Information security techniques - personal information security specifications (Draft for solicitation of comments)

ALL TRANSLATIONS ON THIS SITE ARE UNOFFICIAL AND ARE PROVIDED FOR REFERENCE PURPOSES ONLY. THESE TRANSLATIONS ARE CREATED AND CONTINUOUSLY UPDATED BY USERS --THEY ARE FREE TO VIEW, BUT PROPER ATTRIBUTION IS REQUIRED FOR DISTRIBUTION OF THESE OR DERIVATIVE TRANSLATIONS.

Source: http://www.tc260.org.cn/zqyj.jsp

Preface

Foreword:

1 Scope

2 Normative reference documents

3 Terms and Definitions

4 Basic Principles of personal information security

5 General requirements for personal information security

5.1 Clarify Responsible Departments and Personnel

5.2 Carry out security risk assessment

5.3 Employ personal information security measures

5.4 Employ security measures for personal sensitive information

5.5 Security Audits

5.6 Transparency and disclosure of security measures

5.7 Emergency response and reporting of security incidents

5.8 Notifications of security incidents

6 Collection of Personal Information

6.1 Requirements for the collection of personal information

6.2 Verification of the legality of goals

6.3 Minimizing the collection of personal information

6.4 The consent of the personal data subject

6.5 Content to inform personal data subjects

6.6 Means of giving information

6.7 Time for giving information

7 Storage of personal information

7.1 Requirements for storing personal information

7.2 Minimizing the period for storing personal information

7.3 Ensuring the quality of personal information

7.4 Processing Pseudonymization

8 The use of personal information

8.1 Requirements for the use of personal information

8.2 Access methods

8.3 Corrections Methods

8.4 Deletion methods

8.5 Methods for withdrawal of consent

8.6 Methods for deregistering accounts

8.7 Methods for obtaining copies of personal information

8.8 Methods of restraining automatic decision making by information systems

8.9 Responding to requests from personal data subjects

8.10 Commissioned processing

8.11 Commissioned processing

9 Transfer and disclosure of personal information

9.1 Requirements for transfer or disclosure of personal information

9.3 Disclosure of personal information

9.4 Management responsibility of platform service providers

9.5 Requirements for transmission of personal information abroad

Appendix A (Materials Appedix) Examples of personal information

Appendix B (Materials Appendix) Judgment of sensitive personal information

Appendix C (Materials appendix) Privacy Statement/ Policy Examples

Appendix D: (Material Appendix) Personal Information Security Risk Assessment

Appendix E: Reference Documents

 

Preface

These standards are drafted in accordance with the rules provided by GB/t 1.1-2009.

These standards are proposed and controlled by the National Information Security Standardization Technology Committee.

Standards drafting unit:

Main drafters of these standards:

Foreword:

In recent years, following the spread of economic and social networking, more and more systems collect personal information, storing, processing, and even exchanging personal information. The illegal collection, disclosure, and abuse of personal information has already become an issue of keen public focus, serious harms to individual's rights and interests is commonplace, and many situations of illegal violations and criminal activity have even come from the abuse of personal information. With the rapid development of big data technology and applications, there are more challenges facing personal information security: In the collection phase, the development of the mobile internet and the internet of things make the collection of personal data increasingly intensive and discreet; in the usage phase, personal information combined from multiple sources may form digital portraits and carry out dynamic real-time tracking of individuals; data mining has increased the risk of personal information, particularly private and sensitive information, being exposed; At the disclosure phase, data transfers, exchanges, and sharing bring new security issues; In the big data environment, the body of information for processing is complex, the mechanisms for transfers are manifold, and cross-border flows of personal information have become the norm. Therefore, how the balance is struck between personal information security and the use of big data has already become an important proposition in this new economic era.

These standards are aimed at security issues faced in personal information security during the rapid development of IT technology; with the protection of personal information as their core, they regulate all phases of big data operations and related conduct, such as the collection, storage, processing, use and discloscure of personal information, so as to curb the negative phenomenon of abuses of personal information, and to protect users' lawful rights and interests and the societal public interest to the greatest extent possible.

 

 

 

Information security techniques - personal information security specifications

  1. Scope

These Standards specify the principles which should be followed and the security measures which should be taken by information systems processing personal information.

These standards apply to every type of organization using information systems to process personal information, and also apply to competent departments for network security, third party assessment organizations and other organizations carrying out oversight and management, assessment or other such efforts on personal information security.

Organizations employing fewer than 10 people or earning less than 1,000,000 RMB, that do not process more than 10,000 people's (including that number) personal information in any continuous 12 month period, are not within the scope of these standards.

2. Normative reference documents

The following documents are essential for the application of this document. For dated reference documents, only the dated version is applied for this document. For undated reference documents, the newest version (including all revision lists) is applied for this document.

GB/Z 28828-2012 Information security techniques -- Guidelines on personal information security for public and commercial information systems

Regulation of Electronic information systems' machine room design

3. Terms and Definitions

The following terms and definitions and those defined in GB/T 25069—2010 apply to this document.

3.1 个人信息 personal information

All kinds of information, recorded electronically or through other means, that taken alone or together with other information, is sufficient to identify a natural person's identity, including biometrics, locations, activity and other information such as full names, birth dates, identification numbers, personal account information, addresses, telephone numbers, fingerprints, iris patterns and so forth.

Note: Appendix A may be consulted in regards to the scope and types of personal information.

3.2 个人敏感信息 personal sensitive information

refers to personal information that once disclosed, revealed, or abused, might endanger the safety of persons or property, harm personal reputations and physical or psychological health, lead to discriminatory treatment, and so forth. Typically, identification numbers, bank card number, health records, and bio-metrics are personal sensitive information.

Note: Appendix B may be consulted in regards to the scope and types of personal sensitive information.

3.3 个人信息主体 personal data subject

The natural persons identified by personal information.

3.4 个人信息控制者 personal data controller

The organizations or individuals who decide the goals or means by which personal information is processed.

3.5 明示同意 explicit consent

个人信息主体通过书面声明或特定的动作,明确授权对其个人信息进行处理。

3.6 默许同意 implied consent

Personal data subject implied permission for personal data controllers to process their personal information.

3.7 第三方评估机构 Third Party Assessment Organizations (3PAO)

Independent professional assessment bodies.

3.8 个人信息的处理 personal data processing

Carrying out operations on personal information, including the collection, storage, access, modification, transfer, disclosure, anonymization , pseudonymization, restoration, deletion, and destruction of personal information.

3.9 披露 disclosure

Acts publishing information to the public or specified recipients.

3.10 转让 transfer

Change of personal data controllers, including exchanges or transactions of personal information.

3.11 匿名化 anonymization

Carrying out techical processions of personal information, making it so that the personal data subject cannot be identified and that the original information cannot be recovered after the processing.

3.12 伪匿名化 Pseudonymisation

The technical processing of personal information to make its so that the personal data subject cannot be identified without additional information.

Note: Pseudonymization still rests on an individual basis, retaining individual particulars, and employing false names, encryption, hash functions and other technological means to replace identifying personal information.

4. Basic Principles of personal information security

Personal data controllers should ensure the security of personal information, obeying the following principles:

a) Responsibility Principle-- Responsibility should be borne for the security of all personal information they possess, regardless of the path through which this information was obtained.

b) Clear Purpose Principle-- There should be a lawful, legitimate, and specific purpose for personal data processing, and the purpose for the personal data processing must not be changed without authorization from the personal data subject.

c) Smallest Adequate Amount Principle---- Except where it has been agreed otherwise with the personal data subject, only the smallest amount of information necessary to satisfy the purposes should be processed. After the purposes are achieved, the personal information should be promptly deleted in accordance with agreements.

d) Principle of Consent and Choice---- The personal data subject should be allowed to choose whether to consent to processing of their personal information, including the agreeing upon its purposes, methods, and scope, and when changes are made the personal data subject's consent should be solicited again. The personal data subject's not giving consent must not be the reason for refusals to provide them services or for reducing the quality of services, except where the services rely on users' personal information.

e) Quality Assurance Principle----- In the course of processing personal information, the accuracy, veracity, validity, and usability of the personal information should be ensured.

f) Security Assurance Principle------- Appropriate management principles and technological measures should be employed to ensure security in all phases of processing personal information.

g) Subject Participation Principle ----- Personal data subjects should be provided measures to access, correct, and delete their personal information, as well as to withdraw consent, deregister accounts, and so forth.

h) Principle of openness and transparency --- The scope, purpose, and rules for processing personal information should be disclosed in a clear, understandable, and reasonable fashion, and when necessary, accept outside supervision.

5. General requirements for personal information security

5.1 Clarify Responsible Departments and Personnel

Personal information controllers should:

  1. Clarify the leadership responsibility of the their legally-designated representative or primary leader over personal information security, including providing assurances of man power, financial resources, and material support.
  2. Clarify the persons responsible for enforcing personal information security, responsible departments and staff.
  3. Organizations that satisfy any of the following requirements, should set up an specialized department and personnel for personal information security, to be responsible for the work of information security:

1) the principle business involves processing personal information, and the scale is 200 persons or higher (inclusive);

2) In excess of 500,000 persons' personal information (inclusive) is processed, or where it is estimated that in excess of 500,000 persons' personal information (inclusive) will be processed.

  1. Persons with responsibility for enforcing personal information security or specialized personnel for personal information security should perform the following duties:
  • Have overall responsibility for personal information security;
  • Carry out personal information security risk assessment;
  • Publicly disclose personal information risk assessment reports and any employed personal information security measures, and actively accept supervision;
  • Formulate, issue, and implement personal information security information strategies and procedures.
  • Sign responsibility documents with relevant departments, connecting with work carried out by relevant departments in the area of personal information security.
  1. Obey laws, regulations, policies standards, and the like, related to personal information security;
  2. Sign confidentiality agreements with personnel in positions that process personal information, and when necessary carry out background checks;
  3. 明确内部涉及个人信息处理不同岗位的安全职责,以及发生安全事件的处罚机制;
  4. 在 个人信息处理岗位人员调离岗位或终止劳动合同时,根据其岗位敏感程度,与其签订相应的保密协议;
  5. 明确外部服务人员应遵守的个人信息安全要求,与其签署个人信息安全承诺书,并进行监督;
  6. 定期(至少每年一次)或在个人信息安全策略发生重大变化时,开展个人信息安全培训和考核,确保相关人员熟练掌握个人信息安全策略和规程,应针对不同的个人信息处理岗位提供专业化培训。
    • Carry out security risk assessment
  7. 应建立个人信息安全风险管理制度,评估个人信息处理活动对个人信息主体的影响,以及遵循个人信息安全基本原则的情况,评估内容包括但不限于:
  • Whether the purpose of the collection and use of personal information was legitimate and lawful;
  • Whether the process of gathering personal information was open and transparent;

3)个人信息处理可能对个人信息主体合法权益的影响,包括处理是否会危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等;

4) The efficacy of personal information security measures;

5) the impact that changing the purpose of processing might have on the lawful rights and interests of individual information subjects;

6) the effectiveness of personal information security measures adopted by the transferee of personal information;

7)披露个人信息对个人信息主体合法权益可能造成的影响;

8)匿名化或伪匿名化处理后的数据集重新识别出个人信息主体的风险。

b)应定期(至少每年一次)开展个人信息安全风险评估,个人信息安全风险评估流程可参考附录D;

c)在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生个人信息安全事件时,应重新进行个人信息安全风险评估。 Major changes and personal information security incidents include, but are not limited to:

1) systems that carry personal information are faced with serious threats or vulnerabilities;

2) the owner of the principal business has changed;

3) personal information security incidents affecting more than 10000 people;

4) user complaints and reports, causing major legal proceedings, etc..

d)根据个人信息安全风险评估结果,形成个人信息安全风险评估报告;

e)个人信息安全执行责任人或个人信息安全专员应审核个人信息安全风险评估报告,并以此制定或改进个人信息安全措施,使风险降低到可接受的水平,风险无法接受的,应及时停止处理个人信息;

f)个人信息安全负责人应定期对外公布个人信息安全风险评估报告及相应的整改措施;

g)如选择外部机构进行风险评估,应选择有能力、有资格、信任度高的外部机构实施。

  • Employ personal information security measures

a)应制定个人信息安全相关的策略和规程,包括但不限于:个人信息分级分类策略、组织架构和人员安全策略、安全意识和培训策略、个人信息合规策略、物理和环境安全策略、风险管理和评估策略、持续监控策略、审计策略、事件处理策略、备份和应急响应策略、个人信息授权和访问控制策略、个人信息传输和存储安全策略、系统安全策略、供应链安全策略、跨境传输策略等相关规程;

b)应定期(至少每年一次)审查和更新策略和规程相关文件,并评估策略和规程的实施效果。

  • Employ security measures for personal sensitive information

a) a list of sensitive personal information should be established, maintained and updated, and the list is to include but not be limited to:

1) The types and quantities of sensitive personal information involved;

2) All information systems related to the collection, use and transfer of personal sensitive information;

b)对可访问个人敏感信息的内部授权人员,应确保责任分离和最小授权,使其仅具备完成职责所需权限,并对权限管理建立追责制度;

c)对个人敏感信息的存储、访问、修改等活动设定相应的权限、审批和管理流程。 包括但不限于:

1)监测并记录个人敏感信息的收集、存储、使用和转让活动;

2)对个人敏感信息修改和更新活动应进行内部审批或备案;

3)如确因工作需要,需授权特定人员超权限处理个人敏感信息的,应由个人信息安全执行责任人或个人信息安全专员进行审批,并记录在案。

d)如需对个人敏感信息进行远程访问,应采用加密传输机制;

e)在收集个人敏感信息的过程中,应防止个人敏感信息被窃取、篡改或劫持;

f)在信息系统设计阶段,应做好个人敏感信息安全规划,宜采用以下机制:

1)系统默认关闭对个人敏感信息的收集功能,收集该类信息时,可在用户使用系统过程中设置明确告知的功能,征得用户同意;

2)系统提供个人选择的功能,供个人信息主体选择何种个人敏感信息可被收集,并提供撤回同意的方法;

3)系统提供删除已收集个人敏感信息的机制,实现个人信息主体注销账户后删除个人敏感信息,法律法规另有规定的除外;

4)系统对个人敏感信息处理行为进行自动化审计;

5)系统对个人敏感信息的传输、存储和备份提供加密机制。

g)存储个人敏感信息的场所应满足国家标准GB 50174-2008。

  • Security Audits

a)应 对个人信息安全策略和规程,以及安全措施的有效性进行审计,形成审计记录;

b)审计记录应能对安全事件的处置、应急响应和事后调查提供支撑,审计记录留存应符合相关法律法规的要求;

c)应防止非授权访问、篡改或删除审计记录;

d)审计过程中发现的个人敏感信息违规使用、滥用等情况,应及时通知个人信息安全相关人员;

e)可使用自动机制对收集用户个人信息的入口进行追踪,验证收集个人信息的内容、过程是否符合个人信息安全管理要求,并检测是否存在被第三方违规植入的自动数据收集工具。 常见的收集个人信息的入口如网页、软件客户端、移动应用软件等。

  • Transparency and disclosure of security measures

a)应公开个人信息安全执行责任人或个人信息安全专员的联系方式,便于处理个人反馈和投诉;

b)个人信息安全风险评估报告和安全审计报告应妥善留存,确保可供相关方查阅,应以适宜的形式对外公开;

c)宜公开个人信息安全相关的合规证明、人员资质证明等。

  • Emergency response and reporting of security incidents

a)应制定个人信息安全事件应急预案;

b)应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其了解岗位职责和应急处置策略和规程;

c)发生个人信息安全事件后,个人信息控制者应按以下流程处置:

1)记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数、发生事件的系统名称、对其他互联系统的影响,是否已联系执法机关或有关部门;

2)在事件发生后应迅速对事件进行评估,及时根据应急响应预案处置个人信息安全事件;

3)按国家有关规定及时上报;当事件涉及超过10000人时,或涉及个人敏感信息超过1000人时,应在24小时内向国家互联网应急中心及其他有关部门报告,报告内容包括但不限于:涉及个人信息主体的类别、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;

4)应为事件取证提供技术支持,保护证据完整性。

d)应及时、主动向受影响的个人信息主体提供有效的补救措施。

e)根据相关法律法规变化情况,以及事件处置情况,及时更新应急响应预案。

  • Notifications of security incidents

a) a detailed notification plan should be established for security incidents, including, but not limited to: the target, timing, publisher, content and manner of the notification;

b) the content of the notification should include, but is not limited to:

1) the content and impact of security incidents;

2) handling measures that have been taken or will be taken;

3) suggest that the personal information subjects independently take precautions to prevent and reduce risks;

4) remedial measures aimed at the personal information subject;

5) personal information security department or specialist's contact information.

c)应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体,难以逐一告知个人信息主体时,应采取合理、有效的方式发布公告;

d) in accordance with relevant state provisions, publicly disclose situations related to security incidents.

  • Collection of Personal Information
    • Requirements for the collection of personal information

a)收集个人信息应具备合法、正当的目的,并清晰、准确地予以描述;

b)根据已确定的目的,确定所需收集的个人信息最小元素集,以及存放地域、存储期限、收集频率等处理规则;

c)在收集前向个人告知信息处理目的、个人信息最小元素集、处理规则、实际收集的个人信息范围,以及个人享有的访问、更正、删除个人信息,注销账户等权利;

d)应在取得个人信息主体授权同意后,才可处理个人信息,法律法规另有规定的除外;

e)实际收集的个人信息范围超出个人信息最小元素集时,不得因个人信息主体不同意而拒绝向其提供服务,并保障相应的服务质量;

f)收集动态性的个人信息时,应保持合理的频率,避免超出服务目的所必需;

g)如个人信息主体对收集有疑义或反对,应停止收集活动。

  • Verification of the legality of goals

Before collecting personal information, the legality of the purpose for processing personal information should be verified, and the factors to be considered should include, but are not limited to:

a) Compliance with laws, regulations and public order customs;

b) necessity for performing contract obligations;

c) not infringing upon the interests of the the personal data subject;

d) necessity for preserving public interest.

  • Minimizing the collection of personal information

a)应列出为达到已声明目的所需处理的个人信息最小元素集,包括个人信息类别和内容,并告知个人信息主体;

b)更新个人信息最小元素集时,应及时告知个人信息主体;

c)收集超出个人信息最小元素集的个人信息时,应明确告知个人信息主体并征得个人信息主体的明示同意。

  • The consent of the personal data subject

Except as otherwise provided in laws and regulations, personal information should only be acquired with the authorized consent of the subject. After securing consent, personal information can be collected, including:

a)事先明确个人信息主体的同意范围,不应强制要求个人信息主体同意超范围收集个人信息的要求;

b)收集个人敏感信息时,确保个人信息主体的同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示,如个人信息主体主动声明(电子或纸质形式)或主动点击“同意”选项,不得以默许同意方式获取用户同意;

c)收集身份证、护照、驾照等法定证件信息时,专门提醒个人信息主体此次收集活动涉及其法定证件信息,并说明处理目的;

d)主要业务面向未成年人的,在收集未成年人个人信息前应取得其监护人或法定代理人的明示同意;

e)基于多个来源的信息创建可公开展示的综合个人信息前,应征得个人信息主体的同意。

  • Content to inform personal data subjects

向个人信息主体告知的内容应包括但不限于:

a)个人信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和联系方式、个人信息安全专员的联系方式(如适用)等;

b)处理个人信息的目的和依据,以及目的与所收集的个人信息的对应关系;

c)收集个人信息的来源、存放地域、存储方式和期限,对超出存储期限的个人信息的处置方式等;

d)是否将个人信息用于直接商业营销;

e)是否形成个人数字画像,及其可能对个人信息主体合法权益造成的影响等;

f)对外披露或转让个人信息的场景、涉及的个人信息类别和接收个人信息的第三方;

g)提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响;

h) personal information security measures employed;

i) 个人信息主体的权利和实现机制,如选择和撤回同意的方法、访问方法、更正方法、删除方法、注销账户的方法、获取个人信息副本的方法、约束信息系统自动决策的方法等;

j)处理个人信息主体询问和投诉的内部渠道和机制,以及外部争议解决机构及联络方式。

  • Means of giving information

a)所告知的内容应易于个人信息主体访问,并应确保告知信息的完整性和准确性,如在网站的专门页面、移动应用程序安装页、社交媒体页面等显著位置发布隐私声明或政策(参考附录C);

b)应逐一告知个人信息主体,当告知成本过高或有显著困难时,应能提供分析说明,并以公告的形式告知;

c)内容应清楚明白易懂,符合通用的语言习惯,避免使用有歧义的语言;

d) should use standardized language, numbers, and pictures, etc.

  • Time for giving information

a)对于直接从个人信息主体获得的个人信息的,应在收集个人信息前告知;

b)对于非直接从个人信息主体获得的个人信息的,应在处理个人信息前或在获得个人信息后的合理期限内告知。

  • Storage of personal information
    • Requirements for storing personal information

a)在约定的存储期限到期后,应及时删除个人信息,法律法规另有规定的除外;

b)应采取措施确保个人信息的准确性、真实性、时效性、可用性;

c)个人敏感信息应采用加密方式存储;

d)存储个人信息时,根据信息处理的目的,可采用匿名化、伪匿名化等措施,降低个人信息安全风险。

  • Minimizing the period for storing personal information

a)根据已确定的个人信息处理目的,制定个人信息存储计划,确定个人信息存储期限,确保个人信息存储期限为实现目的所必需的最短时间,法律法规另有规定的除外;

b)应具备发现个人信息存储时间是否到期的机制;

c)超出个人信息存储期限后,应尽快对个人信息(包括原始数据、备份数据及归档记录)进行删除或匿名化处理,法律法规规定的除外。

  • Ensuring the quality of personal information

a)宜直接从个人信息主体收集其信息,或从权威数据源处获得个人信息;

b) a reasonable personal information collection process should be established;

c)应采取合理的信息自动校验机制,验证个人信息的准确性,如身份证号码位数验证。

  • Processing Pseudonymization

收集个人信息后,宜立即进行伪匿名化处理,使其在不借助额外信息的情况下,无法再识别出特定个人。 采取技术和管理方面的措施,将额外信息与伪匿名化后的数据分开存储,确保在后续处理时不识别特定个人。 个人信息凡经上述处理,且不对外披露的,不受本标准第8.1.b的限制。

  • The use of personal information
    • Requirements for the use of personal information
  1. When using personal information, one should not:

1)超出个人信息主体对双方的约定的合理理解程度;

2)损害个人信息主体的合法权益,包括危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等。

  1. 因业务需要,确需改变个人信息处理目的或改变个人信息处理规则时,应:
  • 再次征得个人信息主体明示同意;
  • 针对目的变更后的情况,进行个人信息安全风险评估,并重新调整安全措施。
  1. 基于个人信息所产生的衍生信息能够单独或与其他信息结合识别自然人身份时,应视为个人信息,对其使用应遵循原先的个人信息处理目的;
  2. 应采取个人信息访问控制措施,确保员工只能访问职责所需的最少够用的个人信息。
  3. 应向个人信息主体提供多种参与对其个人信息处理的方法,包括但不限于:
  • Access methods;
  • Correct methods;
  • Deletion Methods;
  • Methods for withdrawal of consent;
  • Methods for deregistering users;
  • Methods of obtaining one's own personal information;
  • Restraint methods for automatic decision making by information systems.
  1. Reasonable requests submitted by personal data subjects should be promptly responded to.
  2. When retaining third parties to process personal information, one should:
  • Ensure the third party's possess sufficient capacity for protection of personal information;
  • Sign written contracts, clarifying the security responsibility of the the third party, and supervising the third party's processing of personal information strictly as agreed.
    • Access methods

在确认信息处理涉及特定的个人信息主体后,应允许该主体访问与处理有关的信息,包括个人信息的处理目的、类别、来源、转让或披露范围、存储期限,是否采用了自动决策机制及其可能对个人信息主体造成的影响。

  • Corrections Methods

个人信息主体发现其被处理的个人信息有错误的,应向其提供更正其错误信息的方法。

  • Deletion methods
  1. In the following situations, a personal data subject's request to have personal information deleted should be agreed to;

1) Violates laws and regulations;

2) The processing of personal information is contrary to agreements with the personal data subject;

3) The purpose of processing the personal information has been completed or after the agreed period for storing the information has been reached.

b)若决定删除的个人信息已转让给受让方,应由转让方通知受让方及时删除。

  • Methods for withdrawal of consent
  1. 对个人信息最小元素集之外的个人信息处理,应向个人信息主体提供撤回同意的方法;撤回同意后,个人信息控制者后续不得再处理相应的个人信息,撤回同意不影响撤回前基于同意的数据处理;
  2. 应向个人信息主体提供便捷的退出直接商业营销的方法。
    • Methods for deregistering accounts

应向个人信息主体提供注销账户的方法,且该方法应方便易操作;个人信息主体注销账户后,应根据个人信息主体要求删除其个人信息,法律法规另有规定的除外。

  • Methods for obtaining copies of personal information

应允许个人信息主体获取其所提供的个人信息的副本,或依其要求在技术可行的前提下直接将副本传输给第三方。

  • Methods of restraining automatic decision making by information systems

当个人信息控制者仅依据信息系统的自动决策机而做出影响个人信息主体权益的决定时,应向个人信息主体提供辩解、投诉、退出等方法。 Unless otherwise specified by laws and regulations.

  • Responding to requests from personal data subjects

a)在验证个人信息主体身份后,应及时响应个人信息主体提出的请求,宜在十天内做出答复,并告知个人信息主体可投诉的途径;

b)对合理的请求原则上不收取费用,但对多次重复、超出合理限度的请求,视情收取一定成本费用;

c)以下情况可不响应个人信息主体的请求,包括但不限于:

1)与国家安全、国防安全有关;

2)与公共安全、重大公共利益有关;

3)与犯罪侦查、起诉和审判等有关;

4)因保障个人信息主体自身或其他个人、组织的合法权益所必需。

  • Commissioned processing

应建立投诉管理机制,包括跟踪流程,并在一定时间内,对疑问、投诉进行响应。

  • Commissioned processing

委托处理个人信息时,应遵守以下要求:

a)个人信息控制者应对受委托者进行评估,以确保其具备足够的个人信息安全能力;

b)受委托者不得再次委托其他机构,确需再次委托时,应获得个人信息控制者的授权;

c)受委托者应严格按照个人信息控制者的要求处理个人信息,因特殊原因未按照个人信息控制者的要求处理个人信息应及时反馈;

d)受委托者应履行保密义务;

e) 受委托者应协助个人信息控制者满足本标准规定的要求,如响应个人信息主体的请求;

f)受委托者在发生安全事件后应及时告知个人信息控制者;

g)委托关系解除后,受委托者应删除或返回个人信息,法律法规另有规定的除外;

h)个人信息控制者应对受委托者进行监督,方式包括但不限于:

1)通过合同等方式规定受委托者的责任和义务;

2)对受委托者进行评估或审计;

3)受委托者提供权威的个人信息安全认证证明(如适用);

4)受委托者提交个人信息安全风险评估报告。

  • Transfer and disclosure of personal information
    • Requirements for transfer or disclosure of personal information

个人信息原则上不得转让、披露,确需转让、披露时,应遵守以下要求:

a)事先征得个人信息主体明示同意;

b)事先开展安全风险评估,个人信息安全风险评估流程可参考附录D,并依评估结果采取有效安全措施;

c)承担因转让、披露个人信息对个人权益造成损害的相应责任;

d) Must not violate relevant laws and regulations.

  • Transfer of personal information

确需转让个人信息时,除满足9.1外,转让方还应:

a)通过合同等法律文书明确双方的安全责任;

b)确保受让方的安全措施不低于转让方的安全措施;

c)采用安全措施确保个人信息以安全的方式转让给第三方;

d)准确记录和保存个人信息的转让情况,包括转让日期、规模、目的、受让方的名称等;

e)受让方发生个人信息安全事件对个人信息主体造成损害时,转让方有责任帮助个人信息主体追究受让方责任,或给予个人信息主体适当赔偿;

f)帮助个人信息主体了解受让方对个人信息的存储、使用等情况,包括个人信息主体的权利,例如访问、更正、删除、注销账户等;

g)个人信息主体请求删除其个人信息时,转让方应同时通知受让方及时删除;

h)当个人信息控制者被第三方收购、兼并、重组或发生其他控制权变更情况后,新的个人信息控制者应继续履行原个人信息控制者的责任和义务,变更个人信息使用目的时,应重新取得个人信息主体的明示同意。

  • Disclosure of personal information

确需披露个人信息时,除满足9.1外,披露方还应:

a) inform the personal data subject of the following content:

1) The purpose, basis, and scope of the disclosure;

2) the responsibilities that the discloser will still bear after the disclosure;

b)准确记录和保存个人信息的披露情况,包括但不限于披露日期、目的、依据和范围等;

  • Management responsibility of platform service providers

电商、社交、信息发布等互联网平台服务提供者,应在平台用户合同条款中加入个人信息安全要求,明确平台用户应承担的相应责任和义务。

  • Requirements for transmission of personal information abroad

Enforce in accordance with relevant national provisions.


  • (materials annex)
    Examples of personal information

个人信息是以电子或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息,包括与确定自然人相关的生物特征、位置、行为等信息.

注:单独或与其他信息结合识别自然人身份包括:使用标识符,例如姓名、识别号码、位置数据、网上标识符,或通过与该个人生理、心理、基因、精神、经济、文化或社会身份特定相关的一个或多个因素,可直接或间接识别出个人。 判断自然人是否可被识别,应当考虑信息控制者或他人可能合理使用的所有方式。 判断何种方式为“可能合理使用”,应当考虑所有客观因素:例如以现有技术是否有能力识别,以及识别所需要的成本和时间等。

A.1 个人身份和鉴别信息

个人身份和鉴别信息是能够单独或与其它信息结合,对用户自然人身份进行识别,或在某些服务中代替用户自然人身份属性的虚拟身份信息。 虚拟身份信息是指用户使用服务过程中区别于其他用户的标识信息以及对该标识信息进行识别确认的信息。 表A.1给出了有关示例。

表A.1 个人身份和鉴别信息举例

个人基本资料 指对个人社会属性和自然属性进行描述的信息。 包括但不限于生日、性别、职业、职位、民族、国籍、邮编、姓名、地址、工作单位等。
个人身份信息 指能单独、准确识别个人真实身份的影印件及其他信息。 包括身份证、护照、驾驶证、社保卡、军官证、居住证及其他法定证件影印件及号码等与自然人法定身份紧密相关的数据。
生物识别信息 指与个人具有唯一对应关系的用户生理信息。 包括但不限于基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等。
虚拟身份标识和鉴别信息 包括电话号码,社交类软件昵称、IP地址、邮箱地址及与前述有关的密码、口令、口令保护答案等。
包括交易类软件账号、银行卡账号,证券账号,以及交易类软件账号的口令、用户个人数字证书等。

A.2 个人服务和数据内容信息

个人服务和数据内容信息是组织在服务过程中收集的具有个人隐私属性的数据和内容信息。 表A.2给出了有关示例。

表A.2 个人服务和数据内容信息举例

病理及健康信息 指个人因生病医治、健康体检等而产生的相关记录或与个人身体健康状况产生的相关信息。 包括但不限于病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、医疗费用、用药记录等病理信息及体重、身高、肺活量等健康个人信息。
Property information 指个人在真实生活或虚拟服务中所拥有和使用的有关财产的信息,包括真实财产信息和虚拟财产信息。 真实财产信息包括交易类软件账号、银行卡等账号等,及其账号下的支付记录、交易记录、流水记录等信息。 虚拟财产信息包括虚拟货币、虚拟交易个人信息、游戏类兑换码等虚拟财产信息。
服务内容信息 如通信内容、短信、彩信、传输的数据文件和邮件内容;个人在手机、电脑上等终端或云端上存储的图片、文本、通讯录等私有资料;个人对特定用户群体发布的社交信息,如群组内发布内容、设置权等。
联系人和关系链信息 联系人信息指个人在电话、即时聊天工具、微博、邮件中的联系人信息,包括相应的账号、用户名、头像、签名、用户备注等信息。 关系链信息包括但不限于通讯录、好友列表、群列表、朋友圈列表、关注对象列表、备注等。

A.3 Information related to personal services

个人服务相关信息是服务过程中所收集的个人服务使用情况及服务相关辅助类信息。 表A.3给出了有关示例。

Table A.3 examples of information related to personal services

Service records 指通过日志储存的用户的操作记录、服务内容信息记录等,包括消费记录、游戏记录、视频操作流水记录、点击日志、业务日志等。
Equipment information 指包括硬件型号、设备MAC地址、操作系统类型、软件列表唯一设备识别码(如IMEI/androidID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等)等在内的描述设备基本情况的信息。
Location information Including latitude and longitude, geographical location, etc..

 

 


  • (materials annex)
    Personal sensitive information judgment

个人敏感信息是指与个人利益密切相关,一旦泄露、公开披露或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等信息。 通常情况下,身份证号、银行卡号、健康状况、生物特征等属于个人敏感信息。 可从以下角度判定是否属于个人敏感信息:

泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。 某些个人信息在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。 例如个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

公开披露:某些个人信息仅因在个人信息主体授权的范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。 例如性取向、存款信息、传染病史等。

滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险。 例如在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。

Table B.1 Gives Examples of Personal Sensitive Information

Table B.1 Examples of Personal Sensitive Information

Property information Bank account numbers, identifying information, savings information, real property information, etc.
Health Information Information on allergies to foods and medicines, reproductive information, prior medical history, family medical history, current medical history, history of infectious diseases, etc.
Biometric information Fingerprints, Iris scans, DNA, Facial recognition information, etc.
Private Life Information Sexual orientation, marrital history, religion, undisclosed records of violations or crimes, etc.
Identity information Identity card number, passport number, student information, etc.
Other information Precise positioning information, call records, etc.

 


  • (materials annex)
    Privacy statement / policy sample

隐私声明/政策是个人信息控制者保证个人信息主体知情权的重要手段,是约束自身行为和配合监督管理的重要窗口。 隐私声明/政策的内容应包括但不限于以下方面:

  1. 适用范围。包含隐私声明/政策所适用的产品或服务范围、所适用的用户类型、生效及更新时间等。
  2. 目前遵循的个人信息安全协议和取得的认证。包含个人信息控制者目前主动遵循的国际或国内的个人信息安全法律、法规、标准、协议等,以及个人信息控制者目前已取得的个人信息安全相关的权威独立机构认证。

3.个人信息的收集情况。

根据不同产品、功能及服务类型详细列出收集的个人信息类型,收集个人信息的方法,并根据不同类型个人信息说明收集个人信息的目的。 收集的个人信息包括但不限于:用户为正常使用功能所提供的数据、使用功能时产生的数据、统计分析得到的数据、使用自动数据收集工具得到的数据、通过第三方获取的数据等。

明确说明个人信息主体提供个人信息后可能存在的安全风险以及不提供个人信息可能产生的影响。 根据对不同类型个人信息(如附录A和B中的个人信息类型)影响程度的评估结果,制定不同的收集方式和安全措施,并予以详细说明。 如果存在收集个人敏感信息的情形,则需要将所涉及的个人敏感信息类型单独列出或重点标识。

具体描述每个产品或服务所收集的个人信息时,不得使用概括性语言综述所收集个人信息,如“我们收集您的身份等相关信息”此类描述,而应明确写明“我们收集您的姓名、电话号码、地址信息”。 对于收集的部分个人信息,个人信息控制者应进一步以举例方式明确注明其属性,以便于用户的理解,如“注册用户名”可以描述为“注册用户名(含注册手机、注册邮箱)”。

4. Personal information usage.

根据收集到的不同个人信息类型,详细说明如何使用个人信息,如实现用户请求、提供个性化服务、支持和改进服务、商业情报、广告支持等。

分析个人信息的使用方式,明确描述哪些类型的个人信息属于提供基础服务所必须的(即个人信息最小元素集),哪些属于提供额外服务(如个性化服务等)所需要的。

说明个人信息在使用过程中涉及的地理区域,如个人信息存储和备份的地域,个人信息传输过程中涉及的地域范围;如果个人信息存在出境处理情况,需单独列出或重点标识。

根据个人信息的使用情况,注明不同类别个人信息预计的保留时间(如:自收集日期开始5年内)以及需要删除或销毁的截止日期(如:2019年12月31日或用户注销账户时)。

5. Disclosure of personal information.

个人信息控制者说明是否需要对外披露个人信息,并详细描述需要披露的个人信息类型、披露个人信息的原因、个人信息的接收方、对接收方的约束和管理准则、接收方使用个人信息的目的、个人信息披露过程中的安全措施、披露的个人信息是否对用户带来高危风险、哪些个人信息在披露前还需再次征得用户同意等。

说明何种情况下个人信息控制者会不经过用户同意披露数据,如响应执法机关和政府机构的要求、进行个人信息安全安全审计、保护用户免受遭受欺诈和严重人身伤害等。

6. User control of personal information.

说明用户对其个人信息拥有何种控制权,内容包括但不限于:信息收集、使用和披露时允许用户选择的个人信息范围,用户所具备的访问、更正、删除、获取等控制权限,用户隐私偏好设置,用户可以选择的通信和广告偏好,用户不再使用服务后撤回同意和注销账号的渠道、用户进行维权的有效渠道等。

对于需要自行配置或进行操作(如对所使用的软件、浏览器、移动终端等进行配置和操作)以达到个人信息控制的目的,个人信息控制者应对配置和操作的过程进行详细说明,说明方式易于用户理解,必要时提供技术支持的渠道(客服电话、在线客服等)。

如果用户访问和控制其个人信息的过程产生费用,需明确说明收费的原因和依据。

如果用户提出访问和控制其个人信息的需求后需要较长时间才能响应,需明确说明响应的时间节点,以及无法短时间内响应的原因。

如果用户进行访问和控制其个人信息的过程需要再次验证身份,需明确说明验证身份的原因,并采取适当的控制措施,避免验证身份过程中造成的个人信息泄露。

如果个人信息控制者拒绝用户对个人信息进行更正、删除、获取的要求,需明确说明拒绝的原因和依据。 如用户提出对调查记录、交易记录等进行删除时,个人信息控制者可以拒绝请求并向用户出示合法的依据。

  1. 个人信息的安全措施。详细说明个人信息控制者对个人信息进行安全保护的措施。包括但不限于个人信息完整性保护措施,个人信息传输、存储和备份过程的加密措施,个人信息访问、使用的授权和审计机制,个人信息的保留和删除机制,个人信息安全的风险评估机制,确保个人信息披露给第三方后所使用安全机制等,同时,可重点提醒公众如何在使用产品或服务时保护好个人信息。
  2. 个人信息的跨境传输。如果因业务需求、政府和司法监管要求存在跨境信息传输情况,需详细说明需要进行跨境传输的数据类型,以及跨境传输遵守的标准、协议和法律机制(合同等)。
  3. 自动数据收集工具说明。如果个人信息控制者或其授权第三方使用自动数据收集工具收集个人信息,则需要对使用的技术机制做详细描述。同时,说明使用自动工具收集个人信息的目的,并向用户提供限制自动工具进行数据收集的方法和详细的指导。 常见的自动数据收集工具有:Cookie、脚本、Web信标、Flash Cookie、内嵌Web链接、本地存储器等。

10.平台服务相关责任说明。 如果个人信息控制者提供的服务属于平台类服务(如:电商、社交、信息发布等),需要明确提醒用户其在上传、交流、发布共享类信息时所面临的风险(如:用户分享的信息可能涉及自己的个人信息及他人的个人信息,需要谨慎考虑;用户分享的信息处于公开环境,他人可能会访问和分享信息,一旦发布很难通过技术手段撤回所有发布数据等),并说明共享类信息采取的安全措施(如个人敏感信息提醒机制、隐私偏好设置、存储方式、保留时间、删除机制等)。

11.透明监督。 个人信息控制者应及时更新并公开个人信息风险评估报告和相关安全审计报告的获得方式(如查看链接、下载地址等)。

12. Notification of changes.

个人信息控制者在隐私惯例发生重大变化时,需及时更新隐私声明/政策,并说明使用何种方式及时通知用户。 通常情况下采取的通知方式如:用户登录信息系统时征求用户同意、更新信息系统版本并在用户使用时弹出窗口征求用户同意、用户使用信息系统时直接向用户推送通知、向用户发送邮件、短信征求用户同意等。

其中,隐私惯例发生重大变化的情形包括但不限于以下情况:

(1)对信息主体提供的服务模式发生重大变化。 如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等;

(2)个人信息控制者发生重大变化。 如业务调整、破产并购等引起的所有者变更等;

(3)个人信息披露的主要对象发生变化;

(4)个人信息的保留时间或销毁期限发生变化;

(5)信息主体访问和控制其个人信息的方式发生重大变化;

(6)负责处理个人信息安全的责任部门、联络方式及投诉渠道发生变化时;

(7)个人信息风险评估报告表明存在高风险时。

  1. 法律法规、政策等规定的其他内容。如未成年人、老年人、残疾人使用系统注意事项等。

14.联系方式。

个人信息控制者需要明确给出处理个人信息安全相关反馈、投诉的渠道,如个人信息安全责任部门的联系方式、地址、电子邮箱、用户反馈问题的表单等,并明确用户可以收到回应的时间。

个人信息控制者需给出外部争议解决机构及其联络方式,以应对与用户出现无法协商解决的争议和纠纷。 外部争议解决机构通常为:个人信息控制者所在管辖区的法院、认证个人信息控制者隐私声明的独立机构、行业自律协会或政府相关管理机构等。

 


  • (materials annex)
    个人信息安全风险评估

 

个人信息安全风险评估是个人信息控制者实施风险管理的重要组成部分,旨在发现、处置和持续监控个人信息处理过程中的安全风险。 一般情况下,个人信息控制者必须在收集和处理个人信息前开展首次个人信息安全风险评估,明确个人信息安全边界,根据评估结果选择和实施适当的安全措施,确保收集和处理个人信息的过程不会对个人信息主体权益造成高风险影响;另外,个人信息控制者还需按照要求定期开展个人信息安全风险评估,根据业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息安全边界,调整安全措施,使个人信息处理过程处于风险可控的状态。

个人信息安全风险评估的实施流程及主要内容包括但不限于以下方面:

D.1 边界分析

针对个人信息控制者的个人信息处理过程进行全面的调研,形成清晰的数据清单及数据映射图表(可参考表D.1和表D.2)。 边界分析阶段需依据附录A和附录B,结合个人信息处理的具体场景,初步判定所处理的个人信息哪些属于个人敏感信息。

调研内容包括个人信息收集、存储、使用、转让和披露等环节涉及的目的和具体实现方式,以及个人信息处理过程涉及的资源和相关方(如策略和规程、合同和协议、内部信息系统、委托处理者、第三方、交易平台经营者、外部服务供应商、云服务商等)(可参考表D.3),调研过程中应考虑已下线系统、系统数据合并、企业收购、并购及全球化扩张等情况。

梳理边界分析的结果,根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素,对个人信息处理活动进行分类,并描述每类个人信息处理活动的具体情形,便于后续分类进行影响分析和风险评价。 一般情况下个人敏感信息处理活动和普通个人信息处理活动不归于同一类。

表D.1 基于系统组件的个人信息映射表

组件名 该功能是否收集、使用、存储个人信息 个人信息的类型 Method for collecting personal information Reasons for collecting / using personal information 实施的安全措施

表D.2 基于个人信息生命周期的个人信息映射表

Number 个人信息的类型 涉及的信息系统组件 收集 存储 使用 披露 废弃
目的 方法 控制措施 存储位置 控制措施 方式 控制措施 Target 控制措施 控制措施

 

表D.3 个人信息安全利益相关方关系表

Types of personal information The main groups in which personal information subjects are involved Personal information controllers involved Delegated handlers involved Need to transfer and disclose to third party 涉及的其他相关机构(交易平台经营者、外部服务供应商、云服务商等) 涉及的其他情形(如跨境传输等)
Target Responsible departments and personnel Target Mechanisms for restraint and supervision Target Mechanisms for restraint and supervision Target Mechanisms for restraint and supervision 安全机制

 

D.2 Analysis of impact on personal information rights

根据已有的边界分析结果及梳理得到的个人信息处理活动,查阅支撑性文档(如各类需求和设计文档、管理制度和记录、数据库表单结构说明、个人信息安全协议等),检查个人信息处理过程,测试相应的处理机制,分析个人信息在全生命周期内是否达到个人信息安全策略的要求、是否满足相关法律法规、政策及标准的要求,是否存在侵害个人信息主体权益的风险。

个人权益影响分析主要是针对不同的个人信息处理活动,分析其是否存在对个人信息主体权益产生影响(可参考表D.4)。

首先,根据标准的要求分析个人信息处理过程存在的脆弱点,如分析以下内容:个人敏感信息的判定是否准确;收集个人信息的目的是否正当、合法;从第三方获得的数据是否得到正式的处理授权;告知方式和告知的内容是否友好可达,是否所有的处理活动都征得了用户同意;是否定义了个人信息最小元素集,是否收集了过多的个人信息;是否提供便捷有效的个体参与的机制;变更目的处理对个人信息主体产生的影响;披露后第三方是否会变更目的使用个人信息;去标识化(匿名化、伪匿名化等)后的个人信息是否能够被识别;是否提供及时有效的安全事件通知机制和应急处置机制;是否提供有效的投诉和维权渠道等。

其次,归纳个人信息处理活动中存在的问题。 常见的问题类型有:私自变更目的使用数据,散播不准确的数据或不完整的误导性数据,诱导或强迫个人提供过多个人信息,过多地追踪或监视个人行为造成影响,意料之外的公开披露行为对个人造成影响,无根据地限制个人控制其个人信息的行为等。

再次,结合个人信息处理活动涉及的个人信息特征、敏感程度及存在的问题,分析其对个人权益带来的影响。 常见的个人权益影响类型有:个人失去自主决定权(如被强迫执行不愿执行的操作、缺乏相关知识或缺少相关渠道更正个人信息、个人人身自由受限、可能引发人身伤害等)、引发歧视性待遇(如隐私信息(疾病、婚史等)泄露造成的歧视、针对个人权利的歧视等)、个人名誉受损和遭受精神压力(如被他人冒用身份、公开不愿为人知的事实(生活习惯、以往经历等)等)、个人财产受损(如账户被盗、遭受诈骗等)。

 

Table D.4 : Analysis of Impact on Individual Rights

Personal information processing activity Whether it involves personal sensitive information Vulnerability identification Situation description Evidence discovered 个人信息处理活动存在的问题 Impact caused to personal rights and interests
Processing activity A Sensitive/ Not Sensitive 个人敏感信息的判定是否准确
收集个人信息的目的是否正当、合法
从第三方获得的数据是否得到正式的处理授权
新设个人信息处理目的是否超出原有目的
个人信息受让方采取的个人信息安全措施的有效性
公开披露个人信息对个人权益造成的影响
Processing Activity B

 

D.3 Analysis of Security Measures

根据相关安全标准,评价安全措施的有效性,识别存在的脆弱点,分析是否存在数据泄露、数据篡改、数据错误或丢失的安全风险。

安全措施的分析过程与传统信息安全风险评估类似,参考的标准可以扩大到大多数的信息安全标准,与传统信息安全风险评估不同的是,这里考虑的资产为个人信息,资产价值由个人信息的敏感程度、个人信息处理的规模等要素决定;安全事件的影响分析则主要针对个人权益产生的影响进行分析。 (Table D.5 may be consulted)

表D.5 安全措施分析表

Personal information processing activity 涉及的信息系统组件 Whether it involves personal sensitive information Scale of personal information processing Identify vulnerabilities Threatening Conduct Evidence discovered Security incidents that might occur Impact caused to personal rights and interests
Processing activity A Sensitive/ Not Sensitive There are leaks in the information system processing personal information. Malicious outside personnel attack the system and obtain personal information
Lacking mechanisms for controlling access to personal information and auditing measures Internal personnel abuse personal information
Processing Activity B

 

D.4 Risk Assessment

执行风险评价的流程如图D.1所示:

Fig. D.1: Diagram of risk assessment process

首先,根据个人权益影响分析和安全措施分析的结果,结合个人信息的敏感程度,评价存在问题的处理活动和安全事件所产生的影响程度。 其次,对存在问题的个人信息处理活动及安全事件发生的可能性进行评价,评价可能性时需考虑个人信息主体的群体特征、使用习惯,并重点考虑常见的投诉和已发生的安全事件。 综合分析影响程度和可能性两个要素,得出风险等级,并给出相应的改进建议,最终形成风险评估报告。

Table D.6 may be reference in risk assessments

 

Table D.6: Risk Assessment Flow Chart

Personal information processing activity Existing issue or security incident which might occur Degree of impact Likelihood Risk Level Recommendation for Handling Risk Stakeholder whose interests are involved with risk
Processing activity A
Processing Activity B

 

风险评估报告的内容通常包括:个人信息安全专员的审批页面、评估报告适用范围、实施评估及撰写报告的人员信息、参考的法律、法规和标准、涉及的个人信息及个人信息处理活动的分类(明确涉及的个人敏感信息)、涉及的信息系统组件(可以突出已设计的个人信息安全措施)、涉及的利益相关方、风险判定的准则、合规性分析结果、个人权益影响分析结果、安全措施分析结果,风险评价过程及结果,风险处置建议等。

D.5风险处置和持续改进

根据风险评估结果,选取并实施相应的安全措施进行风险处置。 通常情况下,严重风险应立即处置,高风险应限期内处置,中风险应在权衡影响和成本后处置,低风险可选择接受。

个人信息控制者应持续跟踪风险处置的落实情况,评估剩余风险,将风险控制在可接受的范围内。 此外,应将风险评估结果用于下一次个人信息安全风险评估工作。

D.6评估报告发布

公开个人信息安全风险评估报告是促进自合规、配合监管、增加客户信任的重要方式,公开的个人信息安全风险评估报告可以在已有评估报告基础上予以简化,但其内容通常应不少于以下方面:收集和处理个人信息的必要性和给个人给来的益处、收集和处理的个人信息类型(个人敏感信息需单独强调)、个人信息处理的例外情况(法律法规规定)、合规性分析的概况、风险评估过程和结果概况、已实施和将要实施的风险处置措施概况、对个人信息主体的安全建议、实施风险评估责任部门或人员的联系方式和解答疑问的渠道等。

  • Reference Documents

[1] GB/T 32921—2016 信息安全技术 信息技术产品供应方行为安全准则

[2] 《全国人大常委会关于维护互联网安全的决定》

[3] 《全国人大常委会关于加强网络信息保护的决定》

[4] 工业和信息化部令第24号 《电信和互联网用户个人信息安全规定》

[5] 《刑法修正案(五)、(七)、(九)》

[6] ISO/IEC FDIS 29100:2011(E) – Information technology – Security techniques – Privacy framework

[7] EU. General Data Protection Regulation. [2015-5-24].

[8] CWA 16113:2012 Personal Data Protection Good Practices

[9] ISO/IEC FDIS 29101(E) – Information technology – Security techniques – Privacy architecture framework

[10] NIST SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

[11] NIST SP800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)

[12] ISO/IEC 2nd CD 29134 – Information technology – Security techniques – Privacy impact assessment

[13] ISO/IEC 2nd CD 29151 – Information technology – Security techniques – Code of practice for personally identifiable information protection

[14] NISTIR 8062 (Draft) Privacy Risk Management for Federal Information Systems

[15] ISO/IEC 1st WD 29184 — Information technology — Security techniques — Guidelines for online privacy notices and consent

[16] EU-U.S. Privacy Shield [2016-2-2]

[17] The OECD Privacy Framework, OECD 2013

[18] APEC Privacy Framework, APEC 2005.12

[19] Consumer Bill of Rights, White House 2012.2

 

Tip Us!

Be the first to comment

Leave a Reply

Your email address will not be published.


*