最有看点的互联网金融门户

最有看点的互联网金融门户
专栏国内资讯监管与政策

《个人信息安全规范》之实务应用探讨

本文共1343字,预计阅读时间27

2017年6月1日,《中华人民共和国网络安全法》(“《网安法》”)的正式实施,标志着我国对个人信息保护规则逐步走向清晰和明确化,但是《网安法》具体实际应用层面仍需出台专门的法律法规及政策。2018年1月24日,国家标准化委员会参考国内法律法规、国际规则和实践制定《信息安全技术 个人信息安全规范》(GB/T 35273-2017)(“《规范》”)正式公布,并将于2018年5月1日正式实施。该规范为从事网络信息业务相关人员,特别是互联网金融企业对于个人信息的获取及使用进行规范。

收集原则

《网安法》第四十一条中规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

对于如何获取个人的同意,《规范》中明确规定,收集个人信息遵循最小化要求,并在收集信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用个人信息的规则,并获得个人信息主体的授权同意,另外,涉及个人敏感信息的,应取得个人信息主体的明示同意。

因此,对于收集信息的企业,应当遵循必要且最小化原则,区分敏感信息和普通信息,获得被收集主体的授权同意,如果涉及敏感信息的,应当获得明示同意。

使用规范

《网安法》中对企业使用个人信息仅规定了合法、正当、必要原则,而在《规范》中,则对个人信息的具体使用做出限制:

  • 消除指向性,避免定位到个人;
  • 个人信息范围界定为包括能够反映个人活动情况的;
  • 不得超出授权范围。

除遵循上述原则外,企业对于个人信息的使用,特别是带有个人标识的信息应当与个人标识采取物理、技术和管理上的隔离, 避免重新标识化。

分享、转让规范

《网安法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。而在企业收购、兼并、重组情况下,对于继受方使用信息的权限,《规范》中规定,个人信息原则上不得共享、转让,确需共享转让时,应遵循以下要求:

  • 信息安全影响评估;
  • 取得信息主体的授权同意;
  • 涉及敏感信息的,应当取得明示同意;
  • 记录个人信息共享、转让情况;
  • 承担损害责任。

因此,企业继受方或关联方使用个人信息的,应当重新取得个人的授权同意,并且企业对转让和分享进行安全影响评估,承担因此可能产生的损害责任。

共同责任划分

对于共同控制信息的两个以上主体,如平台与商户对于注册用户的个人信息的使用和保护,《规范》中规定,各方应当通过合同等形式共同确定应满足的个人信息安全要求和责任划分,并告知个人信息主体。

除上述内容外,《规范》对持有个人信息的主体在信息保存、安全事件处理、部门职责、人员管理、安全审计等方面细化规范。尽管《规范》并非强制性规范,但对于企业制定及实施个人信息保护制度起到了指引和规范的作用,应作为“基本通用”的标准化实践指南。

本文系未央网专栏作者陈云峰发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!


用微信扫描可以分享至好友和朋友圈

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。

发表评论

发表评论

您的评论提交后会进行审核,审核通过的留言会展示在下方留言区域,请耐心等待。

评论

您的个人信息不会被公开,请放心填写! 标记为的是必填项

取消

陈云峰 | 中伦文德未央青年

187
总文章数

中伦文德律师事务所高级合伙人、互联网金融专业委员会主任。主...

征信业与信息安全的协同发展

葛鹏 | 《中国征信... 09-03

几乎所有钱包都有致命漏洞,黑客接触手机2分钟,就能转走币

一本财经 07-22

征信业应用区块链技术应重视数据使用合规和征信资质问题

陈云峰 | 中伦文德 07-09

百度输入法涉嫌偷偷录音,用户须谨慎授权

钛媒体 | 钛媒体 07-02

互金新力量,你该具备哪些法律常识?

肖飒 | 大成律师事... 06-21

版权所有 © 清华大学五道口金融学院互联网金融实验室 | 京ICP备17044750号-1