个⼈信息安全管理条例解释
⼀、前⾔
近年来,随着信息技术的快速发展和互联⽹应⽤的普及,越来越多的组织⼤量收集、使⽤个⼈信息。给⼈们⽣活带来便利的同时,也出现了对个⼈信息的 ⾮法收集、滥⽤、泄露 等问题,个⼈信息安全⾯临严重威胁。
为了保护公民个⼈隐私数据不被肆意收集、滥⽤、泄漏甚⾄⾮法售卖,各国政府纷纷出台相关法律政策⽂件,对公民个⼈隐私数据做出法律上的保护与⾏为规范。
2018年5⽉25⽇起,欧盟正式施⾏新版数据安全保护条例《General Data Protection Regulation》,即《⼀般数据保护条例》,⼈们认为史上最严的GDPR条款会改变整个互联⽹现状。
⽽我国也于2017年12⽉29号,由中华⼈名共和国国家质量监督检验检疫总局与中国国家标准化管理委员会联合发布《个⼈信息安全规范标准》,并规定于2018年5⽉1号起开始实施。
以上标准皆针对个⼈信息⾯临的安全问题,规范个⼈信息控制者在 收集、保存、使⽤、共享、转让、公开披露 等信息处理环节中的相关⾏为。旨在遏制个⼈信息⾮法收集、滥⽤、泄漏等乱象,最⼤程度地保障个⼈的合法权益和社会公共利益。
这些数据保护条例将会极⼤地影响⼤数据⾏业的从业者们,以往混乱的数据市场将会被极其严格的监管重新调整、洗牌,乱象消失之后,相信相关⾏业能够更加健康、稳健、安全地向前发展。
⼤数据⾏业的从业者们都应该了解并知晓相关基本的数据安全保护条例,健全⾃⾝数据安全意识,协助公司、⾏业⼀同完善数据安全管理体系。
本⽂以我国《个⼈信息安全规范标准》内容为主,参考部分欧盟《⼀般数据保护条例》,从 个⼈数据信息的收集、保存、使⽤、共享,到个⼈数据信息的安全事件处置、组织的管理要求 等⽅⾯解读需要从业者们关注的条规。
⼆、适⽤范围
我国《个⼈信息安全规范标准》(下⽂简称本标准),规范了开展 收集、保存、使⽤、共享、转让、公开披露 等个⼈信息处理活动应遵循的 原则和安全要求。
覆盖了个⼈信息处理活动的 全⽣命周期,并对周期内各个阶段的活动内容定义了相应 需要遵守的原则、需要做到的安全要求。
适⽤于规范 各类组织的个⼈信息处理活动,也适⽤于 主管监管部门、第三⽅评估机构 等组织对个⼈信息处理活动进⾏ 监督、管理和评估。
即所有涉及 个⼈信息处理活动的组织 都在本标准规定的范围中。且相关的监管机构在对组织进⾏评估时,本标准的内容将会是其参考依据。
三、术语与定义
本标准围绕着 个⼈信息处理活动 事件上定义了⽐较全⾯的基本术语与标准定义。这些术语定义将贯穿本标准全⽂,是理解本标准的基础元素。
个⼈信息
以电⼦或者其他⽅式记录的能够 单独或者与其他信息结合识别特定⾃然⼈⾝份、反映特定⾃然⼈活动情况 的各种信息。
如:姓名、出⽣⽇期、⾝份证件号码、个⼈⽣物识别信息、住址、通信通讯联系⽅式、通信记录和内容、账号密码、财产信息、征信信息、⾏踪轨迹、住宿信息、健康⽣理信息、交易信息等。
个⼈敏感信息
⼀旦泄露、⾮法提供或滥⽤可能 危害⼈⾝和财产安全,极易导致个⼈名誉、⾝⼼健康受到损害或歧视性待遇等的个⼈信息。
如:⾝份证件号码、个⼈⽣物识别信息、银⾏账号、通信记录和内容、财产信息、征信信息、⾏踪轨迹、住宿信息、健康⽣理信息、交易信息、14 岁以下(含)⼉童 的个⼈信息等。
个⼈信息主体
个⼈信息所标识的⾃然⼈,即 个⼈信息的拥有者。
个⼈信息控制者
有权决定 个⼈信息 处理⽬的、⽅式 等的组织或个⼈。
收集
获得对个⼈信息控制权 的⾏为,是个⼈信息控制者获取个⼈信息的⽅式,包括:
主动提供:由个⼈信息 主体主动提供
⾃动采集:通过与个⼈信息主体 交互或记录 个⼈信息主体⾏为等⾃动采集
间接获取:以及通过 共享、转让、搜集公开信息 等⽅式。
另外,如果服务商提供⼯具给个⼈信息主体使⽤,提供者 不对个⼈信息进⾏访问 则不属于本标准范围,⽐如⼯具软件不上传个⼈信息⾄提供者的情况。
明⽰同意
个⼈信息主体通过书⾯声明或 主动做出肯定性动作,对其个⼈信息进⾏特定处理做出 明确授权 的⾏为。
即个⼈信息主体 主动同意、主动授权 的⾏为,肯定性动作包括个⼈信息主体主动作出声明(电⼦或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。
⽤户画像
通过收集、汇聚、分析个⼈信息,对某特定⾃然⼈个⼈特征,如其职业、经济、健 康、教育、个⼈喜好、信⽤、⾏为等⽅⾯做出分析或预测,形成其个⼈特征模型的过程。
直接⽤户画像:直接使⽤特定⾃然⼈的个⼈信息,形成该⾃然⼈的特征模型。
间接⽤户画像:使⽤来源于特定⾃然⼈以外的个⼈信息,如其所在体的数据,形成该⾃然⼈的特征模型。
个⼈信息安全影响评估
针对 个⼈信息处理活动,检验其合法合规程度,判断其 对个⼈信息主体合法权益造成损害 的各种风险,以及评估⽤于 保护个⼈信息主体的各项措施有效性 的过程。
评估关键点:
是否有损害个⼈信息主体权益的风险
是否有保护个⼈信息的安全措施
删除
在实现⽇常业务功能所涉及的系统中去除个⼈信息的⾏为,使其 保持不可被检索、 访问的状态。
公开披露
向社会或不特定⼈发布信息的⾏为。
转让
将个⼈信息控制权由⼀个控制者向另⼀个控制者转移的过程。
共享
个⼈信息控制者向其他控制者提供个⼈信息,且 双⽅分别对个⼈信息拥有独⽴控制权 的过程。
去标识化
通过对个⼈信息的技术处理,使其在 不借助额外信息 的情况下,⽆法识别 个⼈信息主体的过程。
信用卡可以取现金吗去标识化建⽴在个体基础之上,保留了个体颗粒度,采⽤ 假名、加密、哈希函数 等技术⼿段替代对个⼈信息的标识。
匿名化
通过对个⼈信息的技术处理,使得个⼈信息主体 ⽆法被识别,且处理后的信息 不能被复原 的过程。
个⼈信息经 匿名化 处理后所得的信息 不属于个⼈信息。
匿名化是⼀种数据处理技术,可移除或修改个⼈⾝份信息,经过匿名化处理的数据 ⽆法⽤来与任何个⼈关联到⼀起。
常⽤的匿名化技术:
对数据进⾏泛化处理,实现K匿名效果
使⽤差别隐私向数据中添加噪声
丙申去标识化和匿名化的区别在于,信息⼀旦匿名化就再也⽆法与特定的⼈关联在⼀起且⽆法恢复,⽽去标识化后,借助⼀些辅助信息仍然可以判断信息所属的特定所有⼈。
四、个⼈信息安全基本原则
个⼈信息控制者开展个⼈信息处理活动,应遵循以下基本原则:
权责⼀致原则:对其个⼈信息处理活动对个⼈信息主体合法权益造成的损害 承担责任。
即如果个⼈信息处理过程中对,个⼈信息所有者造成损害的,需要承担相应责任。
⽬的明确原则:具有 合法、正当、必要、明确 的个⼈信息处理⽬的。
个⼈信息控制者对个⼈信息处理活动的⽬的,需要 合法合规。
选择同意原则:向个⼈信息主体明⽰个⼈信息处理⽬的、⽅式、范围、规则等,征求其 授权同意。
需要向个⼈信息所有者说明个⼈信息处理活动的详细内容,并向其征求同意后才可进⾏。
最少够⽤原则:除与个⼈信息主体另有约定外,只处理满⾜个⼈信息主体授权同意的⽬的所需的 最少个⼈信息类型和数量。⽬的达成后,应及时 根据约定删除个⼈信息。
对于个⼈信息的处理活动,应该取涉及业务范围内的最⼩内容,满⾜业务需求即可。
业务⽬标完成后,如有约定应及时删除个⼈信息。
公开透明原则:以明确、易懂和合理的⽅式公开处理个⼈信息的 范围、⽬的、规则 等,并接受外部监督。
合理 地向外部披露个⼈信息处理活动的涉及范围、处理⽬的以及处理规则。
确保安全原则:具备与所⾯临的 安全风险相匹配的安全能⼒,并采取 ⾜够的管理措施和技术⼿段,保护个⼈信息的保密性、完整性、可⽤性。
对个⼈信息的处理过程中,需要有 安全能⼒、管理措施和技术⼿段 保护个⼈信息 不泄露、不篡改、不缺失。
主体参与原则:向个⼈信息主体提供能够访问、更正、删除其个⼈信息,以及撤回同意、注销账户等⽅法。
个⼈信息主体可以要求个⼈信息控制者对其个⼈信息进⾏ 增删改查操作,并可以 撤回此前的授权同意。
个⼈信息安全基本原则从个⼈信息处理活动的 事前、事中、事后 等各个⽅⾯为个⼈信息控制者规范了其 需要遵守的基本原则,进⾏个⼈信息处理活动的相关⼈员应以此原则为基础 规范及完善其处理⾏为。
以此原则为基础,5-10章将对个⼈信息处理活动中各个环节展开详细的要求与解释。
五、个⼈信息的收集
收集个⼈信息的合法性要求
不得欺诈、诱骗、强迫 个⼈信息主体提供其个⼈信息,必须为 主动同意;
不得隐瞒 产品或服务所具有的收集个⼈信息的功能,相关收集功能需 明确说明;
不得从 ⾮法渠道 获取个⼈信息;
不得收集法律法规 明令禁⽌ 收集的个⼈信息。
收集个⼈信息的最⼩化要求
收集的个⼈信息的类型 应与实现产品或服务的 业务功能有直接关联。直接关联是指没有该信息的参与,产品或服务的功能⽆法实现。
与业务⽆关的信息不应收集;
⾃动采集个⼈信息的频率 应是实现产品或服务的业务功能所 必需的最低频率,以业务能够运⾏的最低频率收集;
⾃动采集时,不得妨碍相关⽹站正常运⾏。严重影响⽹站运⾏,如⾃动化访问收集流量超过⽹站⽇均流量三分之⼀,⽹站要求停⽌⾃动化访问收集时,应当停⽌。
间接获取 个⼈信息的数量 应是实现产品或服务的业务功能所 必需的最少数量,保持业务能够运⾏的数量后不应增加收集的数据量。
收集个⼈信息时的授权同意
收集个⼈信息前,应向个⼈信息主体 明确告知 所提供产品或服务的不同业务功 能分别收集的个⼈信息类型,以及收集、使⽤个⼈信息的规则,并获得个⼈信息主体的 授权同意;
例如收集和使⽤个⼈信息的⽬的、收集⽅式和频率、存放地域、存储期限、⾃⾝的数据安全能⼒、对外共享、转让、公开披露的有关情况等
陌生的恋人改编自哪本小说间接获取个⼈信息时:
应要求个⼈信息提供⽅说明个⼈信息来源,并对其 个⼈信息来源的合法性 进⾏确认;
应了解个⼈信息提供⽅已获得的个⼈信息处理的 授权同意范围,包括使⽤⽬的,个⼈信息主体 是否授权同意转让、共享、公开披露 等。
如本组织开展业务需进⾏的个⼈信息处理活动 超出该授权同意范围,应在获取个⼈信息后的合理期限内或处理个⼈信息前,征得个⼈信息主体的明⽰同意。
征得授权同意的例外
以下情形中,个⼈信息控制者收集、使⽤个⼈信息⽆需征得个⼈信息主体的授权同意:
与国家安全、国防安全直接相关的;
与公共安全、公共卫⽣、重⼤公共利益直接相关的;
冰箱的保养
与犯罪侦查、起诉、审判和判决执⾏等直接相关的;
出于维护个⼈信息主体或其他个⼈的⽣命、财产等重⼤合法权益但⼜很难得到本⼈同意的;
所收集的个⼈信息是个⼈信息主体⾃⾏向社会公众公开的;
从合法公开披露的信息中收集个⼈信息的,如合法的新闻报道、政府信息公开 等渠道;
根据个⼈信息主体要求签订和履⾏合同所必需的;
⽤于维护所提供的产品或服务的安全稳定运⾏所必需的,例如发现、处置产品或服务的故障;
个⼈信息控制者为新闻单位且其在开展合法的新闻报道所必需的;
个⼈信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个⼈信息进⾏去标识化处理的;
法律法规规定的其他情形。
收集个⼈敏感信息时的明⽰同意
收集个⼈敏感信息时,应取得个⼈信息主体的明⽰同意。应确保个⼈信息主体的明⽰同意是其 在完全知情的基础上⾃愿给出的、具体的、清晰明确的愿望表⽰;
通过主动提供或⾃动采集⽅式收集个⼈敏感信息前:
对于核⼼业务功能:应向个⼈信息主体告知所提供产品或服务 核⼼业务功能及所必需收集的个⼈敏感信息,并明确告知拒绝提供或拒绝同意将 带来的影响。应允许个 ⼈信息主体选择是否提供或同意⾃动采集;
唐山大地震死了多少人?伤了多少人?对于附加产品功能:需要收集个⼈敏感信息时,收集前应向个⼈信息主体 逐⼀说明 个⼈敏感信息为完成何种附加功能所必需,并允许个⼈信息主体 逐项选择是否提供或同意 ⾃动采集个⼈敏感信息。当个⼈信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由 停⽌提供核⼼业务功能,并应保障相应的服务质量。
收集 年满14的未成年⼈ 的个⼈信息前,应征得 未成年⼈或其监护⼈的明⽰同意; 不满14周岁 的,应征得其 监护⼈的明⽰同意。
隐私政策的内容和发布
个⼈信息控制者应制定隐私政策,内容应包括但不限于:
个⼈信息控制者的 基本情况,包括注册名称、注册地址、常⽤办公地点和 相关负责⼈的联系⽅式等;
收集、使⽤个⼈信息的⽬的,以及⽬的所涵盖的 各个业务功能,例如将个⼈信息⽤于推送商业⼴告,将个⼈信息⽤于形成直接⽤户画像及其⽤途等;
大学学生会竞选演讲稿各业务功能分别收集的个⼈信息,以及收集⽅式和频率、存放地域、存储 期限等个⼈信息处理规则和实际收集的个⼈信息范围;
对外共享、转让、公开披露个⼈信息的⽬的、涉及的个⼈信息类型、接收个⼈信息的 第三⽅类型,以及所承担的相应法律责任;
遵循的个⼈信息安全基本原则,具备的数据安全能⼒,以及采取的个⼈信息安全保护措施;个⼈信息主体的权利和实现机制,如访问⽅法、更正⽅法、删除⽅法、注销账户的⽅法、撤回同意的⽅法、获取个⼈信息副本的⽅法、约束信息系 统⾃动决策的⽅法等;
提供个⼈信息后 可能存在的安全风险,及不提供个⼈信息 可能产⽣的影响;
处理个⼈信息主体 询问、投诉的渠道和机制,以及 外部纠纷解决机构及联络⽅式。
隐私政策所告知的信息应 真实、准确、完整;
隐私政策的内容应清晰易懂,符合通⽤的语⾔习惯,使⽤标准化的数字、图⽰等,避免使⽤有歧义的语⾔,并在起始部分提供摘要,简述告知内容的重点;
隐私政策应 公开发布且易于访问,例如,在⽹站主页、移动应⽤程序安装页、社交媒体⾸页等显著位置设置链接;
隐私政策应 逐⼀送达个⼈信息主体。当成本过⾼或有显著困难时,可以公告的形式发布;
在第⼀条所载事项发⽣变化时,应 及时更新隐私政策 并重新告知个⼈信息主体。
六、个⼈信息的保存
个⼈信息保存时间最⼩化
个⼈信息保存期限应为实现⽬的所必需的 最短时间;
超出上述个⼈信息保存期限后,应对个⼈信息进⾏ 删除或匿名化处理。
去标识化处理
收集个⼈信息后,个⼈信息控制者宜 ⽴即进⾏去标识化处理,并采取技术和管理⽅⾯的措施,将 去
标识化后的数据与可⽤于恢复识别个⼈的信息分开存储,并确保在后续 的个⼈信息处理中 不重新识别个⼈。
个⼈敏感信息的传输和存储
传输和存储个⼈敏感信息时,应采⽤ 加密等安全措施;
存储 个⼈⽣物识别信息 时,应采⽤技术措施处理后再进⾏存储,例如仅存储个⼈⽣物识别信息的 摘要
个⼈信息控制者停⽌运营
当个⼈信息控制者停⽌运营其产品或服务时,应:
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论