最新《个人信息安全规范》发布!首次明确:个人原始信息不应存储
继 2017 年 12 月《信息安全技术 个人信息安全规范》发布之后,时隔两年多,历经两次公开向社会征求意见,3 月 6 日,《规范》有了新的变化调整,包括:
新增「多项业务功能的自主选择」「用户画像的使用限制」「个性化展示的使用」「第三方接入管理」「个人信息处理活动记录」等多项内容,并将个人生物识别信息的要求细化并完善。
在收集个人生物识别信息前,需单独向用户告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则,并征得用户的明示同意;其次,个人生物识别信息要与个人身份信息分开存储,原则上不应存储原始个人生物识别信息。
新版《规范》能否为个人信息安全栓上一道「锁」,让我们拭目以待。
3 月 6 日,国家市场监督管理总局、国家标准化管理委员会正式发布国家标准《信息安全技术 个人信息安全规范》(下称《规范》),并定于 2020 年 10 月 1 日实施。
该《规范》对个人信息收集、储存、使用做出了明确规定,并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力。
一 《信息安全技术 个人信息安全规范》早有渊源
早在 2017 年 12 月,全国信息安全标准化技术委员会组织制定和归口管理的国家标准 GB/T 35273-2017《信息安全技术 个人信息安全规范》就已正式发布,当时《规范》规定将于 2018 年 5 月 1 日实施。
2019 年 6 月,据 App 专项治理工作组显示,《规范》公开向社会征求意见,截止 10 月,标准编制组共收到并处理意见约 400 条。基于各单位反馈意见以及 App 违法违规收集使用个人信息专项治理工作实践经验。
此后,标准编制组对征求意见稿版本予以补充完善、优化和更新,2019 年 10 月 24 日,《信息安全技术 个人信息安全规范》最新版征求意见稿(简称「新版征求意见稿」)对外发布。相比 6 月份的征求意见稿,新版征求意见稿规定,App 应提供简便易操作的注销功能,核验身份时不得要求用户提供超过注册、使用时收集的个人信息。
二 「不应存储原始个人生物识别信息」
2020 版《规范》继续沿用了 2017 版的七大原则,分别是:权责一致原则、目的明确原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则、主体参与原则。
与 2017 版《规范》相比,2020 版也有了新变化。
首先,个人信息安全规范无外乎用户隐私泄露问题,而从 2019 年 10 月「人脸识别第一案」到之后爆出的人脸照片黑色产业链,以及各类 APP「换脸大法」,都让个人隐私成为技术发展应用后,大众追问的话题,便利用户、技术运用不应该成为窃取用户隐私的「遮羞布」。
针对个人生物识别信息方面,新版《规范》也提出具体的解决措施。
《规范》规定在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。
第一,个人生物识别信息要与个人身份信息分开存储;
第二,原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:
仅存储个人性别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、 指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
其次,此版《规范》增加了「多项业务功能的自主选择」「用户画像的使用限制」「个性化展示的使用」「基于不同业务目所收集个人信息的汇聚融合」「第三方接入管理」「个人信息安全工程」「个人信息处理活动记录」等内容。
在「多项业务功能的自主选择」方面,根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求,划定产品或服务的基本业务功能,产品或服务所提供的基本业务功能之外的其他功能,划定为扩展业务功能。
据《规范》显示,扩展的业务功能,应允许个人信息主体逐项选择同意。用户不同意的,个人信息控制者不得反复征求用户同意,除非用户主动选择开启扩展功能,且不应拒绝提供基本业务功能或降低基本业务功能的服务质量。
在选择同意的流程中,《规范》建议,应通过如弹窗、文字说明、填写框、提示条、提示音等形式进行提示,并且要让用户主动做出肯定性的动作,比如勾选、点击「同意」或「下一步」。
香港云服务器1G CPU 2核 带宽 2m 49元
香港云服务器2G CPU 2核 带宽 2m 89元
香港云服务器4G CPU 4核 带宽 3m 199元
香港云服务器8G CPU 4核 带宽 3m 389元
香港云服务器16G CPU 8核 带宽 5m 699元
香港云服务器32G CPU 8核 带宽 5m 1199元
详情可咨询官网客服:2727324602
另提供香港机器租用,I7cpu 8g内存 5M带宽,可绑定3个ip,月租1299元!
