下载文档原格式
个人信息保护标准在当今信息化社会,个人信息的保护越来越受到重视。
随着互联网的快速发展,个人信息泄露的风险也在不断增加。
因此,建立和完善个人信息保护标准显得尤为重要。
首先,个人信息保护标准应当包括个人信息的收集和使用。
在收集个人信息时,必须经过信息主体的明示同意,并且明确告知信息的收集目的、范围和方式。
在使用个人信息时,应当严格按照法律法规的规定进行,并且不得超出事先约定的范围。
同时,个人信息的使用应当遵循合法、正当、必要的原则,不得违反信息主体的意愿和利益。
其次,个人信息保护标准还应包括个人信息的存储和保护。
个人信息的存储应当采取合理、必要的措施,确保信息的安全性和完整性。
对于敏感个人信息,更应当加强安全防护,采取加密、隔离等措施,防止信息泄露和滥用。
此外,个人信息的保护还需要建立健全的信息安全管理制度,明确责任部门和责任人,加强对信息安全的监督和检查。
此外,个人信息保护标准还应包括个人信息的共享和传输。
在个人信息共享时,应当明确共享的目的、范围和方式,并且获得信息主体的明示同意。
在个人信息传输时,应当采取安全可靠的传输通道,确保信息在传输过程中不被窃取或篡改。
同时,个人信息的接收方也应当具备相应的信息安全保护能力,确保信息在接收后得到妥善保护。
最后,个人信息保护标准还应包括个人信息的销毁和处理。
在个人信息不再需要时,应当及时进行销毁或者匿名化处理,确保信息不再被他人获取和利用。
对于违法、违规获取的个人信息,应当立即停止使用,并且报告有关部门进行处理。
总之,个人信息保护标准是保障个人信息安全的重要手段,对于企业和组织来说,建立健全的个人信息保护制度,加强信息安全管理,不仅是法律法规的要求,也是企业社会责任的体现。
只有做好个人信息保护工作,才能更好地保护信息主体的合法权益,促进信息化社会的健康发展。
《个人信息保护法》视角下精准推送的事实风险精准推送在移动互联网时代如影随形在个人信息保护法时代,互联网用户每天都会收到一些推送广告或者其他推送信息,大多数用户都发现这些推送信息的内容或多或少都与自己相关,例如搜索过某样商品之后不久就收到了同款商品的广告。
精准推送因跟个人兴趣、社交关系等关联度较高,确实可以在很大程度上提高效率,节约用户对信息进行筛选的时间。
然而,很多用户觉得在这一过程中自己的信息安全没有得到保障,个人信息和隐私在无形中遭到侵犯。
2021年8月20日通过的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第4条对个人信息及个人信息的处理作出明确的定义,该法第24条对使用自动化决策进行处理的行为进行严格规制。
随着互联网领域的发展,人们日常生活几乎已经无法脱离互联网,大数据精准推送这一概念随着互联网技术的发展应运而生。
精准推送是指互联网中的平台运营者对其所收集的用户的信息,例如通讯录、搜索记录、浏览记录、聊天记录等信息进行处理后,再向用户推送可能感兴趣的商品、广告、视频等,或者推送可能认识的人,即针对特定的人推送特定的信息。
用户难以有效拒绝精准推送精准推送的过程大致分为三个阶段:收集用户信息,分析信息数据,根据用户画像推送信息。
这一过程主要涉及《个人信息保护法》中个人信息处理规则,从《个人信息保护法》角度来分析其中可能存在的法律问题,主要存在于是否获得有效同意以及特别规定的需要取得单独同意或书面同意。
实践中,获得用户同意的告知书内容往往繁杂,用户基本没有耐心将全部内容都读完就选择了同意,这种同意是否有效决定了处理者是否有权进行处理的行为。
自动化决策的问题主要集中在其透明度上:大多数自动化决策都是“悄悄地”进行,既没有告知,也没有给予用户拒绝或选择的权利。
精准推送的社会关注度日益提高近年来,由精准推送引起的案件纠纷时有发生,如凌某某诉北京微播视界科技有限《个人信息保护法》视角下精准推送的风险及应对数字经济时代,作为多数企业都在使用的精准推送技术,渗透至社会生活各个方面,在满足用户的多元需求的同时也推动了数字经济的发展。
网络安全法中的个人信息保护与敏感信息标准随着互联网的飞速发展,个人信息保护成为了一个备受关注的话题。
为了规范网络空间中的个人信息的收集、使用和保护,我国于2017年6月1日正式实施了《中华人民共和国网络安全法》。
该法律对于个人信息保护提出了一系列要求,并明确了敏感信息的标准。
本文将从个人信息保护和敏感信息标准两个方面进行探讨。
首先,网络安全法对于个人信息保护提出了明确要求。
根据该法,个人信息是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份的各种信息。
法律规定了个人信息的收集、使用和保护原则,要求个人信息的收集必须经过被收集个人的同意,并且要告知被收集个人的信息收集目的、方式和范围。
同时,个人信息的使用必须遵循合法、正当和必要的原则,不得超出与收集目的相关的范围。
个人信息的保护要求网络运营者采取技术措施和其他必要措施,保障个人信息的安全。
其次,网络安全法对于敏感信息的标准也进行了明确规定。
敏感信息是指个人信息中可能导致个人安全和财产安全丧失或者个人声誉、身份特征等重大影响的信息。
法律规定了一些具体的敏感信息类别,如个人身份证件号码、个人生物识别信息、个人财产信息等。
对于收集、使用和保护敏感信息,网络运营者需要获得被收集个人的明示同意,并且要采取额外的安全保护措施。
此外,网络运营者还需要明确敏感信息的存储期限,并且在存储期满后及时删除或匿名化处理。
个人信息保护和敏感信息标准的出台,对于保护个人隐私权和维护网络安全具有重要意义。
首先,个人信息的保护可以有效防止个人信息被滥用。
在互联网时代,个人信息的泄露和滥用已经成为了一个普遍存在的问题。
通过规范个人信息的收集和使用,网络安全法可以有效减少个人信息被滥用的风险,保护个人的隐私权。
其次,敏感信息的标准可以有效防止个人信息被滥用。
敏感信息往往具有较高的风险,一旦被不法分子获取,可能导致个人安全和财产安全的丧失。
网络安全法对敏感信息的特殊保护要求,可以有效降低敏感信息被滥用的风险,提高网络安全水平。
我国首个个人信息保护国家标准将于2013年2月1日起开始实施,该标准最显著的特点,就是将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的概念,而个人敏感信息就涉及个人隐私。
《信息安全技术个人信息保护指南》本指南由工业和信息化部信息安全协调司提出。
本指南由全国信息安全标准化技术委员会归口。
本指南起草单位:中国软件评测中心、大连软件行业协会、中国软件行业协会、中国互联网协会、中国通信企业协会通信网络安全专业委员会、北京金山安全软件有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京新浪互联信息服务有限公司、北京百合在线科技有限公司、上海花千树信息科技有限公司、北京百度网讯科技有限公司等单位。
本指南主要起草人:高炽扬、孙鹏、朱璇、严霄凤、朱信铭、曹剑。
伴随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显。
与此同时,滥用个人信息的现象随之出现,给社会秩序和人民切身利益带来了危害。
合理利用和有效保护个人信息已成为企业、个人和社会各界广泛关注的热点问题。
为提高个人信息保护意识,保护个人合法权益,促进个人信息的合理利用, 指导和规范利用信息系统处理个人信息的活动,制定本指南。
个人信息保护指南1范围本指南明确了个人信息处理原则和个人信息主体的权利,提出了个人信息的收集、加工、转移、使用、屏蔽和删除等行为要求。
法律、行政法规已规定了个人信息处理有关事项的,从其规定。
本指南适用于利用信息系统处理个人信息的活动。
2术语和定义下列术语和定义适用于本指南。
2.1个人信息personal in formatio n能够被知晓和处理、与具体自然人相关、能够单独或与其他信息结合识别该具体自然人的任何信息。
2.2个人信息主体subject of personal information个人信息指向的自然人。
2.3个人信息管理者adm ini strator of personal in formatio n对个人信息具有实际管理权的自然人或法人。
个人信息保护措施实施指南第一章总则 (3)1.1 制定目的与依据 (3)1.2 适用范围 (4)1.3 保护原则 (4)3.1 合法、正当、必要原则 (4)3.2 明确目的、限定范围原则 (4)3.3 最小化处理原则 (4)3.4 信息安全原则 (4)3.5 权利保障原则 (4)3.6 责任自负原则 (4)3.7 教育培训原则 (4)第二章个人信息保护政策 (4)2.1 政策制定 (4)2.1.1 制定原则 (4)2.1.2 制定流程 (5)2.2 政策宣传与培训 (5)2.2.1 宣传方式 (5)2.2.2 培训对象与内容 (5)2.2.3 培训方式 (5)2.3 政策修订与更新 (6)2.3.1 修订时机 (6)2.3.2 修订流程 (6)第三章个人信息收集与处理 (6)3.1 信息收集原则 (6)3.2 信息收集程序 (6)3.3 信息处理与存储 (7)第四章个人信息安全防护 (7)4.1 安全防护措施 (7)4.1.1 物理安全 (7)4.1.2 技术安全 (8)4.1.3 管理安全 (8)4.2 安全事件应对 (8)4.2.1 安全事件分类 (8)4.2.2 安全事件应对流程 (8)4.3 安全审计与评估 (8)4.3.1 安全审计 (8)4.3.2 安全评估 (9)第五章个人信息权限管理 (9)5.1 权限分配原则 (9)5.2 权限管理流程 (9)5.3 权限撤销与恢复 (10)第六章个人信息共享与传输 (10)6.1 共享与传输原则 (10)6.1.1 遵守法律法规 (10)6.1.2 最小化共享与传输 (10)6.1.3 明确共享与传输目的 (10)6.1.4 保证数据质量 (10)6.2 共享与传输程序 (11)6.2.1 共享与传输申请 (11)6.2.2 审批与审核 (11)6.2.3 签订共享与传输协议 (11)6.2.4 共享与传输实施 (11)6.3 共享与传输安全管理 (11)6.3.1 数据加密 (11)6.3.2 身份验证与授权 (11)6.3.3 数据访问控制 (11)6.3.4 数据审计与监控 (11)6.3.5 应急响应与处理 (11)第七章个人信息查询与更正 (12)7.1 查询与更正原则 (12)7.1.1 合法、正当、必要原则 (12)7.1.2 最小化处理原则 (12)7.1.3 信息安全原则 (12)7.2 查询与更正程序 (12)7.2.1 查询申请 (12)7.2.2 查询审核 (12)7.2.3 查询操作 (12)7.2.4 更正申请 (12)7.2.5 更正审核 (12)7.2.6 更正操作 (12)7.3 查询与更正记录 (13)7.3.1 记录内容 (13)7.3.2 记录保管 (13)7.3.3 记录查阅 (13)7.3.4 记录保存期限 (13)第八章个人信息删除与销毁 (13)8.1 删除与销毁原则 (13)8.1.1 遵循法律法规 (13)8.1.2 最小化处理 (13)8.1.3 明确责任 (13)8.1.4 安全可靠 (13)8.2 删除与销毁程序 (13)8.2.1 识别需要删除与销毁的个人信息 (13)8.2.2 审批流程 (14)8.2.3 执行删除与销毁操作 (14)8.2.4 验证删除与销毁结果 (14)8.2.5 备份与恢复 (14)8.3 删除与销毁记录 (14)8.3.1 建立记录制度 (14)8.3.2 记录保存 (14)8.3.3 定期审查 (14)8.3.4 异常处理 (14)第九章法律责任与纠纷处理 (14)9.1 法律责任界定 (14)9.1.1 违反个人信息保护措施的法律责任 (14)9.1.2 法律责任的具体规定 (15)9.2 纠纷处理程序 (15)9.2.1 纠纷报告 (15)9.2.2 调查与处理 (15)9.2.3 处理结果公示 (15)9.3 纠纷调解与仲裁 (15)9.3.1 调解 (15)9.3.2 仲裁 (15)9.3.3 诉讼 (16)第十章个人信息保护持续改进 (16)10.1 保护措施评估 (16)10.1.1 评估目的 (16)10.1.2 评估内容 (16)10.1.3 评估方法 (16)10.2 改进措施实施 (16)10.2.1 改进计划制定 (16)10.2.2 改进措施实施 (16)10.2.3 改进措施跟踪 (17)10.3 改进效果评价 (17)10.3.1 评价内容 (17)10.3.2 评价方法 (17)10.3.3 评价周期 (17)第一章总则1.1 制定目的与依据为了加强个人信息保护,维护个人信息安全,保障公民个人信息权益,依据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规,制定本指南。
个人信息保护影响评估报告的法律法规要求及遵循指南概述:个人信息保护在现代社会中变得越来越重要,特别是随着数字技术的快速发展。
为了确保个人信息的安全和隐私,越来越多的组织开始进行个人信息保护影响评估(PIA)。
本文将介绍个人信息保护影响评估报告所需的法律法规要求,并提供遵循指南,以确保合规性。
1. 法律法规要求:个人信息保护影响评估报告必须符合一系列的法律法规要求,以保障个人信息的隐私和安全。
以下是几个重要的法律法规:(a)欧洲通用数据保护条例(GDPR):该法规于2018年5月25日生效,适用于涉及欧盟居民个人信息的任何组织。
GDPR要求组织进行PIA,以确保合规性并保护个人信息的隐私权。
(b)加拿大个人信息保护和电子文件法(PIPEDA):该法规适用于私营部门对个人信息的收集、使用和披露。
根据PIPEDA,组织也需要进行PIA,并确保采取合适的保护措施来保护个人信息。
(c)美国加州消费者隐私法(CCPA):该法规于2020年1月1日生效,适用于对加州居民个人信息进行商业目的的组织。
根据CCPA,组织需要对个人信息进行评估和保护,并提供详细信息和选择权给消费者。
此外,还有其他国家和地区的个人信息保护法规,如澳大利亚《隐私法》、日本《个人信息保护法》等。
具体的法律法规要求会因地区而异,组织需要根据所在地的法律法规进行自查。
2. 遵循指南:为了确保个人信息保护影响评估报告的合规性,以下是一些遵循指南:(a)明确目标和范围:评估报告应明确确定评估的目标和范围。
这涉及确定评估的目的、涉及的个人信息的种类和敏感程度以及评估所覆盖的系统、流程和措施。
(b)风险和影响评估:报告应包括风险和影响评估,以识别和评估潜在的威胁和风险,并确定这些威胁和风险对个人信息的影响程度。
(c)保护和控制措施:报告应详细描述组织采取的保护和控制措施,以确保个人信息的安全和隐私。
这可以包括技术措施(如加密)、组织措施(如培训和政策)以及物理措施(如安全设施)。
个人信息保护的国际标准在数字化时代,个人信息保护成为了全球范围内亟需解决的问题。
随着互联网的普及和数据交换的全球化,国际社会纷纷制定出一系列的标准和法规来保护个人信息的隐私和安全。
本文将探讨个人信息保护的国际标准,并分析其对于个人隐私和数字安全的重要性。
一、国际标准概述个人信息保护的国际标准主要包括了ISO/IEC 29100:2011以及GDPR(General Data Protection Regulation)等。
ISO/IEC 29100是国际标准化组织(International Organization for Standardization,简称ISO)和国际电工委员会(International Electrotechnical Commission,简称IEC)合作制定的标准,旨在为组织和个人提供个人信息保护的基本原则和框架。
而GDPR则是欧盟制定的法规,于2018年5月25日生效,适用于所有处理欧盟居民个人信息的组织,规定了个人信息收集、存储、处理和传输等各个环节的规范。
二、个人信息保护的原则个人信息保护的国际标准遵循了一系列的原则,其中包括以下几个关键原则:1.合法性、公正性和透明性:个人信息的处理应当在法律框架内进行,并对个人进行公平且透明的告知。
2.目的限制:个人信息的收集和处理应当为明确的合法目的,并且不得超出这些目的的范围。
3.数据最小化原则:个人信息的收集应当满足实现所需目的的最低需求,不得过度收集和使用个人信息。
4.准确性原则:组织应当采取合理的措施来确保个人信息的准确性,并在必要时进行更新。
5.存储限制原则:个人信息应当在不超过必要时间的情况下进行存储,不得无限期地保留个人信息。
6.完整性和保密性:对于个人信息的安全,组织应当采取合理的安全措施,防止未经授权的访问、修改、删除或泄露。
7.个体权利保护原则:个人拥有对其个人信息的访问、更正、删除等权利,并且组织应当提供相关的机制来保护这些权利。
个人信息保护法指引个人信息保护法是指保护个人信息安全的法律法规,旨在保护个人信息的合法权益,规范个人信息的收集、存储、使用、传输和销毁等处理活动。
个人信息保护法的制定和实施对于维护个人隐私、防止个人信息泄露和滥用具有重要意义。
个人信息保护法的指引是为了对个人信息保护法的具体实施提供指导和解释。
指引通常由相关主管部门或机构制定,并根据个人信息保护法的具体要求制定相应的操作规范、流程和标准,以帮助企业、机构和个人正确合规地处理个人信息。
个人信息保护法的指引内容通常涵盖以下方面:1. 个人信息的概念和范围:明确什么样的信息被视为个人信息,以及这些信息的范围和类别。
2. 个人信息的收集、使用和存储:规范个人信息收集的合法性和合规性要求,包括明确收集个人信息需要提供的目的、范围和方式,以及个人信息的存储和管理要求。
3. 个人信息的传输和共享:规范个人信息的传输和共享方式,明确需要遵循的安全措施和规定。
4. 个人信息的权利和义务:明确个人信息主体的权利和义务,包括访问、更正、删除等权利,以及个人信息主体对个人信息保护的责任和义务。
5. 个人信息的安全保护:规定个人信息保护的技术、管理和组织措施,以确保个人信息安全的保护。
6. 个人信息的告知和同意:明确个人信息收集者应该向信息主体提供的告知事项,并规范取得信息主体同意的方式和要求。
7. 个人信息泄露和滥用的处理:规定个人信息泄露和滥用的报告、处理和追责机制。
8. 个人信息保护的监督和管理:明确个人信息保护的监督和管理机构,以及相应的监督和管理措施。
个人信息保护法的指引对于各个利益相关方具有重要指导意义,有助于提升个人信息保护意识,确保个人信息安全和隐私权的合法权益被充分保护。
个人数据保护和管理指南1. 简介本指南旨在为个人提供关于数据保护和管理的基本知识和指导。
在数字化时代,个人数据的保护和管理变得越来越重要,因此我们应该对如何保护和管理自己的数据有一定的了解和掌握。
2. 数据保护的重要性个人数据保护的重要性在于确保我们的个人信息不被滥用、泄露或不当使用。
数据泄露可能导致个人隐私泄露、身份盗窃和其他不良后果。
因此,我们需要采取适当的措施来保护我们的个人数据。
3. 数据保护的基本原则以下是保护个人数据的基本原则:- 合法性和透明性:个人数据的处理应基于合法依据,并且必须对个人透明可见。
- 目的限制:个人数据应仅用于事先明确的、合法的目的,并且不得超出这些目的进行处理。
- 数据最小化:个人数据的收集应限于必要的最小范围。
- 准确性:个人数据应准确且及时更新。
- 存储期限:个人数据不应长时间保留,应在达到处理目的后及时删除或匿名化。
- 安全性:个人数据应受到适当的安全措施保护,以防止未经授权的访问、泄露或损坏。
4. 个人数据管理的实践建议以下是一些个人数据管理的实践建议:- 了解数据使用政策:在提供个人数据之前,了解组织或服务提供商的数据使用政策,确保其符合数据保护的基本原则。
- 仅提供必要信息:仅在必要情况下提供个人数据,并避免提供过多的个人信息。
- 定期查看和更新隐私设置:定期检查和更新您在各个平台上的隐私设置,确保只有授权的人可以访问您的个人数据。
- 谨慎共享个人数据:仅与可信任的组织和个人共享您的个人数据,并谨慎处理共享请求。
- 强密码和身份验证:使用强密码保护您的在线账户,并启用双重身份验证以增加账户的安全性。
- 定期备份数据:定期备份您的重要数据,以防止数据丢失或损坏。
5. 数据泄露应对措施如果发生数据泄露,以下是一些应对措施:- 及时通知相关方:尽快通知相关方,包括组织、当地执法部门和个人受影响者。
- 更改密码和密钥:如果数据泄露涉及账户信息,立即更改相关账户的密码和密钥。
我国将出台保护个人信息行业标准近日,工信部直属的中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。
工信部安全协调司副司长欧阳武介绍说,这个指南能为行业开展自律工作提供了很好的参考,为企业处理个人信息制定了行为准则。
据介绍,我国信息技术保护不容乐观,甚至已形成利用个人信息从事非法获利的黑色链条。
特别是去年年底揭露出的中国互联网最大规模的泄密事件,将个人信息保护推向了风口浪尖。
许多发达国家很早已开始个人信息的保护研究和立法工作。
我国近年来也启动了个人信息保护的相关工作。
去年,全国信息安全标准化技术委员会提出制定个人信息保护指南。
这个委员会主要从事信息安全标准化工作,现任主任由工信部副部长杨学山兼任。
个人信息保护指南的全称是《信息安全技术、公共及商用服务信息系统个人信息保护指南》,标准由工信部直属的中国软件测评中心牵头,联合近30家单位起草。
该中心常务副主任黄子河透露说,指南目前还在等待批准文号,但其最终的发布应是“指日可待”。
但这个指南并非国家强制性标准。
■ 焦点个人信息用后立即删除在个人信息安全缺少专门法律规范时,一部行业标准成为业内的希望。
“去年正式通过了评审,报批国家标准”,中国电子信息产业发展研究院院长、中国软件评测中心主任罗文希望今年能通过这项标准,以拓展个人信息保护的体系。
《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。
工信部安全协调司副司长欧阳武介绍,“这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。
”“最少使用”的原则就是获取一个人的信息量时,只要能满足使用的目的就行。
黄子河举例说,一些网站本是办一个很小的事,却让用户填包括家庭住址、手机号在内等很多信息,这就不符合“最少使用”原则。
“安全保障”则是要个人信息管理者一旦收集了个人信息,就必须建立一套个人信息保护制度,明确责任人和内部管理流程,以及应对个人信息泄露的风险。
个人信息保护标准
个人信息保护的标准因国家和地区而异,但一般来说,应遵循以下几个原则:
1. 合法、正当、必要原则:处理个人信息应当遵循合法、正当、必要的原则,不得过度处理。
2. 知情同意原则:个人信息的处理应当在个人知情并且同意的情况下进行,除非法律另有规定。
3. 目的明确原则:个人信息的处理应当具有明确的处理目的,并且这些目的应当是合法、正当的。
4. 数据最小化原则:只处理与处理目的相关的最少数据,并且要尽可能确保这些数据不被滥用。
5. 安全保障原则:采取必要的技术和管理措施,确保个人信息的安全,防止数据泄露和其他损害。
6. 可追溯性原则:个人信息的处理应当可追溯和可审计,以便于追踪和发现问题。
7. 准确性原则:个人信息的处理应当确保其准确性,并及时更新。
8. 完整性原则:个人信息的处理应当确保其完整性,不得缺失或被篡改。
9. 透明性原则:个人信息的处理应当透明,个人有权知道自己的个人信息被如何处理以及使用。
10. 可访问性原则:个人有权访问自己的个人信息,并要求更正或删除。
11. 反对权原则:个人有权反对不合理的个人信息处理行为,例如基于个人偏见的处理。
12. 责任追究原则:对违反个人信息保护的行为,应当追究相关责任人的法律责任。
以上信息仅供参考,如需了解更多信息,建议查阅《个人信息保护法》等相关法律法规或咨询专业律师。
我国首个个人信息保护国家标准将于2013年2月1日起开始实施,该标准最显著的特点,就是将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的概念,而个人敏感信息就涉与个人隐私。
《信息安全技术个人信息保护指南》前言本指南由工业和信息化部信息安全协调司提出。
本指南由全国信息安全标准化技术委员会归口。
本指南起草单位:中国软件评测中心、软件行业协会、中国软件行业协会、中国互联网协会、中国通信企业协会通信网络安全专业委员会、金山安全软件、市腾讯计算机系统、奇虎科技、新浪互联信息服务、百合在线科技、花千树信息科技、百度网讯科技等单位。
本指南主要起草人:高炽扬、鹏、朱璇、严霄凤、朱信铭、剑。
引言伴随着信息技术的广泛应用和互联网的不断普与,个人信息在社会、经济活动中的地位日益凸显。
与此同时,滥用个人信息的现象随之出现,给社会秩序和人民切身利益带来了危害。
合理利用和有效保护个人信息已成为企业、个人和社会各界广泛关注的热点问题。
为提高个人信息保护意识,保护个人合法权益,促进个人信息的合理利用,指导和规利用信息系统处理个人信息的活动,制定本指南。
个人信息保护指南1围本指南明确了个人信息处理原则和个人信息主体的权利,提出了个人信息的收集、加工、转移、使用、屏蔽和删除等行为要求。
法律、行政法规已规定了个人信息处理有关事项的,从其规定。
本指南适用于利用信息系统处理个人信息的活动。
2术语和定义下列术语和定义适用于本指南。
2.1个人信息 personal information能够被知晓和处理、与具体自然人相关、能够单独或与其他信息结合识别该具体自然人的任何信息。
2.2个人信息主体 subject of personal information个人信息指向的自然人。
2.3个人信息管理者 administrator of personal information对个人信息具有实际管理权的自然人或法人。
2.4信息系统 information system由计算机与其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
六脉神剑袭来,新版国标《个人信息安全规范》显威安杰律师事务所蔡航、陈达伦2020年3月7日,新版GB/T 35273-2020《信息安全技术个人信息安全规范》(“2020版《规范》”)正式发布,替代现行的推荐性国家标准GB/T 35273-2017《信息安全技术个人信息安全规范》(“2017版《规范》”)。
《个人信息安全规范》尽管并非强制性规范,但在我国个人信息保护领域具备重要的引领地位,互联网企业在设计产品时多参照适用该规范。
2020版《规范》参考了近几年国外立法趋势和执法经验,反映了在应用新技术与商业模式创新时对信息安全和个人信息保护的高度关切,具有重要的指导意义。
为了让社会公众更快地掌握新版规范,我们对2020版《规范》和2017版《规范》进行了比对,并将其中最为关键的六大要点归纳如下:1.对提供多项业务功能的个人信息控制者提出更高要求2017版《规范》即要求个人信息控制者不得强迫个人信息主体提供其个人信息,但是运营企业在实践中容易规避该规定。
随着互联网服务日益平台化和集成化,单一App、业务网站通常集成多项业务功能,最为常见的授权做法是将全部业务功能所需要的个人信息授权全部打包在一份隐私政策内,在用户明示同意隐私政策后即可一劳永逸解决授权问题。
另一方面,这些业务功能名目繁多,某些类目有意地使用“改善体验”、“产品研发”等语焉不详、客户无法感知具体内容的描述。
在这种情况下,用户为了其不需要使用的某些功能而无意中额外地提供了使用个人信息的授权,违背了规范倡导的“最少够用”原则。
针对上述情形,2020版《规范》围绕“最少够用”原则,对提供多项业务功能的个人信息控制者提出了以下一系列要求:1.除去个人信息保护政策外,宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体作出具体的授权同意前,能充分考虑对其的具体影响;2.不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求;3.应把个人信息主体主动作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的业务功能开启条件,个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息;4.关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。
