00:00
互联网时代,人们享受着大数据带来的便捷、普惠的同时,个人信息不可避免会被收集使用,每一次交易、浏览、通信等可能都被记录和分析。个人信息成为很多企业所追逐的重要资源,人们期望个人信息能被合法合规收集使用,然而泄露、滥用、超范围收集等问题却时常出现,损害了民众的切身利益。如何规范个人信息收集使用行为,一直是全球范围内数据治理的重点关注方向。我国高度重视加强个人信息的监督管理机制建设,以发布的网络安全法、民法典和正在制定的个人信息保护法等法律。
01:00
法规设定了法律红线,同时,遵照国际惯例,通过技术标准指导组织提升能力水平也成为了重要举措。2017年12月,全国信息安全标准化技术委员会组织制定和归口管理的GPT35273信息安全技术个人信息安全规范正式发布,成为首个全面覆盖收集、使用、存储、共享等个人信息处理环节并提出要求的国家标准。2020年3月,规范完成修订工作,内容得到进一步完善,并将于2020年10月1日正式实施。规范全文主体分为11个章节和四个附录,章节一为标准的适用范围,章节二为规范性引用文件,章节三。
02:00
为术语和定义,其中包括个人信息、个人敏感信息等重要定义。章节四提出了目的明确、最小、必要等个人信息安全七大基本原则,以国际通行的个人信息保护原则利益一致。章节五至九从个人信息处理生命周期角度展开,主要包括收集个人信息、存储个人信息、使用个人信息的具体要求,规范严格区分了个人信息委托处理、共享、转让等场景,提出针对性要求,还对用户查询、更正、删除、注销账户等权利的保障措施分类阐述。章节十至11是从组织管理角度展开,主要包括一、个人信息安全事件应急处置和向用户告知的义务。
03:00
二、任命个人信息保护负责人或保护机构,推动个人信息保护措施有效实施。三、开展个人信息安全影响评估,及时消除个人信息安全风险。四、提倡使用自动化技术和系统工程方式提升个人信息保护水平的。另外,规范还提出四个资料性附录,分别为个人信息和个人敏感信息的一些例句、实现用户自主意愿的方法以及个人信息保护政策及隐私政策的模板,可供实施过程中参考。规范在制定过程中,坚持以解决个人信息安全问题为导向,充分参考国际关于个人信息保护的有关法律、法规、标准和技术文件,吸纳优秀实践经验,适时修订。
04:00
做到有的放矢、兼容并包、与时俱进。其适用范围包括规范各类组织的个人信息处理活动,以及主管监管部门、第三方评估机构等对个人信息处理活动进行监督管理和评估。规范发布后受到密切关注和广泛应用。在搜索引擎搜索标准名称、关键字可找到超过5800万个结果。在中央网信办、工信部、公安部、市场监管总局开展的艾普违法违规收集使用个人信息专项治理中,规范成为APP检测评估的重要参考规范还频繁被权威部门推荐使用。参考规范进行个人信息保护合规体系建设成为很多企业的优先选择。当下继续深入推广实施规范。
05:00
标准,从实践中汲取经验,不断构建完善我国个人信息保护标准体系仍是重点任务。以法律为准绳,标准为直引,守护好公民个人信息安全,才能在大数据时代保持掌控力,获取主动权,从而释放数据价值,激发创新机遇,造福社会民生。
我来说两句