术语解读:GB/Z 28828 公共及商用服务信息系统个人信息保护指南

术语解读:GB/Z 28828 公共及商用服务信息系统个人信息保护指南

主要内容

主要内容如下:

适用范围与引用文件

  • 适用范围:适用于除政府机关外的各种组织和机构,如电信、金融、医疗等领域的企业,规范这些组织和机构通过信息系统处理个人信息的过程。
  • 引用文件:引用了《信息安全技术 信息系统安全管理要求》《信息安全技术 信息安全事件分类分级指南》等重要文件,为个人信息保护提供理论基础。

基本原则

  • 目的明确原则:个人信息管理者处理个人信息应有明确、合法的目的,不得超出目的范围处理个人信息。
  • 最少够用原则:只收集与处理目的相关的最少个人信息,避免过度收集。
  • 公开告知原则:应向个人信息主体明示处理个人信息的目的、方式、范围等,确保信息主体的知情权。
  • 个人同意原则:处理个人敏感信息时,必须获得信息主体的明示同意;处理个人一般信息时,可认为信息主体默示同意,但信息主体明确反对的除外 。
  • 质量保证原则:应确保所处理的个人信息的准确性、完整性和时效性。
  • 安全保障原则:采取必要的技术和管理措施,保障个人信息的安全,防止信息泄露、篡改和丢失等。
  • 诚信履行原则:个人信息管理者应遵守承诺,按照约定的方式和目的处理个人信息。
  • 责任明确原则:明确个人信息管理者在个人信息保护方面的责任和义务。

角色与职责

  • 个人信息主体:有权了解自己的个人信息被处理的情况,有权要求个人信息管理者更正、删除其个人信息等。
  • 个人信息管理者:负责制定个人信息保护政策和措施,组织实施个人信息保护工作,对个人信息的处理活动负责。
  • 个人信息获得者:从个人信息管理者处获取个人信息的组织或个人,应在约定的范围内使用个人信息,并遵守相关的个人信息保护规定。
  • 第三方测评机构:可对个人信息管理者的个人信息保护工作进行测评和监督,提供专业的评估意见和建议。

个人信息处理过程

  • 收集:应在合法、正当、必要的前提下收集个人信息,并明确告知信息主体收集的目的、方式、范围等。收集个人敏感信息时,需获得信息主体的明示同意。
  • 存储:应采取安全可靠的存储方式,保护个人信息的保密性、完整性和可用性。对存储的个人信息进行定期备份,防止数据丢失。
  • 使用:在使用个人信息时,应严格按照收集时的目的和范围使用,不得擅自改变使用目的或扩大使用范围。
  • 共享:如需将个人信息共享给第三方,应事先获得信息主体的明示同意,并与第三方签订保密协议,明确第三方的保护责任和义务。
  • 删除:当个人信息的处理目的已实现或不再需要时,应及时删除个人信息。信息主体有权要求个人信息管理者删除其个人信息。

安全保障措施

  • 技术措施:采用加密、访问控制、数据备份与恢复、安全审计等技术手段,保障个人信息的安全。
  • 管理措施:建立健全个人信息保护管理制度,加强对员工的培训和教育,提高员工的个人信息保护意识。
  • 应急处置:制定个人信息安全事件应急预案,定期进行演练,及时、有效地应对个人信息安全事件,降低事件的影响和损失。

 

术语和定义

1 信息系统 information system

即计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成,能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。

 

2 个人信息 personal information

可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。

 

3 个人信息主体 subject of personal information

个人信息指向的自然人。

 

4 个人信息管理者 administrator of personal information

决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。

 

5 个人信息获得者 receiver of personal information

从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。

 

6 第三方测评机构 third party testing and evaluation agency

独立于个人信息管理者的专业测评机构。

 

7 个人敏感信息 personal sensitive information

一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。

 

8 个人一般信息 personal general information

除个人敏感信息以外的个人信息。

 

9 个人信息处理 personal information handling

处置个人信息的行为,包括收集、加工、转移、删除。

 

10 默许同意 tacit consent

在个人信息主体无明确反对的情况下,认为个人信息主体同意。

 

11 明示同意 expressed consent

个人信息主体明确授权同意,并保留证据。

 

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞5 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容