3 術語和定義

GB/T 25069—2010中界定的以及下列術語和定義適用于本文件。

3.1　個人信息　personal information

以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。
注1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。
注2：關于個人信息的判定方法和類型可參見附錄A。

3.2　個人敏感信息　personal sensitive information

一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。
注1：個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個人信息等。
注2：關于個人敏感信息的判定方法和類型可參見附錄B。

3.3　個人信息主體　personal information subject

個人信息所標識或者關聯的自然人。

3.4　個人信息控制者　personal information controller

有權【有能力】決定個人信息處理目的、方式等的組織或個人。

3.5　收集　collect

獲得個人信息的控制權的行為，包括由個人信息主體主動提供、通過與個人信息主體交互或記錄個人信息主體行為等自動采集行為，以及通過共享、轉讓、搜集公開信息等間接獲取個人信息等行為。

3.6　明示同意　explicit consent

個人信息主體通過書面、口頭等方式主動作出紙質或電子形式的聲明，或者自主作出肯定性動作，對其個人信息進行特定處理作出明確授權的行為。

3.7　授權同意 consent

個人信息主體對其個人信息進行特定處理作出明確授權的行為，包括通過積極的行為作出授權（即明示同意），或者通過消極的不作為而作出授權（例如信息采集區域內的個人信息主體在被告知信息收集行為后沒有離開該區域）。

3.8　用戶畫像　user profiling

通過收集、匯聚、分析個人信息，對某特定自然人個人特征，如職業、經濟、健康、教育、個人喜好、信用、行為等方面作出分析或預測，形成其個人特征模型的過程。

3.9　個人信息安全影響評估　personal information security impact assessment

針對個人信息處理活動，檢驗其合法合規程度，判斷其對個人信息主體合法權益造成損害的各種風險，以及評估用于保護個人信息主體的各項措施有效性的過程。

3.10　刪除　delete

在實現日常業務功能所涉及的系統中去除個人信息的行為，使其保持不可被檢索、訪問的狀態。

3.11　公開披露　public disclosure

向社會或不特定人群發布信息的行為。

3.12　轉讓　transfer of control

將個人信息控制權由一個控制者向另一個控制者轉移的過程。

3.13　共享　sharing

個人信息控制者向其他控制者提供個人信息，且雙方分別對個人信息擁有獨立控制權的過程。

3.14　匿名化　anonymization

通過對個人信息的技術處理，使得個人信息主體無法被識別或者關聯，且處理后的信息不能被復原的過程。

3.15　去標識化　de-identification

通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別或者關聯個人信息主體的過程。

3.16　個性化展示　personalized display

基于特定個人信息主體的網絡瀏覽歷史、興趣愛好、消費記錄和習慣等個人信息，向該個人信息主體展示信息內容、提供商品或服務的搜索結果等活動。

3.17　業務功能　business function

滿足個人信息主體的具體使用需求的服務類型。如地圖導航、網絡約車、即時通訊、社區社交、網絡支付、新聞資訊、網上購物、快遞配送、交通票務等。