注的是，在部分情形中，个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意。 这些情形包括与个人信息控制者履行法律法规规定的义务相关的，与国家安全、国防安全直接相关的，与公共安全、公共卫生、重大公共利益直接相关的，与刑事侦查、起诉、审判和判决执行等直接相关等。