新技术形式下数据安全合规实践
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
超出约定的行为,及时切断接入。
个人信息保护合规要点
GB-T 35273 -2020 《信息安全技术 个人信息安全规范》—— 个人生物识别信息
A 类别
属于个人敏感信息
B 范围
包括个人基因、指纹、声纹、掌纹、耳 廓、虹膜、面部识别特征等
C 公开披露
不应公开披露个人生物识别信息。
D 收集
5.4 c) 收集个人生物识别信息前,应单 独向个人信息主体告知收集、使用个人 生物识别信息的目的、方式和范围,以 及存储时间等规则,并征得个人信息主 体的明示同意。
2017
2018
2019
2020
2018年Hale Waihona Puke Baidu
05.01 《信息安全技术 个人信息安全规范》正式实施 6.27 《网络安全等级保护条例》 08.27 民法典各编草案提请审议,确立保护隐私和个人信息基本原 则 09.07 《个人信息保护法》列入十三届全国人大常委会立法规划 09.17 《信息安全技术 金融信息服务安全规范》
国内隐私监管形势
网信办: 《关于10款App存在无隐私政策等问题的通 报》
工信部: 《开展APP侵犯用户权益专项整治行动》 2020年10月26日,通报今年第五批131款侵 害用户权益行为APP
市场监督总局: 《侵害消费者个人信息违法行为专项行动》 罚款564万、执法联动604次、开展行政约谈 279次、开展宣传活动3129次
新技术形式下 数据安全合规实践
01
数据安全立法及合规实践
数据安全立法执法动态
2017年
06.01 《网络安全法》正式实施 06.01高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事 案件适用法律若干问题的解释 10.01 《民法总则》正式实施,首次明确自然人的个人信息受法律 保护
2019年
E 存储
6.3 b) 个人生物识别信息应与个人身份 信息分开存储;6.3 c) 原则上不应存储 原始个人生物识别信息,可采取的措施 包括但不限于:1) 仅存储个人生物识别 信息的摘要信息;2) 在采集终端中直接 使用个人生物识别信息实现身份识别、 认证等功能;3) 在使用面部识别特征、 指纹、掌纹、虹膜等实现识别身份、认 证等功能后删除可提取个人生物识别信 息的原始图像。
c) 应向个人信息主体明确标识产品或服务由第三方提供;
d) 应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅;
e) 应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权 同意,必要时核验其实现的方式;
f) 应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供 个人信息主体查询、使用;
F 共享、转让
9.2 i) 个人生物识别信息原则上不应共 享、转让。 因业务需要,确需共享、转 让的,应单独向个人信息主体告知目的、 涉及的个人生物识别信息类型、数据接 收方的具体身份和数据安全能力等,并 征得个人信息主体的明示同意。
个人信息保护合规要点
GB-T 35273-2020《信息安全技术 个人信息安全规范》——多功能自主选择要求
公安部: “净网2019”“净网2020” 公信宝、考拉征信、摩羯科技、新颜科技等 多家数据公司被查处
个人信息保护合规要点
个人信息保护:全生命周期要求
个人信息的收集
合法性
最小必要
多项业务功能 的自主选择
授权同意
个人信息 保护政策
征得授权同 意的例外
个人信息的存储
存储时间 最小化
去标识
敏感信息的传输和存储
01.25 四部门联合开展“APP违法违规收集使用个人信息专项治理行动” 03.01 《APP违法违规收集使用个人信息自评估指南》发布 05.28 《数据安全管理办法》公开征求意见 06.01 《移动互联网应用基本业务功能必要信息规范》发布 06.13 《个人信息出境安全评估办法(征求意见稿)》 09.10 大批数据公司因涉嫌非法获取个人信息被查 10.01 《儿童个人信息网络保护规定》施行 12.30 四部门联合发布《App违法违规收集使用个人信息行为认定方法》
个人信息控制者停止运营
个人信息的使用
访问控 制措施
展示限制
使用的目 的限制
用户画像的 使用限制
个性化展示 的使用
汇聚融合
信息系统 自动决策
个人信息的委托处理、共享、转让、公开披露
第三方接入
个人信息跨境传输
个人信息保护合规要点
GB-T 35273 -2020 《信息安全技术 个人信息安全规范》—— 第三方接入
2020年
01.20 《移动互联网应用收集个人信息基本规范》《个人 信息告知同意指南》公开征求意见 02.13 央行发布《个人金融信息保护技术规范》 03.19 《移动互联网App收集使用个人信息自评估指南》 公开征求意见 05.28 《民法典》正式颁布 07.03 《数据安全法(草案》公开征求意见 10.01 新版《个人信息安全规范》实施 10.24 《个人信息保护法(草案)》正式发布
g) 应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或 服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;
h) 产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、 软件开发工具包、小程序等)的,宜采取以下措施:
1) 开展技术检测确保其个人信息收集、使用行为符合约定要求; 2) 对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现
个人信息控制者 接入第三方产品或服务
是否具备收集
否
个人信息功能
不适用本标准
是否属于 委托处理
是
适用本标准9.1条之规定
委托处理
是否属于共同
是
适用本标准9.6条之规定
个人信息控制者
共同个人信息控制者
a) 建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等 机制设置接入条件。
b) 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施 的个人信息安全措施;
禁止捆绑
✓ 不应通过捆绑产品或服务各项业务功能 的方式,要求个人信息主体一次性接受 并授权同意其未申请或使用的业务功能 收集个人信息的请求。
开启动作
✓ 应把个人信息主体自主作出的肯定性动 作,如主动点击、勾选、填写等,作为 产品或服务的特定业务功能的开启条件。 个人信息控制者应仅在个人信息主体开 启该业务功能后,开始收集个人信息。
个人信息保护合规要点
GB-T 35273 -2020 《信息安全技术 个人信息安全规范》—— 个人生物识别信息
A 类别
属于个人敏感信息
B 范围
包括个人基因、指纹、声纹、掌纹、耳 廓、虹膜、面部识别特征等
C 公开披露
不应公开披露个人生物识别信息。
D 收集
5.4 c) 收集个人生物识别信息前,应单 独向个人信息主体告知收集、使用个人 生物识别信息的目的、方式和范围,以 及存储时间等规则,并征得个人信息主 体的明示同意。
2017
2018
2019
2020
2018年Hale Waihona Puke Baidu
05.01 《信息安全技术 个人信息安全规范》正式实施 6.27 《网络安全等级保护条例》 08.27 民法典各编草案提请审议,确立保护隐私和个人信息基本原 则 09.07 《个人信息保护法》列入十三届全国人大常委会立法规划 09.17 《信息安全技术 金融信息服务安全规范》
国内隐私监管形势
网信办: 《关于10款App存在无隐私政策等问题的通 报》
工信部: 《开展APP侵犯用户权益专项整治行动》 2020年10月26日,通报今年第五批131款侵 害用户权益行为APP
市场监督总局: 《侵害消费者个人信息违法行为专项行动》 罚款564万、执法联动604次、开展行政约谈 279次、开展宣传活动3129次
新技术形式下 数据安全合规实践
01
数据安全立法及合规实践
数据安全立法执法动态
2017年
06.01 《网络安全法》正式实施 06.01高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事 案件适用法律若干问题的解释 10.01 《民法总则》正式实施,首次明确自然人的个人信息受法律 保护
2019年
E 存储
6.3 b) 个人生物识别信息应与个人身份 信息分开存储;6.3 c) 原则上不应存储 原始个人生物识别信息,可采取的措施 包括但不限于:1) 仅存储个人生物识别 信息的摘要信息;2) 在采集终端中直接 使用个人生物识别信息实现身份识别、 认证等功能;3) 在使用面部识别特征、 指纹、掌纹、虹膜等实现识别身份、认 证等功能后删除可提取个人生物识别信 息的原始图像。
c) 应向个人信息主体明确标识产品或服务由第三方提供;
d) 应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅;
e) 应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权 同意,必要时核验其实现的方式;
f) 应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供 个人信息主体查询、使用;
F 共享、转让
9.2 i) 个人生物识别信息原则上不应共 享、转让。 因业务需要,确需共享、转 让的,应单独向个人信息主体告知目的、 涉及的个人生物识别信息类型、数据接 收方的具体身份和数据安全能力等,并 征得个人信息主体的明示同意。
个人信息保护合规要点
GB-T 35273-2020《信息安全技术 个人信息安全规范》——多功能自主选择要求
公安部: “净网2019”“净网2020” 公信宝、考拉征信、摩羯科技、新颜科技等 多家数据公司被查处
个人信息保护合规要点
个人信息保护:全生命周期要求
个人信息的收集
合法性
最小必要
多项业务功能 的自主选择
授权同意
个人信息 保护政策
征得授权同 意的例外
个人信息的存储
存储时间 最小化
去标识
敏感信息的传输和存储
01.25 四部门联合开展“APP违法违规收集使用个人信息专项治理行动” 03.01 《APP违法违规收集使用个人信息自评估指南》发布 05.28 《数据安全管理办法》公开征求意见 06.01 《移动互联网应用基本业务功能必要信息规范》发布 06.13 《个人信息出境安全评估办法(征求意见稿)》 09.10 大批数据公司因涉嫌非法获取个人信息被查 10.01 《儿童个人信息网络保护规定》施行 12.30 四部门联合发布《App违法违规收集使用个人信息行为认定方法》
个人信息控制者停止运营
个人信息的使用
访问控 制措施
展示限制
使用的目 的限制
用户画像的 使用限制
个性化展示 的使用
汇聚融合
信息系统 自动决策
个人信息的委托处理、共享、转让、公开披露
第三方接入
个人信息跨境传输
个人信息保护合规要点
GB-T 35273 -2020 《信息安全技术 个人信息安全规范》—— 第三方接入
2020年
01.20 《移动互联网应用收集个人信息基本规范》《个人 信息告知同意指南》公开征求意见 02.13 央行发布《个人金融信息保护技术规范》 03.19 《移动互联网App收集使用个人信息自评估指南》 公开征求意见 05.28 《民法典》正式颁布 07.03 《数据安全法(草案》公开征求意见 10.01 新版《个人信息安全规范》实施 10.24 《个人信息保护法(草案)》正式发布
g) 应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或 服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;
h) 产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、 软件开发工具包、小程序等)的,宜采取以下措施:
1) 开展技术检测确保其个人信息收集、使用行为符合约定要求; 2) 对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现
个人信息控制者 接入第三方产品或服务
是否具备收集
否
个人信息功能
不适用本标准
是否属于 委托处理
是
适用本标准9.1条之规定
委托处理
是否属于共同
是
适用本标准9.6条之规定
个人信息控制者
共同个人信息控制者
a) 建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等 机制设置接入条件。
b) 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施 的个人信息安全措施;
禁止捆绑
✓ 不应通过捆绑产品或服务各项业务功能 的方式,要求个人信息主体一次性接受 并授权同意其未申请或使用的业务功能 收集个人信息的请求。
开启动作
✓ 应把个人信息主体自主作出的肯定性动 作,如主动点击、勾选、填写等,作为 产品或服务的特定业务功能的开启条件。 个人信息控制者应仅在个人信息主体开 启该业务功能后,开始收集个人信息。