首页 >> 网络安全 >>系统安全 >> 新版《个人信息安全规范》的关注点
详细内容

新版《个人信息安全规范》的关注点

时间:2020-09-04     作者:朱诗瑜【转载】   阅读

文章来源:测评能手


今年3月6日,全国信安标委归口的《个人信息安全规范(GB/T 35273-2020)》正式发布,并将于10月1日正式实施。除标准前言部分已给出的“主要技术变化”,笔者把2017版与2020版标准内容进行详细对比,补充几点变化的相关解读,供大家参考。


1

新增“授权同意”、“个性化展示”、“业务功能”定义并拓展部分术语界定


标准明确个人信息控制者(有权决定个人信息处理目的、方式等的组织或个人)通过个人信息或其他信息加工处理后形成的信息亦属“个人信息”与“个人敏感信息”范畴,“明示同意”部分除书面外,认可口头声明等为明确授权行为,新增术语弥补此前概念上的空白,具体定义此处不作赘述可参考文末表格。

2

个人信息安全基本原则以“合法、正当、必要”为总纲领,对“目的明确”原则提出新要求


用户作为个人信息主体使用应用时,需交付一大堆个人信息,手机弹出的权限申请,在用户未体验功能的前提下,并不能让用户理解,为什么需要同意这一系列授权才能使用,因此个人信息处理目的明确、清晰、具体便显得尤为重要。2019年11月28日家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》提出“在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解”视为“未明示收集使用个人信息的目的、方式和范围”,涉嫌违反法律法规的要求。
3

首次提出“个人生物识别信息应与个人身份信息分开存储”


个人生物识别信息(如脸部特征、指纹等)与个人身份信息分开存储,降低识别特定个人风险。
4

“授权同意”,细化个人信息控制者的责任,提升用户自主选择权


单一业务仅在隐私政策描述即可,若存在多项收集、使用个人信息的业务功能,除隐私政策外,个人信息控制者宜在收集前提供收集及使用该个人信息的目的、方式和范围,确保用户在完全知情的基础上给出明示同意,获取用户的个人生物识别信息前应单独告知上述内容,收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。

控制者间接获取个人信息的,应在超出已获得的授权范围情况下,通过第三方征得用户同意。

不得通过捆绑产品、业务功能,要求用户一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求,在用户关闭或退出特定业务功能后应停止收集用户的个人信息。

用户不授权使用特定业务功能的不应频繁征求同意、暂停自主选择使用的其他业务功能或降低其他业务功能的服务质量。
5

2017版“5.5及5.6” 合并细化,新增“附录D”作为隐私政策模板示例


对惯性命名个人信息保护政策为“隐私政策”或其他名称(例用户协议、隐私条款等),其内容宜与个人信息保护政策内容保持一致,并在用户首次使用时以弹窗等形式主动展示,帮助用户更好理解处理范围、规则并决定是否继续使用该产品或服务。
6

“个人信息保护政策”不宜视为合同


个人信息保护政策的主要功能是公开个人信息控制者收集、使用个人信息范围和规则,不宜将其视为合同,以防其中存在霸王条款(如免除自身责任、加重用户责任等),对用户造成法律约束并侵害个人权利。
7

用户注销账户处理条件、时限作出规范要求


用户可自主注销账户的情形外,需提供服务方人工处理的应在承诺时限内(不超过15个工作日)完成核查和处理,过程中不应设置不合理的条件或提出额外要求,增加用户义务,需收集敏感信息才能完成注销的应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等,防止用户在未继续使用该应用的情况下,服务提供方仍收集并保有用户信息,对用户的个人权益造成损害。
8

规划设计阶段应使用“三同步”原则,使用过程中应开展影响评估


在系统建设时,对个人信息保护措施同步规划、同步建设和同步使用,使用中或发生重大变化时定期开展评估,并对发现的风险进行处置。
9

提出“用户画像”的使用限制条款


一方面,对“用户画像”中对个人信息主体的特征描述作出限制,如不能包括淫秽、色情、赌博、迷信等内容;另一方面,对“用户画像”的使用目的作出限制,如不能侵害公民、法人的合法权益,不能危害国家安全、煽动推翻国家政权、煽动分裂国家、破坏国家统一,宣扬极端主义、恐怖主义等。

此外,标准还提出除了主体授权同意的使用目的外,“用户画像”不能精准定位到特定个人。比如,商用广告推广就只能使用“间接用户画像”。
10

对第三方接入管理提出非常详细的要求


第三方产品或服务已经成为个人信息使用中存在的较为普遍的方式,但从当前情况来看,管理比较混乱。针对此种情况,标准提出了详尽的管理要求,比如:建立管理机制、工作流程和条件等;通过合同约定方式明确责任和应当采取的保护措施;建立响应个人信息主体请求和投诉的机制等。从标准条款设计看,主要解决APP应用程序在使用第三方接入产品或服务时,确保个人信息保护有关要求能有效延伸到相关第三方,确保不会因复杂的接入关系导致个人信息的管理和保护不到位。


.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

猜你喜欢
更多
联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录