信息安全注意事项及规范
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全注意事项及规范
一、明确标准
《信息安全技术个人信息安全规范》明示了标准,但同时也是“红线”。首先,获取信息的过程中,是否按照标准执行,在判定法律责任时,是非常重要的参考依据。
标准1、个人信息
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反应特定自然人活动的各种信息。列举:姓名、出生日期、身份证号码、生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
标准2、个人敏感信息
是指:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。列举:身份证号、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息。
标准3、授权认可
是指:个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。其中,肯定性动作列举为:个人信息主体主动作出声明(电子、纸质均可)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。
二、重要原则
标准1、权责一致
个人信息控制者对其个人信息处理活动对个人信息主体合法权益造成损害承担责任。翻译一下就是,掌握个人信息的企业,如果侵犯老百姓个人信息造成损失,要赔偿。
标准2、目的明确
具有合法、正当、必要、明确的个人信息处理目的。其中,我们认为第三项“必要”市场主体做的很不到位,很不多多从个人身上撬动信息,全然不顾“最少够用”的初衷,着实可憎。
标准3、明确授权
向个人信息主体明示个人信息处理目的、方式、范围、规制等,征求其授权。简言之,无授权,无动用他人信息的权利。
标准4、公开透明。
以明确、易懂、合理方式公开,接受外部监督。
标准5、确保安全。
具备与其所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护公民信息的保密性、完整性、可用性。
标准6、主体参与。
向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。
三、安全举措建议
如果收集个人敏感信息,就要更加提高明示同意的门槛,国家标准要求个人信息控制者完成以下工作:
1、收集个人敏感信息时,应取得个人信息主体的明示同意。应确保个人信
息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。
2、通过主动提供或自动采集方式收集个人信息前,应当向信息主体告知所提供的产品、服务的核心业务功能及必需收集敏感信息,并明确告知拒绝提供、拒绝同意将带来的影响。应当允许个人选择是否提供或同意自动采集。产品或服务如提供其他附加功能,需要收集敏感信息,收集前应当逐一说明情况,并允许信息主体逐项选择同意与否。当信息主体拒绝时,不能以此为由,不提供核心业务功能,并应当保障服务质量。
3、收集年满14周岁的未成年人个人信息前,应当征得其本人或监护人的明示同意;不满14周岁的,应征得其监护人明确同意。