电信和互联网用户个人电子信息保护标准介绍
电子通信行业规范与条例
电子通信行业规范与条例随着现代科技的飞速发展,电子通信行业在我们的日常生活中扮演着重要的角色。
为了确保电子通信行业的正常运作和用户的权益保护,各国纷纷制定了一系列规范与条例。
本文旨在介绍电子通信行业的规范与条例,并为读者提供一些相关的背景知识。
一、电子通信的定义与范围电子通信是指通过电磁波传输信息的过程,包括语音、图像、数据等各种形式的通信。
电子通信行业涵盖了电信网络设备的研发、制造、运维和相关服务的提供等方面。
二、电子通信行业的发展趋势与挑战随着互联网的普及和技术的进步,电子通信行业正处于快速发展的阶段。
虽然这为人们的生活带来了很多便利,但也带来了一些挑战。
其中包括网络安全问题、隐私保护等方面的考验。
三、网络安全与保护网络安全是电子通信行业中非常重要的一个方面。
各国针对网络安全制定了一系列的规范和标准,包括网络防火墙的设置、用户数据的加密与保护等。
此外,还有专门的安全组织负责监督和维护网络的安全。
四、用户权益保护用户权益保护是电子通信行业中的一项基本原则。
各国政府和相关组织制定了针对电信运营商和互联网服务提供商的规范和条例,以确保用户的权益得到有效保护。
其中包括服务合同的明确、隐私保护等方面的规定。
五、电子通信设备的标准与认证电子通信设备的标准化和认证是保证设备质量和可靠性的重要手段。
各国制定了一系列的标准和认证机制,如国际电信联盟(ITU)的相关标准和国家质量认证体系等,以确保设备的符合规范和用户的安全。
六、国际合作与统一标准电子通信行业的全球化发展需要各国之间的合作与交流。
各国政府和相关机构积极参与国际标准组织和论坛,共同制定了一系列的通信标准,以促进全球电子通信行业的发展和合作。
七、电子通信行业的社会责任作为一个重要的基础设施行业,电子通信行业应当承担起自己的社会责任。
这包括推动信息化建设、提供高质量的通信服务、促进数字经济发展等方面。
各国政府和相关组织鼓励企业履行社会责任,推动电子通信行业的可持续发展。
个人信息保护标准
个人信息保护标准随着信息技术的不断发展和普及,个人信息保护问题日益受到重视。
在互联网时代,个人信息的泄露和滥用已经成为了一个普遍存在的问题,给个人隐私和安全带来了严重的威胁。
因此,建立和完善个人信息保护标准显得尤为重要。
首先,个人信息保护标准应当具备的基本要素包括合法性、正当性和公平性。
个人信息的收集、使用和处理应当遵循法律法规的规定,取得信息主体的明示同意,并且在信息收集的过程中应当告知信息主体信息的具体用途和范围,确保信息主体对自己的信息有充分的掌控权。
其次,个人信息保护标准还应当具备安全性和保密性。
信息主体的个人信息在收集、传输、存储和处理过程中应当采取必要的技术和管理措施,确保信息的安全和完整性。
同时,个人信息的保密性也是非常重要的,个人信息的泄露和滥用可能会给信息主体带来严重的损失,因此个人信息的保密性是个人信息保护标准的重要内容之一。
此外,个人信息保护标准还应当具备便利性和透明性。
信息主体应当能够方便地行使对自己个人信息的访问、更正、删除等权利,同时个人信息的收集和使用过程应当对信息主体进行透明披露,让信息主体了解自己个人信息的使用情况和目的,确保信息主体对自己的信息有充分的了解和掌控。
最后,个人信息保护标准还应当具备监督和责任。
相关的政府部门和行业组织应当加强对个人信息保护的监督和管理,同时个人信息的收集和使用者也应当承担相应的责任,对个人信息的合法性和安全性负起相应的责任。
总之,建立和完善个人信息保护标准对于保护个人隐私和信息安全具有非常重要的意义。
只有通过建立健全的个人信息保护标准,才能有效地保护信息主体的合法权益,推动信息社会的健康发展。
希望各界能够共同努力,建立健全的个人信息保护标准,共同维护信息安全和个人隐私。
电信用户个人信息保护管理办法解读
中国电信用户个人信息保护管理办法解读
2018年11月
管理办法概览
《中国电信用户个人信息管理办法》
(中国电信[2018]328号)
第1章 总则 (5条) 第2章 组织保障 (7条) 第3章 工作机制 (1条) 第4章 运营要求 (20条)
制定依据、用户个人信息 定义、适用范围等 工作体系、职责分工、分 工内容等 监督检查、评估考核、会 商意识等5个机制 收集、公示、授权同意、 使用、人员管理等 合作方定义、合作方人员 管理、工号权限等 国际公司、处罚依据、解 释权等
以公司正式发文为主 专业公司
省内要经过省市场部 集团电渠中心、专业公司 要经集团市场部 APP等线上应用获取权限
线上用户主动选择, 不能默认 事后使用用途必须事 前经用户同意
产品业务上线前必须符合 用户个人信息保护工作相 关要求(号码校验、开机 通知等)
第4章 运营要求2
第二十条 各运营使用单位应当按照相关法律法规、监管要求及用户个人信息安全等级保护制度要求 ,对收集、存储的用户个人信息,实施严格的管理制度和技术措施。纸质资料要制定收集归档、交接 、保管存储、借阅调用、销毁等规章制度,纸质资料的各环节流程记录要做好IT固化和闭环管控,收 集的纸质资料要加盖相关印章。电子数据要及时上传系统平台内(不得保存在本地电脑终端),采取 备份、加密等技术存储措施保障用户个人信息安全。
主体直 接责任
渠道部
(业创中心)
市场部
全网支撑 运营中心
专业公司
• 运营使用职责:落实工作要求,做好 运营的业务产品、系统/平台的用户 个人信息保护各项工作,包括建章立 制、日常管控、培训教育、技术防护 、监督检查等
电信网络诈骗犯罪的共犯形式及认定基于个人信息安全保护的角度展开
如果行为人提供了银行卡、支付平台账号等帮助取款的方式,那么就可以认定 为实施了帮助取款行为。最后,需要考察帮助取款行为在诈骗案件中的作用和 影响。如果帮助取款行为是整个诈骗环节中的一部分,那么它对整个诈骗案件 起到了重要作用和影响。
综上所述,电信诈骗帮助取款行为的共犯认定需要综合考虑多个方面因素。在 实践中,我们需要加强法律法规的宣传和普及,提高公众对电信诈骗的认识和 防范意识;同时,也需要加强执法机关之间的协作和配合,加大对电信诈骗案 件的打击力度。
2、管辖权问题:由于电信网络诈骗犯罪的跨国性和流动性,往往涉及多个国 家和地区,给案件的管辖和协作带来困难。
3、法律适用问题:不同国家和地区对于电信网络诈骗犯罪的法律定义和处罚 标准存在差异,可能导致法律适用上的冲突。
ห้องสมุดไป่ตู้
四、基于个人信息安全保护的角 度展开电信网络诈骗犯罪的共犯 认定
1、加强个人信息保护法律法规的制定和实施:通过完善个人信息保护法律法 规,明确个人信息的使用、转让等规定,为打击电信网络诈骗犯罪提供法律依 据。
4、暴力型诈骗:诈骗团伙以暴力手段威胁受害人,强迫其交出财物或个人信 息。
5、勾结型诈骗:诈骗团伙与某些政府部门、银行等机构内部人员勾结,利用 职务之便共同实施诈骗行为。
三、电信网络诈骗犯罪共犯认定 的难点
1、取证困难:电信网络诈骗犯罪往往涉及大量虚拟证据,如网络聊天记录、 电子邮件等,收集和验证这些证据需要较高的技术手段和专业知识。
5、强化金融机构的监管职责:金融机构应加强对客户交易的监管和风险控制, 发现可疑交易应立即报告相关部门,防止电信网络诈骗犯罪的资金转移。
6、加强互联网平台的责任意识:互联网平台应加强对发布信息的审核和管理, 对于涉嫌诈骗的信息及时删除并报告相关部门,保障用户信息安全和财产安全。
网络数据安全相关标准项目明细表
15.
《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》
GB/T 20945-2013
SAC/TC260
已发布
16.
《信息安全技术 网络存储安全技术要求》
SAC/TC260
报批稿
17.
《信息安全技术 数据库管理系统安全技术要求》
SAC/TC260
报批稿
18.
《通信存储介质(SSD)加密安全技术要求》
已发布
33.
《信息安全技术 个人信息安全规范》
GB/T 35273-2017
SAC/TC260
报批稿
34.
《信息安全技术 个人信息工程指南》
SAC/TC260
征求意见稿
35.
《信息安全技术 个人信息告知同意指南》
SAC/TC260
征求意见稿
36.
《信息安全技术 数据安全基本要求》
SAC/TC260
征求意见稿
CCSA
拟制定
数据处理
23.
《信息安全技术 个人信息去标识化指南》
GB/T 37964-2019
SAC/TC260
报批稿
24.
《电信大数据平台数据脱敏实施方法》
2019-0215T-YD
CCSA
报批稿
25.
《面向互联网应用的健康医疗数据应用脱敏技术要求》
2019-0302T-YD
CCSA
报批稿
数据交换
26.
《信息安全技术 数据交易服务安全要求》
GB/T 37932-2019
SAC/TC260
报批稿
27.
《信息安全技术 政务信息共享 数据安全技术要求》
SAC/TC260
我国将出台保护个人信息行业标准
个人信 息阶段告知 的“ 使用 目的” 到后 达
应立 即删除个人信息。 高炽扬说 , 次 , 在某航空公 司网 有 他 站 购买机 票 , 用电话支付 的时候 , : 使 1 作
人员搜集 了他的支付信息 : 姓名 、 身份证
所致 。
个人信 息保 护指 南 的全称 是《 信息 安伞技 术 、 共及商 用 服务信 息系统 个 公 人信息保护 指南 》 标准 南一 信部直 属的 , 中 同软 件测评 中心牵头 , 合近 3 联 0家单
他介 绍说 , 一些 商业 公 司掌握 大 量
个人 信息 , 由于管理制度疏漏 , 一些 内部
一
o
20 0 9年 , 法 修 刑 正案f 确 定 了“ 七) 出 售 、 法 提 供公 民个 非
公众最 关 心金融 、 电信ቤተ መጻሕፍቲ ባይዱ领 域 的个人信
息安全。
而让 人担 忧 的是 , 这个 指南 标准 不 是强制性标 准 , 甚至也不 是推 荐性 标准 ,
标 准 通 过 会 对 行 业 起 到 多 大 的 规 范 效
准 ” 中 国 电子信 息 产业 发 展研 究 院 院 , 长、 中罔软件评 测 中心主任 罗文 希望今
人信息从事 非法获利的黑色链 条。特别
是 去 年 年 底 揭 露 的 中 国互 联 网最 大 规
年能 通过这项 标 准 , 以拓展 个人 信息保
个很 小的事 , 却让用户填包括 家庭住 址 、 手机 号在 内等很多信息 , 这就不符 合“ 最 少使用” 原则 。 “ 安全保 障” 则是要 个人 信息管理 者
一
模 的泄密 事件 , 个人 信息保 护推 向了 将
数据安全与网络安全的法律要求与标准
网络安全事件应急响应法律要求
应急响应计划
法律要求网络运营者制定网络安全事件应急预案,明确应急响应 流程和责任人。
及时报告和处置
法律要求在发生网络安全事件时,网络运营者应当立即启动应急响 应计划,及时报告和处置网络安全事件,防止危害扩大。
记录和留存
法律要求网络运营者应当记录和留存网络安全事件处置过程中的相 关信息,以便于事后分析和追责。
企业应采取必要的技术措施和其他必 要措施,确保其收集的个人信息安全 ,防止信息泄露、毁损、丢失。
企业应建立数据安全事件应急处理机 制,及时处置数据安全事件,减轻事 件对企业和用户造成的损失。
03
数据安全法律要求与标 准
数据收集与存储法律要求
01
02
03
合法性原则
数据收集必须遵循相关法 律法规,确保数据来源合 法、收集手段合规。
《中华人民共和国数据安全法》
该法规定了数据安全的监管体制、数据安全与发展、数据安全制度、数据安全保护义务、 政务数据安全与开放、法律责任等方面的内容,为数据安全提供了基础性法律保障。
《中华人民共和国个人信息保护法》
该法规定了个人信息处理的基本原则、个人信息的范围、个人信息处理者的义务、个人在 个人信息处理活动中的权利、个人信息跨境提供等方面的内容,为个人信息保护提供了全 面的法律保障。
国家安全审查
法律要求对关键信息基础设施实施国家安全审查制度,确 保关键信息基础设施的安全可控。
网络安全标准与认证
网络安全标准
国家制定了一系列网络安全标准 ,包括网络安全等级保护标准、 网络安全风险评估标准等,为网 络运营者提供了明确的安全建设 和管理指南。
网络安全认证
国家实施网络安全认证制度,对 网络安全产品、服务和管理体系 进行认证和评价,提高网络安全 保障能力和水平。
信息安全及保护个人隐私规定
信息安全及保护个人隐私规定随着社会的不断发展,计算机和互联网的普及越来越广泛,人们可以随时随地获取所需的信息。
然而,信息的便捷获取也伴随着信息安全和个人隐私的问题。
在这篇文章中,我们将探讨信息安全和保护个人隐私的规定。
一、信息安全信息安全是指保护信息系统、网络和计算机设备免受未经授权的访问、使用、泄露、干扰或破坏的技术、措施和行为。
信息安全包括以下方面:1.密码学密码学是保护信息的一种方法,它利用密码进行加密和解密。
密码学通过将信息转换为不可读的密文来保护信息的安全。
一般来说,密码学分为两类:对称密钥密码和非对称密钥密码。
对称密钥密码使用相同的密钥进行加密和解密,非对称密钥密码使用不同的密钥进行加密和解密。
密码学的应用范围广泛,包括电子邮件、银行账户和移动设备等。
2.防病毒软件防病毒软件可以帮助用户保护计算机免受计算机病毒、恶意软件和间谍软件的侵害。
防病毒软件可以自动扫描和检测计算机上的病毒和恶意软件,并将其隔离或删除。
防病毒软件可以定期更新,以对新出现的病毒进行检测和删除。
3.网络安全网络安全是保护计算机网络免受未经授权的访问和攻击的过程。
网络安全包括防火墙、入侵检测系统和虚拟专用网络等技术。
防火墙可以防止未经授权的访问和攻击,入侵检测系统可以检测和报告潜在的网络攻击。
虚拟专用网络可以保护网络通信的机密性和完整性。
二、保护个人隐私的规定保护个人隐私是一个基本人权,因此各国政府制定了相关的法律法规来保护个人隐私。
以下是一些保护个人隐私的规定:1.数据保护法数据保护法是保护个人信息和隐私的一种法律规定。
该法规定了在处理个人信息和隐私时应遵循的标准和程序。
数据保护法要求集体储存个人信息的组织必须保护其安全和机密性,并告知信息所有者个人信息可能被收集和使用的目的。
2.电信法电信法是保护个人通讯隐私的法律。
该法规定了处理和保护个人通讯的标准和程序。
电信法要求通讯服务提供商保护其用户的通讯隐私,并不将其通讯内容披露给第三方。
互联网法律法规知识竞赛题库及试题答案(二)
互联网法律法规知识竞赛题库及试题答案(多选)一、多选题1.根据《网络信息内容生态治理规定》,鼓励行业组织开展网络信息内容生态治理教育培训和宣传引导工作,提升()治理能力,增强全社会共同参与网络信息内容生态治理意识。
A.会员单位(正确答案)B.自媒体C.从业人员(正确答案)D.网媒编辑2.《中华人民共和国网络安全法》规定,因(),处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
A.消除安全隐患B.防止危害扩大C.维护国家安全(正确答案)D.维护社会公共秩序(正确答案)3.《中华人民共和国网络安全法》规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
A.制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。
(正确答案)B.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。
(正确答案)C.采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
(正确答案)D.采取数据分类、重要数据备份和加密等措施。
(正确答案)4.《中华人民共和国网络安全法》规定,对可能严重危害()的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
A.国家安全(正确答案)B.国计民生(正确答案)C.公共利益(正确答案)D.社会稳定5.《中华人民共和国网络安全法》规定,建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施()。
A.同步规划(正确答案)B.同步建设(正确答案)C.同步使用(正确答案)D.同时建设使用6.《中华人民共和国网络安全法》规定,网络运营者收集、使用个人信息,应当遵循()的原则。
A.合法(正确答案)B.正当(正确答案)C.必要(正确答案)D.有偿7.《中华人民共和国网络安全法》规定,网络安合事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施。
身份认证与身份信息保护服务解决方案介绍
背景1:网络实名制——事关国家、企业、个人生命与财产安全
• 文化部《关于规范网络游戏运营加强事中事后监管工作的通知》:不得为使用游客模式登陆的 网络游戏用户提供游戏内充值或者消费服务。提倡网络游戏经营单位设置未成年用户消费限额, 限定未成年用户游戏时间。
互联网服务提供商——传统身份证识别、核验方式面临的问题
互联网服务提供商——传统身份证识别、核验方式面临的问题
解决方案一:身份证云解码方案
用户使用NFC的手机代替身份证读卡器,直接读取二代身份证的加密数据,通过 加密通道发送给公安部云解码服务系统,对用户的身份证信息进行解码、身份认 证等操作,然后将解码后的身份证信息以及身份认证的结果返回给应用系统。
• 单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。 有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”
背景3:个人隐私保护——有法可依:网络安全法
• 第四十条:网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制。 • 第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得
• 第二百八十六条:
“网络服务提供者履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒绝改正,
有下列情形之一的,处三年以下有期徒刑、拘役或者管制,幵处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。
最新 个人信息在《网络安全法》中的基本保护规定-精品
个人信息在《网络安全法》中的基本保护规定摘要:《网络安全法》是我国网络安全治理方面的基本法, 该法关于个人信息的保护规则比以往相关法律、法规更系统、更全面, 不仅对网络运营者及其他主体保护用户个人信息的责任做出了更具体、更严格的规定, 也赋予了网络用户更广泛的的个人信息权, 对我国加强网络个人信息的保护具有重要的意义。
但是该法中的个人信息保护规则仍有一些不足之处, 应当从明确公权力介入的程序性制度, 细化用户的个人信息保护权及相应的权利保障措施, 健全个人信息合理使用制度等方面予以完善。
关键词:网络安全法; 个人信息权; 个人信息保护;一、《网络安全法》关于个人信息保护的基本规定《网络安全法》是我国网络安全领域的基本法, 其内容包括网络安全支持与促进、网络安全运行、网络信息安全、监测预警与应急处置等关乎网络建设、运营、使用和维护等各个领域, 其中涉及个人信息保护的规则主要包括以下具体内容。
(一) 网络运营者收集、使用个人信息的基本原则1.合法原则。
网络运营者对个人信息的收集和使用应当严格依照法律进行, 其收集信息的范围、内容、程序以及使用、处理、保存信息的方式都不得违反法律、法规的相关规定。
任何个人和组织也不得以窃取或任何其他非法方式获取个人信息、非法向他人提供个人信息。
2.正当原则。
网络运营者对个人信息进行收集和使用的行为在现行法律法规没有相关具体规定的情形下, 应当符合正当性的原则, 即无论何种情形下, 网络运营者对个人信息的收集和使用应当具有维护网络安全、维护国家和社会公共利益、保护个人信息安全等方面的正当理由。
3.必要原则。
网络运营者对个人信息的收集和使用应当严格限制在其提供网络产品和服务所必须的信息范围之内, 不得超出此范围收集无关的个人信息。
(二) 网络运营者的义务1.制度建设义务。
《网络安全法》第四十条规定:“网络运营者应当建立健全用户信息保护制度。
”该条款明确规定了网络运营者的用户信息保护制度建设义务, 对网络运营者而言, 这类其自行制定的内部更符合运营者自身的行业特色和需求, 内容更细致, 具有比国家法律法规更强的操作性, 能为其日常经营活动中对网络用户个人信息的收集、使用和保护工作提供更加明确具体的规范性依据。
互联网数据隐私与个人信息安全
互联网数据隐私与个人信息安全随着互联网的普及,人们越来越依赖网络进行日常生活,包括购物、社交、医疗、金融等各个方面。
与此同时,互联网上也充斥着不法分子的存在,他们在互联网上利用各种手段窃取用户的个人信息、泄露用户的隐私,甚至盗取用户的财产。
数据隐私和个人信息安全成为了互联网时代的重要议题。
一、数据隐私泄露的危害数据隐私指的是个人或组织的一些敏感信息,如姓名、地址、电话、社会保险号码、银行账号等,这些信息通常被视为私人秘密。
然而,在互联网上,这些信息却很容易被窃取和滥用。
数据隐私泄露的危害主要包括以下几方面:1.个人隐私权受到侵犯。
2.被盗取的信息被用于走私、洗钱和其他非法活动。
3.从事针对受害者的诈骗和电信网络诈骗。
二、保障个人信息安全的方法保障个人信息安全是互联网时代的重要课题,如何防范数据隐私泄露,成为了摆在面前的难题。
1.使用复杂的密码。
个人信息通常会存储在互联网上的账户中,如社交网站账户、电子邮箱账户和网银账户等,使用复杂的密码是防止信息被盗取的最基本的方法。
2.谨慎使用公共Wifi。
不要在公共WiFi环境下使用账户、密码登录网站,也不要使用未经加密的公共WiFi网络进行重要的交易和操作,以防泄露个人信息。
3.定期更新软件和系统。
及时更新软件和系统补丁,以修复已知安全漏洞。
4.使用网络安全工具。
使用网络安全工具,如杀毒软件、防火墙等,以保障个人信息的安全。
三、政府对个人信息安全的保障个人信息安全事关每个人的切身利益,更是影响国家整体利益的重要因素。
为保护个人信息安全,政府应该进行积极的干预和监管。
1.加强电信网络公司的管理和监管。
电信网络公司应该加强自身安全管理和技术,提升用户数据存储与技术安全水平。
同时,政府也应该加强对电信网络公司的管理和监管,如设立部门定期检查华为等电信网络公司的安全性,强化用户数据保护和安全合规审核。
2.完善个人信息保护法律法规。
制定更加严格的个人信息保护法律法规,以确保在商业和政府领域使用数据时,保护了个人隐私和个人数据。
浅谈网络个人信息的立法保护
浅谈网络个人信息的立法保护乔于珊桂林电子科技大学,广西桂林541004摘要:我们处在互联网信息时代,网络普及程度很高,在日常生活中,网民获取网络信息常需要进行实名认证,按照提示要求完善个人信息,网民个人信息便随之流入网络,形成网络信息资源。
个别服务商为牟取非法利益,将网民个人信息作为商品进行非法交易,网络个人信息安全环境令人担忧。
我国对于网民个人信息的保护仍处在探索阶段,在新出台的民法总则中,虽然对个人信息权、取得方式等问题进行了阐述,但仍存在较大空间,需要进一步加强立法建设。
关键词:个人信息;人格权;信息泄露;立法保护中图分类号:D627文献标识码:A文章编号:2095-4379-(2019)23-0210-02作者简介:乔于珊(1997-),女,汉族,山东菏泽人,桂林电子科技大学,本科(大三)在读,研究方向:法学。
王利明教授指出“个人信息是指与特定个人相关联的、反映个体特征的、具有可识别性的符号系统”,由此可知,个人信息与我们每个自然人息息相关。
个人信息常涉及个人隐私,公民隐私权作为人格权的重要内容被我国民法所明确保护。
在最新实施的民法总则中,我国首次从民事权利层面提出了个人信息权,并且在私法领域明确了公民的个人信息不受侵犯。
然而,近年来个人信息已广泛流通于互联网中,网络个人信息遭到泄露、侵犯的情形多有发生。
网络个人信息不仅包括个人信息数据,还包括对个人信息数据的处理。
在个人信息数据范围界定方面,目前我国法律仍没有相关规定,不利于公民维护自身合法权利,主张相应诉求;在个人数据处理方面,由于公民无法介入,若网络服务商存在侵权行为,被侵权人很难及时有效地知晓相关情况并作出自我保护。
因此,为更全面有效地保护网络个人信息安全,维护健康有序的网络环境,笔者认为应由专门法对上述内容进行明确规范。
一、网络个人信息保护不足的原因分析(一)网民知情度较低大数据时代,对于一些网络应用,网民必须授权系统可以访问其个人资料才能实现操作,然而,系统并未明示个人资料的可访问范围,网络服务提供商常存在过量获取用户信息的行为,而网民对此却知之甚少。
电信和互联网用户个人电子信息保护标准介绍
标准制定流程
电信和互联网用户个人信息保护安全防护标准的制定受工业和信息化部委托 ,由工业和信息化部电信研究院牵头,中国互联网络信息中心、北京和升达 信息安全技术有限公司、北京新浪互联信息服务有限公司、深圳腾讯计算机 系统有限公司、中国电信集团公司、中国移动通信集团公司、中国联合网络 通信集团有限公司共同组成起草组参与标准起草。
电信和互联网用户个人电子信息保护标准安全防护要求
操作环节-管理要求-运维支撑人员要求
a) 对运维支撑人员操作用户个人电子信息的行为,应建立明确的操作审批流程,定期 进行严密的事后审核。
b) 运维支撑人员因业务投诉、统计取数、批量业务操作、批量数据修复等原因进行的 用户个人电子信息查询、变更必须提交操作申请,按照要求进行操作,不得扩大操 作范围。
电信和互联网用户个人电子信息保护标准安全防护要求
操作环节-管理要求-开发人员要求
a) 开发人员的工作区域应与生产、内部办公、维护区域分离,并采用严格的访问控制 策略和管控手段。
b) 开发人员使用的测试数据不应当包含真实的用户个人电子信息,必须是经过模糊化 处理的数据。
c) 开发人员进入可能接触到用户个人电子信息的生产或维护区域时,应有相应的审批 制度。
电信和互联网行业用户信息具体包括: • (一)身份信息:指能够单独或相互结合识别特定用户身份的信息,如用户基本资
料、通讯录信息和虚拟身份信息等。 • (二)鉴权信息:指用于鉴定用户身份是否合法的信息,如用户登录各种业务系统
的账号和密码、服务密码等。 • (三)日志信息:指用户使用电信业务过程中产生的信息,如用户消费信息、位置
我国将出台保护个人信息行业标准
我国将出台保护个人信息行业标准近日,工信部直属的中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。
工信部安全协调司副司长欧阳武介绍说,这个指南能为行业开展自律工作提供了很好的参考,为企业处理个人信息制定了行为准则。
据介绍,我国信息技术保护不容乐观,甚至已形成利用个人信息从事非法获利的黑色链条。
特别是去年年底揭露出的中国互联网最大规模的泄密事件,将个人信息保护推向了风口浪尖。
许多发达国家很早已开始个人信息的保护研究和立法工作。
我国近年来也启动了个人信息保护的相关工作。
去年,全国信息安全标准化技术委员会提出制定个人信息保护指南。
这个委员会主要从事信息安全标准化工作,现任主任由工信部副部长杨学山兼任。
个人信息保护指南的全称是《信息安全技术、公共及商用服务信息系统个人信息保护指南》,标准由工信部直属的中国软件测评中心牵头,联合近30家单位起草。
该中心常务副主任黄子河透露说,指南目前还在等待批准文号,但其最终的发布应是“指日可待”。
但这个指南并非国家强制性标准。
■ 焦点个人信息用后立即删除在个人信息安全缺少专门法律规范时,一部行业标准成为业内的希望。
“去年正式通过了评审,报批国家标准”,中国电子信息产业发展研究院院长、中国软件评测中心主任罗文希望今年能通过这项标准,以拓展个人信息保护的体系。
《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。
工信部安全协调司副司长欧阳武介绍,“这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。
”“最少使用”的原则就是获取一个人的信息量时,只要能满足使用的目的就行。
黄子河举例说,一些网站本是办一个很小的事,却让用户填包括家庭住址、手机号在内等很多信息,这就不符合“最少使用”原则。
“安全保障”则是要个人信息管理者一旦收集了个人信息,就必须建立一套个人信息保护制度,明确责任人和内部管理流程,以及应对个人信息泄露的风险。
网络安全检查工作依据的法律法规和标准
网络安全检查工作依据的法律法规和标准一、法律法规1.《中华人民共和国网络安全法》2.《通信网络安全防护管理办法》3.《电信和互联网用户个人信息保护规定》二、电信和互联网安全防护体系系列标准1.《移动通信网安全防护要求》2.《移动通信网安全防护检测要求》3.《互联网安全防护要求》4.《互联网安全防护检测要求》5.《增值业务网—消息网安全防护要求》6.《增值业务网—消息网安全防护检测要求》7.《增值业务网—智能网安全防护要求》8.《增值业务网—智能网安全防护检测要求》9.《接入网安全防护要求》10.《接入网安全防护检测要求》11.《传送网安全防护要求》12.《传送网安全防护检测要求》13.《IP承载网安全防护要求》14.《IP承载网安全防护检测要求》15.《信令网安全防护要求》16.《信令网安全防护检测要求》17.《同步网安全防护要求》18.《同步网安全防护检测要求》19.《支撑网安全防护要求》20.《支撑网安全防护检测要求》21.《域名系统安全防护要求》22.《域名系统安全防护检测要求》23.《域名注册系统安全防护要求》24.《域名注册系统安全防护检测要求》25.《网上营业厅安全防护要求》26.《网上营业厅安全防护检测要求》27.《WAP网关系统安全防护要求》28.《WAP网关系统安全防护检测要求》29.《电信网和互联网信息服务业务系统安全防护要求》30.《电信网和互联网信息服务业务系统安全防护检测要求》31.《增值业务网即时消息业务系统安全防护要求》32.《增值业务网即时消息业务系统安全防护检测要求》33.《移动互联网应用商店安全防护要求》34.《移动互联网应用商店安全防护检测要求》35.《互联网内容分发网络安全防护要求》36.《互联网内容分发网络安全防护检测要求》37.《互联网数据中心安全防护要求》38.《互联网数据中心安全防护检测要求》39.《移动互联网联网应用安全防护要求》40.《移动互联网联网应用安全防护检测要求》41.《公众无线局域网安全防护要求》42.《公众无线局域网安全防护检测要求》43.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》44.《电信和互联网用户个人电子信息保护检测要求》。
网络安全法电信
网络安全法电信网络安全法电信尊敬的用户,您好!我是XXX运营商的客服代表,非常荣幸为您提供服务。
在这封电信中,我将向您介绍最近生效的网络安全法,并提供一些与之相关的信息和建议。
如您所知,网络安全是当前的热门话题之一。
随着互联网的快速发展,网络攻击和数据泄露等安全问题也越来越严峻。
为了保护广大用户的个人隐私和信息安全,我国政府于20XX年6月1日颁布了《网络安全法》。
根据《网络安全法》,网络运营商有以下一些重要责任和义务:1. 保护用户个人信息安全:网络运营商必须采取合理的技术措施,确保用户个人信息的安全,禁止泄露、篡改、毁损或者非法获取用户个人信息。
2. 防范网络攻击:网络运营商要配备先进的网络安全设备和人员,建立健全的网络安全防护体系,及时发现和应对网络攻击行为。
3. 合法合规运营:网络运营商要遵守相关法律法规,禁止传播淫秽、暴力和恶意软件等违反法律法规的信息。
您作为我们的尊贵用户,我们希望您能对网络安全问题保持高度警惕。
以下是一些建议,帮助您更好地保护个人信息和提高网络安全意识:1. 强化密码保护:使用复杂、独立的密码,并定期更换,避免使用重复的密码。
同时,不要将密码告诉他人,尤其是通过社交媒体或其他网络平台。
2. 提高安全意识:不轻易相信陌生人的信息,不随意点击可疑链接或下载未知应用。
并注意网络垃圾信息的识别和过滤。
3. 防范网络钓鱼:不轻易泄露个人信息,尤其是身份证号码、银行账号等重要信息。
警惕伪造的网站或电子邮件,以防个人信息被盗用。
4. 升级软件和防火墙:定期更新操作系统、应用程序和安全软件,确保其具备最新的安全补丁。
启用防火墙,并设置适当的网络安全策略。
5. 注意公共网络安全:在公共网络上,避免登录重要账户,不使用在线银行或支付平台,以防您的个人信息被窃取。
我们将继续致力于为您提供安全、可靠的通信服务,同时加强网络安全防护,保护您的个人信息安全。
如果您对网络安全有任何疑问或需要帮助,请随时与我们联系。
论个人信息保护行政处罚制度
论个人信息保护行政处罚制度《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第66条对个人信息保护领域的行政处罚制度作出规定。
相较于《全国人民代表大会常务委员会关于维护互联网安全的决定》第4条、《消费者权益保护法》第56条、《网络安全法》第64 条等先期规范,《个人信息保护法》第66条有了质的突破。
广度上,其打击对象不再限于侵害他人电子邮件等数据资料行为,保护对象亦不再限于消费者,而是涵盖所有违法处理个人信息行为和个人信息主体;深度上,其新增责任人员从业禁止和高额罚款等处罚措施,强化违法威慑。
然而,既有研究或聚焦网络安全领域的行政处罚,或论证对严重个人信息侵权行为处以高额罚款的必要性与可行性,或介绍欧美个人信息保护领域的处罚制度。
以《个人信息保护法》第66条为切入点,探讨我国个人信息保护行政处罚制度的文献迄今仍付之阙如。
本文试图填补此空白,从“谁处罚” “罚什么” “怎么罚”三方面展开初步讨论。
一、谁处罚:处罚主体与管辖协调(一)处罚主体《个人信息保护法》第66条规定由“履行个人信息保护职责的部门”实施处罚。
根据该法第60条,此类部门包括“国家网信部门” “国务院有关部门”以及“县级以上地方人民政府有关部门“。
除网信部门外,还有哪些机构属于“履行个人信息保护职责的部门”?《网络安全法》第8条、《数据安全法》第6条将电信、公安、国安、交通、金融、自然资源、卫生健康、教育、科技部门列为网络安全、数据安全监管部门,但也采用“其他有关机关”和“等”的措辞来表明列举是不穷尽的。
事实上,由于个人信息的泛在性,大量部门皆负有个人信息保护职责。
例如人社部门依据《人力资源市场暂行条例》第三章监管人力资源服务机构,由此对线上人力资源服务处理个人信息具有监管职责。
又如文旅部门是旅游经营活动的监管主体,由此对该类活动中的个人信息保护负有监管职责。
简言之,举凡监管对象处理个人信息的机构皆属于“履行个人信息保护职责的部门”。
个人信息保护:互联网管理亟待解决的问题
我国在保护互联网用户个人信 息 方面开展的工作
为 了促进 互 联 网行业 的健 康发 展 ,保 护 互联 网用户 的合法 权益 ,我 国 主要做 了 以下工 作 。
理 制 度 ; 《 联 网 电 子 公 告 服 务 管 理 规 互 定 》要求 电子公 告 服务 提供 者对 上 网用 户 的个人 信息 保 密 。 二是用 户个 人信 息 的保 护范 围方 面 , 《 范 互 联 网 信 息 服 务 市 场 秩 序 若 干 规 规 定 》将 “ 户个 人 信息 ”规 定 为 “ 用 与用 户
行 业 监 管
通信 法
l I d sr g lt n n u tyRe u ai o
个人信息保护 :互联 网管理亟待解决的问题
■ 石玉春 张蕾 l 文
随着信息通信技术的迅猛发展和广泛应用 ,我国已经成为互联 网应用大 等 法律 、行 政 法规 。围绕 实施 上 述规 定 , 互联 网 电子 公告 国。互联 网的普及应用 ,在推动经济社会发展 、改善人们 生活的同时 ,也带 工 业和 信息 化 部制 定 了 《
完 善 ,还存 在 不 同程 度 的信息 安全 隐 患。
第 二 ,银 行 、铁路 、旅 馆 、医疗 、教
育 、邮政 和电信 等 众多 行业 普 遍存 在 收集
士条例 》等法律法规中,对保护公民个人
隐私 或者 个人 信 息作 m了 规定 。
的信息或者用于提供服务之外的目的;妥
善 保 管用 户个 人 信息 ,用 户个人 信 息泄 露 时应 当立 即采取 补救 措 施并 向电信 管理 机
R Ⅲ 了规定 ,为 开展 行业 自律提 供 指 作
护方面的制度诉求 ,促进建立安全 、可信
网络环境下的个人信息保护:问题与对策
网络环境下的个人信息保护:问题与对策摘要:互联网提供了前所未有的信息传播速度和渠道,在给人们生活带来便利的同时,也带来了个人信息泄露和恶意使用的问题。
网络环境下个人信息保护面临的突出问题主要表现在个人信息的泄露风险和保护难度不断增加,网上个人信息泄露的源头多、涉及面广,个人信息缺乏法律保护等方面。
网络环境下的个人信息被侵害易如反掌,这种侵害不仅手段复杂、隐蔽,侵害程度也日趋严重,因此,对个人信息的保护非常重要。
网络环境下保护个人信息安全需要从法律、政策、监管等层面出台一系列的配套措施进行制约,构建长效机制。
关键词:网络环境;个人信息保护;问题;对策个人信息,是指一切可以识别的本人信息的总和。
网络个人信息,一般是指能够直接或间接识别自然人的数据、资料,它分为直接的个人信息和间接的个人信息。
网络环境下的个人信息与传统个人信息最大的区别,是它以网络为主要传输渠道、以数据流为载体,体现了个人信息的电子化。
随着信息通信技术的广泛应用,我国已经成为互联网应用大国。
互联网提供了前所未有的信息传播速度和渠道,在给人们生活带来便利的同时,也带来了个人信息泄露和恶意使用的问题。
当前,如何在网络环境下加强个人信息保护,是互联网发展中亟须解决的问题。
一、网络环境下个人信息保护存在的突出问题网络环境下个人信息保护面临着日益严峻的形势,社会对个人信息保护的要求越来越迫切,其存在的问题主要表现在以下几个方面:1.个人信息的泄露风险和保护难度不断增加互联网所固有的开放属性、海量储存和共享特征,而部分互联网企业对用户个人信息安全重视不够、安全防护措施不到位、管理制度不够完善等,共同造成个人信息不断被泄露。
由于个人信息的泄露具有泄露量大(涉及几百万甚至上千万人的个人信息)、传播速度快(几天甚至几个小时便广泛传开)、不易控制等特征,容易造成极为严重的后果。
特别是一些政府机关或者涉密部门的工作人员,其个人信息的泄露,甚至会影响到国家安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
标准制定背景和流程 电信和互联网用户个人电子信息保护标准安全防护范围 电信和互联网用户个人电子信息保护标准安全防护内容 电信和互联网用户个人电子信息保护标准安全防护要求 电信和互联网用户个人电子信息保护标准安全防护检测
电信和互联网用户个人电子信息保护标准安全防护要求
收集环节-管理要求
a) 收集用户个人电子信息应当有正当、明确的 目的。 b) 收集用户个人电子信息时,应满足以下条件 之一:
标准制定流程
电信和互联网用户个人信息保护安全防护标准的制定受工业和信息化部委托 ,由工业和信息化部电信研究院牵头,中国互联网络信息中心、北京和升达 信息安全技术有限公司、北京新浪互联信息服务有限公司、深圳腾讯计算机 系统有限公司、中国电信集团公司、中国移动通信集团公司、中国联合网络 通信集团有限公司共同组成起草组参与标准起草。
电信和互联网用户个人电子信息保护标准安全防护要求
收集环节-技术要求
a) 通过在线方式进行用户身份信息收集时,应使用加密传输以保障用户在线提交信息的 安全性。 b) 应对用户设置访问控制,每个用户只能访问自己所上传的用户信息。 c) 用户鉴权信息应有位数要求,并有复杂度要求(使用大写字母、小写字母、数字、标 点及特殊字符四种字符中至少三种的组合,且与用户名无相关性)。 d) 应对收集用户个人电子信息的操作进行日志记录,并对日志记录中的身份信息和鉴权信 息进行模糊化处理。 e) 身份信息、鉴权信息在用户端显示时应进行模糊化处理,如:用户注册页面身份证号 码显示、密码找回页面手机号码显示、密码找回页面邮箱显示、用户输入密码显示等 。
1. 系统在设计阶段,应当根据接口和流程涉及到用户个人电子信息的类型和操作类型(查 询、修改、增删),来定义安全需求; 2. 在系统交付阶段分别对系统的接口与流程的安全性进行评估,未达到安全要求的系统原 则上不允许上线; 3. 做好上线前的安全评估、基线审核,封堵和修补系统、数据库、中间件、应用层的漏洞 ,升级安全补丁,防止系统被攻击和入侵。
电信和互联网用户个人电子信息保护标准安全防护要求
操作环节-技术要求-信息系统要求2
e) 应定期(至少每月1次)进行系统级和代码级的漏洞扫描(重大变更与系统升级后也 需进行),以及时发现所使用的操作系统、中间件、数据库以及程序本身的高危险 安全漏洞,及时修补发现的安全漏洞以及配置不符合项。 f) 严格限制可访问和操作用户个人电子信息的人员和帐户,遵循权限最小化原则,从 技术上限制非授权用户接触用户个人电子信息和合法用户能访问敏感信息的权限。 g) 应设置账号/口令的访问控制,口令长度不少于8位,并有复杂度要求(使用大写字母 、小写字母、数字、标点及特殊字符四种字符中至少三种的组合,且与用户名或ID无 相关性)。 h) 系统帐号口令输入尝试次数应做限制,防止口令的暴力破解。 i) 对于无法进行定期修改口令的帐号,如内置帐号、程序帐号等,应在系统升级或重 启时落实口令修改工作。
电信和互联网用户个人电子信息保护标准安全防护要求
操作环节-技术要求-信息系统要求3
j) 如发生口令遗忘的情况,帐号使用人应提出口令重置申请,由系统管理员进行密码 重置,重置完毕后,使用者应马上更改重置后的密码。 k) 当程序内的帐号密码需要保存在配置文件里时,应只使用适当权限的帐号,采用经 过验证的算法对帐号口令进行加密,并做好帐号口令和加密密钥的保护工作。 l) 应记录所有对用户个人电子信息的访问操作,形成日志,记录内容必须至少包括访 问人员、访问对象、访问时间、访问操作。 m) 应定期(至少每月)对涉及用户个人电子信息访问和操作的日志进行审计,审计时 应特别关注批量访问,保证每次批量访问均为正常业务操作。
•
•
主要规范电信和互联网用户个人电子信息分类别的技术和管理方面的安全 防护要求和检测要求。 主要适用于电信和互联网存储和处理用户个人电子信息的相关系统。
以上两项标准已起草完成,正在进行报批发布流程。
标准制定背景和流程 电信和互联网用户个人电子信息保护标准安全防护范围 电信和互联网用户个人电子信息保护标准安全防护内容 电信和互联网用户个人电子信息保护标准安全防护要求 电信和互联网用户个人电子信息保护标准安全防护检测
电信和互联网用户个人电子信息保护标准安全防护要求
存储环节-技术要求
a) 应采取技术手段保障用户个人电子信息的安全性和完整性,鉴权信息应加密存储。 b) 作为后台的存储系统须与前端的用户信息收集系统在物理上进行分离,不得共用服 务器。 c) 应实现网络安全域划分,不同安全域之间使用防火墙进行隔离和访问控制。存储系 统应处于内部安全域,不对互联网提供服务,并与用户信息收集系统处于不同安全 域。 d) 防火墙对存储系统的访问策略应设置为默认拒绝,只对特定的用户信息收集系统、 用户信息使用系统及管理终端开放访问权限。 e) 用户个人电子信息必须存储在境内。
c) 收集用户个人电子信息前应采用用户能够知 悉的方式,至少向用户明确告知如下事项:
1. 收集用户个人电子信息的目的、方式、类别 和留存时限; 2. 用户个人电子信息的使用范围,包括披露或 向其他组织和机构提供其用户个人电子信息 的范围;
d) 应只收集能够达到已告知目的的最少信 息,不得收集与其所告知的收集目的无 直接关系的用户个人电子信息。 e) 应采用已告知的手段和方式直接向用户 收集用户个人电子信息,不采取隐蔽手 段或以间接方式收集用户个人电子信息 。
标准制定背景
2007年,为保证电信网络安全防护工作整体、规范、科学、有序地 开展,工业和信息化部开始组织制定“电信网和互联网安全防护” 系列标准,以加快推进电信网络安全防护工作。该系列标准将随着 网络和业务的发展不断地扩充和完善,截止2013年已发布50项标准 。 2012年发布《全国人大常委会关于加强网络信息保护的决定》。 2013年出台《电信和互联网用户个人信息保护规定》(工业和信息 化部令第24号)。网络用户信息保护受到高度重视。 然而,我国网络个人信息保护技术和管理标准体系还不完善,急需 制定网络用户信息保护通用技术和管理技术标准,及时对网络用户 信息的通用技术和管理保障提出全面性的安全防护要求,提高通信 网络整体的安全防护水平。
电信和互联网用户个人电子信息保护标准安全防护要求
存储环节-管理要求
a) 对于存储用户个人电子信息的存储介质(如磁阵、硬盘和磁带等)的维护、更换、 升级和销毁等操作和管理流程,应制定严格的登记和审批制度并落实。 b) 应采取有效的管理手段加强对涉及用户个人电子信息的系统使用移动存储介质的管 控,对向移动介质输出用户个人电子信息的情况进行日志记录,并定期审核。
电信和互联网用户个人电子信息保护标准安全防护要求
操作环节-管理要求-业务人员要求
a) 对业务人员操作用户个人电子信息的行为,应建立明确的操作审批流程,定期进行 严密的事后审核。 b) 涉及身份信息的操作,业务人员应获得用户的同意,并且按照正常的鉴权流程通过 身份认证。 c) 涉及内容信息的查询,业务人员只能在响应用户请求时,并且用户自身按照正常流 程通过身份鉴权的情况下,协助用户查询,禁止业务人员擅自进行查询。
1. 法律法规明确授权或经用户同意; 2. 与用户有合法的合同关系; 3. 用户自行公开或已合法公开的信息。 3. 用户个人电子信息的保护措施; 4. 提供用户个人电子信息后可能存在的风险 ; 5. 不提供用户个人电子信息可能出现的后果 ; 6. 用户个人电子信息管理者的名称、地址、 联系方式等信息; 7. 用户的投诉渠道。
电信和互联网用户个人电子信息保护标准安全防护要求
操作环节-管理要求-开发人员要求
a) 开发人员的工作区域应与生产、内部办公、维护区域分离,并采用严格的访问控制 策略和管控手段。 b) 开发人员使用的测试数据不应当包含真实的用户个人电子信息,必须是经过模糊化 处理的数据。 c) 开发人员进入可能接触到用户个人电子信息的生产或维护区域时,应有相应的审批 制度。 d) 开发人员转岗或离岗前,应完成开发人员的账号回收、审核、网络调整等工作。
标准编制过程:
2013年11月18日,“电信网和互联网安全防护特设组”在北京召开 2013年第1次会议讨论本标准的征求意见稿。 2013年12月27日和30日,“电信网和互联网安全防护特设组”在北京 召开2013年第2次会议讨论本标准的送审稿。
标准制定流程
电信和互联网用户个人信息保护安全防护标准包含: 《电信和互联网用户个人电子信息保护通用技术要求和管理要 求》 《电信和互联网用户个人电子信息保护检测要求》
电信和互联网用户个人电子信息保护标准安全防护要求
操作环节-管理要求-运维支撑人员要求
a) 对运维支撑人员操作用户个人电子信息的行为,应建立明确的操作审批流程,定期 进行严密的事后审核。 b) 运维支撑人员因业务投诉、统计取数、批量业务操作、批量数据修复等原因进行的 用户个人电子信息查询、变更必须提交操作申请,按照要求进行操作,不得扩大操 作范围。 c) 运维支撑人员因应用优化、业务验证测试等原因需要查询、修改用户个人电子信息 时,应使用测试号码进行各项测试。 d) 运维支撑人员因系统维护进行用户个人电子信息的数据迁移(数据导入、导出、备 份)必须提交操作申请,并经过审批。 e) 运维支撑人员不应向开发测试环境导出用户个人电子信息,如需导出必须经过申请 审批,并进行模糊化处理。
电信和互联网用户个人信息保护 安全防护标准介绍
中国通信企业协会 通信网络安全专业委员会专家组 封莎 2014年7月
标准制定背景和流程 电信和互标准安全防护内容 电信和互联网用户个人电子信息保护标准安全防护要求 电信和互联网用户个人电子信息保护标准安全防护检测
电信和互联网用户个人电子信息保护标准安全防护范围
电信和互联网行业用户信息是指电信业务经营者和互联网信息服务提供者在提供服 务的过程中以电子形式存储和使用的用户姓名、出生日期、身份证件号码、住址、 电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使 用服务的时间、地点、通信内容等信息。 电信和互联网行业用户信息具体包括: • (一)身份信息:指能够单独或相互结合识别特定用户身份的信息,如用户基本资 料、通讯录信息和虚拟身份信息等。 • (二)鉴权信息:指用于鉴定用户身份是否合法的信息,如用户登录各种业务系统 的账号和密码、服务密码等。 • (三)日志信息:指用户使用电信业务过程中产生的信息,如用户消费信息、位置 信息、使用服务的时间及使用相关业务的记录等。 • (四)内容信息:指用户使用电信业务过程中所传递的信息内容,如短信内容记录 、移动上网内容及记录、应用平台上交互的信息内容等。