8 月 9 日,全国信息安全标准化技术委员会公开发布关于国家标准《信息安全技术 敏感个人信息处理安全要求》(征求意见稿)(以下简称《标准》)的通知,面向社会广泛征求意见。
《标准》的制定背景是为支撑《个人信息保护法》第二节敏感个人信息的处理规则的落地实施,《标准》针对医疗健康、金融账户、行踪轨迹等敏感个人信息,明确数据处理者进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求,重点针对采集必要性、安全保护、脱敏规则、告知同意等方面提出要求。
近年来,涉及对医疗健康、行踪轨迹、金融账户等敏感个人信息的非法收集与使用等典型案件不胜枚举,依托于互联网的各类应用程序(App),如移动支付、网约车、在线问诊挂号、线上借贷等业务运营均需要以用户的敏感个人信息为依托。首先,背后支撑这些业务的数据湖仓、业务系统中必然涉及到大量的敏感个人信息数据处理活动。其次,无论是湖仓数据开发和探索,或是数据平台和业务系统的数据运维,必然存在自然人对敏感个人信息的直接访问。第三,采用生态合作和数据委托方式加速业务的同时,必然存在对敏感个人信息的跨组织和地域的供给或共享。
原点安全技术专家认为,随着监管要求的收紧和监管粒度的深化,敏感个人信息保护与利用、流通的矛盾日益突出,本次《标准》征求意见稿的推出,是主管部门对于个人信息保护的更进一步要求;同时,作为个人信息处理者,以敏感个人信息为核心及切入点,以理清敏感个人信息的数据收集和存储状态为基础,在场景化数据应用过程中,综合利用且无缝衔接基于敏感数据标签的访问控制、脱敏、加密、控权、行为分析等技术手段,从业务和安全两个维度的一体化视角构建整体方案,能更清晰、更具体地做好个人信息保护,在数据保护与利用之间,寻找到适合自身的平衡,提升企业数据利用能力,释放数据产能。
《标准》与有关法律、行政法规和相关标准的关系?
《标准》符合现有法律法规的要求。
《个人信息保护法》第二章第二节规定了敏感个人信息的处理规则。第二十八条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
《信息安全技术 个人信息安全规范》规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求;同时规定了个人敏感信息的传输和存储等内容。
展开全文
敏感个人信息与个人信息处理者如何定义与识别?
01 定义
敏感个人信息
sensitive personal information
定义:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
个人信息处理者
personal information processor
定义:自主决定处理目的、处理方式的组织、个人。
02 识别方法
个人信息处理者在进行个人信息处理前,应按照以下方法识别敏感个人信息。符合以下任一属性的,应识别为敏感个人信息:
处理敏感个人信息应采取哪些安全保护措施?
根据《个人信息保护法》的规定,处理敏感个人信息应当采取严格的保护措施。《标准》从安全保护要求和安全管理要求层面,针对敏感个人信息的全流程需采取的保护措施进行了细致的规定,一定程度上弥补了《个人信息保护法》关于敏感个人信息安全保护措施的空白。
《标准》中关于敏感个人信息处理基本要求:
处理敏感个人信息应具有特定的目的和充分的必要性,取得个人的单独同意,应在满足 GB/T35273—2020 《信息安全技术 个人信息安全规范》要求的基础上,在收集、存储、使用、加工、传输、提供、公开、删除等处理的各个环节采取严格保护措施。
具体而言应从以下几点开展:
敏感个人信息处理有哪些特殊安全要求?
此前,国家网信办针对人脸识别信息发布了专门的安全管理规定征求意见稿,以规范人脸识别信息的处理活动。《标准》亦对于不同类型的常见敏感个人信息类别进行了特殊安全要求:
常见敏感个人信息类别
常见敏感个人信息的特殊安全要求
《标准》中参考的相关文件
[1] GB/T 35274-2017 信息安全技术 大数据服务安全能力要求
[2] GB/T 37973-2019 信息安全技术 大数据安全管理指南
[3] GB/T 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求
[4] GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南
一体化数据安全平台可实现组织内敏感数据发现与数据分类分级,并形成敏感数据资产目录;在此之上提供一体化的敏感数据访问控制、数据权限管控、数据动态脱敏、敏感数据访问审计等功能,满足数据安全管控、个人信息保护和数据出境安全合规要求,让企业的数据更安全,合规更高效。
数据安全平台可涵盖企业数据安全管理常见手段及管理方式,包括数据资产盘点管理,敏感数据识别、数据分类分级;数据库防火墙、数据审计,数据库安全审计、云数据库审计、API 审计;敏感数据脱敏,数据脱敏、数据动态脱敏、实时脱敏,敏感数据访问监督;数据库安全防护、数据库运维管控、云数据库安全运维,数据库权限管理设置、访问权限设置、数据访问治理,达到细粒度权限管控,做好数据安全运营,防止敏感数据泄露,满足数据合规与业务合规要求。
标签: 客户端数据安全
评论列表
规定,处理敏感个人信息应当采取严格的保护措施。《标准》从安全保护要求和安全管理要求层面,针对敏感个人信息的全流程需采取的保护措施进行了细致的规定,一定程度上弥补了《个人信息保护法》关于敏感个人信息安全保护措施的空白。《标准》中关于敏感个人信息处理基本要求:处理敏
殊安全要求《标准》中参考的相关文件[1] GB/T 35274-2017 信息安全技术 大数据服务安全能力要求[2] GB/T 37973-2019 信息安全技术 大数据安全管理指南[3] GB/T 41391-2022 信息安全技术 移动互联网应用程序(Ap
理敏感个人信息应采取哪些安全保护措施?根据《个人信息保护法》的规定,处理敏感个人信息应当采取严格的保护措施。《标准》从安全保护要求和安全管理要求层面,针对敏感个人信息的全流程需采取的保护措施进行了细致的规定,一定程度上弥补了《个人信息保护法》关于敏感个人信息安全保护措施的空白。《标
医疗健康、行踪轨迹、金融账户等敏感个人信息的非法收集与使用等典型案件不胜枚举,依托于互联网的各类应用程序(App),如移动支付、网约车、在线问诊挂号、线上借贷等
(App),如移动支付、网约车、在线问诊挂号、线上借贷等业务运营均需要以用户的敏感个人信息为依托。首先,背后支撑这些业务的数据湖仓、业务系统中必然涉及到大量的敏感个人信息数据处理活动。其次,无论是湖仓数据开发和探索,或是数据平台和业务系统的数据运维,必然存在自然人对敏感个人信息的直接访问。第