行業(yè)動(dòng)態(tài)

解讀《信息安全技術(shù)個(gè)人信息安全規(guī)范》

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-03-17    瀏覽次數(shù):
 

信息來(lái)源:安全客


隨著網(wǎng)絡(luò)技術(shù)的日新月異,對(duì)于個(gè)人信息保護(hù)的困難程度也在與日俱增。法律法規(guī)作為維護(hù)公平正義的有力防線(xiàn),必須要在此問(wèn)題上作出與時(shí)俱進(jìn)的回應(yīng)?!秱€(gè)人信息安全規(guī)范》的出臺(tái),對(duì)于個(gè)人信息保護(hù)來(lái)說(shuō),是一個(gè)強(qiáng)有力的信號(hào),也為個(gè)人信息保護(hù)起到了良好的屏障作用。規(guī)范對(duì)個(gè)人信息收集、儲(chǔ)存、使用做出了明確規(guī)定,并規(guī)定了個(gè)人信息主體具有查詢(xún)、更正、刪除、撤回授權(quán)、注銷(xiāo)賬戶(hù)、獲取個(gè)人信息副本等權(quán)力。規(guī)范將于2020年10月1日正式實(shí)施。

《個(gè)人信息安全規(guī)范》共分為十個(gè)章節(jié),其中包括范圍,規(guī)范性引用文件,術(shù)語(yǔ)和定義,個(gè)人信息安全基本原則,個(gè)人信息的收集,個(gè)人信息的保存,個(gè)人信息的使用,個(gè)人信息的委托處理、共享、轉(zhuǎn)讓、公開(kāi)披露,個(gè)人信息安全事件處置以及組織的管理要求。其中,個(gè)人信息的收集,存儲(chǔ),使用,委托處理、共享、轉(zhuǎn)讓、公開(kāi)披露是個(gè)人信息在流轉(zhuǎn)過(guò)程中的常見(jiàn)行為。

01

信息收集最小化要求

根據(jù)《個(gè)人信息安全規(guī)范》,在個(gè)人信息的收集過(guò)程中,需要遵循合法性以及信息收集最小化的要求,也即直接關(guān)聯(lián)、最低頻率和最少數(shù)量。在收集個(gè)人信息時(shí),一般情形下必須獲得個(gè)人信息主體在明確該收集行為前提下的完全同意,只有當(dāng)該信息與國(guó)家安全、公共安全或者犯罪偵查等公共項(xiàng)目相關(guān)時(shí),方可不經(jīng)個(gè)人信息主體同意而對(duì)其個(gè)人信息進(jìn)行強(qiáng)制收集。而對(duì)于個(gè)人信息中的敏感內(nèi)容,必須經(jīng)過(guò)個(gè)人信息主體的明示同意方可收集??梢?jiàn),在個(gè)人信息保護(hù)問(wèn)題上,作為信息源頭的收集過(guò)程已逐漸得到細(xì)化規(guī)制。

02

信息保存去標(biāo)識(shí)化處理

個(gè)人信息的保存問(wèn)題,要求對(duì)于信息的保存要做到去標(biāo)識(shí)化處理,同時(shí)保存時(shí)間要遵循所需時(shí)間的最短要求,在信息的傳輸過(guò)程中也必須做到高度的安全防范措施,以避免個(gè)人信息在傳輸或者保存過(guò)程中出現(xiàn)不當(dāng)泄露。同時(shí),個(gè)人信息在展示及使用時(shí)的場(chǎng)合、范圍限制,還是個(gè)人信息的訪問(wèn)、刪除、更正以及撤回問(wèn)題,都有嚴(yán)格的程序及原則要求。

03

2020版與2017版的重點(diǎn)對(duì)比

  1. 延續(xù)七大原則

2020版繼續(xù)沿用了2017版的七大原則,分別是:權(quán)責(zé)一致原則、目的明確原則、選擇同意原則、最少夠用原則、公開(kāi)透明原則、確保安全原則、主體參與原則。雖未明確定義“準(zhǔn)確和質(zhì)量、問(wèn)責(zé)、收集限制、隱私合規(guī)”等原則,略感遺憾,但相關(guān)原則的控制措施卻躍然紙上。

  1. 定義控制者的義務(wù)

在架構(gòu)上持續(xù)強(qiáng)調(diào)個(gè)人信息控制者應(yīng)承擔(dān)的義務(wù),而未明確定義個(gè)人信息處理者、個(gè)人信息聯(lián)合控制者、個(gè)人信息外包方等角色應(yīng)履行的義務(wù)。

  1. 要求的變化

1、選擇同意原則下:

新增要求“不強(qiáng)迫接受多項(xiàng)業(yè)務(wù)功能:當(dāng)產(chǎn)品或服務(wù)提供多項(xiàng)需收集個(gè)人信息的業(yè)務(wù)功能時(shí),個(gè)人信息控制者不應(yīng)違背個(gè)人信息主體的自主意愿,強(qiáng)迫個(gè)人信息主體接受產(chǎn)品或服務(wù)所提供的業(yè)務(wù)功能及相應(yīng)的個(gè)人信息收集請(qǐng)求”。強(qiáng)調(diào)了“隱私政策的主要功能為公開(kāi)個(gè)人信息控制者收集、使用個(gè)人信息范圍和規(guī)則,不應(yīng)將其視為個(gè)人信息主體要求簽訂的合同”。

2、收集及使用的變化:

在目的明確原則下,新增要求“如產(chǎn)品或服務(wù)僅提供一項(xiàng)收集、使用個(gè)人信息的業(yè)務(wù)功能時(shí),個(gè)人信息控制者可通過(guò)隱私政策的形式,實(shí)現(xiàn)向個(gè)人信息主體的告知;產(chǎn)品或服務(wù)提供多項(xiàng)收集、使用個(gè)人信息的業(yè)務(wù)功能的,除隱私政策外,個(gè)人信息控制者宜在實(shí)際開(kāi)始收集特定個(gè)人信息時(shí),向個(gè)人信息主體提供收集、使用該個(gè)人信息的目的、方式和范圍,以便個(gè)人信息主體在作出具體的授權(quán)同意前,能充分考慮對(duì)其的具體影響”。

3、確保安全原則下,新增的要求較多,分別是:

1)“將個(gè)人生物識(shí)別信息的原始信息和摘要分開(kāi)存儲(chǔ)”的技術(shù)要求。

2)在信息系統(tǒng)自動(dòng)決策機(jī)制的使用中定期(至少每年一次)開(kāi)展個(gè)人信息安全影響評(píng)估,并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施、向個(gè)人信息主體提供針對(duì)自動(dòng)決策結(jié)果的申訴渠道,并對(duì)自動(dòng)決策結(jié)果進(jìn)行人工復(fù)核。

3)明確組織應(yīng)為個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)提供必要的資源,保障其獨(dú)立履行職責(zé)。如采用公布投訴、舉報(bào)方式等信息并及時(shí)受理投訴舉報(bào)、與監(jiān)督、管理部門(mén)保持溝通,通報(bào)或報(bào)告?zhèn)€人信息保護(hù)和事件處置等情況等。

4)要求組織記錄的內(nèi)容包括:所涉及個(gè)人信息的類(lèi)型、數(shù)量、來(lái)源(例如從個(gè)人信息主體直接收集或通過(guò)間接獲取方式獲得);根據(jù)業(yè)務(wù)功能和授權(quán)情況區(qū)分個(gè)人信息的處理目的、使用場(chǎng)景,以及委托處理、共享、轉(zhuǎn)讓、公開(kāi)披露、是否涉及出境等情況。

4、在最少夠用的原則下,新增的要求較多,分別是:

1)要求了用戶(hù)個(gè)人畫(huà)像的特征描述不能為“淫穢、色情、賭博、迷信、恐怖、暴力”;業(yè)務(wù)運(yùn)營(yíng)或?qū)ν鈽I(yè)務(wù)合作中使用用戶(hù)畫(huà)像不能侵害保護(hù)公民、法人和其他組織的合法權(quán)益,不能危害國(guó)家安全、榮譽(yù)和利益。

2)除為達(dá)到主體授權(quán)同意的使用目的所必需外,使用個(gè)人信息時(shí)應(yīng)消除明確身份指向性,避免精確定位到特定個(gè)人。

3)在向主體推送新聞信息服務(wù)的過(guò)程中使用個(gè)性化展示時(shí)應(yīng):顯著區(qū)分個(gè)性化推送服務(wù),如標(biāo)明“個(gè)性化展示”或“定推”等字樣,為主體提供簡(jiǎn)單直觀的退出或關(guān)閉個(gè)性化展示模式的選項(xiàng)。

4)電子商務(wù)經(jīng)營(yíng)者根據(jù)消費(fèi)者的興趣愛(ài)好、消費(fèi)習(xí)慣等特征向其提供商品或者服務(wù)搜索結(jié)果的個(gè)性化展示的,應(yīng)當(dāng)同時(shí)向該消費(fèi)者提供不針對(duì)其個(gè)人特征的選項(xiàng)。

5)在向主體提供業(yè)務(wù)功能的過(guò)程中,如使用個(gè)性化展示時(shí),建立個(gè)人信息主體對(duì)個(gè)性化展示所依賴(lài)的個(gè)人信息(如標(biāo)簽、畫(huà)像維度等)的自主控制機(jī)制,保障個(gè)人信息主體調(diào)控個(gè)性化展示相關(guān)程度的能力。

6)當(dāng)個(gè)人信息主體選擇退出個(gè)性化展示模式時(shí),應(yīng)向個(gè)人信息主體提供刪除或匿名化定向推送活動(dòng)所基于的個(gè)人信息的選項(xiàng)。

5、主體提供者查詢(xún)方法及各種操作權(quán)限:

在公開(kāi)透明原則的原則下,新增要求應(yīng)向主體提供查詢(xún)方法,能讓主體知曉持有的個(gè)人信息的類(lèi)型;上述個(gè)人信息的來(lái)源、所用于的目的;已經(jīng)獲得上述個(gè)人信息的第三方身份或類(lèi)型;宜直接在產(chǎn)品或服務(wù)提供的功能界面中(例如應(yīng)用程序可設(shè)置專(zhuān)門(mén)的選項(xiàng)、功能、界面等)設(shè)置相應(yīng)的機(jī)制,便于個(gè)人信息主體在線(xiàn)行使其訪問(wèn)、更正、刪除、撤回授權(quán)同意、注銷(xiāo)賬戶(hù)等權(quán)利。

6、新增的其他要求包括:

1)應(yīng)承擔(dān)第三方接入管理

2)收集年滿(mǎn)14周歲未成年人的個(gè)人信息前,應(yīng)征得未成年人或其監(jiān)護(hù)人的明示同意;不滿(mǎn)14周歲的,應(yīng)征得其監(jiān)護(hù)人的明示同意。

在《個(gè)人信息安全規(guī)范》中,個(gè)人信息從收集到最終的注銷(xiāo)等一系列環(huán)節(jié),都有相應(yīng)需要遵守的原則及方法,以期通過(guò)評(píng)估、監(jiān)督等多種方式,準(zhǔn)確估計(jì)個(gè)人信息安全系數(shù),最大程度避免個(gè)人信息的泄露及不當(dāng)利用,從而確保個(gè)人隱私不被侵犯,同時(shí)個(gè)人的人身安全得到保障。


 
 

上一篇:連中兩標(biāo)!聚銘網(wǎng)絡(luò)中標(biāo)盱眙縣法院和金湖縣法院安全建設(shè)項(xiàng)目

下一篇:新冠終結(jié)VPN?打造零信任網(wǎng)絡(luò)的五個(gè)步驟