個人信息安全規範新規正式啟用,值得你關註!
5月1日,《信息安全技術 個人信息安全規範》(下稱“規範”)正式啟用。規範從收集、保存、使用、共享、轉讓、公開披露等個人信息處理活動方面進行了詳細規定。
雖然該規範並非強制性法規,但在個人信息權益保護方面,也是不小的進步。下面璽哥將其中較為重要的章節摘錄出來,和大家共同學習。
一、規範首次對“個人信息”和“個人敏感信息”進行了界定
在日常生活中,用戶對隱私的概念更多的是一個籠統概念,個人信息概念認知較為模糊。在術語和定義中,規範首次對個人信息和個人敏感信息進行了區分。
1、個人信息
以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定然人身份或者反映特定內然人活動情況的各種信息。
個人信息包括姓名、出生日期、×××件號碼、個人生物物識別信息、住址、通信聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理理信息、交易信息等。
2、個人敏感信息
一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。
個人敏感信息包括×××件號碼、個人生物識別信息、銀行賬號、通信記眾和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14周歲以下(含)兒童的個人信息等。
在附錄中,規範列舉了多種個人信息/個人敏感信息的範圍和類型。個人信息如:用戶操作記錄、IMEI信息、設備MAC地址等;個人敏感信息如:指紋、性取向、未公開的違法犯罪記錄、網頁瀏覽記錄和精準定位信息等。
二、個人信息化安全基本原則
個人信息控制者(有權決定個人信息處理目的、方式等的組織或者個人)開展個人信息處理活動,應遵循以下基本原則:
1、權責一致原則——對其個人信息處理活動對個人信息主體合法權益造成的損害承擔責任。
2、的明確原則——具有合法、正當、必要、明確的個人信息處理目的。
3、選擇同意原則——向個人信息主體明示個人信息處理目的、方式、範圍、規則等,征求其授權同意。
4、最夠用原則——除與個人信息主體另有約定外,只處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數量。目的達成後,應及時根據約定刪除個人信息。
5、公開透明原則——以明確、易懂和合理的方式公開處理個人信息的範圍、目的、規則等,並接受外部監督。
6、確保安全原則——具備與所面臨的安全風險相匹配的安全能力,並采取足夠的管理措施和技術手段,保護個人信息的保密性、完整性、可用性。
7、主體參與原則——向個人信息主體提供能夠訪問、更正、刪除其個人信息,以及撤回同意、註銷賬戶等方法。
三、對個人敏感信息的收集、使用規範
對信息控制主體信息收集的要求:
1、收集個人敏感信息時,應取得個人信息主體的明示同意。應確保個人信息主體的明示同意是其在完全知情的基礎上自願給出的、具體的、清晰明確的願望表示;
2、通過主動提供或自動采集方式收集個人敏感信息前,應:1)向個人信息主體告知所提供產品或服務的核心業務功能及所必需收集的個人敏感信息,並明確告知拒絕提供或拒絕同意將帶來的影響。應允許個人信息主體選擇是否提供或同意自動采集;2)產品或服務如提供其他附加功能,需要收集個人敏感信息時,收集前應向個人信息主體逐一說明個人敏感信息為完成何種附加功能所必需,並允許個人信息主體逐項選擇是否提供或同意自動采集個人敏感信息。當個人信息主體拒絕時,可不提供相應的附加功能,但不應以此為理由停止提供核心業務功能,並應保障相應的服務質量。
本條強調明示同意是在個人信息主體完全之情的基礎上自願同意,並要求不能因為用戶拒絕同意而停止提供核心業務功能,還需要保障相應的服務質量。
對於當前許多APP不同意授權就不能使用某些功能做做法,這一條還是有一定價值的。
2、個人信息的使用限制:
1、除目的所必需外,使用個人信息時應消除明確身份指向性,避免精確定位到特定個人。例如,為準確評價個人信用狀況,可使用直接用戶畫像,而用於推送商業廣告目的時,則宜使用間接用戶畫像;
2、對所收集的個人信息進行加工處理而產生的信息,能夠單獨或與其他信息結合識別自然人個人身份,或者反映自然人個人活動情況的,應將其認定為個人信息。對其處理應遵循收集個人信息時獲得的授權同意範圍;
註:加工處理而產生的個人信息屬於個人敏感信息的,對其處理應符合本標準對個人敏感信息的要求。
3、使用個人信息時,不得超出與收集個人信息時所聲稱的目的具有直接或合理關聯的範圍。因業務需要,確需超出上述範圍使用個人信息的,應再次征得個人信息主體明示同意。 註:將所收集的個人信息用於學術研究或得出對自然、科學、社會、經濟等現象總體狀態的描述,屬於與收集目的具有合理關聯的範圍之內。但對外提供學術研究或描述的結果時,應對結果中所包含的個人信息進行去標識化處理。
四、個人信息的委托處理、共享、轉讓
委托處理:
委托處理個人信息時,應遵守以下要求:a)個人信息控制者作出委托行為,不得超出已征得個人信息主體授權同意的範圍或遵守本標準5.4規定的情形;b)個人信息控制者應對委托行為進行個人信息安全影響評估,確保受委托者具備足夠的數據安全能力,提供了足夠的安全保護水平;c) 受委托者應:1)嚴格按照個人信息控制者的要求處理個人信息。如受委托者因特殊原因未按照個人信息控制者的要求處理個人信息,應及時向個人信息控制者反饋;2)如受委托者確需再次委托時,應事先征得個人信息控制者的授權;3)協助個人信息控制者響應個人信息主體基於本標準提出的請求:4)如受委托者在處理個人信息過程中無法提供足夠的安全保護水平或發生了安全事件,應及時向個人信息控制者反饋;5)在委托關系解除時不再保存個人信息。d)個人信息控制者應對受委托者進行監督,方式包括但不限於:1)通過合同等方式規定受委托者的責任和義務;2)對受委托者進行審計。e)個人信息控制者應準確記錄和保存委托處理個人信息的情況。
個人信息共享、轉讓:
個人信息原則上不得共享、轉讓。個人信息控制者確需共享、轉讓時,應充分重視風險。共享、轉讓個人信息,非因收購、兼並、重組原因的,應遵守以下要求: a)事先開展個人信息安全影響評估,並依評估結果采取有效的保護個人信息主體的措施;b)向個人信息主體告知共享、轉讓個人信息的目的、數據接收方的類型,並事先征得個人信息主體的授權同意。共享、轉讓經去標識化處理的個人信息,且確保數據接收方無法重新識別個人信息主體的除外;c)共享、轉讓個人敏感信息前,除b)中告知的內容外,還應向個人信息主體告知涉及的個人敏感信息的類型、數據接收方的身份和數據安全能力,並事先征得個人信息主體的明示同意;d)準確記錄和保存個人信息的共享、轉讓的情況,包括共享、轉讓的日期、規模、目的,以及數據接收方基本情況等;e)承擔因共享、轉讓個人信息對個人信息主體合法權益造成損害的相應責任; f)幫助個人信息主體了解數據接收方對個人信息的保存、使用等情況,以及個人信息主體的權利,例如,訪問、更正、刪除、註銷賬戶等。
收購、兼並、重組時的個人信息轉讓:當個人信息控制者發生收購、兼並、重組等變更時,個人信息控制者應:a)向個人信息主體告知有關情況;b)變更後的個人信息控制者應繼續履行原個人信息控制者的責任和義務,如變更個人信息使用目的時,應重新取得個人信息主體的明示同意。
在大數據,人工智能、區塊鏈火熱的當下,數據作為基礎生產資料,其價值不言而喻。做好基礎生產資料的安全保障工作,就是保障人們的基礎生產安全,保障未來的數字經濟安全。
《信息安全技術個人信息安全規範》內容十分豐富,以上只是璽哥認為重要的幾點,如果大家想要更多的了解的話,璽哥建議大家仔細研讀原文,相信會有不少收獲。
個人信息安全規範新規正式啟用,值得你關註!