2020年3月6日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2020年第1号），全国信息安全标准化技术委员会（以下简称“信安标委”）归口的GB/T35273-2020《信息安全技术个人信息安全规范》以下简称“《规范》（2020正式稿）”等8项国家标准正式发布，将于2020年10月1日正式实施。

该图片由Pete Linforth在Pixabay上发布

该标准代替GB/T 35273-2017《信息安全技术 个人信息安全规范》，与GB/T35273-2017相比，主要技术变化如下：增加 “多项业务功能的自主选择”“用户画像的使用限制”“个性化展示的使用”“基于不同业务目所收集个人信息的汇聚融合”“第三方接入管理”“个人信息安全工程”“个人信息处理活动记录” 等内容。

在关于收集个人生物识别信息方面，《规范》要求在收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意，用户不同意的，个人信息控制者不得反复征求用户同意，除非用户主动选择开启扩展功能，且不应拒绝提供基本业务功能或降低基本业务功能的服务质量。。存储方面，要求个人生物识别信息要与个人身份信息分开存储；原则上不应存储原始个人生物识别信息，可采取的措施包括但不限于：仅存储个人生别信息的摘要信息；在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；在使用面部识别特征、 指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

《信息安全技术 个人信息安全规范》持续强调个人信息提供者应承担的责任和义务，但目前尚未明确定义个人信息提供、使用、监管等各方的义务。

《信息安全技术 个人信息安全规范》的发布和实施，对整个社会的个人信息保护工作的开展将会产生深远影响。