GBT35273-2017标准规定个人信息控制者开展个人信息处理活动,应遵循以下基本原则:
a)权责一致原则——对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。
b)目的明确原则——具有合法、正当、必要、明确的个人信息处理目的。
c)选择同意原则——向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意。
d)最少够用原则——除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。
e)公开透明原则——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。
f)确保安全原则——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。
g)主体参与原则——向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。
