8月31日，全国信息安全标准化技术委员会网站发布了关于征求《信息安全技术 网络数据处理安全规范》 国家标准意见的通知，将该国家标准（征求意见稿）于2020年10月27日24:00前面向社会公开征求意见。

《信息安全技术 网络数据处理安全规范》 就突发公共卫生事件个人信息保护做了详细规定，具体内容如下：

1 概述

本章所称突发公共卫生事件，是指依据突发公共卫生事件专项预案启动Ⅰ级（特别重大）、Ⅱ级（重大）响应的事件。

2 个人信息服务协议

为应对突发公共卫生事件，由国务院卫生健康行政部门或者省级人民政府有关部门指定的机构（以下称“指定机构”），利用个人信息为社会提供位置、行踪查询等信息服务时，应当按照与国务院卫生健康行政部门或者省级人民政府有关部门签订的服务合同或者其他有约束力的协议，履行个人信息保护要求，承担违约责任等。

3 个人信息收集

突发公共卫生事件应对中，收集个人信息应事先征得个人信息主体同意。但是，为控制事件扩大、减轻事件危害而必须收集的，由指定机构实施并经全国突发公共卫生事件应急指挥部（以下称“指挥部”）或者国务院卫生健康行政部门同意的除外。

4 个人信息调用

为控制事件扩大、减轻事件危害，指定机构确需调用关键信息基础设施运营单位已经收集的个人信息，应经指挥部同意，或者由国务院卫生健康行政部门会同相关行业管理部门同意，并明确调用个人信息的范围、类型及程序。

5 收集、调用规则

指定机构收集、调用个人信息应坚持最小化原则，一般只限于个人信息主体的联系方式、位置、行踪信息；根据应对突发公共卫生事件实际需要，严格限定调用个人信息的范围、规模、数量以及行踪信息的回溯时间跨度。

6 人脸识别验证  

指定机构在提供信息服务过程中，以人脸识别作为身份验证方式时，原则上应提供其他身份验证方式供用户选择。利用人脸识别信息进行身份验证的，原则上不留存可提取人脸识别信息的原始图像。

7 信息查阅服务

指定机构提供信息查阅服务，应通过境内手机号码等能够确认身份的方式核验查阅人身份，防止非授权查阅他人个人信息。

8 公开、向他人提供个人信息和改变个人信息用途

指定机构收集掌握的个人信息，未经个人信息主体同意，不得公开或者非法向他人提供，不得改变用途。确需公开、向他人提供或者改变用途的，应报指挥部或者国务院卫生健康行政部门同意。

指定机构不得利用已掌握的个人信息或者提供信息服务的便利条件谋取商业利益，包括进行市场营销、定向推送广告等。

9 应对工作结束后的个人信息处理

突发公共卫生事件应对工作结束后，指定机构应停止收集、调用个人信息，并在60天内或者国务院卫生健康行政部门规定的时限内删除在突发公共卫生事件应对中已收集、调用的个人信息。

10 日志留存

指定机构应留存个人信息收集、调用、使用活动日志，并保存至突发公共卫生事件应对工作结束后不少于6个月。