随着《网络安全法》、《个人信息保护法》、《个人信息安全规范》、《数据安全法》等国家一系列个人信息安全相关的法律法规出台,原本被绝大多数企业所忽视的个人隐私信息数据保护被推到了风口浪尖,这对从事IT系统开发的从业者也带来了新的挑战。因此在设计和开发系统的过程中就需要引入相关的策略和制度加以管理。
个人信息安全是指公民身份、财产等个人信息的安全状况。主要包括以下内容:
1. 基本信息。为了完成大部分网络行为,消费者会根据服务商要求提交包括姓名、性别、年龄、身份证号码、电话号码、Email地址及家庭住址等在内的个人基本信息,有时甚至会包括婚姻、信仰、职业、工作单位、收入等相对隐私的个人基本信息。
2. 设备信息。主要是指消费者所使用的各种计算机终端设备(包括移动和固定终端)的基本信息,如位置信息、Wifi列表信息、Mac地址、CPU信息、内存信息、SD卡信息、操作系统版本等。
3. 账户信息。主要包括网银账号、第三方支付账号,社交账号和重要邮箱账号等。
4. 隐私信息。主要包括通讯录信息、通话记录、短信记录、IM应用软件聊天记录、个人视频、照片等。
5. 社会关系信息。这主要包括好友关系、家庭成员信息、工作单位信息等。
6. 网络行为信息。主要是指上网行为记录,消费者在网络上的各种活动行为,如上网时间、上网地点、输入记录、聊天交友、网站访问行为、网络游戏行为等个人信息。
个人信息安全管理涉及从收集、传输、存储、使用、删除,到最终销毁的数据全生命周期。系统的开发设计就需要遵循该流程完整的链条,确保每个环节的个人信息都能得到有效的管理。
注释
PII :个人身份信息;
PII 主体:指个人身份信息所涉及的自然人。
1. 采集阶段:
业务相关的负责人应确保我方提供的产品或服务在收集PII前,将使用PII的目的、方式、和范围等规则, 清楚地记录并传达给 PII主体。相关业务负责人应确保我方提供的产品或服务在收集和处理个人信息时遵循“最小化”原则。具体要求如下:
收集个人信息前,应征得PII主体的明示同意,并应确保PII主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示;
收集个人生物识别信息前,应单独向PII主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得PII主体的明示同意; 个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。
收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意;
不应以欺诈、诱骗、误导的方式收集个人信息;
不应隐瞒产品或服务所具有的收集个人信息的功能。
2. 传输控制
当处于业务需要导致个人信息必须通过网络传输时,相关业务负责人应确保传输过程使用足够安全的加密措施,并记录传输日志。
3. 存储与保留
相关业务负责人应确保在存储个人信息时,符合以下要求:
存储个人信息时应采取加密措施;
个人生物识别信息应与个人身份信息分开存储;
在非必要情况不应存储原始个人生物识别信息(如样本、图像等),应优先考虑仅存储个人生物识别信息的摘要信息,在必须存储生物识别信息的原始图像场景下,应遵循存储时间的“最小化”原则。
个人信息存储期限应为实现PII主体授权使用的目的所必需的最短时间,法律法规另有规定或者PII主体另行授权同意的除外; 超出上述个人信息存储期限后,应对个人信息进行删除或匿名化处理。
4. 访问、更正和删除
相关业务的负责人应确保为PII主体提供删除其个人信息的途径和响应机制,具体要求如下:
当PII主体因为我方违反法律法规规定或与PII主体的约定收集、使用其个人信息而主动要求删除的情况,应及时删除个人信息:
当我方违反法律法规规定或违反与PII主体的约定向第三方共享、转让个人信息,且PII主体要求删除的,我方应立即停止共享、转让的行为,并通知第三方及时删除;
当我方违反法律法规规定或违反与PII主体的约定,公开披露个人信息,且PII主体要求删除的,我方应立即停止公开披露的行为,并发布通知要求相关接收方删除相应的信息。
修改或撤回同意的机制:相关业务负责人应确保我方提供的产品或服务在获得PII主体同意收集个人信息的授权后,通过相同途径为PII整体提供撤回收集、使用其个人信息的授权同意的方法。例如,如果通过电子邮件或网站收集同意书,撤回同意书的机制应该是相同的,而不是电话或传真等替代解决方案。撤回授权同意后,后续公司不应再处理相应的个人信息。
5. 转移记录
在个人数据的保留期内,若发生向第三方转移,或从第三方转移的情况,业务相关负责人应确保与第三方紧密合作,对转移原因、时间、途径和保存位置的变化进行记录,以支持对PII主体的义务。
转移记录的保留期与个人信息的保留期保持一致。
6. 向第三方披露的记录
个人信息保留期内,若发生对第三方披露的情况,业务相关负责人应确保记录具体的披露内容、披露对象、时间以及披露的权威授权来源。
7. 处理结束时标识和销毁
相关业务负责人应确保当我方提供的产品或服务不再必须使用所收集的个人信息时,应及时将个人信息删除,或进行匿名化处理,应确保匿名化后的数据无法再被重新识别。
我方提供的产品或服务应向PII主体提供注销账户的方法,且方法简便易操作。受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理。
总之,在系统设计开发过程要严格遵循以下原则:数据采集要获得个人信息持有人的同意,数据采集遵循“最小化”和“必要性”原则,数据传输和保存做到加密和受控,数据使用、转移、共享均要征求持有人同意且有记录可寻,处理结束时数据及时删除或匿名化处理。
网友评论