ISO29151中 PII 的使用、保留和披露限制:
一、保護 PII 的實施指南
ISO29151標準要求組織應該:
a) 將 PII 的使用,保留和披露 (包括轉讓)限制在為實現特定,明確和合法目的必要的范圍內;
b) 配置其信息系統,以記錄:收集 ,創建、更新 PII 的日期、何時將 PII 刪除、歸檔的時間。
二、使用 PII 的實施指南
ISO29151標準要求組織應該:
a) 當所述目的已經過期時,鎖定(即歸檔,保護和免除進一步處理)任何 PII , 并滿足適用法律的保留要求;
b) 使用適當的技術或方法確保安全刪除或銷毀 PII (包括原件,副本和存檔記錄);
c) 僅將 PII 用于在收集之前或收集時向 PII 主體商定披露的目的,并且在為任何新用途進行之前獲得必要的同意;
d) 將外部組織對 PII 的訪問權,限制在必要且已獲得正式授權的范圍內:如果業務確實需要訪問,則應遵循適當的審批程序;
e) 確認被允許連接到本組織系統的外部系統在被允許連接之前已經實施了適當的保護措施;
f) 定期審查第三方實施的保障措施,以確保它們繼續滿足本組織的安全要求:如果由于此類審查而發現保障措施不足 ,應立即斷開第三方的連接,直到已經恢復了適當的保障措施;
g) 當通過遠程接口訪問 PII 時,實施適當的訪問認證機制: 記錄 PII 訪問的日志;
h) 利用安全監控待續收集 PII 的變更,應向公眾提供警示。
三、保留 PII 的實施指南
ISO29151標準要求組織應該:
a) 僅保留授權時間段的 PII , 以履行通知中確定的目的或法律和組織的要求,并在保留期屆滿時立即刪除 PII ;
b) 如果需要保留 PII 的時間超過特定商業目的所需時間,則應實施諸如去識別化等措施以保護 PII ;
c) 定義有時間限制的、適合于處理目的的 PII 保留期;
d) 確認信息系統可以檢測到保留期限到期;
e) 確保實施商定的保留期限并根據保留期限處置 PII ;
f) 開發一種自動化功能,在其保留期限到期時刪除 PII , 這種刪除應立即發生或盡快實施;
g) PII 的存儲形式(包括數據庫字段或文本摘錄)以及確定的風險,應該是“去標識”的內容;
h) 根據待識別數據的形式(包括數據庫和文本記錄)和已確定的風險, 去識別化數據;
i) 如果數據不能被“去識別”,則選擇用千保護 PII 的工具(包括部分刪除,哈希 ,密鑰散列和索引)。
四、披露 PII 的實施指南
ISO29151標準要求組織應該:
a) 未經 PII 主體事先知情同意,不得將PII 披露給外部各方 ,除非相關法律允許此類披露:如果向需要了解的內部各方(例如員工)披露,則可能不需要 PII 主體的知情和同意;;
b) 在轉讓個人身份信息時提供強有力的保護機制,包括數據加密和完整性保護。
員工個人身份信息應按照適用的法律和法規、組織處置策略,適當 情況下需征得員工同意才能進行處置(即安全刪除或存檔) 。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
