来源: 发布日期:2020.03.27 点击量:
国家市场监督管理总局、国家标准化管理委员会于2020年3月6日正式发布了《信息安全技术个人信息安全规范(GB/T 35273-2020)》(以下简称“规范”)。规范将于今年10月1日起正式生效。
今天为大家带来全面的规范解析内容:
1、 适用对象:
规范原文要求“本标准为规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方 评估机构等组织对个人信息处理活动进行监督、管理和评估。”
解析:此标准适用于各类监管部门等评估企业个人信息保护的依据,即企业从实施方面则需依据此标准进行个人信息保护建设工作,规避合规审计类风险。
2、 标准的保护对象:
本标准的保护对象为个人信息,其中标准在个人信息的基础上细化了个人敏感信息,两者定义如下:
3、 标准中对于保护逻辑
基于个人信息流转的生命周进行防护,分别从收集、保存、使用、共享、转让等方向进行保护,最后明确对于个人信息安全事件的处置要求便于事中和事后的响应及追溯。
4、 技术要求:
2020版规范提出两个技术名词定义,分别是匿名化和去标识化,那么两种技术手段的区别见下图:
技术要求分析:从定义上看两个技术都是为了个人信息的安全性,那么这两类技术分别在那些场景使用呢?
匿名化技术的使用场景
1、超出个人信息存储期限后,应对个人信息进行删除或匿名化处理。
2、须对其所持有的个人信息进行删除或匿名化处理。
3、当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供 删除或匿名化定向推送活动所基于的个人信息的选项。
4、注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等。
5、个人信息主体注销账户后,应及时删除其个人信息或匿名化处理。因法律规定需要留存个人信息的,不能再次将其用于日常业务活动中。
去标识化技术的使用场景:
1、收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。
2、个人信息控制者宜对需展示的个人信息采取去标识化处理
3、个人信息共享时需进行去标识化处理。
5、企业应对
本期是基于术语和定义做出了详细的分析,下期会针对个人信息全生命周期的安全保护进行分析。
更多相关业务与内容,请持续关注我们。
详情请咨询:
电话:021-62101209-811
邮件:mkt@aryasec.com
相关新闻:
版权所有©上海安言信息技术有限公司 2014-2015