来源: 发布日期:2019.05.31 点击量:
这一期,我们将介绍个人信息隐私保护相关标准的另一大块——TC260国家标准。
简述TC260 :
早在2002年4月,国家标准化管理委员会(简称“国标委”)就批复成立了全国信息安全标准化技术委员会(SAC/TC260,简称“信安标委”),负责对网络安全国家标准进行统一技术归口。
近年来为落实《网络安全法》相关个人信息保护要求,2016年起TC260大数据安全标准化工作组开始研究制定个人信息保护国家标准。
现有标准族 如下图:
主要标准介绍:
1 GB/T 35273-2017《信息安全技术 个人信息安全规范》(已发布)
规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求。本标准适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。该标准作为细化支撑《网络安全法》相关个人信息保护要求的重要标准,在已有个人信息保护工作中发挥了重要作用,目前该标准针对个人信息保护出现的强迫收集、定向推送等新问题,正在进行修订研究。
2 《信息安全技术 个人信息去标识化指南》(制定项目)
描述了个人信息去标识化的目标和原则,提出了去标识化过程和管理措施,附录A和附录B分别给出了常用去标识化技术和去标识化模型,附录C比较了去标识化技术和模型的特性,并提供了常见标识符的去标识化参考示例。本标准已推进为报批稿,适用于组织开展个人信息去标识化工作,也适用于网络安全相关主管部门、第三方评估机构等组织开展个人信息安全监督管理、评估等工作。
3 《信息安全技术 个人信息安全工程指南》(制定项目)
给出了网络产品和服务在个人信息安全方面的工程实践指南,包括个人信息安全工程目标和系统工程主要阶段的个人信息安全指南。个人信息安全工程也称为隐私工程,是将个人信息保护和个人数据安全关注点整合到系统和软件生命周期过程的工程实践中进行考虑,用于解决在涉及个人信息的信息系统中处理隐私保护问题。本标准适用于设计、开发、采购、供应、运营涉及个人信息的网络产品和服务的组织,可用于指导网络产品和服务在设计开发、采购供应等阶段开展个人信息安全实践。
4 《信息安全技术 个人信息安全影响评估指南》(制定项目)
规定了个人信息安全影响评估的基本概念、框架、方法和流程。个人信息安全影响评估,也称为隐私影响评估(PIA)或数据保护影响评估(DPIA),是针对个人信息处理活动检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。本标准已推进到送审稿阶段,适用于各类组织自行开展个人信息安全影响评估工作,同时为国家主管部门、第三方测评组织等开展个人信息安全监管、检查、评估等工作提供的指导和依据。
5 《个人信息告知同意指南》 (研究项目)
针对个人信息告知的内容、告知信息的展示形式、告知的时机和频率,同意的模式和实现形式等展开研究,旨在为网络运营者在网络环境中进行个人信息告知同意提供实施指南。
为进一步推广网络安全标准,应对网络安全事件,改善网络安全状况,提高网络安全意识,信安标委(TC260)也开发了一系列技术文件“网络安全实践指南”,这些实践指南不属于国家标准,是支撑国家标准实施的技术指引。
技术指引介绍:
1 《网络安全实践指南-欧盟GDPR关注点》
于2018年5月25日,TC260发布,建议相关组织重点关注适用GDPR的场景、适用的数据范围、数据处理的基本原则、数据处理的合法正当性事由、对儿童的特别保护规定、数据主体权力、对用户画像的规定、对数据处理者的规定等十四个关注点。
2 《移动互联网应用个人信息收集指引》
给出了地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务等多类移动互联网应用基本业务功能正常运行所需收集的必要个人信息。该指引将于近期发布,适用于移动应用提供者规范个人信息收集行为,也适用于主管监管部门、第三方评估机构等对个人信息收集行为进行监督、管理和评估,还可为移动应用开发者、移动应用商店经营者和移动智能终端厂商提供参考。
尾声:衡量一个标准的价值关键是看——标准是否被广泛应用。近年来,TC260将网络安全标准的研究制定和实施推广工作并重开展,着力强化标准实施落地和应用推广工作。个人信息保护国家标准和实践指南文件,在国家个人信息保护工作中发挥了越来越重要的作用。
相关新闻:
版权所有©上海安言信息技术有限公司 2014-2015