THIS IS A DRAFT, FINAL and EFFECTIVE VERSION OF THIS DOC NOW AVAILABLE HERE
来源: http://www.tc260.org.cn/zqyj.jsp
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准规范了利用信息系统处理个人信息应遵循的原则和应采取的安全措施。
本标准适用于各类组织利用信息系统处理个人信息的活动,也适用于网络安全相关主管部门、第三方评估机构等组织开展个人信息安全监督管理、评估等工作。
从业人员10人以下或收入100万元以下的,且在任意连续的12个月内处理不超过10000人(含)的个人信息的组织,不在本标准适用范围内。
下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/Z 28828—2012 信息安全技术 公共及商用服务信息系统个人信息安全指南
GB/T 25069—2010中界定的以及下列术语和定义适用于本文件。
以电子或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息,包括与确定自然人相关的生物特征、位置、行为等信息,如姓名、出生日期、身份证号、个人账号信息、住址、电话号码、指纹、虹膜等。
3.2 个人敏感信息 personal sensitive information
指一旦泄露、披露或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息。 通常情况下,身份证号、银行卡号、健康记录、生物特征等属于个人敏感信息。
3.3 个人信息主体 personal data subject
3.4 个人信息控制者 personal data controller
个人信息主体通过书面声明或特定的动作,明确授权对其个人信息进行处理。
3.7 第三方评估机构 Third Party Assessment Organizations (3PAO)
3.8 个人信息的处理 personal data processing
针对个人信息实施的操作,包括个人信息的收集、存储、访问、修改、转让、披露、匿名化、伪匿名化、恢复、删除、销毁等。
对个人信息进行技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原。
对个人信息进行技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体。
注:伪匿名化仍建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。
a)责任原则——应对其持有的个人信息承担安全责任,无论这些信息通过何种途径获得。
b)目的明确原则——应具有合法、正当、具体的个人信息处理目的,未获得个人信息主体的授权,不得改变个人信息的处理目的。
c)最少够用原则——除与个人信息主体另有约定外,应只处理满足目的所需的最少信息。 目的达成后,应及时根据约定删除个人信息。
e)质量保证原则——在处理个人信息的过程中,应确保个人信息的准确性、真实性、时效性、可用性。
f) 确保安全原则——应采取适当的管理措施和技术手段,确保处理个人信息的各个环节的安全。
g) 主体参与原则——应向个人信息主体提供访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。
h) 公开透明原则——应以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则,并在必要时接受外部监督。
- 明确其法定代表人或主要领导人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
- 明确个人信息安全执行负责人、责任部门或工作人员;
- 满足以下条件之一的组织,应设立个人信息安全专职部门和个人信息安全专员,负责个人信息安全工作:
2) 处理超过50万人(含)的个人信息,或在12个月内预计处理超过50万人(含)的个人信息。
- 对个人信息安全负总责;
- 开展个人信息安全风险评估;
- 对外公开个人信息安全风险评估报告及采取的个人信息安全措施,主动接受监督;
- 制定、签发和实施个人信息安全策略和规程;
- 与相关部门签署责任书,对接有关部门开展个人信息安全方面的工作。
- 遵守个人信息安全有关的法律法规、政策、标准等;
- 与从事个人信息处理岗位上的相关人员签署保密协议,必要时应开展背景审查;
- 明确内部涉及个人信息处理不同岗位的安全职责,以及发生安全事件的处罚机制;
- 在 个人信息处理岗位人员调离岗位或终止劳动合同时,根据其岗位敏感程度,与其签订相应的保密协议;
- 明确外部服务人员应遵守的个人信息安全要求,与其签署个人信息安全承诺书,并进行监督;
- 定期(至少每年一次)或在个人信息安全策略发生重大变化时,开展个人信息安全培训和考核,确保相关人员熟练掌握个人信息安全策略和规程,应针对不同的个人信息处理岗位提供专业化培训。
- 应建立个人信息安全风险管理制度,评估个人信息处理活动对个人信息主体的影响,以及遵循个人信息安全基本原则的情况,评估内容包括但不限于:
3)个人信息处理可能对个人信息主体合法权益的影响,包括处理是否会危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等;
8)匿名化或伪匿名化处理后的数据集重新识别出个人信息主体的风险。
b)应定期(至少每年一次)开展个人信息安全风险评估,个人信息安全风险评估流程可参考附录D;
c)在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生个人信息安全事件时,应重新进行个人信息安全风险评估。 重大变更以及个人信息安全事件包括但不限于:
d)根据个人信息安全风险评估结果,形成个人信息安全风险评估报告;
e)个人信息安全执行责任人或个人信息安全专员应审核个人信息安全风险评估报告,并以此制定或改进个人信息安全措施,使风险降低到可接受的水平,风险无法接受的,应及时停止处理个人信息;
f)个人信息安全负责人应定期对外公布个人信息安全风险评估报告及相应的整改措施;
g)如选择外部机构进行风险评估,应选择有能力、有资格、信任度高的外部机构实施。
b)应定期(至少每年一次)审查和更新策略和规程相关文件,并评估策略和规程的实施效果。
a)应建立、维护和更新所存储的个人敏感信息清单,清单内容包括但不限于:
2)与个人敏感信息的收集、使用、转让等环节相关的所有信息系统;
b)对可访问个人敏感信息的内部授权人员,应确保责任分离和最小授权,使其仅具备完成职责所需权限,并对权限管理建立追责制度;
c)对个人敏感信息的存储、访问、修改等活动设定相应的权限、审批和管理流程。 包括但不限于:
3)如确因工作需要,需授权特定人员超权限处理个人敏感信息的,应由个人信息安全执行责任人或个人信息安全专员进行审批,并记录在案。
e)在收集个人敏感信息的过程中,应防止个人敏感信息被窃取、篡改或劫持;
f)在信息系统设计阶段,应做好个人敏感信息安全规划,宜采用以下机制:
1)系统默认关闭对个人敏感信息的收集功能,收集该类信息时,可在用户使用系统过程中设置明确告知的功能,征得用户同意;
2)系统提供个人选择的功能,供个人信息主体选择何种个人敏感信息可被收集,并提供撤回同意的方法;
3)系统提供删除已收集个人敏感信息的机制,实现个人信息主体注销账户后删除个人敏感信息,法律法规另有规定的除外;
g)存储个人敏感信息的场所应满足国家标准GB 50174-2008。
a)应 对个人信息安全策略和规程,以及安全措施的有效性进行审计,形成审计记录;
b)审计记录应能对安全事件的处置、应急响应和事后调查提供支撑,审计记录留存应符合相关法律法规的要求;
d)审计过程中发现的个人敏感信息违规使用、滥用等情况,应及时通知个人信息安全相关人员;
a)应公开个人信息安全执行责任人或个人信息安全专员的联系方式,便于处理个人反馈和投诉;
b)个人信息安全风险评估报告和安全审计报告应妥善留存,确保可供相关方查阅,应以适宜的形式对外公开;
b)应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其了解岗位职责和应急处置策略和规程;
c)发生个人信息安全事件后,个人信息控制者应按以下流程处置:
1)记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数、发生事件的系统名称、对其他互联系统的影响,是否已联系执法机关或有关部门;
2)在事件发生后应迅速对事件进行评估,及时根据应急响应预案处置个人信息安全事件;
e)根据相关法律法规变化情况,以及事件处置情况,及时更新应急响应预案。
a)应针对安全事件制定详细的告知方案,包括但不限于:告知的对象、时机、发布方、内容、方式;
c)应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体,难以逐一告知个人信息主体时,应采取合理、有效的方式发布公告;
a)收集个人信息应具备合法、正当的目的,并清晰、准确地予以描述;
b)根据已确定的目的,确定所需收集的个人信息最小元素集,以及存放地域、存储期限、收集频率等处理规则;
c)在收集前向个人告知信息处理目的、个人信息最小元素集、处理规则、实际收集的个人信息范围,以及个人享有的访问、更正、删除个人信息,注销账户等权利;
d)应在取得个人信息主体授权同意后,才可处理个人信息,法律法规另有规定的除外;
e)实际收集的个人信息范围超出个人信息最小元素集时,不得因个人信息主体不同意而拒绝向其提供服务,并保障相应的服务质量;
f)收集动态性的个人信息时,应保持合理的频率,避免超出服务目的所必需;
在收集个人信息前,应验证个人信息处理目的的合法性,考虑因素包括但不限于:
a)应列出为达到已声明目的所需处理的个人信息最小元素集,包括个人信息类别和内容,并告知个人信息主体;
c)收集超出个人信息最小元素集的个人信息时,应明确告知个人信息主体并征得个人信息主体的明示同意。
除法律法规另有规定外,应在取得个人信息主体授权同意后,才可收集个人信息,包括:
a)事先明确个人信息主体的同意范围,不应强制要求个人信息主体同意超范围收集个人信息的要求;
c)收集身份证、护照、驾照等法定证件信息时,专门提醒个人信息主体此次收集活动涉及其法定证件信息,并说明处理目的;
d)主要业务面向未成年人的,在收集未成年人个人信息前应取得其监护人或法定代理人的明示同意;
e)基于多个来源的信息创建可公开展示的综合个人信息前,应征得个人信息主体的同意。
a)个人信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和联系方式、个人信息安全专员的联系方式(如适用)等;
b)处理个人信息的目的和依据,以及目的与所收集的个人信息的对应关系;
c)收集个人信息的来源、存放地域、存储方式和期限,对超出存储期限的个人信息的处置方式等;
e)是否形成个人数字画像,及其可能对个人信息主体合法权益造成的影响等;
f)对外披露或转让个人信息的场景、涉及的个人信息类别和接收个人信息的第三方;
g)提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响;
i) 个人信息主体的权利和实现机制,如选择和撤回同意的方法、访问方法、更正方法、删除方法、注销账户的方法、获取个人信息副本的方法、约束信息系统自动决策的方法等;
j)处理个人信息主体询问和投诉的内部渠道和机制,以及外部争议解决机构及联络方式。
a)所告知的内容应易于个人信息主体访问,并应确保告知信息的完整性和准确性,如在网站的专门页面、移动应用程序安装页、社交媒体页面等显著位置发布隐私声明或政策(参考附录C);
b)应逐一告知个人信息主体,当告知成本过高或有显著困难时,应能提供分析说明,并以公告的形式告知;
c)内容应清楚明白易懂,符合通用的语言习惯,避免使用有歧义的语言;
a)对于直接从个人信息主体获得的个人信息的,应在收集个人信息前告知;
b)对于非直接从个人信息主体获得的个人信息的,应在处理个人信息前或在获得个人信息后的合理期限内告知。
a)在约定的存储期限到期后,应及时删除个人信息,法律法规另有规定的除外;
b)应采取措施确保个人信息的准确性、真实性、时效性、可用性;
d)存储个人信息时,根据信息处理的目的,可采用匿名化、伪匿名化等措施,降低个人信息安全风险。
a)根据已确定的个人信息处理目的,制定个人信息存储计划,确定个人信息存储期限,确保个人信息存储期限为实现目的所必需的最短时间,法律法规另有规定的除外;
c)超出个人信息存储期限后,应尽快对个人信息(包括原始数据、备份数据及归档记录)进行删除或匿名化处理,法律法规规定的除外。
a)宜直接从个人信息主体收集其信息,或从权威数据源处获得个人信息;
c)应采取合理的信息自动校验机制,验证个人信息的准确性,如身份证号码位数验证。
2)损害个人信息主体的合法权益,包括危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等。
- 基于个人信息所产生的衍生信息能够单独或与其他信息结合识别自然人身份时,应视为个人信息,对其使用应遵循原先的个人信息处理目的;
- 应采取个人信息访问控制措施,确保员工只能访问职责所需的最少够用的个人信息。
- 应向个人信息主体提供多种参与对其个人信息处理的方法,包括但不限于:
在确认信息处理涉及特定的个人信息主体后,应允许该主体访问与处理有关的信息,包括个人信息的处理目的、类别、来源、转让或披露范围、存储期限,是否采用了自动决策机制及其可能对个人信息主体造成的影响。
个人信息主体发现其被处理的个人信息有错误的,应向其提供更正其错误信息的方法。
b)若决定删除的个人信息已转让给受让方,应由转让方通知受让方及时删除。
- 对个人信息最小元素集之外的个人信息处理,应向个人信息主体提供撤回同意的方法;撤回同意后,个人信息控制者后续不得再处理相应的个人信息,撤回同意不影响撤回前基于同意的数据处理;
- 应向个人信息主体提供便捷的退出直接商业营销的方法。
应向个人信息主体提供注销账户的方法,且该方法应方便易操作;个人信息主体注销账户后,应根据个人信息主体要求删除其个人信息,法律法规另有规定的除外。
应允许个人信息主体获取其所提供的个人信息的副本,或依其要求在技术可行的前提下直接将副本传输给第三方。
当个人信息控制者仅依据信息系统的自动决策机而做出影响个人信息主体权益的决定时,应向个人信息主体提供辩解、投诉、退出等方法。 法律法规另有规定的除外。
a)在验证个人信息主体身份后,应及时响应个人信息主体提出的请求,宜在十天内做出答复,并告知个人信息主体可投诉的途径;
b)对合理的请求原则上不收取费用,但对多次重复、超出合理限度的请求,视情收取一定成本费用;
4)因保障个人信息主体自身或其他个人、组织的合法权益所必需。
应建立投诉管理机制,包括跟踪流程,并在一定时间内,对疑问、投诉进行响应。
a)个人信息控制者应对受委托者进行评估,以确保其具备足够的个人信息安全能力;
b)受委托者不得再次委托其他机构,确需再次委托时,应获得个人信息控制者的授权;
c)受委托者应严格按照个人信息控制者的要求处理个人信息,因特殊原因未按照个人信息控制者的要求处理个人信息应及时反馈;
e) 受委托者应协助个人信息控制者满足本标准规定的要求,如响应个人信息主体的请求;
g)委托关系解除后,受委托者应删除或返回个人信息,法律法规另有规定的除外;
个人信息原则上不得转让、披露,确需转让、披露时,应遵守以下要求:
b)事先开展安全风险评估,个人信息安全风险评估流程可参考附录D,并依评估结果采取有效安全措施;
d)准确记录和保存个人信息的转让情况,包括转让日期、规模、目的、受让方的名称等;
e)受让方发生个人信息安全事件对个人信息主体造成损害时,转让方有责任帮助个人信息主体追究受让方责任,或给予个人信息主体适当赔偿;
f)帮助个人信息主体了解受让方对个人信息的存储、使用等情况,包括个人信息主体的权利,例如访问、更正、删除、注销账户等;
g)个人信息主体请求删除其个人信息时,转让方应同时通知受让方及时删除;
h)当个人信息控制者被第三方收购、兼并、重组或发生其他控制权变更情况后,新的个人信息控制者应继续履行原个人信息控制者的责任和义务,变更个人信息使用目的时,应重新取得个人信息主体的明示同意。
b)准确记录和保存个人信息的披露情况,包括但不限于披露日期、目的、依据和范围等;
电商、社交、信息发布等互联网平台服务提供者,应在平台用户合同条款中加入个人信息安全要求,明确平台用户应承担的相应责任和义务。
个人信息是以电子或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息,包括与确定自然人相关的生物特征、位置、行为等信息.
| 个人基本资料 | 指对个人社会属性和自然属性进行描述的信息。 包括但不限于生日、性别、职业、职位、民族、国籍、邮编、姓名、地址、工作单位等。 |
| 个人身份信息 | 指能单独、准确识别个人真实身份的影印件及其他信息。 包括身份证、护照、驾驶证、社保卡、军官证、居住证及其他法定证件影印件及号码等与自然人法定身份紧密相关的数据。 |
| 生物识别信息 | 指与个人具有唯一对应关系的用户生理信息。 包括但不限于基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等。 |
| 虚拟身份标识和鉴别信息 | 包括电话号码,社交类软件昵称、IP地址、邮箱地址及与前述有关的密码、口令、口令保护答案等。 |
| 包括交易类软件账号、银行卡账号,证券账号,以及交易类软件账号的口令、用户个人数字证书等。 |
个人服务和数据内容信息是组织在服务过程中收集的具有个人隐私属性的数据和内容信息。 表A.2给出了有关示例。
| 病理及健康信息 | 指个人因生病医治、健康体检等而产生的相关记录或与个人身体健康状况产生的相关信息。 包括但不限于病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、医疗费用、用药记录等病理信息及体重、身高、肺活量等健康个人信息。 |
| 财产信息 | 指个人在真实生活或虚拟服务中所拥有和使用的有关财产的信息,包括真实财产信息和虚拟财产信息。 真实财产信息包括交易类软件账号、银行卡等账号等,及其账号下的支付记录、交易记录、流水记录等信息。 虚拟财产信息包括虚拟货币、虚拟交易个人信息、游戏类兑换码等虚拟财产信息。 |
| 服务内容信息 | 如通信内容、短信、彩信、传输的数据文件和邮件内容;个人在手机、电脑上等终端或云端上存储的图片、文本、通讯录等私有资料;个人对特定用户群体发布的社交信息,如群组内发布内容、设置权等。 |
| 联系人和关系链信息 | 联系人信息指个人在电话、即时聊天工具、微博、邮件中的联系人信息,包括相应的账号、用户名、头像、签名、用户备注等信息。 关系链信息包括但不限于通讯录、好友列表、群列表、朋友圈列表、关注对象列表、备注等。 |
个人服务相关信息是服务过程中所收集的个人服务使用情况及服务相关辅助类信息。 表A.3给出了有关示例。
| 服务记录 | 指通过日志储存的用户的操作记录、服务内容信息记录等,包括消费记录、游戏记录、视频操作流水记录、点击日志、业务日志等。 |
| 设备信息 | 指包括硬件型号、设备MAC地址、操作系统类型、软件列表唯一设备识别码(如IMEI/androidID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等)等在内的描述设备基本情况的信息。 |
| 位置信息 | 包括经纬度、地理位置等。 |
公开披露:某些个人信息仅因在个人信息主体授权的范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。 例如性取向、存款信息、传染病史等。
滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险。 例如在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。
| 财产信息 | 银行卡号、鉴别信息、存款信息、房产信息等 |
| 健康信息 | 药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等 |
| 生物特征信息 | 指纹、虹膜、DNA、人脸识别信息等 |
| 生活隐私信息 | 性取向、婚史、宗教信仰、未公开的违法犯罪记录等 |
| 身份信息 | 身份证号、护照号、学籍信息等 |
| 其他信息 | 精准定位信息、通话记录等 |
隐私声明/政策是个人信息控制者保证个人信息主体知情权的重要手段,是约束自身行为和配合监督管理的重要窗口。 隐私声明/政策的内容应包括但不限于以下方面:
- 适用范围。包含隐私声明/政策所适用的产品或服务范围、所适用的用户类型、生效及更新时间等。
- 目前遵循的个人信息安全协议和取得的认证。包含个人信息控制者目前主动遵循的国际或国内的个人信息安全法律、法规、标准、协议等,以及个人信息控制者目前已取得的个人信息安全相关的权威独立机构认证。
根据收集到的不同个人信息类型,详细说明如何使用个人信息,如实现用户请求、提供个性化服务、支持和改进服务、商业情报、广告支持等。
分析个人信息的使用方式,明确描述哪些类型的个人信息属于提供基础服务所必须的(即个人信息最小元素集),哪些属于提供额外服务(如个性化服务等)所需要的。
说明个人信息在使用过程中涉及的地理区域,如个人信息存储和备份的地域,个人信息传输过程中涉及的地域范围;如果个人信息存在出境处理情况,需单独列出或重点标识。
根据个人信息的使用情况,注明不同类别个人信息预计的保留时间(如:自收集日期开始5年内)以及需要删除或销毁的截止日期(如:2019年12月31日或用户注销账户时)。
说明何种情况下个人信息控制者会不经过用户同意披露数据,如响应执法机关和政府机构的要求、进行个人信息安全安全审计、保护用户免受遭受欺诈和严重人身伤害等。
如果用户访问和控制其个人信息的过程产生费用,需明确说明收费的原因和依据。
如果用户提出访问和控制其个人信息的需求后需要较长时间才能响应,需明确说明响应的时间节点,以及无法短时间内响应的原因。
如果用户进行访问和控制其个人信息的过程需要再次验证身份,需明确说明验证身份的原因,并采取适当的控制措施,避免验证身份过程中造成的个人信息泄露。
如果个人信息控制者拒绝用户对个人信息进行更正、删除、获取的要求,需明确说明拒绝的原因和依据。 如用户提出对调查记录、交易记录等进行删除时,个人信息控制者可以拒绝请求并向用户出示合法的依据。
- 个人信息的安全措施。详细说明个人信息控制者对个人信息进行安全保护的措施。包括但不限于个人信息完整性保护措施,个人信息传输、存储和备份过程的加密措施,个人信息访问、使用的授权和审计机制,个人信息的保留和删除机制,个人信息安全的风险评估机制,确保个人信息披露给第三方后所使用安全机制等,同时,可重点提醒公众如何在使用产品或服务时保护好个人信息。
- 个人信息的跨境传输。如果因业务需求、政府和司法监管要求存在跨境信息传输情况,需详细说明需要进行跨境传输的数据类型,以及跨境传输遵守的标准、协议和法律机制(合同等)。
- 自动数据收集工具说明。如果个人信息控制者或其授权第三方使用自动数据收集工具收集个人信息,则需要对使用的技术机制做详细描述。同时,说明使用自动工具收集个人信息的目的,并向用户提供限制自动工具进行数据收集的方法和详细的指导。 常见的自动数据收集工具有:Cookie、脚本、Web信标、Flash Cookie、内嵌Web链接、本地存储器等。
11.透明监督。 个人信息控制者应及时更新并公开个人信息风险评估报告和相关安全审计报告的获得方式(如查看链接、下载地址等)。
(1)对信息主体提供的服务模式发生重大变化。 如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等;
(2)个人信息控制者发生重大变化。 如业务调整、破产并购等引起的所有者变更等;
(6)负责处理个人信息安全的责任部门、联络方式及投诉渠道发生变化时;
个人信息控制者需要明确给出处理个人信息安全相关反馈、投诉的渠道,如个人信息安全责任部门的联系方式、地址、电子邮箱、用户反馈问题的表单等,并明确用户可以收到回应的时间。
个人信息安全风险评估的实施流程及主要内容包括但不限于以下方面:
| 组件名 | 该功能是否收集、使用、存储个人信息 | 个人信息的类型 | 收集个人信息的方法 | 收集/使用个人信息的原因 | 实施的安全措施 |
| 序号 | 个人信息的类型 | 涉及的信息系统组件 | 收集 | 存储 | 使用 | 披露 | 废弃 | |||||
| 目的 | 方法 | 控制措施 | 存储位置 | 控制措施 | 方式 | 控制措施 | 对象 | 控制措施 | 控制措施 | |||
| 个人信息类型 | 个人信息主体涉及的主要群体 | 涉及的个人信息控制者 | 涉及的委托处理者 | 需要转让和披露的第三方 | 涉及的其他相关机构(交易平台经营者、外部服务供应商、云服务商等) | 涉及的其他情形(如跨境传输等) | ||||
| 对象 | 责任部门和人员 | 对象 | 约束和监管机制 | 对象 | 约束和监管机制 | 对象 | 约束和监管机制 | 安全机制 | ||
个人权益影响分析主要是针对不同的个人信息处理活动,分析其是否存在对个人信息主体权益产生影响(可参考表D.4)。
| 个人信息处理活动 | 是否涉及个人敏感信息 | 脆弱点识别 | 情况描述 | 发现证据 | 个人信息处理活动存在的问题 | 对个人权益产生的影响 |
| 处理活动A | 敏感/非敏感 | 个人敏感信息的判定是否准确 | ||||
| 收集个人信息的目的是否正当、合法 | ||||||
| 从第三方获得的数据是否得到正式的处理授权 | ||||||
| 新设个人信息处理目的是否超出原有目的 | ||||||
| 个人信息受让方采取的个人信息安全措施的有效性 | ||||||
| 公开披露个人信息对个人权益造成的影响 | ||||||
| 处理活动B | ||||||
根据相关安全标准,评价安全措施的有效性,识别存在的脆弱点,分析是否存在数据泄露、数据篡改、数据错误或丢失的安全风险。
| 个人信息处理活动 | 涉及的信息系统组件 | 是否涉及个人敏感信息 | 个人信息处理规模 | 识别到的脆弱点 | 威胁行为 | 发现证据 | 可能发生的安全事件 | 对个人权益产生的影响 |
| 处理活动A | 敏感/非敏感 | 处理个人信息的信息系统存在漏洞 | 外部恶意人员攻击系统获取个人信息 | |||||
| 个人信息访问控制机制和审计措施缺失 | 内部人员滥用个人信息 | |||||||
| 处理活动B | ||||||||
| 个人信息处理活动 | 存在的问题或可能出现的安全事件 | 影响程度 | 可能性 | 风险等级 | 风险处置建议 | 风险涉及的利益相关方 |
| 处理活动A | ||||||
| 处理活动B |
根据风险评估结果,选取并实施相应的安全措施进行风险处置。 通常情况下,严重风险应立即处置,高风险应限期内处置,中风险应在权衡影响和成本后处置,低风险可选择接受。
个人信息控制者应持续跟踪风险处置的落实情况,评估剩余风险,将风险控制在可接受的范围内。 此外,应将风险评估结果用于下一次个人信息安全风险评估工作。
[1] GB/T 32921—2016 信息安全技术 信息技术产品供应方行为安全准则 [2] 《全国人大常委会关于维护互联网安全的决定》 [3] 《全国人大常委会关于加强网络信息保护的决定》 [4] 工业和信息化部令第24号 《电信和互联网用户个人信息安全规定》 [5] 《刑法修正案(五)、(七)、(九)》 [6] ISO/IEC FDIS 29100:2011(E) – Information technology – Security techniques – Privacy framework [7] EU. General Data Protection Regulation. [2015-5-24]. [8] CWA 16113:2012 Personal Data Protection Good Practices [9] ISO/IEC FDIS 29101(E) – Information technology – Security techniques – Privacy architecture framework [10] NIST SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations [11] NIST SP800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) [12] ISO/IEC 2nd CD 29134 – Information technology – Security techniques – Privacy impact assessment [13] ISO/IEC 2nd CD 29151 – Information technology – Security techniques – Code of practice for personally identifiable information protection [14] NISTIR 8062 (Draft) Privacy Risk Management for Federal Information Systems [15] ISO/IEC 1st WD 29184 — Information technology — Security techniques — Guidelines for online privacy notices and consent [16] EU-U.S. Privacy Shield [2016-2-2] [17] The OECD Privacy Framework, OECD 2013 [18] APEC Privacy Framework, APEC 2005.12 [19] Consumer Bill of Rights, White House 2012.2
Be First to Comment