最新变化!解读《信息安全技术个人信息安全规范》
随着网络技术的日新月异,对于个人信息保护的困难程度也在与日俱增。法律法规作为维护公平正义的有力防线,必须要在此问题上作出与时俱进的回应。《个人信息安全规范》的出台,对于个人信息保护来说,是一个强有力的信号,也为个人信息保护起到了良好的屏障作用。规范对个人信息收集、储存、使用做出了明确规定,并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力。规范将于2020年10月1日正式实施。
《个人信息安全规范》共分为十个章节,其中包括范围,规范性引用文件,术语和定义,个人信息安全基本原则,个人信息的收集,个人信息的保存,个人信息的使用,个人信息的委托处理、共享、转让、公开披露,个人信息安全事件处置以及组织的管理要求。其中,个人信息的收集,存储,使用,委托处理、共享、转让、公开披露是个人信息在流转过程中的常见行为。
01
信息收集最小化要求
根据《个人信息安全规范》,在个人信息的收集过程中,需要遵循合法性以及信息收集最小化的要求,也即直接关联、最低频率和最少数量。在收集个人信息时,一般情形下必须获得个人信息主体在明确该收集行为前提下的完全同意,只有当该信息与国家安全、公共安全或者犯罪侦查等公共项目相关时,方可不经个人信息主体同意而对其个人信息进行强制收集。而对于个人信息中的敏感内容,必须经过个人信息主体的明示同意方可收集。可见,在个人信息保护问题上,作为信息源头的收集过程已逐渐得到细化规制。
02
信息保存去标识化处理
个人信息的保存问题,要求对于信息的保存要做到去标识化处理,同时保存时间要遵循所需时间的最短要求,在信息的传输过程中也必须做到高度的安全防范措施,以避免个人信息在传输或者保存过程中出现不当泄露。同时,个人信息在展示及使用时的场合、范围限制,还是个人信息的访问、删除、更正以及撤回问题,都有严格的程序及原则要求。
03
2020版与2017版的重点对比
延续七大原则
2020版继续沿用了2017版的七大原则,分别是:权责一致原则、目的明确原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则、主体参与原则。虽未明确定义“准确和质量、问责、收集限制、隐私合规”等原则,略感遗憾,但相关原则的控制措施却跃然纸上。
定义控制者的义务
在架构上持续强调个人信息控制者应承担的义务,而未明确定义个人信息处理者、个人信息联合控制者、个人信息外包方等角色应履行的义务。
要求的变化
1、选择同意原则下:
新增要求“不强迫接受多项业务功能:当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求”。强调了“隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不应将其视为个人信息主体要求签订的合同”。
2、收集及使用的变化:
在目的明确原则下,新增要求“如产品或服务仅提供一项收集、使用个人信息的业务功能时,个人信息控制者可通过隐私政策的形式,实现向个人信息主体的告知;产品或服务提供多项收集、使用个人信息的业务功能的,除隐私政策外,个人信息控制者宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响”。
3、确保安全原则下,新增的要求较多,分别是:
1)“将个人生物识别信息的原始信息和摘要分开存储”的技术要求。
2)在信息系统自动决策机制的使用中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施、向个人信息主体提供针对自动决策结果的申诉渠道,并对自动决策结果进行人工复核。
3)明确组织应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。如采用公布投诉、举报方式等信息并及时受理投诉举报、与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况等。
4)要求组织记录的内容包括:所涉及个人信息的类型、数量、来源(例如从个人信息主体直接收集或通过间接获取方式获得);根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况。
4、在最少够用的原则下,新增的要求较多,分别是:
1)要求了用户个人画像的特征描述不能为“淫秽、色情、赌博、迷信、恐怖、暴力”;业务运营或对外业务合作中使用用户画像不能侵害保护公民、法人和其他组织的合法权益,不能危害国家安全、荣誉和利益。
2)除为达到主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。
3)在向主体推送新闻信息服务的过程中使用个性化展示时应:显著区分个性化推送服务,如标明“个性化展示”或“定推”等字样,为主体提供简单直观的退出或关闭个性化展示模式的选项。
4)电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。
5)在向主体提供业务功能的过程中,如使用个性化展示时,建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力。
6)当个人信息主体选择退出个性化展示模式时,应向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
5、主体提供者查询方法及各种操作权限:
在公开透明原则的原则下,新增要求应向主体提供查询方法,能让主体知晓持有的个人信息的类型;上述个人信息的来源、所用于的目的;已经获得上述个人信息的第三方身份或类型;宜直接在产品或服务提供的功能界面中(例如应用程序可设置专门的选项、功能、界面等)设置相应的机制,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利。
6、新增的其他要求包括:
1)应承担第三方接入管理
2)收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
在《个人信息安全规范》中,个人信息从收集到最终的注销等一系列环节,都有相应需要遵守的原则及方法,以期通过评估、监督等多种方式,准确估计个人信息安全系数,最大程度避免个人信息的泄露及不当利用,从而确保个人隐私不被侵犯,同时个人的人身安全得到保障。助力个人信息安全保护,三思网安可提供以下服务,帮助企业移动应用的安全合规化发展。
高级渗透测试
PTS(Penetration Test Service)高级渗透测试服务是由三思公司的渗透测试专家(来自于CCERT安全实验室),模拟黑客的攻击方法,对信息系统的安全现状进行评估的一种方法。渗透测试过程包括对系统的弱点、技术缺陷或漏洞的主动分析,并通过对发现的漏洞进行利用,从而达到测试目的。
网络安全托管
三思公司的信息系统专家组(来自于CCERT安全实验室)为广大客户提供MSS(Managed Security Services)安全托管服务,对托管系统的安全配置与管理全面负责,为客户提供可跟踪管理的安全配置管理。安全管理服务涵盖客户主要服务器系统、防火墙系统、网络基础设施(包括路由器和交换机),保障客户的主要业务系统安全稳定运行,防止客户的系统受到入侵或攻击者损害。
PCI DSS认证
支付行业数据安全标准PCI DSS,全称为Payment Card Industry Data Security Standard,是由PCI安全标准委员会的创始成员——Visa、Mastercard、American Express、Discover Financial Services、JCB制定,在全球推行的金融领域数据安全标准。PCI DSS提供用于保护持卡人信息安全的技术与作业要求标准,适用于所有涉及支付卡处理的实体,包括银行、商户、处理机构、发行商和服务提供商以及储存、处理或传输持卡人数据的所有其他实体。
来源:爱加密独家解读|《信息安全技术个人信息安全规范》https://www.freebuf.com/column/229863.html