解读国标GBT 35273-2017《信息安全技术个人信息安全规范》
网络安全知识竞赛网络安全知识科普题(含参考答案)
D. 填写调查问卷、扫二维码注册尽可能不使用真实个人信息。
参考答案:A
答题解析:在社交软件上发布火车票、飞机票、护照、照片、日程、行踪可能会造成个人信息泄露,是不可取的做法。
6. 为了避免个人信息泄露,以下做法正确的是():
A. 撕毁快递箱上的面单
B. 把快递箱子放进可回收垃圾里
C. 把快递面单撕下来再放进干垃圾分类中
D. 以上做法都可以
参考答案:A
答题解析:因为个人信息都在快递单上,不管是快递盒直接放入垃圾桶还是把快递单撕下来在放进干垃圾分类中都有可能泄露个人信息。
7. App在申请可收集个人信息的权限时,以下说法正确的()。
12. 以下说法不正确的是()
A. 不需要共享热点时及时关闭共享热点功能
B. 在安装和使用手机App时,不用阅读隐私政策或用户协议,直接掠过即可
C. 定期清除后台运行的App进程
D. 及时将App更新到最新版
参考答案:B
答题解析:在安装和使用手机App时,应阅读隐私政策或用户协议。
13. App申请的“电话/设备信息”权限不用于()
C. 所有账号都是一种密码,方便使用
D. 使用自己或父母生日作为密码
参考答案:A
答题解析:连续数字或字母、自己或父母生日都是容易被猜到或获取的信息,因此如果使用生日作为密码风险很大。而如果所有账号都使用一种密码,一旦密码丢失,则容易造成更大损失。
10. 关于个人生物特征识别信息,以下哪种是合理的处理方式()。
网络安全知识竞赛网络安全知识科普题(含参考答案)
一、单选题
1. 下面哪些行为可能会导致电脑被安装木马程序()
国家标准 信息安全技术 个人信息安全规范
个人信息安全规范标准
3.2
个人敏感信息 pemonal sensitive information 一 旦泄露 、非法提供 或滥用 可能危害人 身和财产 安全 ,极 易导致个 人名誉 、身心健康受 到损 害 或歧视性待遇等 的个人信息 。 注1:个 人敏感信 息包 括身份证 件号码 、个 人生物识 别信息 、银 行账号 、通信记录和内容 、财产信息 、征信
36.
该标 准的 四个资料性附录 中分别列 出了:个人信息示例 (附录A),个人敏感信息判定 (附 录B),保 障 个 人信息主体选择 同意权 的方法 (附录C),以及隐私政策模板 (附录D)。
该标 准适用于规范各类组织个人 信息处理活动 ,也适用 于主管监管部 门、第三方评估 机构等组织对个人 信息处来自活动进行监督 、管理和评估 。
2017年 12月29 Et,质 检总局 、国家标准委发 布了2017年第32号 国家标 准公告 ,批准发布 了GB/T 35273— 2017《信息安全技术 个人信息安全规范 》,该标准将于2018年5月1日正式实施 。
该标准针对个人信息 面临的安全问题 ,规范个人信 息控 制者在收集 、保存 、使用 、共 享 、转 让 、公开披 露等信息处理环节 中的相 关行为 ,旨在遏制个人信 息非法收集 、滥用 、泄露等乱象 ,最 大程度地保障个人 的 合法权益和社会公共利益 。对标准 中的具体事项 ,法律法规另有规定 的,需遵照其规定执行 。
该 标 准 还规 定 了 :个 人信 息 的 收集 (第 5章 ),个 人 信 息 的保存 (第6章 ),个 人 信息 的使 用 (第 7 章 ),个人信息 的委托处 理 、共 享 、转让 、公开披露 (第 8章 ),个人信息安全事件处置 (第 9章 ),以及组 织的管理要求 (第 10章 )。
脱敏技术国标
脱敏技术国标脱敏技术国标是我国为了保护数据安全和隐私而制定的一系列标准。
在国内外法律法规的推动下,我国对数据保护的要求越来越高。
以下是一些与脱敏技术相关的国标:1. 《GB/T 22081-2016 信息安全技术信息安全风险评估规范》:该标准规定了信息安全风险评估的基本原则、方法和要求,其中包括数据脱敏技术的应用。
2. 《GB/T 35273-2017 信息安全技术个人信息安全规范》:该标准明确了个人信息安全的基本要求,包括数据脱敏、加密等技术的应用。
3. 《GB/T 39786-2020 信息安全技术云计算服务安全指南》:该标准针对云计算服务的安全问题,提出了数据脱敏、数据隔离等技术要求。
4. 《GB/T 37988-2019 信息安全技术信息安全事件管理规范》:该标准规定了信息安全事件的分类、报告、处理和评估等要求,其中涉及到数据脱敏技术的应用。
5. 《GB/T 25069-2010 信息安全技术术语》:该标准对信息安全领域的术语进行了规范,包括数据脱敏、加密、解密等技术的定义。
6. 《GB/T 20984-2007 信息安全技术信息安全风险评估实施指南》:该标准提供了信息安全风险评估的实施方法,包括数据脱敏技术的应用。
7. 《GB/T 19668.1-2017 信息技术安全技术信息安全保障工程总体规划与设计》:该标准规定了信息安全保障工程的总体规划与设计方法,涉及到数据脱敏、数据加密等技术的应用。
8. 《GB/T 19668.2-2017 信息技术安全技术信息安全保障工程实施指南》:该标准提供了信息安全保障工程的实施指南,包括数据脱敏、数据加密等技术的应用。
这些国标为我国企业和个人在数据保护方面提供了指导,要求企业采取相应的技术手段,如数据脱敏、加密等,以确保数据安全和合规。
在实际应用中,企业需根据自身情况和需求,参照相关国标,制定合适的数据保护策略。
信息安全技术 个人信息安全影响评估指南-编制说明
国家标准《信息安全技术个人信息安全影响评估指南》(征求意见稿)编制说明一、工作简况1.1任务来源GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用,其中,《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作,旨在发现、处置和持续监控个人信息处理过程中的安全风险。
2017年3月,在信安标委会议周,云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》。
本标准为自主制定标准,标准任务编号为:20180840-T-469。
1.2主要起草单位和工作组成员标准由颐信科技有限公司牵头,中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技(杭州)有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想(北京)有限公司、清华大学、阿里巴巴(北京)软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制,归口单位为全国信息安全标准化技术委员会(简称信息安全标委会,TC260)。
本标准主要起草人:洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。
1.3 主要工作过程1、2017年3月,在云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》,对个人信息安全影响评估方法、应用、政策和标准进行调研分析,确定标准化需求。
2、2017年5月初,成立正式的个人信息安全影响评估指南标准编制组,标准由颐信科技有限公司牵头,中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴(北京)软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心等组成标准编制组。
GBT 35273-2017-信息安全技术-个人信息安全规范
《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容:6.1 个人信息保存时间最小化对个人信息控制者的要求包括:a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
6.2 去标识化处理收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括:a) 传输和存储个人敏感信息时,应采用加密等安全措施;b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时,应:a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。
《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:9.1 安全事件应急处置和报告对个人信息控制者的要求包括:a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。
个人金融信息保护技术规范标准
个人金融信息保护技术规1 围本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规性要求。
本标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。
2 规性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22239-2019信息安全技术网络安全等级保护基本要求GB/T 25069-2010信息安全技术术语GB/T 31186.2-2014银行客户基本信息描述规第2部分:名称GB/T 31186.3-2014银行客户基本信息描述规第3部分:识别标识GB/T 35273-2017信息安全技术个人信息安全规JR/T 0068-2020网上银行系统信息安全通用规JR/T 0071 金融行业信息系统信息安全等级保护实施指引JR/T 0092-2019移动金融客户端应用软件安全管理规JR/T 0149-2016中国金融移动支付支付标记化技术规JR/T 0167-2018云计算技术金融应用规安全技术要求3术语和定义GB/T 25069-2010,GB/T 35273-2017界定的以及下列术语和定义适用于本文件。
3.1金融业机构financial industry institutions本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。
3.2个人金融信息personal financial information金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。
注1:本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
国家标准GB/T35273—2017《信息安全技术个人信息安全规范》发布
《信 息技 术 与 网络 安 全 》2018年 第 2期
107
业 大 学 ,20l4. [3]wu J,LI F,ZHANG C,et a1.An asynchronous SAR ADC
with gate—controlled ring oscillator for m ulti—phase clock genera·
tor[C].Solid·State and Integrated Circuit Technology (IC— SICT),2014:1·3. [4]杨 秀丽 .基 于 CMOS工 艺 的 10位 SAR ADC 的 研 究 与 设 计 [D].合 肥 :合 肥 工 业 大 学 ,2007. [5]郝 乐 .基 于 低 电 压 高 精 度 12一bit SARADC设 计 [D].北 京 : 北 京 交 通 大 学 ,2008. [6]Han Xue,Qi Wei,Yang Huazhong,et a1.A single channel 6-bit 230-MS/s asynchronous SAR ADC based Oil 2 bits/stage[J]. Journal of Semiconductors,20 14,35(7):075005.
参 考 文 献 [1] ALLEN P E,HOLBERG D R.COMS analog circuit design,
Second Edition[M].北 京 :电子 工 业 出版 社 ,2002. [2]章 大 伟 .一 种 SAR ADC 的 设 计 与 研 究 [D].合 肥 :合 肥 工
作 者 简 介 : 徐 韦 佳 (1989一),女 ,硕 士 研 究 生 ,助 教 ,主 要 研 究 方 向 :集
一种基于数据加密的个人信息保护方案
ACADEMIC RESEARCH 学术研究摘要:论文从各数据平台对个人信息保护缺失现状入手,分析了多个存在的风险点,通过分析解读相关法律条款,首先引导从业者从思想意识层面,认识到保护个人信息安全的重要性、急迫性与严肃性,然后介绍了一种基于数据加密的个人信息保护方案。
关键词:个人信息保护;密钥管理;加密方案一、前言近年来,各大知名平台数据泄漏事件时常登上热搜榜单,如华住酒店集团、网易163/126邮箱、顺丰快递、学信网等。
据不完全统计,国家互联网应急中心(CNCERT)通过公开渠道获得疑似泄露的数据库就多达数十个,涉及账号、密码数亿条[1]。
国外的Facebook、领英(LinkedIn)和谷歌等也多次发生用户信息泄露事件,每次均涉及数千万的个人账户[2]。
对此,人们不禁要问,在万物互联的今天,上传到网上的海量个人信息数据,到底还安全么?通常来讲,正规平台对用户的信息都会有较为完善的保护措施。
如最常见的用户密码,都会以不可逆加密的方式进行存储。
但如果仅用常规的MD5加密函数,也会给黑客可乘之机。
从以前的彩虹表,到现在的MD5解密网站,都是利用穷举字符组合的方式,通过建立明文——密文对应查询数据库(容量均是数以万亿计),从而可以对MD5、SHA1等全球通用的公开的加密算法进行反向查询,因此简单的密码组合使用常规的MD5加密同样存在相当大的风险。
而对于其他信息,如用户名、手机号、收货地址、身份证号等,各系统通常则不会有过多的保护手段,做得比较好的平台,会额外使用安全密码或短信验证码进行二次核验,但这些措施也仅限对前端有效,一旦遇到拖库级的泄漏事件,未进行加密存储的数据将毫无安全可言。
二、法规要求根据《中华人民共和国网络安全法》的定义:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
身份证号码,个人生物识别信息,通信记录和内容
身份证号码,个人生物识别信息,通信记录1.身份证件号码、个人生物识别信息、通信记录和内容、健康生理信息等属于哪类信息。
A. 属于个人敏感信息B. 属于公共信息C. 属于个人信息D. 以上都对答案:A解析:《GBT 35273-2017 信息安全技术个人信息安全规范》:个人敏感信息(personal sensitive information)是一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。
个人信息(personal information)是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
一、单选题1. 下面哪些行为可能会导致电脑被安装木马程序A. 上安全网站浏览资讯B. 发现邮箱中有一封陌生邮件,杀毒后下载邮件中的附件C. 下载资源时,优先考虑安全性较高的绿色网站D. 搜索下载可免费看全部集数《长安十二时辰》的播放器答案:D解析:木马程序往往集成到来历不明的软件中,搜索引擎不能保证过滤到所有有害资源,最好通过正规的软件应用商店下载应用。
2. 以下哪种不属于个人信息范畴内A. 个人身份证件B. 电话号码C. 个人书籍D. 家庭住址答案:C解析:《GBT 35273-2017 信息安全技术个人信息安全规范》:个人信息(personal information)是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
解读国标GBT35273_2017年《信息安全技术个人信息安全规范》
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间:2018-01-28浏览:578按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。
本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。
一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容:6.1 个人信息保存时间最小化对个人信息控制者的要求包括:a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
6.2 去标识化处理收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括:a) 传输和存储个人敏感信息时,应采用加密等安全措施;b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时,应:a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。
二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:9.1 安全事件应急处置和报告对个人信息控制者的要求包括:a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。
《个人金融信息保护技术规范》解读
《个人金融信息保护技术规范》信息管控要求(收集)
阶段
环节描述
技术要求
收集
应根据信息类别确定个人金融信息收集方案:
不应委托或授权无金融业相关资质的机构收集 C3、C2 类别信息;Leabharlann 确保收集信息来源的可追溯性;
对个人金融信息主体各类信息进行
获取和记录的过程
应采取技术措施(如弹窗、明显位置 URL 链接等),引导个人金融信息主体查阅隐私政策,并 获得其明示同意后,开展有
获取和记录的过程
应根据“业务需要”和“最小权限”原则,对个人金融信息的导出操作进行细粒度的访问控制与全过程审计,应采取两种或
受理终端、个人终端及客户端应用软件均不应存储C3、C2类信息,仅可保存完成当前交易所必需的基本信息要素,并在完成
个人金融信息在终端设备、信息系
统内保存的过程
交易 后及时予以清除;
保证个人金融信息存储转移过程中的安全性;
应将去标识化、匿名化后的数据与可用于恢复识别个人的信息采取逻辑隔离的方式进行存储;
《个人金融信息保护技术规范》解读
《个人金融信息保护技术规范》概述
发布时间
2020年2月13号 发布生效
主要内容
主要目的
适用主体
【1】对个人金融信息进行分类分 级,按照敏感程度、泄露后造成 的危害程度从高到低划分为C3、 C2、C1三个类别;
【2】从安全技术和安全管控两个 方面对个人金融信息在收集、传 输、存储、适用、删除、销毁等 生命周期各个环节的安全防护提 出了规范要求。
共享和转让:
支付账号及其等效信息在共享和转让时,除法律法规和行业主管部门另有规定外,应使用支付 标记化(按照 JR/T 0149—
2016)技术进行脱敏处理(因业务需要无法使用支付标记化技术时, 应进行加密),防范信息泄露风险;
数据安全相关国标
数据安全相关国标
以下是一些与数据安全相关的国家标准:
1. GB/T 22239-2017 个人信息安全技术规范:该标准规定了个
人信息安全管理的基本要求,包括个人信息的归类与分级、个人信息处理的安全控制等内容。
2. GB/T 35273-2017 个人信息安全规范:该标准规定了个人信
息安全保护的基本要求,包括个人信息采集、存储和使用的限制,个人信息安全事件的响应与处置等内容。
3. GB/T 50311-2018 信息安全技术网络安全等级保护管理规范:该标准规定了网络安全等级保护的管理要求,包括信息系统安全等级划分、安全保护措施的要求等内容。
4. GB/T 32918-2016 大数据安全能力评估规范:该标准规定了
对大数据安全能力的评估方法和指标体系,包括大数据安全管理、大数据安全技术等方面的评估要求。
5. GB/T 31117-2014 信息安全技术个人身份信息使用规范:该
标准规定了个人身份信息的合法使用和保护要求,包括个人身份识别、个人身份信息采集和使用等方面的规范。
这些国家标准旨在规范和指导数据安全领域的工作,帮助组织和个人有效保护数据安全,防范数据泄露和滥用的风险。
个人信息安全规范辨析2
《个人信息安全规范》辨析郎庆斌1摘要:《个人信息安全规范》作为社会普适的标准,应以个人信息安全为目标,以管理为主线,以个人信息生命周期为导向,扎实基础,严谨规则,传递全社会适用的个人信息安全标准规则的意义,并与质量管理体系、服务管理体系、信息安全管理体系相互借鉴、融合,保证个人信息管理的科学性、有效性。
关键字:个人信息个人信息安全个人信息管理GB/T 35273-2017《信息安全技术个人信息安全规范》(以下简称规范)将于5月1日开始实施,这是我国社会生活中的一件大事,对规范全社会个人信息使用,具有深远意义。
然而,通观规范全文,存在太多的规则缝隙,因而,存在严重的安全风险、缺陷,甚至严重的缺陷。
试辨析规范,与起草者商榷。
一、标准题目1、题目与规则对应规范标题所传达的应是个人信息安全,依据标题,编制个人信息安全标准,应该如何建立规则,保障个人信息相对安全:a)明确个人信息存在形态、形式,建立个人信息安全模型;b)明确个人信息安全本质,建立个人信息管理模型;c)聚焦管理要素,达成管理结果,建立管理体系;d)明确个人信息生命周期,确立体系框架内的管理环节;e)基于ISMS的安全管理等等。
2、题目与内涵标准名称《信息安全技术个人信息安全规范》,应是普适的标准,可是,标准虽未明确限定为信息网络系统,然而,标准条文所传递的内涵,似乎如斯,应该如何理解?规范信息网络系统的个人信息处理本身没有问题,但是,如何界定标准的边界,特别是外部边界?依据标准名称,如何与信息网络系统之外的社会、生活、政治、经济等现实对标?如果仅仅限定为信息网络系统,如何保证个人信息来源的安全性、合法性(第5章仅限于一些收集的约束条件,并不明确个人信息源);果以信息系统为基,放大到网络,如何保证个人信息安全(并不限于规范限定的条件)?在我国的国情中,存在大量的以纸质及其它形态媒介保存的个人信息,而这一部分恰恰是保护的重点(采集或录入恐怕都存在这种状况),如果仅限于信息网络系统处理个人信息(如规范制定的规则),如何防止信息系统处理个人信息向纸质及其它形态媒介转移,从而产生严重的边界效应,所谓暗度陈仓,多少非法使用可以假汝之名。
个人敏感信息包括
个人敏感信息包括个人敏感信息包括个人财产信息、个人健康生理信息、个人生物特征信息、个人身份信息、网络身份信息等信息。
按照《GBT 35273-2017 信息安全技术个人信息安全规范》解释来说,个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
通常情况下,14 岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息。
1、个人财产信息:银行账号、鉴别信息 (口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息2、个人健康生理信息:个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况产生的相关信息等3、个人生物识别信息:个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等4、个人身份信息:身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等5、网络身份标识信息:系统账号、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等6、其他信息:个人电话号码、性取向、婚史、宗教信仰、未公开的犯罪记录、通讯记录及内容、行踪、网页浏览记录、住宿信息、准确定位信息等。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表本人。
本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容,请发送邮件至 @qq 举报,一经查实,本站将立刻删除。
解读国标GBT《信息安全技术个人信息安全规范》
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间:2018-01-28浏览:578按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。
本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。
一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容:6.1 个人信息保存时间最小化对个人信息控制者的要求包括:a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
6.2 去标识化处理收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括:a) 传输和存储个人敏感信息时,应采用加密等安全措施;b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时,应:a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。
二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:9.1 安全事件应急处置和报告对个人信息控制者的要求包括:a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。
个人信息安全规范 (草案)2019版解读
实施不满一年,《个人信息安全规范》要改了!——2019版《个人信息安全规范(草案)》解读安杰律师事务所杨洪泉2018年5月1日生效的《信息安全技术—个人信息安全规范》(GB/T35273—2017)(下称“《标准》”)无疑是我国个人信息保护领域最重要的国家标准。
尽管《标准》仅是国家推荐标准,但在我国尚未出台《个人信息保护法》、且其他法律(包括《网络安全法》)缺乏具体可操作的个人信息保护规则的情况下,《标准》自其颁布之日,已成为企业个人信息保护合规工作可实际依赖的唯一标准。
由于相关监管部门似乎也将《标准》作为衡量企业个人信息保护水平的重要标尺,《标准》已隐隐成为具有一定权威性和约束力的“准法律”。
2019年2月1日,全国信息安全标准化技术委员会公布了《信息安全技术个人信息安全规范(草案)》(下称“《草案》”)全文,面向社会公开征求意见(意见反馈截止日期为2019年3月3日)。
如此重要的文件在实施尚不足一年的情况下即迎来首次修订,实属罕见也颇有深意。
本文就《草案》中的九大重要修改详细解读如下:一、增加“不得强迫收集个人信息”的要求在实践中,个人信息控制者将“用户同意隐私政策”与“用户使用其产品或服务”强制绑定的情况较为常见。
用户即便不同意提供某些个人信息、或不同意隐私政策中的某些条款,但为使用产品或服务也只能无奈勾选同意。
针对此类情况,《草案》规定了个人信息控制者不得强迫收集个人信息的具体要求:当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不得违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。
对个人信息控制者的要求包括:a)不得通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求;b)应根据个人信息主体主动填写、点击、勾选等自主行为,作为产品或服务的业务功能开启或开始收集个人信息的条件,并提供关闭或退出业务功能的途径或方式。
如何认定当事人侵犯消费者个人信息的违法行为
案件评析如何认定当事人侵犯消费者个人信息的违法行为本刊智库专家团专家陆晔张家港市大新某餐厅未建立健全消费者个人信息保密和管理制度,致使消费者个人信息泄露丢失案例。
一、案情简介2019年9月11日,我局执法人员对位于杨舍镇步行街的张家港市杨舍西城某婚纱摄影馆进行监督检查,现场发现该店1名员工正在对照1份消费者名单拨打营销电话推销该店的婚纱摄影业务。
经调查,该名单可能由当事人张家港市大新某餐厅提供,且名单上的消费者均未将个人信息告知该摄影馆。
9月29日,我局对当事人的经营场所进行监督检查,发现当事人前台有两本笔记本,用于登记到该店预定婚宴的顾客信息,包括消费者的姓名、手机号码、预定桌数、预定时间等。
经比对,其中有21条信息与名单上的信 息完全一致。
经查明,当事人张家港市大新某餐厅是 我市一家从事餐饮服务的个体工商户,当事 人在笔记本上登记了到店消费者的预定信 息,包括姓名、手机号码、预定桌数、预定 时间等信息,并将笔记本存放在前台。
但当 事人未尽到保管义务、未建立消费者个人信 息保密和管理制度,导致部分消费者的个人 信息泄露、丢失。
这些信息被张家港市杨舍西城某婚纱摄影馆获得,该店员工在未经消费者同意的情况下,依据上述名单拨打了营销电 话。
案发后,当事人积极配合调查、及时升级案发后,我局依据《中华人民共和国消费者权益保护法》第五十六条第一款第(九)项、《江苏省消费者权益保护条例》第六十二条第(二)项的规定,分别对张家港市杨舍西城某婚纱摄影馆和当事人的违法行为进行了行政处罚。
__________M监控系统、制定信息保管制度。
产品可靠性报告2020年第11期I5KKPOIVIS、综合执法专刊二、本案焦点本案的争议焦点在于如何认定 对当事人的违法行为。
焦点1:什么样的信息属于“个人信息” ?随着我国经济结构转型升级、电子商务的快速增长,消费者个人 信息逐渐成为一种重要资源,各种 侵害消费者个人信息违法行为也曰 益增加。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》
发布时间:2018-01-28浏览:578
按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。
本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。
一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容:
6.1 个人信息保存时间最小化
对个人信息控制者的要求包括:
a) 个人信息保存期限应为实现目的所必需的最短时间;
b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
6.2 去标识化处理
收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
6.3 个人敏感信息的传输和存储
对个人信息控制者的要求包括:
a) 传输和存储个人敏感信息时,应采用加密等安全措施;
b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
6.4 个人信息控制者停止运营
当个人信息控制者停止运营其产品或服务时,应:
a) 及时停止继续收集个人信息的活动;
b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;
c) 对其所持有的个人信息进行删除或匿名化处理。
二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:
9.1 安全事件应急处置和报告
对个人信息控制者的要求包括:
a) 应制定个人信息安全事件应急预案;
b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;
c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:
1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;
3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或
将要采取的处置措施,事件处置相关人员的联系方式;
4) 按照本标准9.2的要求实施安全事件的告知。
d) 根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。
9.2 安全事件告知
对个人信息控制者的要求包括:
a) 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。
难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;
b) 告知内容应包括但不限于:
1) 安全事件的内容和影响;
2) 已采取或将要采取的处置措施;
3) 个人信息主体自主防范和降低风险的建议;
4) 针对个人信息主体提供的补救措施;
5) 个人信息保护负责人和个人信息保护工作机构的联系方式。
三、《信息安全技术个人信息安全规范》第十点“组织的管理要求”,对个人信息控制者组织管理提出具体要求,包括以下内容:
10.1 明确责任部门与人员
对个人信息控制者的要求包括:
a) 应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
b) 应任命个人信息保护负责人和个人信息保护工作机构;
c) 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
1) 主要业务涉及个人信息处理,且从业人员规模大于200人;
2) 处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息。
d) 个人信息保护负责人和个人信息保护工作机构应履行的职责包括但不限于:
1) 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
2) 制定、签发、实施、定期更新隐私政策和相关规程;
3) 应建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
4) 开展个人信息安全影响评估;
5) 组织开展个人信息安全培训;
6) 在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
7) 进行安全审计。
10.3 数据安全能力
个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失。
10.5 安全审计
对个人信息控制者的要求包括:
a) 应对隐私政策和相关规程,以及安全措施的有效性进行审计;
b) 应建立自动化审计系统,监测记录个人信息处理活动;
c) 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;
d) 应防止非授权访问、篡改或删除审计记录;
e) 应及时处理审计过程中发现的个人信息违规使用、滥用等情况。