1. 个人信息保存时间最小化
GBT35273-2017标准规定对个人信息控制者的要求包括:
a) 个人信息保存期限应为实现目的所必需的最短时间;
b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
2. 去标识化处理
GBT35273-2017标准规定收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
3. 个人敏感信息的传输和存储
GBT35273-2017标准规定对个人信息控制者的要求包括:
a) 传输和存储个人敏感信息时,应采用加密等安全措施;存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人
b)生物识别信息的摘要。
4. 个人信息控制者停止运营
GBT35273-2017标准规定当个人信息控制者停止运营其产品或服务时,应:
a) 及时停止继续收集个人信息的活动;
b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;
c) 对其所持有的个人信息进行删除或匿名化处理。
