个人的敏感信息需要怎么进行安全保护的一些思考记录
(一)識別監管要求聚焦安全保護重點
個人信息處理
原則合規
《個人信息保護法
》總則中規定了個人信息處理的合法、正 當、必要、誠信、公開透明等,這些基本原則既是處理者開展個人 信息處理活動的基本遵循,也是構建個人信息保護具體規則的制度 基礎。需要明確的是企業或組織在個人信息的處理中占據絕對的主 導地位,在處理個人信息必須遵循合法、正當、必要和誠信原則, 具有明確、合理的目的并與處理目的直接相關,采取對個人權益影響最小的方式,限于實現處理目的的最小范圍,公開處理規則,保 證信息質量,采取安全保護措施等,而這些措施必須貫穿于個人信 息處理的全過程、各環節。
第一、合法原則。按照《個人信息保護法》《民法典》《網絡 安全法》《消費者
權益保護法》的相關規定其內涵包括:處理者處 理個人信息必須具備法律法規規定的合法性基礎和處理者在處理個 人信息時必須履行法律法規為其設定的義務兩個方面,即權利與義 務的統一性,既要符合法律法規的要求,又要履行法律法規富裕的 義務,企業或組織在個人信息處理的過程中避免出現只使用權利而 承擔應盡義務的情況。
第二、正當原則。正當包括目的正當與手段正當,目的正當即 在進行個人信息處理時,要提供一個合法、合理的目的。手段正當 即其處理個人信息的過程需要公開、公正、透明。而非通過欺騙、 詐騙等方式獲取并處理個人信息。比如詐騙或者幫助他人詐騙或者 個人信息等就屬于目的不正當和手段不正當。
第三、最小必要原則。主要指處理者處理個人信息不應當超過 可以實現處理目的的最低限度,其處理的個人信息應當限于滿足處 理目的的最小范圍之內,個人信息的過度采集或者加工極容易造成 難以預見對主體的損害甚至帶來財產損失乃至造成生命威脅。而現 實中 App端普遍存在違規采集個人信息、超范圍采集個人信息、違 規使用個人信息、過度索取權限以的現象,同時使用諧音、刷屏、差評等行為對個人進行詆毀、污蔑等現象也普遍存在。因此,合理 最低限度的收集與使用個人信息是個保法中的重要原則。
第四、誠信原則。誠信是一個道德范疇,以真誠之心,行信義之 事。“人之所助者,信也”,“言必信,行必果”。講誠信,并不 是說說,很多人說得容易做起來難,其中《個人信息保護法》相較 于《網絡安全法
》和《消費者權益保護法》更是重點突出了誠信原 則。信要求處理者對個人保有基本的善意,尊重個人的合理信賴, 在價值取向上優先保護個人信息權益,恪守個人信息處理活動的規 范化。誠信貫穿于個人信息處理的各個環節
第五、公開透明原則。《個人信息保護法》第 7 條規定:“處 理個人信息應當遵循公開、透明原則,公開個人信息處理規則,明 示處理的目的、方式和范圍。” 在個人信息處理活動中,個人信息 的處理者擁有豐富的收集和處理個人信息的技術手段,個人無法知 曉其何種個人信息將以何種方式被處理,也難以了解其個人信息被 用于何種處理目的,更難以預測個人信息處理活動可能產生的效果 與影響。為了強化個人在個人信息處理活動中的主體地位,保護個 人對其個人信息以公平、公正的方式被處理的合理信賴,處理者應 當對有關個人信息處理與利用的一般政策、事項等予以公開,個人 也有權知悉本人個人信息處理的一般情況。比如依照《個人信息保 護法》第 18 條第 2 款的規定,當出現緊急情況無法及時向個人履行 告知義務時,處理者應當在緊急情況消除后及時告知。
第六、公平公正的原則。《個人信息保護法》第五十八條“提 供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息 處理者,應當履行遵循公開、公平、公正的原則,制定平臺規則, 明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信 息的義務。”第二十四條“個人信息處理者利用個人信息進行自動 化決策,應當保證決策的透明度和結果公平、公正,不得對個人在 交易價格等交易條件上實行不合理的差別待遇。”當前,越來越多 的企業或組織利用大數據分析、數據中臺分析、評估消費者的個人 特征用于商業營銷。其中有一些企業或組織通過掌握消費者的經濟 狀況、采購需求、消費習慣、對價格的敏感程度等信息,對消費者 在交易價格等方面實行歧視性的差別待遇。面對海量數據的使用, 企業或組織需要摒棄偏見,分拆企業或組織內部不透明的服務體 系,不濫用其市場支配地位對消費者進行 “大數據殺熟”。鼓勵企 業或組織通過提供差異化的產品和服務方式為企業或組織提供優良 的競爭力和市場活力,摒棄以“算法霸權”謀取市場地位的思維。 同時,在日常管理中進行常態化檢查和調研,切實防范技術濫用。
第一、完善個人信息處理機制。當前,個人信息收集、使用規則 不透明及違規收集、過度收集、超范圍收集、違規使用等問題突出。 個人信息處理者需要明示個人信息主體其收集使用個人信息的目的, 并征求個人信息主體的同意;處理個人信息應當限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式;處理個人信息應 當公開個人信息處理規則,明示處理目的、方式和范圍,并應當保證 個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不 利影響。
第二、明確“告知—同意”是核心規則。長期以來,應用程序過 度收集、使用個人信息問題是社會關注的一大焦點。雖然國家的工信、 網信等各級監管部門進行多輪次的通報與下架,但在實踐中,互聯網 企業或組織推出的 App仍存在“一攬子授權” “頻繁申請權限”“不 同意不讓用”的問題。企業或組織在面臨該問題時,需要放棄在數據 處理過程中“霸權”行為,充分授權給個人;并做到敏感個人信息單 獨取得用戶同意;處理個人信息應當在事先充分告知的前提下取得個 人同意等。圍繞“告知-同意’的核心確立的個人信息保護核心規則, 保障個人對其個人信息處理知情權和決定權。
個人信息處理者應當根據個人信息的處理目的、處理方式、個人 信息的種類以及對個人權益的影響、可能存在的安全風險等,采取下 列措施確保個人信息處理活動符合法律、行政法規的規定,并防止未 經授權的訪問以及個人信息泄漏、篡改、丟失;處理個人信息達到國 家網信部門規定數量的個人信息處理者應當指定個人信息保護負責 人,負責對個人信息處理活動以及采取的保護措施等進行監督。
個人信息保護法中對個人信息處理者的義務有詳盡的要求。違反相關條目的要求將受到責令改正,沒收違法所得,停業整頓、通報有 關主管部門吊銷相關業務許可或者吊銷營業執照以及直接進行罰款 等各類處罰,因此個人信息合規工作面臨監管層面的壓力巨大,需要 從以下幾點進行落實:
第一、合法處理個人信息。在《個人信息保護法》中,明確了個 人信息處理的七項合法依據,除“同意”外,企業或組織可以通過履 約、履責等合法依據對個人信息進行處理。對企業或組織來說,應特 別注意避免將個人信息主體置于“被動”或“無感知”的情形,慎重 使用“為履行個人作為一方當事人的合同”作為合法依據的情形。在 明確告知、清晰告知和全面告知的基礎上,充分取得個人信息主體的 同意,從嚴要求企業或組織的內部業務,切實落實“能不用就不用, 能少用就少用”個人信息的原則最小化使用個人信信息,切實落實《常 見類型移動互聯網應用程序必要個人信息范圍規定》中關于 39類 App 必要個人信息范圍規定要求。
第二、確定委托的第三方責任,加強風險評估。GB/T 35273-2020 《信息安全技術 個人信息安全規范》中個人信息的委托處理、共享、 轉讓、公開披露中要求“受委托者應嚴格按照個人信息控制者的要求 處理個人信息。受委托者因特殊原因未按照個人信息控制者的要求處 理個人信息的,應及時向個人信息控制者反饋”、“個人信息控制者 共享、轉讓個人信息時,應充分重視風險”。業務委托合同中應與受 托人約定處理目的、期限、處理方式、信息種類、保護措施以及雙方 的權利與義務。同時企業或組織有責任對受托人的個人信息處理活動進行監督,確保受托人處理行為依照合同約束開展。監督行為可通過 對受托人的現場審查、發放評估問卷等形式定期開展,同時保留記錄 存檔。接受委托處理個人信息的受托人,應當履行個保法規定的相關 義務,同時有義務協助個人信息處理者履行個保法的要求。
第三、加強敏感個人信息保護。在了解涉及處理的個人信息類型 的基礎上,應區分其中的敏感個人信息類型,制定企業或組織內部的 分類分級標準,并采取更高水平的技術措施(脫敏、防泄漏、訪問控 制等)予以保護。針對未滿十四周歲的未成年人信息,企業或組織應 在產品/服務端設計青少年模式,通過家長身份驗證等方式確保個人 信息處理合規,并制定專門的個人信息處理規則予以公示。
第四、滿足個人信息出境要求,企業或組織涉及個人信息出境時, 應遵循“境內存儲”原則,確有必要向境外提供個人信息的,應事先 進行個人信息保護影響評估,明確個人信息出境的合法依據。在國家 網信辦關于《網絡數據安全管理條例(征求意見稿)》公開征求意見 的通知中提到:“關鍵信息基礎設施運營者和處理一百萬人以上個人 信息的數據處理者向境外提供個人信息”,企業或組織應當通過國家 網信部門組織的數據出境安全評估,同時處理者向境外提供數據應當 履行“存留相關日志記錄和數據出境審批記錄三年以上”的義務。
《個人信息保護法》提到,個人對其個人信息的處理享有知情權、 決定權,有權限制或者拒絕他人對其個人信息進行處理;個人有權向個人信息處理者查閱、復制其個人信息;個人發現其個人信息不準確 或者不完整的,有權請求個人信息處理者更正、補充;人有權請求刪 除;個人有權要求個人信息處理者對其個人信息處理規則進行解釋說 明等七大項權利。企業或組織應建立多樣化的請求接收方式、響應處 理流程、響應時限要求以及技術手段予以支持,確保個人信息主體可 以隨時行使自己的權益(如∶訪問權、糾正權、拒絕權、限制處理權 及可攜帶權等),并可以在指定響應期間內予以滿足。另一方面,為 實現處理來源于真實個人信息主體的請求,應具備強有效的身份校驗 機制,以對個人信息主體的身份進行準確識別,以確保可以及時并準 確的實現個人信息主體所提請求。整體而言更強調個人在信息的收集、 處理、利用、保管、傳播等行為的權利,對個人權利的保護遠遠超出 了傳統隱私權的范圍。
(二)技術輔助企業或組織個人信息保護合規落地
在個人信息收集、存儲、使用、加工、傳輸、提供、公開等流程 中,需要將管理制度落實到每個具體的活動,同時確保管理制度落實 的效果。在不同的環節里需要特定的技術手段進行輔助,提升合規管 理的效果。在企業或組織內部,這些流程又可以根據研發、測試、運 維、法務等參與角色的不同,分為產品設計、研發、發布、運營等階 段,每個階段應進行相應的過程管理。
在設計階段,在個人信息收集前端工具的設計過程中,可采用 PbD的設計原則進行產品設計及實施策略的制定。
在研發過程中,可通過合規培訓、SDK準入審核、合規評估等策 略進行研發過程管理,避免由于研發人員對合規要求不了解、第三方 SDK自身風險等造成合規隱患。
在發布階段,通過技術手段進行整體的合規評估。如針對 App強 制授權、過度索權、超范圍收集個人信息等典型問題,企業或組織可 以先嘗試從第三方的視角對 App合規狀態進行快速摸底,通過對 App 違規收集隱私數據的行為進行檢測,包括權限聲明、第三方 SDK收集 信息、App各功能模塊實際獲取的個人信息等,對企業或組織個人信 息保護水平的合規性、有效性、完整性進行測試及驗證。
在運營階段,通過安全防護技術、訪問控制策略、風險評估、應 急處置預案等方式進行存儲、使用、加工等流程中的管理及保障工作。
除管理流程外,企業或組織還要將個人信息保護真正融入到日常 的業務和產品中,才能讓個人信息保護不再流于表面,隨著監管執法 力度的加強,企業或組織在管理體系建設方面的完備性和有效性驗證, 需要管理和技術手段并行,并且嵌入到企業或組織系統及業務開展過 程中,從根本上建立健全個人信息保護管理體系,為數據價值的發揮 助力。
參考資料
紅藍攻防構建實戰化網絡安全防御體系
青藤云安全 2022攻防演練藍隊防守指南
友情鏈接
綠盟 關鍵信息基礎設施安全態勢感知平臺產品白皮書
總結
以上是生活随笔為你收集整理的个人的敏感信息需要怎么进行安全保护的一些思考记录的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python迭代法求极值_用Python
- 下一篇: Unity的数据本地储存的集中方法