3月,Facebook大规模数据泄露事件在全球范围再次引发了人们对个人隐私被滥用的关注。
5月1日,《信息安全技术 个人信息安全规范》(下称“规范”)正式启用。规范从收集、保存、使用、共享、转让、公开披露等个人信息处理活动方面进行了详细规定。
虽然该规范并非强制性法规,但在个人信息权益保护方面,也是不小的进步。下面玺哥将其中较为重要的章节摘录出来,和大家共同学习。
一、规范首次对“个人信息”和“个人敏感信息”进行了界定
在日常生活中,用户对隐私的概念更多的是一个笼统概念,个人信息概念认知较为模糊。在术语和定义中,规范首次对个人信息和个人敏感信息进行了区分。
1、个人信息
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定然人身份或者反映特定内然人活动情况的各种信息。
个人信息包括姓名、出生日期、×××件号码、个人生物物识別信息、住址、通信联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理理信息、交易信息等。
2、个人敏感信息
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
个人敏感信息包括×××件号码、个人生物识別信息、银行账号、通信记眾和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下(含)儿童的个人信息等。
在附录中,规范列举了多种个人信息/个人敏感信息的范围和类型。个人信息如:用户操作记录、IMEI信息、设备MAC地址等;个人敏感信息如:指纹、性取向、未公开的违法犯罪记录、网页浏览记录和精准定位信息等。
二、个人信息化安全基本原则
个人信息控制者(有权决定个人信息处理目的、方式等的组织或者个人)开展个人信息处理活动,应遵循以下基本原则:
1、权责一致原则——对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。
2、的明确原则——具有合法、正当、必要、明确的个人信息处理目的。
3、选择同意原则——向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意。
4、最够用原则——除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。
5、公开透明原则——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。
6、确保安全原则——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。
7、主体参与原则——向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。
三、对个人敏感信息的收集、使用规范
对信息控制主体信息收集的要求:
1、收集个人敏感信息时,应取得个人信息主体的明示同意。应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示;
2、通过主动提供或自动采集方式收集个人敏感信息前,应:1)向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息,并明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集;2)产品或服务如提供其他附加功能,需要收集个人敏感信息时,收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量。
本条强调明示同意是在个人信息主体完全之情的基础上自愿同意,并要求不能因为用户拒绝同意而停止提供核心业务功能,还需要保障相应的服务质量。
对于当前许多APP不同意授权就不能使用某些功能做做法,这一条还是有一定价值的。
2、个人信息的使用限制:
1、除目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像;
2、对所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别自然人个人身份,或者反映自然人个人活动情况的,应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围;
注:加工处理而产生的个人信息属于个人敏感信息的,对其处理应符合本标准对个人敏感信息的要求。
3、使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。 注:将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述,属于与收集目的具有合理关联的范围之内。但对外提供学术研究或描述的结果时,应对结果中所包含的个人信息进行去标识化处理。
四、个人信息的委托处理、共享、转让
委托处理:
委托处理个人信息时,应遵守以下要求:a)个人信息控制者作出委托行为,不得超出已征得个人信息主体授权同意的范围或遵守本标准5.4规定的情形;b)个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者具备足够的数据安全能力,提供了足够的安全保护水平;c) 受委托者应:1)严格按照个人信息控制者的要求处理个人信息。如受委托者因特殊原因未按照个人信息控制者的要求处理个人信息,应及时向个人信息控制者反馈;2)如受委托者确需再次委托时,应事先征得个人信息控制者的授权;3)协助个人信息控制者响应个人信息主体基于本标准提出的请求:4)如受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件,应及时向个人信息控制者反馈;5)在委托关系解除时不再保存个人信息。d)个人信息控制者应对受委托者进行监督,方式包括但不限于:1)通过合同等方式规定受委托者的责任和义务;2)对受委托者进行审计。e)个人信息控制者应准确记录和保存委托处理个人信息的情况。
个人信息共享、转让:
个人信息原则上不得共享、转让。个人信息控制者确需共享、转让时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组原因的,应遵守以下要求: a)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;b)向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别个人信息主体的除外;c)共享、转让个人敏感信息前,除b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;d)准确记录和保存个人信息的共享、转让的情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;e)承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任; f)帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等。
收购、兼并、重组时的个人信息转让:当个人信息控制者发生收购、兼并、重组等变更时,个人信息控制者应:a)向个人信息主体告知有关情况;b)变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。
在大数据,人工智能、区块链火热的当下,数据作为基础生产资料,其价值不言而喻。做好基础生产资料的安全保障工作,就是保障人们的基础生产安全,保障未来的数字经济安全。
《信息安全技术个人信息安全规范》内容十分丰富,以上只是玺哥认为重要的几点,如果大家想要更多的了解的话,玺哥建议大家仔细研读原文,相信会有不少收获。
原文地址:http://blog.51cto.com/hexiaini235/2110598