歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

愛加密解讀《信息安全技術個人信息安全規范》

來源:本站整理 作者:佚名 時間:2020-03-17 TAG: 我要投稿

隨著網絡技術的日新月異,對于個人信息保護的困難程度也在與日俱增。法律法規作為維護公平正義的有力防線,必須要在此問題上作出與時俱進的回應!秱人信息安全規范》的出臺,對于個人信息保護來說,是一個強有力的信號,也為個人信息保護起到了良好的屏障作用。規范對個人信息收集、儲存、使用做出了明確規定,并規定了個人信息主體具有查詢、更正、刪除、撤回授權、注銷賬戶、獲取個人信息副本等權力。規范將于2020年10月1日正式實施。

《個人信息安全規范》共分為十個章節,其中包括范圍,規范性引用文件,術語和定義,個人信息安全基本原則,個人信息的收集,個人信息的保存,個人信息的使用,個人信息的委托處理、共享、轉讓、公開披露,個人信息安全事件處置以及組織的管理要求。其中,個人信息的收集,存儲,使用,委托處理、共享、轉讓、公開披露是個人信息在流轉過程中的常見行為。
01
信息收集最小化要求
根據《個人信息安全規范》,在個人信息的收集過程中,需要遵循合法性以及信息收集最小化的要求,也即直接關聯、最低頻率和最少數量。在收集個人信息時,一般情形下必須獲得個人信息主體在明確該收集行為前提下的完全同意,只有當該信息與國家安全、公共安全或者犯罪偵查等公共項目相關時,方可不經個人信息主體同意而對其個人信息進行強制收集。而對于個人信息中的敏感內容,必須經過個人信息主體的明示同意方可收集?梢,在個人信息保護問題上,作為信息源頭的收集過程已逐漸得到細化規制。
02
信息保存去標識化處理
個人信息的保存問題,要求對于信息的保存要做到去標識化處理,同時保存時間要遵循所需時間的最短要求,在信息的傳輸過程中也必須做到高度的安全防范措施,以避免個人信息在傳輸或者保存過程中出現不當泄露。同時,個人信息在展示及使用時的場合、范圍限制,還是個人信息的訪問、刪除、更正以及撤回問題,都有嚴格的程序及原則要求。
03
2020版與2017版的重點對比
延續七大原則
2020版繼續沿用了2017版的七大原則,分別是:權責一致原則、目的明確原則、選擇同意原則、最少夠用原則、公開透明原則、確保安全原則、主體參與原則。雖未明確定義“準確和質量、問責、收集限制、隱私合規”等原則,略感遺憾,但相關原則的控制措施卻躍然紙上。
定義控制者的義務
在架構上持續強調個人信息控制者應承擔的義務,而未明確定義個人信息處理者、個人信息聯合控制者、個人信息外包方等角色應履行的義務。
要求的變化
1、選擇同意原則下:
新增要求“不強迫接受多項業務功能:當產品或服務提供多項需收集個人信息的業務功能時,個人信息控制者不應違背個人信息主體的自主意愿,強迫個人信息主體接受產品或服務所提供的業務功能及相應的個人信息收集請求”。強調了“隱私政策的主要功能為公開個人信息控制者收集、使用個人信息范圍和規則,不應將其視為個人信息主體要求簽訂的合同”。
2、收集及使用的變化:
在目的明確原則下,新增要求“如產品或服務僅提供一項收集、使用個人信息的業務功能時,個人信息控制者可通過隱私政策的形式,實現向個人信息主體的告知;產品或服務提供多項收集、使用個人信息的業務功能的,除隱私政策外,個人信息控制者宜在實際開始收集特定個人信息時,向個人信息主體提供收集、使用該個人信息的目的、方式和范圍,以便個人信息主體在作出具體的授權同意前,能充分考慮對其的具體影響”。
3、確保安全原則下,新增的要求較多,分別是:
1)“將個人生物識別信息的原始信息和摘要分開存儲”的技術要求。
2)在信息系統自動決策機制的使用中定期(至少每年一次)開展個人信息安全影響評估,并依評估結果采取有效的保護個人信息主體的措施、向個人信息主體提供針對自動決策結果的申訴渠道,并對自動決策結果進行人工復核。
3)明確組織應為個人信息保護負責人和個人信息保護工作機構提供必要的資源,保障其獨立履行職責。如采用公布投訴、舉報方式等信息并及時受理投訴舉報、與監督、管理部門保持溝通,通報或報告個人信息保護和事件處置等情況等。
4)要求組織記錄的內容包括:所涉及個人信息的類型、數量、來源(例如從個人信息主體直接收集或通過間接獲取方式獲得);根據業務功能和授權情況區分個人信息的處理目的、使用場景,以及委托處理、共享、轉讓、公開披露、是否涉及出境等情況。
4、在最少夠用的原則下,新增的要求較多,分別是:
1)要求了用戶個人畫像的特征描述不能為“淫穢、色情、賭博、迷信、恐怖、暴力”;業務運營或對外業務合作中使用用戶畫像不能侵害保護公民、法人和其他組織的合法權益,不能危害國家安全、榮譽和利益。
2)除為達到主體授權同意的使用目的所必需外,使用個人信息時應消除明確身份指向性,避免精確定位到特定個人。
3)在向主體推送新聞信息服務的過程中使用個性化展示時應:顯著區分個性化推送服務,如標明“個性化展示”或“定推”等字樣,為主體提供簡單直觀的退出或關閉個性化展示模式的選項。
4)電子商務經營者根據消費者的興趣愛好、消費習慣等特征向其提供商品或者服務搜索結果的個性化展示的,應當同時向該消費者提供不針對其個人特征的選項。
5)在向主體提供業務功能的過程中,如使用個性化展示時,建立個人信息主體對個性化展示所依賴的個人信息(如標簽、畫像維度等)的自主控制機制,保障個人信息主體調控個性化展示相關程度的能力。
6)當個人信息主體選擇退出個性化展示模式時,應向個人信息主體提供刪除或匿名化定向推送活動所基于的個人信息的選項。
5、主體提供者查詢方法及各種操作權限:
在公開透明原則的原則下,新增要求應向主體提供查詢方法,能讓主體知曉持有的個人信息的類型;上述個人信息的來源、所用于的目的;已經獲得上述個人信息的第三方身份或類型;宜直接在產品或服務提供的功能界面中(例如應用程序可設置專門的選項、功能、界面等)設置相應的機制,便于個人信息主體在線行使其訪問、更正、刪除、撤回授權同意、注銷賬戶等權利。
6、新增的其他要求包括:
1)應承擔第三方接入管理
2)收集年滿14周歲未成年人的個人信息前,應征得未成年人或其監護人的明示同意;不滿14周歲的,應征得其監護人的明示同意。
在《個人信息安全規范》中,個人信息從收集到最終的注銷等一系列環節,都有相應需要遵守的原則及方法,以期通過評估、監督等多種方式,準確估計個人信息安全系數,最大程度避免個人信息的泄露及不當利用,從而確保個人隱私不被侵犯,同時個人的人身安全得到保障。
 

【聲明】:黑吧安全網(http://www.www.hfjixin.com)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱admin@www.hfjixin.com,我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        百度 好搜 搜狗

        警告:本站禁止未滿18周歲訪客瀏覽,如果當地法律禁止請自覺離開本站!收藏本站:請使用Ctrl+D進行收藏