GBT35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》
按照國家標(biāo)準(zhǔn)化管理委員會2017年第32 號中國國家標(biāo)準(zhǔn)公告,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會組織制定和歸口管理的國家標(biāo)準(zhǔn)GB/T 35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》于2017年12月29日正式發(fā)布,將于2018年5月1日實(shí)施。
本文重點(diǎn)提煉個(gè)人信息的保存、個(gè)人信息安處理以及組織的管理要求等方面內(nèi)容,解讀國家標(biāo)準(zhǔn)GB/T 35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》。
一、《信息安全技術(shù)個(gè)人信息安全規(guī)范》第六點(diǎn)“個(gè)人信息的保存”,對個(gè)人信息控制者對個(gè)人信息的保存提出具體要求,包括以下內(nèi)容:
6.1 個(gè)人信息保存時(shí)間最小化
對個(gè)人信息控制者的要求包括:
a) 個(gè)人信息保存期限應(yīng)為實(shí)現(xiàn)目的所必需的最短時(shí)間 ;
b) 超出上述個(gè)人信息保存期限后,應(yīng)對個(gè)人信息進(jìn)行刪除或匿名化處理。
6.2 去標(biāo)識化處理
收集個(gè)人信息后,個(gè)人信息控制者宜立即進(jìn)行去標(biāo)識化處理 ,并采取技術(shù)和管理方面的措施,將去標(biāo)識化后的數(shù)據(jù)與可用于恢復(fù)識別個(gè)人的信息分開存儲,并確保在后續(xù)的個(gè)人信息處理中不重新識別個(gè)人。
6.3 個(gè)人敏感信息的傳輸和存儲
對個(gè)人信息控制者的要求包括:
a) 傳輸和存儲個(gè)人敏感信息時(shí),應(yīng)采用加密等安全措施 ;
b) 存儲個(gè)人生物識別信息時(shí),應(yīng)采用技術(shù)措施處理后再進(jìn)行存儲,例如僅存儲個(gè)人生 物識別信息的摘要。
6.4 個(gè)人信息控制者停止運(yùn)營
當(dāng)個(gè)人信息控制者停止運(yùn)營其產(chǎn)品或服務(wù)時(shí),應(yīng):
a) 及時(shí)停止繼續(xù)收集個(gè)人信息的活動;
b) 將停止運(yùn)營的通知以逐一送達(dá)或公告的形式通知個(gè)人信息主體 ;
c) 對其所持有的個(gè)人信息進(jìn)行刪除或匿名化處理。
二、《信息安全技術(shù)個(gè)人信息安全規(guī)范》第九點(diǎn)
“個(gè)人信息安全事件處置”,對個(gè)人信息控制者處理個(gè)人信息安全事件的方式方法提出具體要求,包括以下內(nèi)容:
9.1 安全事件應(yīng)急處置和報(bào)告
對個(gè)人信息控制者的要求包括:
a) 應(yīng)制定個(gè)人信息安全事件應(yīng)急預(yù)案 ;
b) 應(yīng)定期 (至少每年一次 )組織內(nèi)部相關(guān)人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練,使其掌握崗位職責(zé)和應(yīng)急處置策略和規(guī)程;
c) 發(fā)生個(gè)人信息安全事件后,個(gè)人信息控制者應(yīng)根據(jù)應(yīng)急響應(yīng)預(yù)案進(jìn)行以下處置:
1) 記錄事件內(nèi)容,包括但不限于:發(fā)現(xiàn)事件的人員、時(shí)間、地點(diǎn),涉及的個(gè)人信息及人數(shù),發(fā)生事件的系統(tǒng)名稱,對其他互聯(lián)系統(tǒng)的影響,是否已聯(lián)系執(zhí)法機(jī)關(guān)或有關(guān)部門;
2) 評估事件可能造成的影響,并采取必要措施控制事態(tài),消除隱患;
3) 按《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的有關(guān)規(guī)定及時(shí)上報(bào),報(bào)告內(nèi)容包括但不限于:涉及個(gè)人信息主體的類型、數(shù)量、內(nèi)容、性質(zhì)等總體情況,事件可能造成的影響,已采取或?qū)⒁扇〉奶幹么胧录幹孟嚓P(guān)人員的聯(lián)系方式;
4) 按照本標(biāo)準(zhǔn) 9.2 的要求實(shí)施安全事件的告知。
d) 根據(jù)相關(guān)法律法規(guī)變化情況,以及事件處置情況,及時(shí)更新應(yīng)急預(yù)案。
9.2 安全事件告知
對個(gè)人信息控制者的要求包括:
a) 應(yīng)及時(shí)將事件相關(guān)情況以郵件、信函、電話、推送通知等方式告知受影響的個(gè)人信息主體。難以逐一告知個(gè)人信息主體時(shí),應(yīng)采取合理、 有效的方式發(fā)布與公眾有關(guān)的警示信息;
b) 告知內(nèi)容應(yīng)包括但不限于:
1) 安全事件的內(nèi)容和影響;
2) 已采取或?qū)⒁扇〉奶幹么胧?
3) 個(gè)人信息主體自主防范和降低風(fēng)險(xiǎn)的建議;
4) 針對個(gè)人信息主體提供的補(bǔ)救措施;
5) 個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)的聯(lián)系方式。
三、《信息安全技術(shù)個(gè)人信息安全規(guī)范》第十點(diǎn)“組織的管理要求”,對個(gè)人信息控制者組織管理提出具體要求,包括以下內(nèi)容:
10.1 明確責(zé)任部門與人員
對個(gè)人信息控制者的要求包括:
a) 應(yīng)明確其法定代表人或主要負(fù)責(zé)人對個(gè)人信息安全負(fù)全面領(lǐng)導(dǎo)責(zé)任 ,包括為個(gè)人信息安全工作提供人力、財(cái)力、物力保障等;
b) 應(yīng)任命個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu);
c) 滿足以下條件之一的組織,應(yīng)設(shè)立專職的個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu),負(fù)責(zé)個(gè)人信息安全工作:
1) 主要業(yè)務(wù)涉及個(gè)人信息處理 ,且從業(yè)人員規(guī)模大于200 人;
2) 處理超過50 萬人的個(gè)人信息,或在12個(gè)月內(nèi)預(yù)計(jì)處理超過50萬人的個(gè)人信息。
d) 個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)應(yīng)履行的職責(zé)包括但不限于:
1) 全面統(tǒng)籌實(shí)施組織內(nèi)部的個(gè)人信息安全工作,對個(gè)人信息安全負(fù)直接責(zé)任;
2) 制定、簽發(fā)、實(shí)施、定期更新隱私政策和相關(guān)規(guī)程;
3) 應(yīng)建立、維護(hù)和更新組織所持有的個(gè)人信息清單(包括個(gè)人信息的類型、數(shù)量、來源、接收方等 )和授權(quán)訪問策略;
4) 開展個(gè)人信息安全影響評估;
5) 組織開展個(gè)人信息安全培訓(xùn);
6) 在產(chǎn)品或服務(wù)上線發(fā)布前進(jìn)行檢測,避免未知的個(gè)人信息收集、使用、共享等處理行為 ;
7) 進(jìn)行安全審計(jì)。
10.3 數(shù)據(jù)安全能力
個(gè)人信息控制者應(yīng)根據(jù)有關(guān)國家標(biāo)準(zhǔn)的要求,建立適當(dāng)?shù)臄?shù)據(jù)安全能力,落實(shí)必要的管理和技術(shù)措施,防止個(gè)人信息的泄漏、損毀、丟失。
10.5 安全審計(jì)
對個(gè)人信息控制者的要求包括:
a) 應(yīng)對隱私政策和相關(guān)規(guī)程,以及安全措施的有效性進(jìn)行審計(jì);
b) 應(yīng)建立自動化審計(jì)系統(tǒng),監(jiān)測記錄個(gè)人信息處理活動;
c) 審計(jì)過程形成的記錄應(yīng)能對安全事件的處置、應(yīng)急響應(yīng)和事后調(diào)查提供支撐;
d) 應(yīng)防止非授權(quán)訪問、篡改或刪除審計(jì)記錄;
e) 應(yīng)及時(shí)處理審計(jì)過程中發(fā)現(xiàn)的個(gè)人信息違規(guī)使用、濫用等情況。
中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
