个人信息保护需要指导性标准_访中国软件评测中心副主任高炽扬_李杰
个人信息保护标准
个人信息保护标准在当今信息化社会,个人信息的保护越来越受到重视。
随着互联网的快速发展,个人信息泄露的风险也在不断增加。
因此,建立和完善个人信息保护标准显得尤为重要。
首先,个人信息保护标准应当包括个人信息的收集和使用。
在收集个人信息时,必须经过信息主体的明示同意,并且明确告知信息的收集目的、范围和方式。
在使用个人信息时,应当严格按照法律法规的规定进行,并且不得超出事先约定的范围。
同时,个人信息的使用应当遵循合法、正当、必要的原则,不得违反信息主体的意愿和利益。
其次,个人信息保护标准还应包括个人信息的存储和保护。
个人信息的存储应当采取合理、必要的措施,确保信息的安全性和完整性。
对于敏感个人信息,更应当加强安全防护,采取加密、隔离等措施,防止信息泄露和滥用。
此外,个人信息的保护还需要建立健全的信息安全管理制度,明确责任部门和责任人,加强对信息安全的监督和检查。
此外,个人信息保护标准还应包括个人信息的共享和传输。
在个人信息共享时,应当明确共享的目的、范围和方式,并且获得信息主体的明示同意。
在个人信息传输时,应当采取安全可靠的传输通道,确保信息在传输过程中不被窃取或篡改。
同时,个人信息的接收方也应当具备相应的信息安全保护能力,确保信息在接收后得到妥善保护。
最后,个人信息保护标准还应包括个人信息的销毁和处理。
在个人信息不再需要时,应当及时进行销毁或者匿名化处理,确保信息不再被他人获取和利用。
对于违法、违规获取的个人信息,应当立即停止使用,并且报告有关部门进行处理。
总之,个人信息保护标准是保障个人信息安全的重要手段,对于企业和组织来说,建立健全的个人信息保护制度,加强信息安全管理,不仅是法律法规的要求,也是企业社会责任的体现。
只有做好个人信息保护工作,才能更好地保护信息主体的合法权益,促进信息化社会的健康发展。
个人信息安全行为规范2024-2025学年高二上学期高中信息技术必修2第4章人教中图版(2019)
实践活动二: 制订班级网络交流群的群规
为了方便学习和交流,赵宇的班级也建立了网络交流群。可是 ,经常有同学在交流群里毫无目的地聊天,在浪费自己时间的同时 ,也扰乱了大家的学习和生活。和小组成员进行交流,为自己班级 的网络交流群制订群规。
03 发布和转发信息
情境5:
转发信息勿随意一天放学后,晓君和同学过马路时看到红灯亮 了,于是停下了脚步。这时,斑马线中间,一位老人拄着拐杖正缓 慢地过马路,周围还有好几个同校的学生。同学以为他们在闯红灯, 想拍下来进行曝光。晓君发现,这些同学是故意放慢脚步的,目的 是为了提醒车辆等候老人过马路。他们都被这一幕感动了,立刻拿 手机拍下了这个场面。
网上交流要做到:
1、网上交流需使用文明语言。 2、网络语言要根据场合谨慎使用,网络交 流中,要少用、不用网络语言,多使用文明规范 词语,对于书面正式文件应该使用规范语言文字。
书写邮件要做到:
1、邮件内容简洁、主题明确。
2、书写邮件,要写清楚邮件主题,便于收 件人识别。
3、定期查看邮箱,收到邮件,及时回复。
晓君回家后把照片发到了学校群里,并配有 文字描述。同学们都被这则消息感动了!
发布和转发信息要做到
1、发布和转发信息时,要遵守网络文明礼仪、道德准则以及国 家的法律法规,保证内容的真实性,不能随意发布和转发虚假信息, 坚决不造谣、不传谣,为营造一个充满正能量的网络空间贡献力量。
2、发布和转发正面、积极和有利于学习的信息, 宣传善良、美好、正义的信息。不发布和转发违背道 德、违反法律的以及广告类和哗众取宠类信息。
5.其他途径有(
)。
02 交流和表达信息
情境4:
互联网个人信息安全保护指南
GB/T 25069—2010 信息安全技术 术语 GB/T 35273—2017 信息安全技术 个人信息安全规范 GB/T 22239 信息全等级保护基本要求)
轨迹、住宿信息、健康生理信息、交易信息等。 3.2
个人信息主体 个人信息所标识的自然人。 [GB/T 35273-2017,定义 3.3] 3.3 个人信息持有 对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。 3.4 个人信息持有者 对个人信息进行控制和处理的组织或个人。 3.5
互联网个人信息安全保护指南
目次
目 次 ...........................................................................II 引 言 ..........................................................................III 1 范围 ..............................................................................1 2 规范性引用文件.....................................................................1 3 术语和定义 ........................................................................1 4 管理机制 ..........................................................................2
26164867_《个人信息保护法》视角下精准推送的风险及应对
《个人信息保护法》视角下精准推送的事实风险精准推送在移动互联网时代如影随形在个人信息保护法时代,互联网用户每天都会收到一些推送广告或者其他推送信息,大多数用户都发现这些推送信息的内容或多或少都与自己相关,例如搜索过某样商品之后不久就收到了同款商品的广告。
精准推送因跟个人兴趣、社交关系等关联度较高,确实可以在很大程度上提高效率,节约用户对信息进行筛选的时间。
然而,很多用户觉得在这一过程中自己的信息安全没有得到保障,个人信息和隐私在无形中遭到侵犯。
2021年8月20日通过的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第4条对个人信息及个人信息的处理作出明确的定义,该法第24条对使用自动化决策进行处理的行为进行严格规制。
随着互联网领域的发展,人们日常生活几乎已经无法脱离互联网,大数据精准推送这一概念随着互联网技术的发展应运而生。
精准推送是指互联网中的平台运营者对其所收集的用户的信息,例如通讯录、搜索记录、浏览记录、聊天记录等信息进行处理后,再向用户推送可能感兴趣的商品、广告、视频等,或者推送可能认识的人,即针对特定的人推送特定的信息。
用户难以有效拒绝精准推送精准推送的过程大致分为三个阶段:收集用户信息,分析信息数据,根据用户画像推送信息。
这一过程主要涉及《个人信息保护法》中个人信息处理规则,从《个人信息保护法》角度来分析其中可能存在的法律问题,主要存在于是否获得有效同意以及特别规定的需要取得单独同意或书面同意。
实践中,获得用户同意的告知书内容往往繁杂,用户基本没有耐心将全部内容都读完就选择了同意,这种同意是否有效决定了处理者是否有权进行处理的行为。
自动化决策的问题主要集中在其透明度上:大多数自动化决策都是“悄悄地”进行,既没有告知,也没有给予用户拒绝或选择的权利。
精准推送的社会关注度日益提高近年来,由精准推送引起的案件纠纷时有发生,如凌某某诉北京微播视界科技有限《个人信息保护法》视角下精准推送的风险及应对数字经济时代,作为多数企业都在使用的精准推送技术,渗透至社会生活各个方面,在满足用户的多元需求的同时也推动了数字经济的发展。
网络安全法中的个人信息保护与敏感信息标准
网络安全法中的个人信息保护与敏感信息标准随着互联网的飞速发展,个人信息保护成为了一个备受关注的话题。
为了规范网络空间中的个人信息的收集、使用和保护,我国于2017年6月1日正式实施了《中华人民共和国网络安全法》。
该法律对于个人信息保护提出了一系列要求,并明确了敏感信息的标准。
本文将从个人信息保护和敏感信息标准两个方面进行探讨。
首先,网络安全法对于个人信息保护提出了明确要求。
根据该法,个人信息是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份的各种信息。
法律规定了个人信息的收集、使用和保护原则,要求个人信息的收集必须经过被收集个人的同意,并且要告知被收集个人的信息收集目的、方式和范围。
同时,个人信息的使用必须遵循合法、正当和必要的原则,不得超出与收集目的相关的范围。
个人信息的保护要求网络运营者采取技术措施和其他必要措施,保障个人信息的安全。
其次,网络安全法对于敏感信息的标准也进行了明确规定。
敏感信息是指个人信息中可能导致个人安全和财产安全丧失或者个人声誉、身份特征等重大影响的信息。
法律规定了一些具体的敏感信息类别,如个人身份证件号码、个人生物识别信息、个人财产信息等。
对于收集、使用和保护敏感信息,网络运营者需要获得被收集个人的明示同意,并且要采取额外的安全保护措施。
此外,网络运营者还需要明确敏感信息的存储期限,并且在存储期满后及时删除或匿名化处理。
个人信息保护和敏感信息标准的出台,对于保护个人隐私权和维护网络安全具有重要意义。
首先,个人信息的保护可以有效防止个人信息被滥用。
在互联网时代,个人信息的泄露和滥用已经成为了一个普遍存在的问题。
通过规范个人信息的收集和使用,网络安全法可以有效减少个人信息被滥用的风险,保护个人的隐私权。
其次,敏感信息的标准可以有效防止个人信息被滥用。
敏感信息往往具有较高的风险,一旦被不法分子获取,可能导致个人安全和财产安全的丧失。
网络安全法对敏感信息的特殊保护要求,可以有效降低敏感信息被滥用的风险,提高网络安全水平。
信息安全技术个人信息保护指南
我国首个个人信息保护国家标准将于2013年2月1日起开始实施,该标准最显著的特点,就是将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的概念,而个人敏感信息就涉及个人隐私。
《信息安全技术个人信息保护指南》本指南由工业和信息化部信息安全协调司提出。
本指南由全国信息安全标准化技术委员会归口。
本指南起草单位:中国软件评测中心、大连软件行业协会、中国软件行业协会、中国互联网协会、中国通信企业协会通信网络安全专业委员会、北京金山安全软件有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京新浪互联信息服务有限公司、北京百合在线科技有限公司、上海花千树信息科技有限公司、北京百度网讯科技有限公司等单位。
本指南主要起草人:高炽扬、孙鹏、朱璇、严霄凤、朱信铭、曹剑。
伴随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显。
与此同时,滥用个人信息的现象随之出现,给社会秩序和人民切身利益带来了危害。
合理利用和有效保护个人信息已成为企业、个人和社会各界广泛关注的热点问题。
为提高个人信息保护意识,保护个人合法权益,促进个人信息的合理利用, 指导和规范利用信息系统处理个人信息的活动,制定本指南。
个人信息保护指南1范围本指南明确了个人信息处理原则和个人信息主体的权利,提出了个人信息的收集、加工、转移、使用、屏蔽和删除等行为要求。
法律、行政法规已规定了个人信息处理有关事项的,从其规定。
本指南适用于利用信息系统处理个人信息的活动。
2术语和定义下列术语和定义适用于本指南。
2.1个人信息personal in formatio n能够被知晓和处理、与具体自然人相关、能够单独或与其他信息结合识别该具体自然人的任何信息。
2.2个人信息主体subject of personal information个人信息指向的自然人。
2.3个人信息管理者adm ini strator of personal in formatio n对个人信息具有实际管理权的自然人或法人。
个人信息保护措施实施指南
个人信息保护措施实施指南第一章总则 (3)1.1 制定目的与依据 (3)1.2 适用范围 (4)1.3 保护原则 (4)3.1 合法、正当、必要原则 (4)3.2 明确目的、限定范围原则 (4)3.3 最小化处理原则 (4)3.4 信息安全原则 (4)3.5 权利保障原则 (4)3.6 责任自负原则 (4)3.7 教育培训原则 (4)第二章个人信息保护政策 (4)2.1 政策制定 (4)2.1.1 制定原则 (4)2.1.2 制定流程 (5)2.2 政策宣传与培训 (5)2.2.1 宣传方式 (5)2.2.2 培训对象与内容 (5)2.2.3 培训方式 (5)2.3 政策修订与更新 (6)2.3.1 修订时机 (6)2.3.2 修订流程 (6)第三章个人信息收集与处理 (6)3.1 信息收集原则 (6)3.2 信息收集程序 (6)3.3 信息处理与存储 (7)第四章个人信息安全防护 (7)4.1 安全防护措施 (7)4.1.1 物理安全 (7)4.1.2 技术安全 (8)4.1.3 管理安全 (8)4.2 安全事件应对 (8)4.2.1 安全事件分类 (8)4.2.2 安全事件应对流程 (8)4.3 安全审计与评估 (8)4.3.1 安全审计 (8)4.3.2 安全评估 (9)第五章个人信息权限管理 (9)5.1 权限分配原则 (9)5.2 权限管理流程 (9)5.3 权限撤销与恢复 (10)第六章个人信息共享与传输 (10)6.1 共享与传输原则 (10)6.1.1 遵守法律法规 (10)6.1.2 最小化共享与传输 (10)6.1.3 明确共享与传输目的 (10)6.1.4 保证数据质量 (10)6.2 共享与传输程序 (11)6.2.1 共享与传输申请 (11)6.2.2 审批与审核 (11)6.2.3 签订共享与传输协议 (11)6.2.4 共享与传输实施 (11)6.3 共享与传输安全管理 (11)6.3.1 数据加密 (11)6.3.2 身份验证与授权 (11)6.3.3 数据访问控制 (11)6.3.4 数据审计与监控 (11)6.3.5 应急响应与处理 (11)第七章个人信息查询与更正 (12)7.1 查询与更正原则 (12)7.1.1 合法、正当、必要原则 (12)7.1.2 最小化处理原则 (12)7.1.3 信息安全原则 (12)7.2 查询与更正程序 (12)7.2.1 查询申请 (12)7.2.2 查询审核 (12)7.2.3 查询操作 (12)7.2.4 更正申请 (12)7.2.5 更正审核 (12)7.2.6 更正操作 (12)7.3 查询与更正记录 (13)7.3.1 记录内容 (13)7.3.2 记录保管 (13)7.3.3 记录查阅 (13)7.3.4 记录保存期限 (13)第八章个人信息删除与销毁 (13)8.1 删除与销毁原则 (13)8.1.1 遵循法律法规 (13)8.1.2 最小化处理 (13)8.1.3 明确责任 (13)8.1.4 安全可靠 (13)8.2 删除与销毁程序 (13)8.2.1 识别需要删除与销毁的个人信息 (13)8.2.2 审批流程 (14)8.2.3 执行删除与销毁操作 (14)8.2.4 验证删除与销毁结果 (14)8.2.5 备份与恢复 (14)8.3 删除与销毁记录 (14)8.3.1 建立记录制度 (14)8.3.2 记录保存 (14)8.3.3 定期审查 (14)8.3.4 异常处理 (14)第九章法律责任与纠纷处理 (14)9.1 法律责任界定 (14)9.1.1 违反个人信息保护措施的法律责任 (14)9.1.2 法律责任的具体规定 (15)9.2 纠纷处理程序 (15)9.2.1 纠纷报告 (15)9.2.2 调查与处理 (15)9.2.3 处理结果公示 (15)9.3 纠纷调解与仲裁 (15)9.3.1 调解 (15)9.3.2 仲裁 (15)9.3.3 诉讼 (16)第十章个人信息保护持续改进 (16)10.1 保护措施评估 (16)10.1.1 评估目的 (16)10.1.2 评估内容 (16)10.1.3 评估方法 (16)10.2 改进措施实施 (16)10.2.1 改进计划制定 (16)10.2.2 改进措施实施 (16)10.2.3 改进措施跟踪 (17)10.3 改进效果评价 (17)10.3.1 评价内容 (17)10.3.2 评价方法 (17)10.3.3 评价周期 (17)第一章总则1.1 制定目的与依据为了加强个人信息保护,维护个人信息安全,保障公民个人信息权益,依据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规,制定本指南。
个人信息保护影响评估报告的法律法规要求及遵循指南
个人信息保护影响评估报告的法律法规要求及遵循指南概述:个人信息保护在现代社会中变得越来越重要,特别是随着数字技术的快速发展。
为了确保个人信息的安全和隐私,越来越多的组织开始进行个人信息保护影响评估(PIA)。
本文将介绍个人信息保护影响评估报告所需的法律法规要求,并提供遵循指南,以确保合规性。
1. 法律法规要求:个人信息保护影响评估报告必须符合一系列的法律法规要求,以保障个人信息的隐私和安全。
以下是几个重要的法律法规:(a)欧洲通用数据保护条例(GDPR):该法规于2018年5月25日生效,适用于涉及欧盟居民个人信息的任何组织。
GDPR要求组织进行PIA,以确保合规性并保护个人信息的隐私权。
(b)加拿大个人信息保护和电子文件法(PIPEDA):该法规适用于私营部门对个人信息的收集、使用和披露。
根据PIPEDA,组织也需要进行PIA,并确保采取合适的保护措施来保护个人信息。
(c)美国加州消费者隐私法(CCPA):该法规于2020年1月1日生效,适用于对加州居民个人信息进行商业目的的组织。
根据CCPA,组织需要对个人信息进行评估和保护,并提供详细信息和选择权给消费者。
此外,还有其他国家和地区的个人信息保护法规,如澳大利亚《隐私法》、日本《个人信息保护法》等。
具体的法律法规要求会因地区而异,组织需要根据所在地的法律法规进行自查。
2. 遵循指南:为了确保个人信息保护影响评估报告的合规性,以下是一些遵循指南:(a)明确目标和范围:评估报告应明确确定评估的目标和范围。
这涉及确定评估的目的、涉及的个人信息的种类和敏感程度以及评估所覆盖的系统、流程和措施。
(b)风险和影响评估:报告应包括风险和影响评估,以识别和评估潜在的威胁和风险,并确定这些威胁和风险对个人信息的影响程度。
(c)保护和控制措施:报告应详细描述组织采取的保护和控制措施,以确保个人信息的安全和隐私。
这可以包括技术措施(如加密)、组织措施(如培训和政策)以及物理措施(如安全设施)。
个人信息保护的国际标准
个人信息保护的国际标准在数字化时代,个人信息保护成为了全球范围内亟需解决的问题。
随着互联网的普及和数据交换的全球化,国际社会纷纷制定出一系列的标准和法规来保护个人信息的隐私和安全。
本文将探讨个人信息保护的国际标准,并分析其对于个人隐私和数字安全的重要性。
一、国际标准概述个人信息保护的国际标准主要包括了ISO/IEC 29100:2011以及GDPR(General Data Protection Regulation)等。
ISO/IEC 29100是国际标准化组织(International Organization for Standardization,简称ISO)和国际电工委员会(International Electrotechnical Commission,简称IEC)合作制定的标准,旨在为组织和个人提供个人信息保护的基本原则和框架。
而GDPR则是欧盟制定的法规,于2018年5月25日生效,适用于所有处理欧盟居民个人信息的组织,规定了个人信息收集、存储、处理和传输等各个环节的规范。
二、个人信息保护的原则个人信息保护的国际标准遵循了一系列的原则,其中包括以下几个关键原则:1.合法性、公正性和透明性:个人信息的处理应当在法律框架内进行,并对个人进行公平且透明的告知。
2.目的限制:个人信息的收集和处理应当为明确的合法目的,并且不得超出这些目的的范围。
3.数据最小化原则:个人信息的收集应当满足实现所需目的的最低需求,不得过度收集和使用个人信息。
4.准确性原则:组织应当采取合理的措施来确保个人信息的准确性,并在必要时进行更新。
5.存储限制原则:个人信息应当在不超过必要时间的情况下进行存储,不得无限期地保留个人信息。
6.完整性和保密性:对于个人信息的安全,组织应当采取合理的安全措施,防止未经授权的访问、修改、删除或泄露。
7.个体权利保护原则:个人拥有对其个人信息的访问、更正、删除等权利,并且组织应当提供相关的机制来保护这些权利。
个人信息保护法 指引
个人信息保护法指引个人信息保护法是指保护个人信息安全的法律法规,旨在保护个人信息的合法权益,规范个人信息的收集、存储、使用、传输和销毁等处理活动。
个人信息保护法的制定和实施对于维护个人隐私、防止个人信息泄露和滥用具有重要意义。
个人信息保护法的指引是为了对个人信息保护法的具体实施提供指导和解释。
指引通常由相关主管部门或机构制定,并根据个人信息保护法的具体要求制定相应的操作规范、流程和标准,以帮助企业、机构和个人正确合规地处理个人信息。
个人信息保护法的指引内容通常涵盖以下方面:1. 个人信息的概念和范围:明确什么样的信息被视为个人信息,以及这些信息的范围和类别。
2. 个人信息的收集、使用和存储:规范个人信息收集的合法性和合规性要求,包括明确收集个人信息需要提供的目的、范围和方式,以及个人信息的存储和管理要求。
3. 个人信息的传输和共享:规范个人信息的传输和共享方式,明确需要遵循的安全措施和规定。
4. 个人信息的权利和义务:明确个人信息主体的权利和义务,包括访问、更正、删除等权利,以及个人信息主体对个人信息保护的责任和义务。
5. 个人信息的安全保护:规定个人信息保护的技术、管理和组织措施,以确保个人信息安全的保护。
6. 个人信息的告知和同意:明确个人信息收集者应该向信息主体提供的告知事项,并规范取得信息主体同意的方式和要求。
7. 个人信息泄露和滥用的处理:规定个人信息泄露和滥用的报告、处理和追责机制。
8. 个人信息保护的监督和管理:明确个人信息保护的监督和管理机构,以及相应的监督和管理措施。
个人信息保护法的指引对于各个利益相关方具有重要指导意义,有助于提升个人信息保护意识,确保个人信息安全和隐私权的合法权益被充分保护。
个人数据保护和管理指南
个人数据保护和管理指南1. 简介本指南旨在为个人提供关于数据保护和管理的基本知识和指导。
在数字化时代,个人数据的保护和管理变得越来越重要,因此我们应该对如何保护和管理自己的数据有一定的了解和掌握。
2. 数据保护的重要性个人数据保护的重要性在于确保我们的个人信息不被滥用、泄露或不当使用。
数据泄露可能导致个人隐私泄露、身份盗窃和其他不良后果。
因此,我们需要采取适当的措施来保护我们的个人数据。
3. 数据保护的基本原则以下是保护个人数据的基本原则:- 合法性和透明性:个人数据的处理应基于合法依据,并且必须对个人透明可见。
- 目的限制:个人数据应仅用于事先明确的、合法的目的,并且不得超出这些目的进行处理。
- 数据最小化:个人数据的收集应限于必要的最小范围。
- 准确性:个人数据应准确且及时更新。
- 存储期限:个人数据不应长时间保留,应在达到处理目的后及时删除或匿名化。
- 安全性:个人数据应受到适当的安全措施保护,以防止未经授权的访问、泄露或损坏。
4. 个人数据管理的实践建议以下是一些个人数据管理的实践建议:- 了解数据使用政策:在提供个人数据之前,了解组织或服务提供商的数据使用政策,确保其符合数据保护的基本原则。
- 仅提供必要信息:仅在必要情况下提供个人数据,并避免提供过多的个人信息。
- 定期查看和更新隐私设置:定期检查和更新您在各个平台上的隐私设置,确保只有授权的人可以访问您的个人数据。
- 谨慎共享个人数据:仅与可信任的组织和个人共享您的个人数据,并谨慎处理共享请求。
- 强密码和身份验证:使用强密码保护您的在线账户,并启用双重身份验证以增加账户的安全性。
- 定期备份数据:定期备份您的重要数据,以防止数据丢失或损坏。
5. 数据泄露应对措施如果发生数据泄露,以下是一些应对措施:- 及时通知相关方:尽快通知相关方,包括组织、当地执法部门和个人受影响者。
- 更改密码和密钥:如果数据泄露涉及账户信息,立即更改相关账户的密码和密钥。
我国将出台保护个人信息行业标准
我国将出台保护个人信息行业标准近日,工信部直属的中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。
工信部安全协调司副司长欧阳武介绍说,这个指南能为行业开展自律工作提供了很好的参考,为企业处理个人信息制定了行为准则。
据介绍,我国信息技术保护不容乐观,甚至已形成利用个人信息从事非法获利的黑色链条。
特别是去年年底揭露出的中国互联网最大规模的泄密事件,将个人信息保护推向了风口浪尖。
许多发达国家很早已开始个人信息的保护研究和立法工作。
我国近年来也启动了个人信息保护的相关工作。
去年,全国信息安全标准化技术委员会提出制定个人信息保护指南。
这个委员会主要从事信息安全标准化工作,现任主任由工信部副部长杨学山兼任。
个人信息保护指南的全称是《信息安全技术、公共及商用服务信息系统个人信息保护指南》,标准由工信部直属的中国软件测评中心牵头,联合近30家单位起草。
该中心常务副主任黄子河透露说,指南目前还在等待批准文号,但其最终的发布应是“指日可待”。
但这个指南并非国家强制性标准。
■ 焦点个人信息用后立即删除在个人信息安全缺少专门法律规范时,一部行业标准成为业内的希望。
“去年正式通过了评审,报批国家标准”,中国电子信息产业发展研究院院长、中国软件评测中心主任罗文希望今年能通过这项标准,以拓展个人信息保护的体系。
《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。
工信部安全协调司副司长欧阳武介绍,“这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。
”“最少使用”的原则就是获取一个人的信息量时,只要能满足使用的目的就行。
黄子河举例说,一些网站本是办一个很小的事,却让用户填包括家庭住址、手机号在内等很多信息,这就不符合“最少使用”原则。
“安全保障”则是要个人信息管理者一旦收集了个人信息,就必须建立一套个人信息保护制度,明确责任人和内部管理流程,以及应对个人信息泄露的风险。
移动互联网应用程序个人信息保护管理暂行规定
征求意见稿
不得更改用户设置的权限状态; (五)需要向本App以外的第三方提供个人信息的,应当向用户告知其身份信息、方式、处理目的、 处理方式和个人信息的种类等事项,并取得用户同意; (六)处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人 信息的,应当对用户进行单独告知,取得用户同意后,方可处理敏感个人信息。 第七条从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得 从事超出用户同意范围或者与服务场景无关的个人信息处理活动。
(四)对于不影响其他服务功能的独立服务功能模块,应当向用户提供关闭或者退出该独立服务 功能的选项,不得因用户采取关闭或者退出操作而拒绝提供其他服务;
(五)加强前端和后端安全防护、访问控制、技术加密、安全审计等工作,主动监测发现个人信 息泄露等违规行为,
征求意见稿
及时响应处置要求; (六)国家规定的其他个人信息保护义务。 第九条 App分发平台应当履行以下个人信息保护义务: (一)登记并核验App开发运营者、提供者的真实身份、方式等信息; (二)在显著位置标明App运行所需获取的用户终端权限列表和个人信息收集的类型、内容、目 的、范围、方式、用途及处理规则等相关信息; (三)不得欺骗误导用户下载App; (四)对新上架App实行上架前个人信息处理活动规范性审核,对已上架App在本规定实施后1个 月内完成补充审核,
征求意见稿
第十二条络接入服务提供者应当履行以下个人信息保护义务:
(一)在为App提供络接入服务时,登记并核验App开发运营者的真实身份、方式等信息;
(二)按照监督管理部门的要求,依法对违规App采取停止接入等必要措施,阻止其继续违规侵 害用户个人信息和其他合法权益;
(三)国家规定的其他个人信息保护义务。
个人信息保护 标准
个人信息保护标准
个人信息保护的标准因国家和地区而异,但一般来说,应遵循以下几个原则:
1. 合法、正当、必要原则:处理个人信息应当遵循合法、正当、必要的原则,不得过度处理。
2. 知情同意原则:个人信息的处理应当在个人知情并且同意的情况下进行,除非法律另有规定。
3. 目的明确原则:个人信息的处理应当具有明确的处理目的,并且这些目的应当是合法、正当的。
4. 数据最小化原则:只处理与处理目的相关的最少数据,并且要尽可能确保这些数据不被滥用。
5. 安全保障原则:采取必要的技术和管理措施,确保个人信息的安全,防止数据泄露和其他损害。
6. 可追溯性原则:个人信息的处理应当可追溯和可审计,以便于追踪和发现问题。
7. 准确性原则:个人信息的处理应当确保其准确性,并及时更新。
8. 完整性原则:个人信息的处理应当确保其完整性,不得缺失或被篡改。
9. 透明性原则:个人信息的处理应当透明,个人有权知道自己的个人信息被如何处理以及使用。
10. 可访问性原则:个人有权访问自己的个人信息,并要求更正或删除。
11. 反对权原则:个人有权反对不合理的个人信息处理行为,例如基于个人偏见的处理。
12. 责任追究原则:对违反个人信息保护的行为,应当追究相关责任人的法律责任。
以上信息仅供参考,如需了解更多信息,建议查阅《个人信息保护法》等相关法律法规或咨询专业律师。
信息安全技术个人信息保护的指南
我国首个个人信息保护国家标准将于2013年2月1日起开始实施,该标准最显著的特点,就是将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的概念,而个人敏感信息就涉与个人隐私。
《信息安全技术个人信息保护指南》前言本指南由工业和信息化部信息安全协调司提出。
本指南由全国信息安全标准化技术委员会归口。
本指南起草单位:中国软件评测中心、软件行业协会、中国软件行业协会、中国互联网协会、中国通信企业协会通信网络安全专业委员会、金山安全软件、市腾讯计算机系统、奇虎科技、新浪互联信息服务、百合在线科技、花千树信息科技、百度网讯科技等单位。
本指南主要起草人:高炽扬、鹏、朱璇、严霄凤、朱信铭、剑。
引言伴随着信息技术的广泛应用和互联网的不断普与,个人信息在社会、经济活动中的地位日益凸显。
与此同时,滥用个人信息的现象随之出现,给社会秩序和人民切身利益带来了危害。
合理利用和有效保护个人信息已成为企业、个人和社会各界广泛关注的热点问题。
为提高个人信息保护意识,保护个人合法权益,促进个人信息的合理利用,指导和规利用信息系统处理个人信息的活动,制定本指南。
个人信息保护指南1围本指南明确了个人信息处理原则和个人信息主体的权利,提出了个人信息的收集、加工、转移、使用、屏蔽和删除等行为要求。
法律、行政法规已规定了个人信息处理有关事项的,从其规定。
本指南适用于利用信息系统处理个人信息的活动。
2术语和定义下列术语和定义适用于本指南。
2.1个人信息 personal information能够被知晓和处理、与具体自然人相关、能够单独或与其他信息结合识别该具体自然人的任何信息。
2.2个人信息主体 subject of personal information个人信息指向的自然人。
2.3个人信息管理者 administrator of personal information对个人信息具有实际管理权的自然人或法人。
2.4信息系统 information system由计算机与其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
我国将出台保护个人信息行业标准
个人信 息阶段告知 的“ 使用 目的” 到后 达
应立 即删除个人信息。 高炽扬说 , 次 , 在某航空公 司网 有 他 站 购买机 票 , 用电话支付 的时候 , : 使 1 作
人员搜集 了他的支付信息 : 姓名 、 身份证
所致 。
个人信 息保 护指 南 的全称 是《 信息 安伞技 术 、 共及商 用 服务信 息系统 个 公 人信息保护 指南 》 标准 南一 信部直 属的 , 中 同软 件测评 中心牵头 , 合近 3 联 0家单
他介 绍说 , 一些 商业 公 司掌握 大 量
个人 信息 , 由于管理制度疏漏 , 一些 内部
一
o
20 0 9年 , 法 修 刑 正案f 确 定 了“ 七) 出 售 、 法 提 供公 民个 非
公众最 关 心金融 、 电信ቤተ መጻሕፍቲ ባይዱ领 域 的个人信
息安全。
而让 人担 忧 的是 , 这个 指南 标准 不 是强制性标 准 , 甚至也不 是推 荐性 标准 ,
标 准 通 过 会 对 行 业 起 到 多 大 的 规 范 效
准 ” 中 国 电子信 息 产业 发 展研 究 院 院 , 长、 中罔软件评 测 中心主任 罗文 希望今
人信息从事 非法获利的黑色链 条。特别
是 去 年 年 底 揭 露 的 中 国互 联 网最 大 规
年能 通过这项 标 准 , 以拓展 个人 信息保
个很 小的事 , 却让用户填包括 家庭住 址 、 手机 号在 内等很多信息 , 这就不符 合“ 最 少使用” 原则 。 “ 安全保 障” 则是要 个人 信息管理 者
一
模 的泄密 事件 , 个人 信息保 护推 向了 将
六脉神剑袭来,新版国标《个人信息安全规范》显威
六脉神剑袭来,新版国标《个人信息安全规范》显威安杰律师事务所蔡航、陈达伦2020年3月7日,新版GB/T 35273-2020《信息安全技术个人信息安全规范》(“2020版《规范》”)正式发布,替代现行的推荐性国家标准GB/T 35273-2017《信息安全技术个人信息安全规范》(“2017版《规范》”)。
《个人信息安全规范》尽管并非强制性规范,但在我国个人信息保护领域具备重要的引领地位,互联网企业在设计产品时多参照适用该规范。
2020版《规范》参考了近几年国外立法趋势和执法经验,反映了在应用新技术与商业模式创新时对信息安全和个人信息保护的高度关切,具有重要的指导意义。
为了让社会公众更快地掌握新版规范,我们对2020版《规范》和2017版《规范》进行了比对,并将其中最为关键的六大要点归纳如下:1.对提供多项业务功能的个人信息控制者提出更高要求2017版《规范》即要求个人信息控制者不得强迫个人信息主体提供其个人信息,但是运营企业在实践中容易规避该规定。
随着互联网服务日益平台化和集成化,单一App、业务网站通常集成多项业务功能,最为常见的授权做法是将全部业务功能所需要的个人信息授权全部打包在一份隐私政策内,在用户明示同意隐私政策后即可一劳永逸解决授权问题。
另一方面,这些业务功能名目繁多,某些类目有意地使用“改善体验”、“产品研发”等语焉不详、客户无法感知具体内容的描述。
在这种情况下,用户为了其不需要使用的某些功能而无意中额外地提供了使用个人信息的授权,违背了规范倡导的“最少够用”原则。
针对上述情形,2020版《规范》围绕“最少够用”原则,对提供多项业务功能的个人信息控制者提出了以下一系列要求:1.除去个人信息保护政策外,宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体作出具体的授权同意前,能充分考虑对其的具体影响;2.不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求;3.应把个人信息主体主动作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的业务功能开启条件,个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息;4.关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。
互联网企业个人信息保护测评标准
互联网企业个人信息保护测评标准文章属性•【制定机关】中国科学技术法学会,北京大学互联网法律中心•【公布日期】2014.03.15•【文号】•【施行日期】2014.03.15•【效力等级】团体规定•【时效性】现行有效•【主题分类】通信业正文互联网企业个人信息保护测评标准(中国科学技术法学会、北京大学互联网法律中心2014年3月15日)一、宗旨本标准的制定是为了贯彻《全国人民代表大会常务委员会关于加强网络信息保护的决定》《消费者权益保护法》《电信和互联网用户个人信息保护规定》《网络交易管理办法》等与个人信息保护相关的规范性法律文件,维护用户合法权益并规范互联网企业的个人信息处理行为,以实现产业良性发展中个人信息保护与利用的平衡。
测评标准通过对互联网企业义务的具体规定,致力于在现有规范性法律文件的基础上,建立有效的用户个人信息保护实践机制,一方面推动互联网企业构建合规的个人信息保护机制,另一方面实现用户在个人信息方面合法权益的保障。
二、依据本标准依据《全国人民代表大会常务委员会关于加强网络信息保护的决定》《消费者权益保护法》《电信和互联网用户个人信息保护规定》《网络交易管理办法》,参照OECD《关于保护隐私和个人数据跨国流通的指导原则》、APEC《隐私保护纲领》、《公共及商用系统个人信息保护指南》等国内外个人信息保护领域相关文件,结合我国互联网产业发展现状制定。
三、定义标准所涉及的术语定义如下:1. 互联网企业互联网企业是指利用信息网络向用户提供技术服务或内容服务的过程中处理个人信息的组织实体。
“信息网络”包括以计算机、电视机、固定电话机、移动电话机等电子设备为终端的计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,以及向公众开放的局域网络。
2. 初始方、关联方、第三方初始方是指在提供技术服务或内容服务过程中直接向用户收集个人信息的互联网企业。
关联方是指与特定初始方有控制关系,且其个人信息保护政策与初始方不存在实质性差异的互联网企业。
App违法违规收集使用个人信息的分析与解读
yberspace Strategy Forum网络空间战略论坛CC N I T S E C38 / 2019.03文│腾讯守护者计划 安全专家 黄汉川 法律专家 王京婕App 违法违规收集使用个人信息的分析与解读目前,一些手机App 越界获取隐私的问题愈发严重,例如,有的输入法App、手电筒App 要求位置权限;有的App 在用户对App 的权限请求默许的情况下,在后台记录用户的通话记录、短信、通讯录、位置信息、设备信息等,上传到服务器端;有的App 开发者为了牟利,甚至将用户隐私出售或利用获取的权限推送广告获利。
本文从App 信息泄露形势、数据采集制度、如何保护隐私等方面进行分析和解读。
一、App 信息泄露形势严峻信息泄露的危害不言而喻。
如果个人信息、地址位置、身份、财产及银行卡信息等被不法分子掌握,轻则饱受广告推销烦恼,重则导致隐私泄露。
而且,个人信息一旦被非法获取后,便会通过直接或间接的方式被出售给下游犯罪产业,导致犯罪团伙能够更“精准”地实施犯罪行为,包括但不限于广告推销、恶意营销、网络盗窃、电信诈骗、敲诈勒索、骗贷、洗钱、绑架等。
根据2019年1月腾讯发布的《2018网络隐私及网络欺诈行为分析报告》,在被收集的样本中,100%的安卓手机App 会不同程度获取手机隐私权限,90%发iOS 手机App 获取用户隐私权限。
报告显示,新技术的发展也让隐私的外延进一步扩大,很多App 都收集用户的指纹、虹膜等生物信息。
2018年下半年,有24.9%的安卓App 已经通过用户使用身体传感器收集用户的生物信息。
此外,从安卓端恶意获取信息的手法看,恶意开发者已经从开发恶意App 向开发恶意软件开发工具包(SDK)转移,恶意SDK 开发者通过提供SDK 给其他App 使用,以达到快速传播的目的。
同时,恶意SDK 开发者通过使用代码分离和动态代码加载技术,可完全从云端控制SDK 中实际执行的代码,具有很强的隐蔽性和对抗杀毒软件的能力。
个人信息保护影响评估报告的国际标准与最佳实践
个人信息保护影响评估报告的国际标准与最佳实践个人信息保护是一个在数字时代日益重要的议题。
随着技术的发展和个人信息的数字化储存,人们对自身信息的隐私和安全有着更高的关注。
为了确保个人信息的保密性和合规性,各国开始制定相关的法律法规和标准,其中包括个人信息保护影响评估报告。
个人信息保护影响评估报告主要用于评估组织或个人信息处理活动对个人隐私权利的影响,并提出相关的风险管理和改进措施。
它旨在帮助组织遵守个人信息保护法规,确保个人信息的安全和合规性,同时增强公众对组织个人信息保护工作的信任。
在国际上,有一些标准和最佳实践被广泛应用于个人信息保护影响评估报告。
以下将介绍几个重要的国际标准和最佳实践。
首先,国际标准ISO 29100:2011《信息技术–个人信息保护–规范与架构框架》是一个重要的参考标准。
该标准明确了个人信息保护的原则和要求,并提供了一个框架以指导组织进行个人信息保护工作。
在编制个人信息保护影响评估报告时,可以参考ISO 29100的相关部分,以确保评估的合规性和可靠性。
其次,欧洲数据保护监管机构发布了《个人信息保护影响评估工具包》,也被广泛认可为最佳实践。
该工具包提供了详细的指导,包括评估报告编制的步骤和要求,以及针对不同类型个人信息处理活动的风险评估方法。
它可以帮助组织全面、科学地进行个人信息保护影响评估,并提出相应的改进措施。
此外,国际信息系统审计与控制协会(ISACA)发布的《个人信息保护影响评估指南》也是评估报告编制的重要参考。
该指南提供了一套操作性的框架和流程,帮助组织识别和量化个人信息处理活动可能带来的风险,以及评估个人信息保护措施的有效性。
它强调了风险管理的重要性,并提供了改进措施的建议。
在实际编制个人信息保护影响评估报告时,需要充分考虑以下几个方面:首先,明确评估的目标和范围。
评估报告应明确所评估的个人信息处理活动、评估的时间范围、评估的目的和所涉及的相关法规和标准。
其次,收集和分析相关的个人信息保护数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
□个人信息保护需要指导性标准。为加强对个人信息的保护,近日,《信息安全技术、公共及 商用服务信息系统个人信息保护指南》已经正式通过评审,引起社会广泛关注。为深入了解《指 南》出台的有关情况,本刊记者对主要起草人之一 ——中国软件评测中心副主任、北京赛迪信息技 术评测有限公司执行总裁高炽扬进行了专访,敬请关注。
信息安全 2012年第4期 bmgz@
个人信息保护需要指导性标准
——访中国软件评测中心副主任高炽扬
□本刊记者 李 杰
最近,《信息安全技术、 公共及商用服务信息系统个人 信息保护指南》(以下简称《指 南》)已经正式通过评审,正报 批国家标准。为深入了解《指 南》制定的有关情况,本刊记 者对《指南》的主要起草人之 一 —— 中 国 软 件 评 测 中 心 副 主 任、北京赛迪信息技术评测有限 公司执行总裁高炽扬进行了专 访。
中国互联网用户开始非常重视个人信息安全,但多数人并未使用全面的安全解决方案来保护自 己。随着中国用户使用越来越多的上网设备,人们更需要强大、全面的安全解决方案来保护存储在 PC、Mac、平板电脑、智能手机等各种上网设备中的重要信息。
——赛门铁克诺顿公司4月中旬发布报告,分析中国网民对个人信息安全的认知水平,该公司中 国区消费产品事业部总经理白帆接受采访时说
·信息安全小百科
密码防盗指南
□郭少峰 吴 鹏
1.有足够的安全意识,避免在社会层面受到密码诈骗。 2.不同安全等级的网站设不同强度的密码。对于网银等和 个人利益直接相关的网站,一定要设置超强的密码。 3.测试网站密码的安全性,在注册一个网站时,如果你输 入密码“123456”也能通过,这个网站肯定不安全。同样,对密 码长度没有要求,不能使用特殊字符或者无法区分大小写网站的 安全性能也不高。 4.减少使用常用的个人信息,尽量不用自己的生日作为密 码。尽量使用和自己个人信息不相关或者距离远的信息。 5.利用经典密码学,设置自己的加密“函数”或规律。 比如,你可以选取“不管三七二十一”,抽出其中的数字 “3721”,对个别数字进行替换或移位,把“7”变成英文字母 中的“L”,把“1”变成英文字母“i”,变成“3L2i”,这样, 密码就稍微复杂一点。 6.多组合密码。搭配各类数字、字母、大小写、特殊符号 的组合,比如一个10位长的随机密码,由于常用键一共有95个, 因此一共会有(95的10次方)种组合,较难在短时间内被“暴 力”破解。你可以把“3L2i”加上符号变成“3#L*2i#”。 7.在你的密码“3#L*2i#”和另一个人的密码“123456” 之间,黑客肯定首先盗取后者的密码,一旦一个网站的密码发生 泄露,你可以比有简单密码的后者拥有更多的时间进行密码修 改。 8.最后,隔一段时间,换一下自己的密码,总能让密码更 安全的。
1
规定,信息获得者在完成加工任 务后,必须将信息内容全部、彻 底删除,只将处理的结果交给信 息管理者。
三是明确了个人信息处理 的生命周期,即把信息系统中个 人信息处理过程划分为收集、加 工、转移、删除四个主要环节, 并对各个环节提出明确要求。需 要强调的是,随着社会化分工, 数据处理需要委托有关机构进 行,也就是我们讲的外包,这是 必要的。但是作为个人信息管理 者,在委托给别人加工的时候, 有没有考虑过那家企业能不能同 样保护用户信息?有没有严格的 管理措施和技术手段?对此, 《指南》提出了明确要求。
记者:《指南》的制定引发 社会广泛关注,请您介绍一下有 关背景。
高炽扬:随着信息技术的 广泛应用和互联网的不断普及, 个人信息在社会、经济活动中的 地位日益凸显。与此同时,滥用 个人信息的现象随之出现。近年 来,个人信息泄露事件频发,并 愈演愈烈。2011年底,中国互联 网更是遭遇了史上最大规模的用 户信息泄露事件,多家大型网站 的用户数据被泄露,几千万用户 账号和密码被公开,给社会秩序 和人民切身利益造成严重危害, 引起社会各界广泛关注。也就是
在这一年,党的十七届六中全会 明确提出:“加大网上个人信息 保护力度,建立网络安全评估机 制,维护公共利益和国家信息安 全。”因此,从宏观层面上看, 加强互联网个人信息保护工作势 在必行。
从微观层面上看,除少数恶 意滥用个人信息的企业外,不少 企业想要保护用户个人信息,却 不知道该如何去做。工信部科学 技术情报研究所调查发现,大部 分企业已采取不同程度保护用户 个人信息的措施,却很难保证落 实。据估计,70%~80%涉及个 人信息泄露的企业,都是管理制 度疏漏,“内部员工作案”。就 个人而言,甚至还有不少人对个 人信息缺乏相应的保护意识,认 为个人信息泄露无关紧要。制定 《指南》的目的就是要提高个人 信息保护意识,促进个人信息的 合理利用,指导和规范信息系统 处理个人信息活动,从而推动我 国信息服务业个人信息保护体系 的建立。简单地说,就是指导个 人、企业、政府及其他第三方力
另外,目前《指南》引起社 会广泛关注,再加上我们的前期 调研,这都为个人信息保护立法 在技术上做了非常好的铺垫,起 到了很好的推进作用。《指南》 只是第一步,接下来,针对各行 业各领域的特点,还将制定一系 列的标准。在后续工作中,根据 这些标准,希望相关部门以下发 相关文件的形式,推动各地区各 部门及行业协会进行落实,使 《指南》发挥更大的作用。
需要bmgz@
护非常需要法律的保驾护航。据 统计,目前有近40部法律、30余 部法规,以及近200部规章涉及个 人信息保护,其中大多数法律法 规都是孤立、零散的。对此,我 个人非常赞同推进制定一个整体 性法律,当然,法律的制定不可 能一蹴而就。但是,法律不能代 替《指南》,正如《指南》不能 代替法律一样。因为,通俗讲, 法律是管人的,而《指南》是管 信息系统的;法律关注的是事后 的惩罚,而《指南》关注的是事 先怎么做,所以说,保护个人信 息既需要强制性法律,也需要指 导性标准,二者相互配合、相互 补充,才能发挥好各自作用,切 实保护好个人信息。
bmgz@ 2012年第4期 信息安全
业进行了大量调研,深入研究了 国外有关个人信息保护的法律法 规以及国内个人信息保护的现状 和突出问题,在此基础上,形成 《指南》征求意见稿。此后,又 广泛征求了行业协会、互联网企 业、法律专家和社会公众的意见 建议,经3次评审,数易其稿,最 终形成《指南》报批稿。现已报 送国家标准化管理委员会,进入 审批程序。
54
本期 导读
BENQIDAODU
bmgz@ 2012年第4期
□纪念保密法修订公布两周年。保密法修订公布两年来,贯彻实施工作取得显著成绩,在确保 国家秘密安全和便利信息资源合理利用方面发挥了积极作用,定密解密、计算机网络保密管理、保 密检查、泄密案件查处、保密法制理论研究等取得重要进展。本刊特约请国家保密局负责人、有关部 门和专家,就保密法的贯彻实施等情况进行全面介绍和深度评析,以此纪念保密法修订公布两周年。
上,这个事情跟吃碗面条有关系 吗?是不是就成为一个笑话呢?
记者:有评论指出《指南》 不具有强制性,作用有限,您怎 么看?
高炽扬:从我们国家的标准 来说,实际上有两个大的分类。 第一类是强制性标准,第二类是 非强制的,又分为推荐标准和指 导性技术文件。《指南》属于指 导性技术文件。
为什么《指南》是非强制 性的?我们从三个方面来分析。 第一看个人,很多人对保护个人 信息的诉求不明确,甚至不知道 要保护自己的信息,觉得这件事 无所谓,别人拿走就拿走了,对 自己可能没有危害。第二看企 业,一方面我们看到确实有一些 企业存在恶意收集和滥用信息的 现象,另一方面我们也看到,很 多企业实际上是希望保护好用户 信息的,但是由于管理的疏漏、 技术手段的缺失,造成了一些内 部员工不当地接触和使用。第三 看政府主管机关,它非常希望了 解行业的态势,也希望有很好的 技术性手段来进行这种监管,但 是缺乏一个指标性体系。通过这 些诉求来看,需要制定一个信息 保护标准,但这个标准不一定是 强制性的。从我国技术标准的特 点来看,应该说强制性标准是非 常少的,因为就技术角度而言, 不同行业、不同群体,诉求可能 不一样,所需要遵循的标准也不 同。如果强行推出一个强制性标 准,未必有好的效果,反而是非 强制的指导性文件在实施中才可 能执行得比较好。
□全国启动“系统建设年”活动。遵照中央领导同志重要指示精神,为贯彻落实《“十二五” 时期全国保密事业发展规划》和《中共中央保密委员会2012年工作要点》部署要求,全面加强全国 保密系统思想理论建设、机构队伍建设、工作制度建设和基础设施建设,提高全系统保密工作整体 水平,中央保密办、国家保密局在全国保密系统全面启动“系统建设年”活动,相关工作正在积极 推进中。本刊将跟踪活动进展情况,持续深入报道。
记者:《指南》有哪些突出 亮点?
高炽扬:有四个突出亮点。 一是将个人信息分为两类:一般 个人信息和敏感个人信息。其 中,敏感个人信息的具体内容根 据接收服务的个人信息主体意愿 和各自业务特点确定,主要包括 身份证号码、手机号码、种族、 政治观点、宗教信仰、基因、指 纹等,一旦泄露或修改会对个人 信息主体造成不良影响;除此之 外是一般个人信息,它们大多带 有广而告之的性质。若不区分这 一点,个人信息的保护成本就太 高了。如何界定哪些是敏感信 息、怎样保护敏感信息,这对日 后的立法工作十分重要。
声音
SHENGYIN
最近几年,在国家选拔人才的各种考试中,除考研外,英语专业八级,英语四、六级,司法考 试,公务员考试,注册会计师考试等都出现过泄题事件,至今仍未根治……如果不警惕这种渐呈产业 链化的教育犯罪,当泄题成为考试的常态,社会信任最底线的基础便荡然无存。
——2012年第8期《南风窗》评点各类“国考”泄题事件
四是提出八个基本原则,即 目的明确原则、最少够用原则、 公开告知原则、个人同意原则、 质量保证原则、安全保障原则、 诚信履行原则、责任明确原则。 关于最少够用原则,我经常讲的 一个例子,就是马季先生在一个 相声里谈到,一个人在饭店里吃 碗面条,需要填一个登记表,表 上有家庭住址、财务信息、婚姻 状况,连睡觉打不打呼噜都要写
二是明确四类角色及职责, 即进一步明确了个人信息主体的 权利,细化了个人信息管理者的 责任,强化了个人信息获得者的 删除义务,突出了第三方测评机 构对个人信息管理者进行评价、 监督和指导的基础性作用。比如 关于删除义务的规定,由于很多 信息管理者自身并没有处理信息 的能力,所以会委托一些公司进 行相应的整理,这在电子商务领 域十分常见。所以《指南》特别