信息安全

在收集个人生物识别信息前,需单独向用户告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规

最新《个人信息安全规范》发布!首次明确:个人原始信息不应存储

来源:服务器托管 作者:香港服务器 浏览量:76
2020-03-10
0

继 2017 年 12 月《信息安全技术 个人信息安全规范》发布之后,时隔两年多,历经两次公开向社会征求意见,3 月 6 日,《规范》有了新的变化调整,包括:

新增「多项业务功能的自主选择」「用户画像的使用限制」「个性化展示的使用」「第三方接入管理」「个人信息处理活动记录」等多项内容,并将个人生物识别信息的要求细化并完善。

在收集个人生物识别信息前,需单独向用户告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则,并征得用户的明示同意;其次,虚拟主机,个人生物识别信息要与个人身份信息分开存储,原则上不应存储原始个人生物识别信息。

新版《规范》能否为个人信息安全栓上一道「锁」,让我们拭目以待。

3 月 6 日,国家市场监督管理总局、国家标准化管理委员会正式发布国家标准《信息安全技术 个人信息安全规范》(下称《规范》),并定于 2020 年 10 月 1 日实施。

该《规范》对个人信息收集、储存、使用做出了明确规定,并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力。

个人信息安全规范

一 《信息安全技术 个人信息安全规范》早有渊源

早在 2017 年 12 月,全国信息安全标准化技术委员会组织制定和归口管理的国家标准 GB/T 35273-2017《信息安全技术 个人信息安全规范》就已正式发布,当时《规范》规定将于 2018 年 5 月 1 日实施。

2019 年 6 月,据 App 专项治理工作组显示,《规范》公开向社会征求意见,截止 10 月,标准编制组共收到并处理意见约 400 条。基于各单位反馈意见以及 App 违法违规收集使用个人信息专项治理工作实践经验。

此后,标准编制组对征求意见稿版本予以补充完善、优化和更新,2019 年 10 月 24 日,《信息安全技术 个人信息安全规范》最新版征求意见稿(简称「新版征求意见稿」)对外发布。相比 6 月份的征求意见稿,新版征求意见稿规定,App 应提供简便易操作的注销功能,核验身份时不得要求用户提供超过注册、使用时收集的个人信息。

二 「不应存储原始个人生物识别信息」

2020 版《规范》继续沿用了 2017 版的七大原则,分别是:权责一致原则、目的明确原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则、主体参与原则。

与 2017 版《规范》相比,2020 版也有了新变化。

首先,个人信息安全规范无外乎用户隐私泄露问题,而从 2019 年 10 月「人脸识别第一案」到之后爆出的人脸照片黑色产业链,以及各类 APP「换脸大法」,都让个人隐私成为技术发展应用后,大众追问的话题,便利用户、技术运用不应该成为窃取用户隐私的「遮羞布」。

针对个人生物识别信息方面,新版《规范》也提出具体的解决措施。

《规范》规定在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。

第一,个人生物识别信息要与个人身份信息分开存储;

第二,原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:

仅存储个人性别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、 指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

其次,此版《规范》增加了「多项业务功能的自主选择」「用户画像的使用限制」「个性化展示的使用」「基于不同业务目所收集个人信息的汇聚融合」「第三方接入管理」「个人信息安全工程」「个人信息处理活动记录」等内容。

在「多项业务功能的自主选择」方面,根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求,划定产品或服务的基本业务功能,产品或服务所提供的基本业务功能之外的其他功能,划定为扩展业务功能。

据《规范》显示,扩展的业务功能,欧洲服务器,应允许个人信息主体逐项选择同意。用户不同意的,个人信息控制者不得反复征求用户同意,除非用户主动选择开启扩展功能,且不应拒绝提供基本业务功能或降低基本业务功能的服务质量。

在选择同意的流程中,《规范》建议,应通过如弹窗、文字说明、填写框、提示条、提示音等形式进行提示,并且要让用户主动做出肯定性的动作,比如勾选、点击「同意」或「下一步」。

部分文章来源与网络,若有侵权请联系站长删除!