《GB/T 35273：2017信息安全技術：個人信息安全規(guī)范》——個人信息的保護鎖

時間：2018-09-03作者：通標標準技術服務有限公司瀏覽：178

    8月28日，某**連鎖酒店疑似發(fā)生用戶數據泄露事件，近1.3億用戶的個人信息，包括：姓名、身份證號、家庭住址、生日、手機號、郵箱、登錄密碼、入住時間、離開時間、酒店ID號、房間號、消費金額等，被公開叫賣。這批數據被脫庫時間顯示為2018年8月14日，是非常新的數據，總數據量達到110G以上。人們再次被不堪一擊的個人信息保護問題所**，觸目驚心的泄露數據內容和數據量，使人們深深疑問：到底由誰、怎么樣才能**廣大用戶的個人信息安全。
    眾所周知，2017年6月1日《網絡安全法》已正式實施（其中，*42條明確規(guī)定“未經被收集者同意，不得向他人提供個人信息。”、*44條則提出“任何個人和組織不得竊取或者以其他非法方式獲取個人信息”），其后全國信息安全標準化技術**（信安標委）出臺了一系列的標準，以支持和**《網絡安全法》的有效落實，其中GB/T 35273：2017 《信息安全技術：個人信息安全規(guī)范》（下稱《安全規(guī)范》）提出了用于實踐《網絡安全法》中有關個人信息保護的規(guī)范類要求，并于2018年5月1日正式實施，此外，《安全規(guī)范》在編制過程中保持了與**主流個人信息保護法令的一致性，例如，歐盟的《通用數據保護條例》（GDPR）?？梢哉J為，《安全規(guī)范》可作為《網絡安全法》**實踐中的重要參考文件。
    《安全規(guī)范》提出了使用或處理個人信息的處理者（狹隘地講，可以認為就是公司或企業(yè)）需遵循的原則和應承擔的責任，就具體內容來講，主要包括個人信息以及個人敏感信息的范圍界定、個人信息處理的安全基本原則、個人信息流轉環(huán)節(jié)的要求，例如，收集、保存、使用、委托處理、共享、轉讓和公開披露，以及與個人信息安全事件處置有關的內控管理要求等多個方面。
    從個人信息以及個人敏感信息的范圍界定來看，個人信息則包括個人身份信息、個人生物識別信息、網絡身份標識信息、個人教育工作信息、個人財產信息、個人通信信息、個人上網記錄等等；個人敏感信息則包括個人財產信息、個人健康生理信息、個人生物識別信息、個人身份信息、網絡身份標識信息等，并在附錄中給出了個人信息與個人敏感信息的具體實例。
    從個人信息處理的安全基本原則角度來看，則包括：（1）權責一致；（2）目的明確；（3）選擇同意；（4）較少夠用；（5）公開透明；（6）確保安全；以及（7）主體參與共七大項。重點在于，維護個人信息保護過程中，堅持多方共同參與，積極發(fā)揮公民以及其他主體的保護能動性等形式。
    從個人信息流轉環(huán)節(jié)的要求角度來看，強調了尊重個人信息主體真實意愿，**個人信息主體的訪問、更正以及刪除其個人信息的權利，同時要求個人信息控制者具備與安全風險相匹配的安**力，并且采取適當的管理措施和技術手段保護個人信息的保密性、完整性和可用性，切實承擔相應的義務與責任。
    從個人信息安全事件處置等內控管理要求來看，則要求個人信息控制者應當就個人信息制定相關的安全事件應急預案，制定了一系列相關措施，較為主要的包括，要求個人信息控制者定期對個人信息安全影響進行評估，建立自身的評估機制，除此以外，還應建設適當的數據安**力，定期對相關人員進行管理培訓，并對自身建立的相關隱私政策以及安全措施的有效性進行審計，完善具體的審計體系，落實必要的管理和技術措施，較大程度地防范個人信息的泄露、損毀和丟失等情況發(fā)生。
    《安全規(guī)范》屬于推薦性國家標準，和強制性國家標準不同，因此，監(jiān)管部門可以將規(guī)范當作執(zhí)法指引，卻不能作為執(zhí)法的直接依據，但是，可通過“轉化”的方式，把規(guī)范融入到日常監(jiān)管要求當中，例如，2018年5月21日，中國銀保監(jiān)會發(fā)布的《銀行業(yè)金融機構數據治理指引》中*24條明確要求：“銀行業(yè)金融機構采集、應用數據涉及到個人信息的，應遵循**個人信息保護法律法規(guī)要求，符合與個人信息安全相關的國家標準”，同樣的，其他監(jiān)管部門后續(xù)在制定規(guī)章和規(guī)范性文件的時候，也會參照《安全規(guī)范》中所確定的規(guī)則，并將其融入到規(guī)章和規(guī)范性文件中去。
綜上可以看出，《安全規(guī)范》的出臺符合產業(yè)發(fā)展的需要，也較靠近**上通行的做法，呼應了國家有關個人信息安全的政策戰(zhàn)略、法律法規(guī)以及其他規(guī)范，勾勒出具體且明確的操作規(guī)則進而提供可行的合規(guī)指南，對于有效**公民的合法權益、及時制止侵害個人信息的行為都具有重要的意義。同時，隨著規(guī)范實施后積累的實踐經驗，也將為后續(xù)的個人信息保護立法打下很好的基礎。（Frake. Chen ）


通標標準技術服務有限公司專注于ISO9001,ISO14001,ISO45001等

• 詞條

  詞條說明

• ISO45001賦能安全，助力制造業(yè)較健康發(fā)展

  企業(yè)在制定和實施職業(yè)健康安全管理體系時應引入風險思維將體系與組織環(huán)境密切結合在一起。 制造業(yè)因其大而復雜的特點，是工傷和死亡發(fā)生較多的行業(yè)之一。有研究表明，99%的工傷和死亡事故都是可以被預防的，前提是能預測事故風險并做好控制和預防工作。構建一個健康和安全的作業(yè)環(huán)境一直是制造業(yè)的首要任務。在當今制造業(yè)走向**化的進程中，職業(yè)健康及安全管理也隨著ISO 45001的發(fā)布同步走向了**化。全新的ISO

• 國家神經系統(tǒng)疾病臨床醫(yī)學研究中心通過ISO9001:2015**認證

  首都醫(yī)科大學附屬北京天壇醫(yī)院國家神經系統(tǒng)疾病臨床醫(yī)學研究中心（以下簡稱“中心”）正式獲得**公認的檢驗、鑒定、測試及認證機構***頒發(fā)的ISO 9001:2015質量管理體系認證證書。 能夠順利獲得證書，標志著中心臨床研究質控體系建設與管理水平得到了**專業(yè)化認證，為中心規(guī)范運行及高質量研究結果提供了**。北京天壇醫(yī)院常務副院長、中心副主任王擁軍教授，***認證及企業(yè)優(yōu)化部中國區(qū)總監(jiān)辛斌先生等出席

• ISO/IEC27002草案版關鍵變化解析

  ISO/IEC27002是一份指導性文件，旨在用作在實施基于ISO/IEC27001的信息安全管理體系（ISMS）時選擇控制措施的參考，或作為組織實施信息安全控制措施的指南。 自去年開始，ISO/IEC JTC 1/SC27已對現時的ISO/IEC27002:2013版本進行評審，目前處于DIS（**標準草案）階段。盡管部分控制措施保持不變，但控制措施布局和某些控制措施卻發(fā)生了重大變化。由于ISO

• ***助力鐘南山院士團隊提升生物樣本庫質量管理

  自COVID-19突發(fā)后，世界衛(wèi)生組織（WHO）宣布新型冠狀病毒傳染?。–OVID-19）構成 “**關注的突發(fā)公共衛(wèi)生事件”（PHEIC），同時，2020 年5 月18 日，新華社受權發(fā)布《** ** 關于新時代加快完善社會主義市場經濟體制的意見》，意見要求，把生物安全納入*體系，系統(tǒng)規(guī)劃國家生物安全風險防控和治理體系建設，全面提高國家生物安全治理能力。 以上新聞信息來源：央視網及新