信息安全技术 个人信息安全规范 (征求意见稿)

ALL TRANSLATIONS ON THIS SITE ARE UNOFFICIAL AND ARE PROVIDED FOR REFERENCE PURPOSES ONLY. THESE TRANSLATIONS ARE CREATED AND CONTINUOUSLY UPDATED BY USERS --THEY ARE FREE TO VIEW, BUT PROPER ATTRIBUTION IS REQUIRED FOR DISTRIBUTION OF THESE OR DERIVATIVE TRANSLATIONS.

来源: http://www.tc260.org.cn/zqyj.jsp

前  言

引  言

1 范围

2 规范性引用文件

3 术语和定义

4 个人信息安全基本原则

5 个人信息安全通用要求

5.1 明确责任部门与人员

5.2 开展安全风险评估

5.3 采取个人信息安全措施

5.4 采取个人敏感信息安全措施

5.5 安全审计

5.6 安全措施透明公开

5.7 安全事件应急处置和报告

5.8 安全事件告知

6 个人信息的收集

6.1 个人信息收集要求

6.2 目的合法性验证

6.3 个人信息收集最小化

6.4 个人信息主体同意

6.5 向个人信息主体告知的内容

6.6 告知方式

6.7 告知时间

7 个人信息的存储

7.1 个人信息存储要求

7.2 个人信息存储时间最小化

7.3 保证个人信息质量

7.4 伪匿名化处理

8 个人信息的使用

8.1 个人信息使用要求

8.2 访问方法

8.3 更正方法

8.4 删除方法

8.5 撤回同意的方法

8.6 注销账户的方法

8.7 获取个人信息副本的方法

8.8 约束信息系统自动决策的方法

8.9 响应个人信息主体的请求

8.10 投诉管理

8.11 委托处理

9 个人信息的转让、披露

9.1 个人信息转让、披露要求

9.3 个人信息披露

9.4 平台服务提供者管理责任

9.5 个人信息跨境传输要求

附 录 A (资料性附录) 个人信息示例

附 录 B (资料性附录) 个人敏感信息判定

附 录 C (资料性附录) 隐私声明/政策示例

附 录 D (资料性附录) 个人信息安全风险评估

附 录 E 参 考 文 献

 

前  言

本标准按照GB/T 1.1-2009给出的规则起草。

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准起草单位:

本标准主要起草人:

引  言

近年,随着互联网经济、互联网社交等的普及,越来越多的系统和平台收集个人信息,并对个人信息进行存储、处理,甚至交换。 个人信息的非法收集、泄露、滥用等已成为社会性关注的焦点问题,个人权益严重受损情况屡见不鲜,甚至出现了很多与个人信息滥用有关的违法犯罪活动。 随着大数据技术和应用的迅猛发展,个人信息安全面临更多挑战:收集环节,移动互联网和物联网的发展使对个人信息的收集日益密集、隐蔽;使用环节,多来源的个人信息组合可以形成数字画像并实时追踪个人动态,数据挖掘增加了个人信息特别是敏感的隐私信息暴露的风险;披露环节,数据流转、交易和共享带来新的安全问题;大数据环境中,信息处理的主体复杂,流转方式纷繁复杂,个人信息跨境流动成为常态。 因此,如何在个人信息安全保护和大数据利用之间达成平衡,这已成为新经济时代重要的命题。

本标准针对我国IT技术高速发展中个人信息安全面临的安全问题,以保护个人信息为核心,规范个人信息收集、存储、处理、使用和披露等各个环节中数据操作的相关行为,旨在遏制个人信息滥用乱象,最大程度地保障用户合法权益和社会公共利益。

 

 

 

信息安全技术 个人信息安全规范

  1. 范围

本标准规范了利用信息系统处理个人信息应遵循的原则和应采取的安全措施。

本标准适用于各类组织利用信息系统处理个人信息的活动,也适用于网络安全相关主管部门、第三方评估机构等组织开展个人信息安全监督管理、评估等工作。

从业人员10人以下或收入100万元以下的,且在任意连续的12个月内处理不超过10000人(含)的个人信息的组织,不在本标准适用范围内。

2. 规范性引用文件

下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/Z 28828—2012 信息安全技术 公共及商用服务信息系统个人信息安全指南

GB 50174-2008 电子信息系统机房设计规范

3.术语和定义

GB/T 25069—2010中界定的以及下列术语和定义适用于本文件。

3.1 个人信息 personal information

以电子或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息,包括与确定自然人相关的生物特征、位置、行为等信息,如姓名、出生日期、身份证号、个人账号信息、住址、电话号码、指纹、虹膜等。

注:关于个人信息的范围和类别可参考附录A。

3.2 个人敏感信息 personal sensitive information

指一旦泄露、披露或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息。 通常情况下,身份证号、银行卡号、健康记录、生物特征等属于个人敏感信息。

注:关于个人敏感信息的范围和类别可参考附录B。

3.3 个人信息主体 personal data subject

个人信息标识的自然人。

3.4 个人信息控制者 personal data controller

决定个人信息处理目的、方式等的组织或个人。

3.5 明示同意 explicit consent

个人信息主体通过书面声明或特定的动作,明确授权对其个人信息进行处理。

3.6 默许同意 implied consent

个人信息主体默认许可个人信息控制者处理其个人信息。

3.7 第三方评估机构 Third Party Assessment Organizations (3PAO)

独立的专业评估机构。

3.8 个人信息的处理 personal data processing

针对个人信息实施的操作,包括个人信息的收集、存储、访问、修改、转让、披露、匿名化、伪匿名化、恢复、删除、销毁等。

3.9 披露 disclosure

向社会或特定受众发布信息的行为。

3.10 转让 transfer

个人信息控制者变更的过程,包括个人信息的交换、交易等。

3.11 匿名化 anonymization

对个人信息进行技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原。

3.12 伪匿名化 Pseudonymisation

对个人信息进行技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体。

注:伪匿名化仍建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。

4. 个人信息安全基本原则

个人信息控制者应保障个人信息的安全,遵循以下基本原则:

a)责任原则——应对其持有的个人信息承担安全责任,无论这些信息通过何种途径获得。

b)目的明确原则——应具有合法、正当、具体的个人信息处理目的,未获得个人信息主体的授权,不得改变个人信息的处理目的。

c)最少够用原则——除与个人信息主体另有约定外,应只处理满足目的所需的最少信息。 目的达成后,应及时根据约定删除个人信息。

d)同意和选择原则——应允许个人信息主体选择是否同意处理其个人信息,包括约定的目的、方式和范围,变更时应再次征得个人信息主体的同意。 不得以个人信息主体不同意为由,拒绝向其提供服务或降低服务质量,除非该服务依赖于用户的个人信息。

e)质量保证原则——在处理个人信息的过程中,应确保个人信息的准确性、真实性、时效性、可用性。

f) 确保安全原则——应采取适当的管理措施和技术手段,确保处理个人信息的各个环节的安全。

g) 主体参与原则——应向个人信息主体提供访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。

h) 公开透明原则——应以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则,并在必要时接受外部监督。

5. 个人信息安全通用要求

5.1 明确责任部门与人员

个人信息控制者应:

  1. 明确其法定代表人或主要领导人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
  2. 明确个人信息安全执行负责人、责任部门或工作人员;
  3. 满足以下条件之一的组织,应设立个人信息安全专职部门和个人信息安全专员,负责个人信息安全工作:

1)主要业务涉及个人信息处理,且规模大于200人(含);

2) 处理超过50万人(含)的个人信息,或在12个月内预计处理超过50万人(含)的个人信息。

  1. 个人信息安全执行责任人或个人信息安全专员应履行以下职责:
  • 对个人信息安全负总责;
  • 开展个人信息安全风险评估;
  • 对外公开个人信息安全风险评估报告及采取的个人信息安全措施,主动接受监督;
  • 制定、签发和实施个人信息安全策略和规程;
  • 与相关部门签署责任书,对接有关部门开展个人信息安全方面的工作。
  1. 遵守个人信息安全有关的法律法规、政策、标准等;
  2. 与从事个人信息处理岗位上的相关人员签署保密协议,必要时应开展背景审查;
  3. 明确内部涉及个人信息处理不同岗位的安全职责,以及发生安全事件的处罚机制;
  4. 在 个人信息处理岗位人员调离岗位或终止劳动合同时,根据其岗位敏感程度,与其签订相应的保密协议;
  5. 明确外部服务人员应遵守的个人信息安全要求,与其签署个人信息安全承诺书,并进行监督;
  6. 定期(至少每年一次)或在个人信息安全策略发生重大变化时,开展个人信息安全培训和考核,确保相关人员熟练掌握个人信息安全策略和规程,应针对不同的个人信息处理岗位提供专业化培训。
    • 开展安全风险评估
  7. 应建立个人信息安全风险管理制度,评估个人信息处理活动对个人信息主体的影响,以及遵循个人信息安全基本原则的情况,评估内容包括但不限于:
  • 收集和使用个人信息的目的是否正当、合法;
  • 个人信息收集环节是否公开透明;

3)个人信息处理可能对个人信息主体合法权益的影响,包括处理是否会危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等;

4)个人信息安全措施的有效性;

5)变更处理目的对个人信息主体合法权益可能产生的影响;

6)个人信息受让方采取的个人信息安全措施的有效性;

7)披露个人信息对个人信息主体合法权益可能造成的影响;

8)匿名化或伪匿名化处理后的数据集重新识别出个人信息主体的风险。

b)应定期(至少每年一次)开展个人信息安全风险评估,个人信息安全风险评估流程可参考附录D;

c)在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生个人信息安全事件时,应重新进行个人信息安全风险评估。 重大变更以及个人信息安全事件包括但不限于:

1)承载个人信息的系统面临严重的威胁或漏洞;

2)主要业务的所有者发生变更;

3)发生影响10000人以上的个人信息安全事件;

4)用户投诉和举报引起重大法律诉讼等。

d)根据个人信息安全风险评估结果,形成个人信息安全风险评估报告;

e)个人信息安全执行责任人或个人信息安全专员应审核个人信息安全风险评估报告,并以此制定或改进个人信息安全措施,使风险降低到可接受的水平,风险无法接受的,应及时停止处理个人信息;

f)个人信息安全负责人应定期对外公布个人信息安全风险评估报告及相应的整改措施;

g)如选择外部机构进行风险评估,应选择有能力、有资格、信任度高的外部机构实施。

  • 采取个人信息安全措施

a)应制定个人信息安全相关的策略和规程,包括但不限于:个人信息分级分类策略、组织架构和人员安全策略、安全意识和培训策略、个人信息合规策略、物理和环境安全策略、风险管理和评估策略、持续监控策略、审计策略、事件处理策略、备份和应急响应策略、个人信息授权和访问控制策略、个人信息传输和存储安全策略、系统安全策略、供应链安全策略、跨境传输策略等相关规程;

b)应定期(至少每年一次)审查和更新策略和规程相关文件,并评估策略和规程的实施效果。

  • 采取个人敏感信息安全措施

a)应建立、维护和更新所存储的个人敏感信息清单,清单内容包括但不限于:

1)所涉及个人敏感信息类别和数量;

2)与个人敏感信息的收集、使用、转让等环节相关的所有信息系统;

b)对可访问个人敏感信息的内部授权人员,应确保责任分离和最小授权,使其仅具备完成职责所需权限,并对权限管理建立追责制度;

c)对个人敏感信息的存储、访问、修改等活动设定相应的权限、审批和管理流程。 包括但不限于:

1)监测并记录个人敏感信息的收集、存储、使用和转让活动;

2)对个人敏感信息修改和更新活动应进行内部审批或备案;

3)如确因工作需要,需授权特定人员超权限处理个人敏感信息的,应由个人信息安全执行责任人或个人信息安全专员进行审批,并记录在案。

d)如需对个人敏感信息进行远程访问,应采用加密传输机制;

e)在收集个人敏感信息的过程中,应防止个人敏感信息被窃取、篡改或劫持;

f)在信息系统设计阶段,应做好个人敏感信息安全规划,宜采用以下机制:

1)系统默认关闭对个人敏感信息的收集功能,收集该类信息时,可在用户使用系统过程中设置明确告知的功能,征得用户同意;

2)系统提供个人选择的功能,供个人信息主体选择何种个人敏感信息可被收集,并提供撤回同意的方法;

3)系统提供删除已收集个人敏感信息的机制,实现个人信息主体注销账户后删除个人敏感信息,法律法规另有规定的除外;

4)系统对个人敏感信息处理行为进行自动化审计;

5)系统对个人敏感信息的传输、存储和备份提供加密机制。

g)存储个人敏感信息的场所应满足国家标准GB 50174-2008。

  • 安全审计

a)应 对个人信息安全策略和规程,以及安全措施的有效性进行审计,形成审计记录;

b)审计记录应能对安全事件的处置、应急响应和事后调查提供支撑,审计记录留存应符合相关法律法规的要求;

c)应防止非授权访问、篡改或删除审计记录;

d)审计过程中发现的个人敏感信息违规使用、滥用等情况,应及时通知个人信息安全相关人员;

e)可使用自动机制对收集用户个人信息的入口进行追踪,验证收集个人信息的内容、过程是否符合个人信息安全管理要求,并检测是否存在被第三方违规植入的自动数据收集工具。 常见的收集个人信息的入口如网页、软件客户端、移动应用软件等。

  • 安全措施透明公开

a)应公开个人信息安全执行责任人或个人信息安全专员的联系方式,便于处理个人反馈和投诉;

b)个人信息安全风险评估报告和安全审计报告应妥善留存,确保可供相关方查阅,应以适宜的形式对外公开;

c)宜公开个人信息安全相关的合规证明、人员资质证明等。

  • 安全事件应急处置和报告

a)应制定个人信息安全事件应急预案;

b)应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其了解岗位职责和应急处置策略和规程;

c)发生个人信息安全事件后,个人信息控制者应按以下流程处置:

1)记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数、发生事件的系统名称、对其他互联系统的影响,是否已联系执法机关或有关部门;

2)在事件发生后应迅速对事件进行评估,及时根据应急响应预案处置个人信息安全事件;

3)按国家有关规定及时上报;当事件涉及超过10000人时,或涉及个人敏感信息超过1000人时,应在24小时内向国家互联网应急中心及其他有关部门报告,报告内容包括但不限于:涉及个人信息主体的类别、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;

4)应为事件取证提供技术支持,保护证据完整性。

d)应及时、主动向受影响的个人信息主体提供有效的补救措施。

e)根据相关法律法规变化情况,以及事件处置情况,及时更新应急响应预案。

  • 安全事件告知

a)应针对安全事件制定详细的告知方案,包括但不限于:告知的对象、时机、发布方、内容、方式;

b)告知内容应包括但不限于:

1)安全事件的内容和影响;

2)已采取或将要采取的处置措施;

3)个人信息主体自主防范和降低风险的建议;

4)针对个人信息主体提供的补救措施;

5)个人信息安全部门或专员的联系方式。

c)应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体,难以逐一告知个人信息主体时,应采取合理、有效的方式发布公告;

d)根据国家有关规定,公开披露安全事件相关情况。

  • 个人信息的收集
    • 个人信息收集要求

a)收集个人信息应具备合法、正当的目的,并清晰、准确地予以描述;

b)根据已确定的目的,确定所需收集的个人信息最小元素集,以及存放地域、存储期限、收集频率等处理规则;

c)在收集前向个人告知信息处理目的、个人信息最小元素集、处理规则、实际收集的个人信息范围,以及个人享有的访问、更正、删除个人信息,注销账户等权利;

d)应在取得个人信息主体授权同意后,才可处理个人信息,法律法规另有规定的除外;

e)实际收集的个人信息范围超出个人信息最小元素集时,不得因个人信息主体不同意而拒绝向其提供服务,并保障相应的服务质量;

f)收集动态性的个人信息时,应保持合理的频率,避免超出服务目的所必需;

g)如个人信息主体对收集有疑义或反对,应停止收集活动。

  • 目的合法性验证

在收集个人信息前,应验证个人信息处理目的的合法性,考虑因素包括但不限于:

a)遵循法律法规和公序良俗;

b)履行合同义务所必需;

c)不侵害个人信息主体的利益;

d)维护公共利益所必需。

  • 个人信息收集最小化

a)应列出为达到已声明目的所需处理的个人信息最小元素集,包括个人信息类别和内容,并告知个人信息主体;

b)更新个人信息最小元素集时,应及时告知个人信息主体;

c)收集超出个人信息最小元素集的个人信息时,应明确告知个人信息主体并征得个人信息主体的明示同意。

  • 个人信息主体同意

除法律法规另有规定外,应在取得个人信息主体授权同意后,才可收集个人信息,包括:

a)事先明确个人信息主体的同意范围,不应强制要求个人信息主体同意超范围收集个人信息的要求;

b)收集个人敏感信息时,确保个人信息主体的同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示,如个人信息主体主动声明(电子或纸质形式)或主动点击“同意”选项,不得以默许同意方式获取用户同意;

c)收集身份证、护照、驾照等法定证件信息时,专门提醒个人信息主体此次收集活动涉及其法定证件信息,并说明处理目的;

d)主要业务面向未成年人的,在收集未成年人个人信息前应取得其监护人或法定代理人的明示同意;

e)基于多个来源的信息创建可公开展示的综合个人信息前,应征得个人信息主体的同意。

  • 向个人信息主体告知的内容

向个人信息主体告知的内容应包括但不限于:

a)个人信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和联系方式、个人信息安全专员的联系方式(如适用)等;

b)处理个人信息的目的和依据,以及目的与所收集的个人信息的对应关系;

c)收集个人信息的来源、存放地域、存储方式和期限,对超出存储期限的个人信息的处置方式等;

d)是否将个人信息用于直接商业营销;

e)是否形成个人数字画像,及其可能对个人信息主体合法权益造成的影响等;

f)对外披露或转让个人信息的场景、涉及的个人信息类别和接收个人信息的第三方;

g)提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响;

h)采取的个人信息安全措施;

i) 个人信息主体的权利和实现机制,如选择和撤回同意的方法、访问方法、更正方法、删除方法、注销账户的方法、获取个人信息副本的方法、约束信息系统自动决策的方法等;

j)处理个人信息主体询问和投诉的内部渠道和机制,以及外部争议解决机构及联络方式。

  • 告知方式

a)所告知的内容应易于个人信息主体访问,并应确保告知信息的完整性和准确性,如在网站的专门页面、移动应用程序安装页、社交媒体页面等显著位置发布隐私声明或政策(参考附录C);

b)应逐一告知个人信息主体,当告知成本过高或有显著困难时,应能提供分析说明,并以公告的形式告知;

c)内容应清楚明白易懂,符合通用的语言习惯,避免使用有歧义的语言;

d)应使用标准化语言、数字、图示等;

  • 告知时间

a)对于直接从个人信息主体获得的个人信息的,应在收集个人信息前告知;

b)对于非直接从个人信息主体获得的个人信息的,应在处理个人信息前或在获得个人信息后的合理期限内告知。

  • 个人信息的存储
    • 个人信息存储要求

a)在约定的存储期限到期后,应及时删除个人信息,法律法规另有规定的除外;

b)应采取措施确保个人信息的准确性、真实性、时效性、可用性;

c)个人敏感信息应采用加密方式存储;

d)存储个人信息时,根据信息处理的目的,可采用匿名化、伪匿名化等措施,降低个人信息安全风险。

  • 个人信息存储时间最小化

a)根据已确定的个人信息处理目的,制定个人信息存储计划,确定个人信息存储期限,确保个人信息存储期限为实现目的所必需的最短时间,法律法规另有规定的除外;

b)应具备发现个人信息存储时间是否到期的机制;

c)超出个人信息存储期限后,应尽快对个人信息(包括原始数据、备份数据及归档记录)进行删除或匿名化处理,法律法规规定的除外。

  • 保证个人信息质量

a)宜直接从个人信息主体收集其信息,或从权威数据源处获得个人信息;

b)应建立合理的个人信息收集流程;

c)应采取合理的信息自动校验机制,验证个人信息的准确性,如身份证号码位数验证。

  • 伪匿名化处理

收集个人信息后,宜立即进行伪匿名化处理,使其在不借助额外信息的情况下,无法再识别出特定个人。 采取技术和管理方面的措施,将额外信息与伪匿名化后的数据分开存储,确保在后续处理时不识别特定个人。 个人信息凡经上述处理,且不对外披露的,不受本标准第8.1.b的限制。

  • 个人信息的使用
    • 个人信息使用要求
  1. 使用个人信息时,不应:

1)超出个人信息主体对双方的约定的合理理解程度;

2)损害个人信息主体的合法权益,包括危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等。

  1. 因业务需要,确需改变个人信息处理目的或改变个人信息处理规则时,应:
  • 再次征得个人信息主体明示同意;
  • 针对目的变更后的情况,进行个人信息安全风险评估,并重新调整安全措施。
  1. 基于个人信息所产生的衍生信息能够单独或与其他信息结合识别自然人身份时,应视为个人信息,对其使用应遵循原先的个人信息处理目的;
  2. 应采取个人信息访问控制措施,确保员工只能访问职责所需的最少够用的个人信息。
  3. 应向个人信息主体提供多种参与对其个人信息处理的方法,包括但不限于:
  • 访问方法;
  • 更正方法;
  • 删除方法;
  • 撤回同意的方法;
  • 注销账户的方法;
  • 获取自身个人信息的方法;
  • 约束信息系统自动决策的方法。
  1. 应及时响应个人信息主体提出的合理请求。
  2. 当委托第三方处理个人信息时,应:
  • 确保第三方具有足够的个人信息安全能力;
  • 签订书面合同,明确第三方的安全责任,并监督第三方严格按照约定处理个人信息。
    • 访问方法

在确认信息处理涉及特定的个人信息主体后,应允许该主体访问与处理有关的信息,包括个人信息的处理目的、类别、来源、转让或披露范围、存储期限,是否采用了自动决策机制及其可能对个人信息主体造成的影响。

  • 更正方法

个人信息主体发现其被处理的个人信息有错误的,应向其提供更正其错误信息的方法。

  • 删除方法
  1. 在以下情形中应同意个人信息主体删除其个人信息的请求:

1)违反法律法规;

2)个人信息的处理违反了与个人信息主体的约定;

3)完成个人信息处理的目的或达到约定的存储期限后。

b)若决定删除的个人信息已转让给受让方,应由转让方通知受让方及时删除。

  • 撤回同意的方法
  1. 对个人信息最小元素集之外的个人信息处理,应向个人信息主体提供撤回同意的方法;撤回同意后,个人信息控制者后续不得再处理相应的个人信息,撤回同意不影响撤回前基于同意的数据处理;
  2. 应向个人信息主体提供便捷的退出直接商业营销的方法。
    • 注销账户的方法

应向个人信息主体提供注销账户的方法,且该方法应方便易操作;个人信息主体注销账户后,应根据个人信息主体要求删除其个人信息,法律法规另有规定的除外。

  • 获取个人信息副本的方法

应允许个人信息主体获取其所提供的个人信息的副本,或依其要求在技术可行的前提下直接将副本传输给第三方。

  • 约束信息系统自动决策的方法

当个人信息控制者仅依据信息系统的自动决策机而做出影响个人信息主体权益的决定时,应向个人信息主体提供辩解、投诉、退出等方法。 法律法规另有规定的除外。

  • 响应个人信息主体的请求

a)在验证个人信息主体身份后,应及时响应个人信息主体提出的请求,宜在十天内做出答复,并告知个人信息主体可投诉的途径;

b)对合理的请求原则上不收取费用,但对多次重复、超出合理限度的请求,视情收取一定成本费用;

c)以下情况可不响应个人信息主体的请求,包括但不限于:

1)与国家安全、国防安全有关;

2)与公共安全、重大公共利益有关;

3)与犯罪侦查、起诉和审判等有关;

4)因保障个人信息主体自身或其他个人、组织的合法权益所必需。

  • 投诉管理

应建立投诉管理机制,包括跟踪流程,并在一定时间内,对疑问、投诉进行响应。

  • 委托处理

委托处理个人信息时,应遵守以下要求:

a)个人信息控制者应对受委托者进行评估,以确保其具备足够的个人信息安全能力;

b)受委托者不得再次委托其他机构,确需再次委托时,应获得个人信息控制者的授权;

c)受委托者应严格按照个人信息控制者的要求处理个人信息,因特殊原因未按照个人信息控制者的要求处理个人信息应及时反馈;

d)受委托者应履行保密义务;

e) 受委托者应协助个人信息控制者满足本标准规定的要求,如响应个人信息主体的请求;

f)受委托者在发生安全事件后应及时告知个人信息控制者;

g)委托关系解除后,受委托者应删除或返回个人信息,法律法规另有规定的除外;

h)个人信息控制者应对受委托者进行监督,方式包括但不限于:

1)通过合同等方式规定受委托者的责任和义务;

2)对受委托者进行评估或审计;

3)受委托者提供权威的个人信息安全认证证明(如适用);

4)受委托者提交个人信息安全风险评估报告。

  • 个人信息的转让、披露
    • 个人信息转让、披露要求

个人信息原则上不得转让、披露,确需转让、披露时,应遵守以下要求:

a)事先征得个人信息主体明示同意;

b)事先开展安全风险评估,个人信息安全风险评估流程可参考附录D,并依评估结果采取有效安全措施;

c)承担因转让、披露个人信息对个人权益造成损害的相应责任;

d)不得违反相关法律法规。

  • 个人信息转让

确需转让个人信息时,除满足9.1外,转让方还应:

a)通过合同等法律文书明确双方的安全责任;

b)确保受让方的安全措施不低于转让方的安全措施;

c)采用安全措施确保个人信息以安全的方式转让给第三方;

d)准确记录和保存个人信息的转让情况,包括转让日期、规模、目的、受让方的名称等;

e)受让方发生个人信息安全事件对个人信息主体造成损害时,转让方有责任帮助个人信息主体追究受让方责任,或给予个人信息主体适当赔偿;

f)帮助个人信息主体了解受让方对个人信息的存储、使用等情况,包括个人信息主体的权利,例如访问、更正、删除、注销账户等;

g)个人信息主体请求删除其个人信息时,转让方应同时通知受让方及时删除;

h)当个人信息控制者被第三方收购、兼并、重组或发生其他控制权变更情况后,新的个人信息控制者应继续履行原个人信息控制者的责任和义务,变更个人信息使用目的时,应重新取得个人信息主体的明示同意。

  • 个人信息披露

确需披露个人信息时,除满足9.1外,披露方还应:

a)告知个人信息主体以下内容:

1)披露的目的、依据、范围;

2)披露方在披露后还将承担的责任;

b)准确记录和保存个人信息的披露情况,包括但不限于披露日期、目的、依据和范围等;

  • 平台服务提供者管理责任

电商、社交、信息发布等互联网平台服务提供者,应在平台用户合同条款中加入个人信息安全要求,明确平台用户应承担的相应责任和义务。

  • 个人信息跨境传输要求

按照国家有关规定执行。


  • (资料性附录)
    个人信息示例

个人信息是以电子或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息,包括与确定自然人相关的生物特征、位置、行为等信息.

注:单独或与其他信息结合识别自然人身份包括:使用标识符,例如姓名、识别号码、位置数据、网上标识符,或通过与该个人生理、心理、基因、精神、经济、文化或社会身份特定相关的一个或多个因素,可直接或间接识别出个人。 判断自然人是否可被识别,应当考虑信息控制者或他人可能合理使用的所有方式。 判断何种方式为“可能合理使用”,应当考虑所有客观因素:例如以现有技术是否有能力识别,以及识别所需要的成本和时间等。

A.1 个人身份和鉴别信息

个人身份和鉴别信息是能够单独或与其它信息结合,对用户自然人身份进行识别,或在某些服务中代替用户自然人身份属性的虚拟身份信息。 虚拟身份信息是指用户使用服务过程中区别于其他用户的标识信息以及对该标识信息进行识别确认的信息。 表A.1给出了有关示例。

表A.1 个人身份和鉴别信息举例

个人基本资料 指对个人社会属性和自然属性进行描述的信息。 包括但不限于生日、性别、职业、职位、民族、国籍、邮编、姓名、地址、工作单位等。
个人身份信息 指能单独、准确识别个人真实身份的影印件及其他信息。 包括身份证、护照、驾驶证、社保卡、军官证、居住证及其他法定证件影印件及号码等与自然人法定身份紧密相关的数据。
生物识别信息 指与个人具有唯一对应关系的用户生理信息。 包括但不限于基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等。
虚拟身份标识和鉴别信息 包括电话号码,社交类软件昵称、IP地址、邮箱地址及与前述有关的密码、口令、口令保护答案等。
包括交易类软件账号、银行卡账号,证券账号,以及交易类软件账号的口令、用户个人数字证书等。

A.2 个人服务和数据内容信息

个人服务和数据内容信息是组织在服务过程中收集的具有个人隐私属性的数据和内容信息。 表A.2给出了有关示例。

表A.2 个人服务和数据内容信息举例

病理及健康信息 指个人因生病医治、健康体检等而产生的相关记录或与个人身体健康状况产生的相关信息。 包括但不限于病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、医疗费用、用药记录等病理信息及体重、身高、肺活量等健康个人信息。
财产信息 指个人在真实生活或虚拟服务中所拥有和使用的有关财产的信息,包括真实财产信息和虚拟财产信息。 真实财产信息包括交易类软件账号、银行卡等账号等,及其账号下的支付记录、交易记录、流水记录等信息。 虚拟财产信息包括虚拟货币、虚拟交易个人信息、游戏类兑换码等虚拟财产信息。
服务内容信息 如通信内容、短信、彩信、传输的数据文件和邮件内容;个人在手机、电脑上等终端或云端上存储的图片、文本、通讯录等私有资料;个人对特定用户群体发布的社交信息,如群组内发布内容、设置权等。
联系人和关系链信息 联系人信息指个人在电话、即时聊天工具、微博、邮件中的联系人信息,包括相应的账号、用户名、头像、签名、用户备注等信息。 关系链信息包括但不限于通讯录、好友列表、群列表、朋友圈列表、关注对象列表、备注等。

A.3 个人服务相关信息

个人服务相关信息是服务过程中所收集的个人服务使用情况及服务相关辅助类信息。 表A.3给出了有关示例。

表A.3 个人服务相关信息举例

服务记录 指通过日志储存的用户的操作记录、服务内容信息记录等,包括消费记录、游戏记录、视频操作流水记录、点击日志、业务日志等。
设备信息 指包括硬件型号、设备MAC地址、操作系统类型、软件列表唯一设备识别码(如IMEI/androidID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等)等在内的描述设备基本情况的信息。
位置信息 包括经纬度、地理位置等。

 

 


  • (资料性附录)
    个人敏感信息判定

个人敏感信息是指与个人利益密切相关,一旦泄露、公开披露或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等信息。 通常情况下,身份证号、银行卡号、健康状况、生物特征等属于个人敏感信息。 可从以下角度判定是否属于个人敏感信息:

泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。 某些个人信息在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。 例如个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

公开披露:某些个人信息仅因在个人信息主体授权的范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。 例如性取向、存款信息、传染病史等。

滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险。 例如在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。

表B.1给出了个人敏感信息的示例。

表B.1 个人敏感信息举例

财产信息 银行卡号、鉴别信息、存款信息、房产信息等
健康信息 药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等
生物特征信息 指纹、虹膜、DNA、人脸识别信息等
生活隐私信息 性取向、婚史、宗教信仰、未公开的违法犯罪记录等
身份信息 身份证号、护照号、学籍信息等
其他信息 精准定位信息、通话记录等

 


  • (资料性附录)
    隐私声明/政策示例

隐私声明/政策是个人信息控制者保证个人信息主体知情权的重要手段,是约束自身行为和配合监督管理的重要窗口。 隐私声明/政策的内容应包括但不限于以下方面:

  1. 适用范围。包含隐私声明/政策所适用的产品或服务范围、所适用的用户类型、生效及更新时间等。
  2. 目前遵循的个人信息安全协议和取得的认证。包含个人信息控制者目前主动遵循的国际或国内的个人信息安全法律、法规、标准、协议等,以及个人信息控制者目前已取得的个人信息安全相关的权威独立机构认证。

3.个人信息的收集情况。

根据不同产品、功能及服务类型详细列出收集的个人信息类型,收集个人信息的方法,并根据不同类型个人信息说明收集个人信息的目的。 收集的个人信息包括但不限于:用户为正常使用功能所提供的数据、使用功能时产生的数据、统计分析得到的数据、使用自动数据收集工具得到的数据、通过第三方获取的数据等。

明确说明个人信息主体提供个人信息后可能存在的安全风险以及不提供个人信息可能产生的影响。 根据对不同类型个人信息(如附录A和B中的个人信息类型)影响程度的评估结果,制定不同的收集方式和安全措施,并予以详细说明。 如果存在收集个人敏感信息的情形,则需要将所涉及的个人敏感信息类型单独列出或重点标识。

具体描述每个产品或服务所收集的个人信息时,不得使用概括性语言综述所收集个人信息,如“我们收集您的身份等相关信息”此类描述,而应明确写明“我们收集您的姓名、电话号码、地址信息”。 对于收集的部分个人信息,个人信息控制者应进一步以举例方式明确注明其属性,以便于用户的理解,如“注册用户名”可以描述为“注册用户名(含注册手机、注册邮箱)”。

4.个人信息的使用情况。

根据收集到的不同个人信息类型,详细说明如何使用个人信息,如实现用户请求、提供个性化服务、支持和改进服务、商业情报、广告支持等。

分析个人信息的使用方式,明确描述哪些类型的个人信息属于提供基础服务所必须的(即个人信息最小元素集),哪些属于提供额外服务(如个性化服务等)所需要的。

说明个人信息在使用过程中涉及的地理区域,如个人信息存储和备份的地域,个人信息传输过程中涉及的地域范围;如果个人信息存在出境处理情况,需单独列出或重点标识。

根据个人信息的使用情况,注明不同类别个人信息预计的保留时间(如:自收集日期开始5年内)以及需要删除或销毁的截止日期(如:2019年12月31日或用户注销账户时)。

5.个人信息的披露情况。

个人信息控制者说明是否需要对外披露个人信息,并详细描述需要披露的个人信息类型、披露个人信息的原因、个人信息的接收方、对接收方的约束和管理准则、接收方使用个人信息的目的、个人信息披露过程中的安全措施、披露的个人信息是否对用户带来高危风险、哪些个人信息在披露前还需再次征得用户同意等。

说明何种情况下个人信息控制者会不经过用户同意披露数据,如响应执法机关和政府机构的要求、进行个人信息安全安全审计、保护用户免受遭受欺诈和严重人身伤害等。

6.用户对个人信息的控制。

说明用户对其个人信息拥有何种控制权,内容包括但不限于:信息收集、使用和披露时允许用户选择的个人信息范围,用户所具备的访问、更正、删除、获取等控制权限,用户隐私偏好设置,用户可以选择的通信和广告偏好,用户不再使用服务后撤回同意和注销账号的渠道、用户进行维权的有效渠道等。

对于需要自行配置或进行操作(如对所使用的软件、浏览器、移动终端等进行配置和操作)以达到个人信息控制的目的,个人信息控制者应对配置和操作的过程进行详细说明,说明方式易于用户理解,必要时提供技术支持的渠道(客服电话、在线客服等)。

如果用户访问和控制其个人信息的过程产生费用,需明确说明收费的原因和依据。

如果用户提出访问和控制其个人信息的需求后需要较长时间才能响应,需明确说明响应的时间节点,以及无法短时间内响应的原因。

如果用户进行访问和控制其个人信息的过程需要再次验证身份,需明确说明验证身份的原因,并采取适当的控制措施,避免验证身份过程中造成的个人信息泄露。

如果个人信息控制者拒绝用户对个人信息进行更正、删除、获取的要求,需明确说明拒绝的原因和依据。 如用户提出对调查记录、交易记录等进行删除时,个人信息控制者可以拒绝请求并向用户出示合法的依据。

  1. 个人信息的安全措施。详细说明个人信息控制者对个人信息进行安全保护的措施。包括但不限于个人信息完整性保护措施,个人信息传输、存储和备份过程的加密措施,个人信息访问、使用的授权和审计机制,个人信息的保留和删除机制,个人信息安全的风险评估机制,确保个人信息披露给第三方后所使用安全机制等,同时,可重点提醒公众如何在使用产品或服务时保护好个人信息。
  2. 个人信息的跨境传输。如果因业务需求、政府和司法监管要求存在跨境信息传输情况,需详细说明需要进行跨境传输的数据类型,以及跨境传输遵守的标准、协议和法律机制(合同等)。
  3. 自动数据收集工具说明。如果个人信息控制者或其授权第三方使用自动数据收集工具收集个人信息,则需要对使用的技术机制做详细描述。同时,说明使用自动工具收集个人信息的目的,并向用户提供限制自动工具进行数据收集的方法和详细的指导。 常见的自动数据收集工具有:Cookie、脚本、Web信标、Flash Cookie、内嵌Web链接、本地存储器等。

10.平台服务相关责任说明。 如果个人信息控制者提供的服务属于平台类服务(如:电商、社交、信息发布等),需要明确提醒用户其在上传、交流、发布共享类信息时所面临的风险(如:用户分享的信息可能涉及自己的个人信息及他人的个人信息,需要谨慎考虑;用户分享的信息处于公开环境,他人可能会访问和分享信息,一旦发布很难通过技术手段撤回所有发布数据等),并说明共享类信息采取的安全措施(如个人敏感信息提醒机制、隐私偏好设置、存储方式、保留时间、删除机制等)。

11.透明监督。 个人信息控制者应及时更新并公开个人信息风险评估报告和相关安全审计报告的获得方式(如查看链接、下载地址等)。

12.变更通知。

个人信息控制者在隐私惯例发生重大变化时,需及时更新隐私声明/政策,并说明使用何种方式及时通知用户。 通常情况下采取的通知方式如:用户登录信息系统时征求用户同意、更新信息系统版本并在用户使用时弹出窗口征求用户同意、用户使用信息系统时直接向用户推送通知、向用户发送邮件、短信征求用户同意等。

其中,隐私惯例发生重大变化的情形包括但不限于以下情况:

(1)对信息主体提供的服务模式发生重大变化。 如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等;

(2)个人信息控制者发生重大变化。 如业务调整、破产并购等引起的所有者变更等;

(3)个人信息披露的主要对象发生变化;

(4)个人信息的保留时间或销毁期限发生变化;

(5)信息主体访问和控制其个人信息的方式发生重大变化;

(6)负责处理个人信息安全的责任部门、联络方式及投诉渠道发生变化时;

(7)个人信息风险评估报告表明存在高风险时。

  1. 法律法规、政策等规定的其他内容。如未成年人、老年人、残疾人使用系统注意事项等。

14.联系方式。

个人信息控制者需要明确给出处理个人信息安全相关反馈、投诉的渠道,如个人信息安全责任部门的联系方式、地址、电子邮箱、用户反馈问题的表单等,并明确用户可以收到回应的时间。

个人信息控制者需给出外部争议解决机构及其联络方式,以应对与用户出现无法协商解决的争议和纠纷。 外部争议解决机构通常为:个人信息控制者所在管辖区的法院、认证个人信息控制者隐私声明的独立机构、行业自律协会或政府相关管理机构等。

 


  • (资料性附录)
    个人信息安全风险评估

 

个人信息安全风险评估是个人信息控制者实施风险管理的重要组成部分,旨在发现、处置和持续监控个人信息处理过程中的安全风险。 一般情况下,个人信息控制者必须在收集和处理个人信息前开展首次个人信息安全风险评估,明确个人信息安全边界,根据评估结果选择和实施适当的安全措施,确保收集和处理个人信息的过程不会对个人信息主体权益造成高风险影响;另外,个人信息控制者还需按照要求定期开展个人信息安全风险评估,根据业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息安全边界,调整安全措施,使个人信息处理过程处于风险可控的状态。

个人信息安全风险评估的实施流程及主要内容包括但不限于以下方面:

D.1 边界分析

针对个人信息控制者的个人信息处理过程进行全面的调研,形成清晰的数据清单及数据映射图表(可参考表D.1和表D.2)。 边界分析阶段需依据附录A和附录B,结合个人信息处理的具体场景,初步判定所处理的个人信息哪些属于个人敏感信息。

调研内容包括个人信息收集、存储、使用、转让和披露等环节涉及的目的和具体实现方式,以及个人信息处理过程涉及的资源和相关方(如策略和规程、合同和协议、内部信息系统、委托处理者、第三方、交易平台经营者、外部服务供应商、云服务商等)(可参考表D.3),调研过程中应考虑已下线系统、系统数据合并、企业收购、并购及全球化扩张等情况。

梳理边界分析的结果,根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素,对个人信息处理活动进行分类,并描述每类个人信息处理活动的具体情形,便于后续分类进行影响分析和风险评价。 一般情况下个人敏感信息处理活动和普通个人信息处理活动不归于同一类。

表D.1 基于系统组件的个人信息映射表

组件名 该功能是否收集、使用、存储个人信息 个人信息的类型 收集个人信息的方法 收集/使用个人信息的原因 实施的安全措施

表D.2 基于个人信息生命周期的个人信息映射表

序号 个人信息的类型 涉及的信息系统组件 收集 存储 使用 披露 废弃
目的 方法 控制措施 存储位置 控制措施 方式 控制措施 对象 控制措施 控制措施

 

表D.3 个人信息安全利益相关方关系表

个人信息类型 个人信息主体涉及的主要群体 涉及的个人信息控制者 涉及的委托处理者 需要转让和披露的第三方 涉及的其他相关机构(交易平台经营者、外部服务供应商、云服务商等) 涉及的其他情形(如跨境传输等)
对象 责任部门和人员 对象 约束和监管机制 对象 约束和监管机制 对象 约束和监管机制 安全机制

 

D.2 个人权益影响分析

根据已有的边界分析结果及梳理得到的个人信息处理活动,查阅支撑性文档(如各类需求和设计文档、管理制度和记录、数据库表单结构说明、个人信息安全协议等),检查个人信息处理过程,测试相应的处理机制,分析个人信息在全生命周期内是否达到个人信息安全策略的要求、是否满足相关法律法规、政策及标准的要求,是否存在侵害个人信息主体权益的风险。

个人权益影响分析主要是针对不同的个人信息处理活动,分析其是否存在对个人信息主体权益产生影响(可参考表D.4)。

首先,根据标准的要求分析个人信息处理过程存在的脆弱点,如分析以下内容:个人敏感信息的判定是否准确;收集个人信息的目的是否正当、合法;从第三方获得的数据是否得到正式的处理授权;告知方式和告知的内容是否友好可达,是否所有的处理活动都征得了用户同意;是否定义了个人信息最小元素集,是否收集了过多的个人信息;是否提供便捷有效的个体参与的机制;变更目的处理对个人信息主体产生的影响;披露后第三方是否会变更目的使用个人信息;去标识化(匿名化、伪匿名化等)后的个人信息是否能够被识别;是否提供及时有效的安全事件通知机制和应急处置机制;是否提供有效的投诉和维权渠道等。

其次,归纳个人信息处理活动中存在的问题。 常见的问题类型有:私自变更目的使用数据,散播不准确的数据或不完整的误导性数据,诱导或强迫个人提供过多个人信息,过多地追踪或监视个人行为造成影响,意料之外的公开披露行为对个人造成影响,无根据地限制个人控制其个人信息的行为等。

再次,结合个人信息处理活动涉及的个人信息特征、敏感程度及存在的问题,分析其对个人权益带来的影响。 常见的个人权益影响类型有:个人失去自主决定权(如被强迫执行不愿执行的操作、缺乏相关知识或缺少相关渠道更正个人信息、个人人身自由受限、可能引发人身伤害等)、引发歧视性待遇(如隐私信息(疾病、婚史等)泄露造成的歧视、针对个人权利的歧视等)、个人名誉受损和遭受精神压力(如被他人冒用身份、公开不愿为人知的事实(生活习惯、以往经历等)等)、个人财产受损(如账户被盗、遭受诈骗等)。

 

表D.4 个人权益影响分析表

个人信息处理活动 是否涉及个人敏感信息 脆弱点识别 情况描述 发现证据 个人信息处理活动存在的问题 对个人权益产生的影响
处理活动A 敏感/非敏感 个人敏感信息的判定是否准确
收集个人信息的目的是否正当、合法
从第三方获得的数据是否得到正式的处理授权
新设个人信息处理目的是否超出原有目的
个人信息受让方采取的个人信息安全措施的有效性
公开披露个人信息对个人权益造成的影响
处理活动B

 

D.3 安全措施分析

根据相关安全标准,评价安全措施的有效性,识别存在的脆弱点,分析是否存在数据泄露、数据篡改、数据错误或丢失的安全风险。

安全措施的分析过程与传统信息安全风险评估类似,参考的标准可以扩大到大多数的信息安全标准,与传统信息安全风险评估不同的是,这里考虑的资产为个人信息,资产价值由个人信息的敏感程度、个人信息处理的规模等要素决定;安全事件的影响分析则主要针对个人权益产生的影响进行分析。 (可参考表D.5)

表D.5 安全措施分析表

个人信息处理活动 涉及的信息系统组件 是否涉及个人敏感信息 个人信息处理规模 识别到的脆弱点 威胁行为 发现证据 可能发生的安全事件 对个人权益产生的影响
处理活动A 敏感/非敏感 处理个人信息的信息系统存在漏洞 外部恶意人员攻击系统获取个人信息
个人信息访问控制机制和审计措施缺失 内部人员滥用个人信息
处理活动B

 

D.4 风险评价

执行风险评价的流程如图D.1所示:

图D.1 风险评价流程示意图

首先,根据个人权益影响分析和安全措施分析的结果,结合个人信息的敏感程度,评价存在问题的处理活动和安全事件所产生的影响程度。 其次,对存在问题的个人信息处理活动及安全事件发生的可能性进行评价,评价可能性时需考虑个人信息主体的群体特征、使用习惯,并重点考虑常见的投诉和已发生的安全事件。 综合分析影响程度和可能性两个要素,得出风险等级,并给出相应的改进建议,最终形成风险评估报告。

风险评价的过程可参考表D.6:

 

表D.6 风险评价过程表

个人信息处理活动 存在的问题或可能出现的安全事件 影响程度 可能性 风险等级 风险处置建议 风险涉及的利益相关方
处理活动A
处理活动B

 

风险评估报告的内容通常包括:个人信息安全专员的审批页面、评估报告适用范围、实施评估及撰写报告的人员信息、参考的法律、法规和标准、涉及的个人信息及个人信息处理活动的分类(明确涉及的个人敏感信息)、涉及的信息系统组件(可以突出已设计的个人信息安全措施)、涉及的利益相关方、风险判定的准则、合规性分析结果、个人权益影响分析结果、安全措施分析结果,风险评价过程及结果,风险处置建议等。

D.5风险处置和持续改进

根据风险评估结果,选取并实施相应的安全措施进行风险处置。 通常情况下,严重风险应立即处置,高风险应限期内处置,中风险应在权衡影响和成本后处置,低风险可选择接受。

个人信息控制者应持续跟踪风险处置的落实情况,评估剩余风险,将风险控制在可接受的范围内。 此外,应将风险评估结果用于下一次个人信息安全风险评估工作。

D.6评估报告发布

公开个人信息安全风险评估报告是促进自合规、配合监管、增加客户信任的重要方式,公开的个人信息安全风险评估报告可以在已有评估报告基础上予以简化,但其内容通常应不少于以下方面:收集和处理个人信息的必要性和给个人给来的益处、收集和处理的个人信息类型(个人敏感信息需单独强调)、个人信息处理的例外情况(法律法规规定)、合规性分析的概况、风险评估过程和结果概况、已实施和将要实施的风险处置措施概况、对个人信息主体的安全建议、实施风险评估责任部门或人员的联系方式和解答疑问的渠道等。

  • 参 考 文 献

[1] GB/T 32921—2016 信息安全技术 信息技术产品供应方行为安全准则

[2] 《全国人大常委会关于维护互联网安全的决定》

[3] 《全国人大常委会关于加强网络信息保护的决定》

[4] 工业和信息化部令第24号 《电信和互联网用户个人信息安全规定》

[5] 《刑法修正案(五)、(七)、(九)》

[6] ISO/IEC FDIS 29100:2011(E) – Information technology – Security techniques – Privacy framework

[7] EU. General Data Protection Regulation. [2015-5-24].

[8] CWA 16113:2012 Personal Data Protection Good Practices

[9] ISO/IEC FDIS 29101(E) – Information technology – Security techniques – Privacy architecture framework

[10] NIST SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

[11] NIST SP800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)

[12] ISO/IEC 2nd CD 29134 – Information technology – Security techniques – Privacy impact assessment

[13] ISO/IEC 2nd CD 29151 – Information technology – Security techniques – Code of practice for personally identifiable information protection

[14] NISTIR 8062 (Draft) Privacy Risk Management for Federal Information Systems

[15] ISO/IEC 1st WD 29184 — Information technology — Security techniques — Guidelines for online privacy notices and consent

[16] EU-U.S. Privacy Shield [2016-2-2]

[17] The OECD Privacy Framework, OECD 2013

[18] APEC Privacy Framework, APEC 2005.12

[19] Consumer Bill of Rights, White House 2012.2

 

Liked it? Take a second to support China Law Translate on Patreon!

Be the first to comment

Leave a Reply

Your email address will not be published.


*