《GB/T 35273：2017信息安全技術(shù)：個(gè)人信息安全規(guī)范》——個(gè)人信息的保護(hù)鎖

時(shí)間：2018-09-03作者：通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司瀏覽：176

    8月28日，某**連鎖酒店疑似發(fā)生用戶數(shù)據(jù)泄露事件，近1.3億用戶的個(gè)人信息，包括：姓名、身份證號(hào)、家庭住址、生日、手機(jī)號(hào)、郵箱、登錄密碼、入住時(shí)間、離開時(shí)間、酒店ID號(hào)、房間號(hào)、消費(fèi)金額等，被公開叫賣。這批數(shù)據(jù)被脫庫(kù)時(shí)間顯示為2018年8月14日，是非常新的數(shù)據(jù)，總數(shù)據(jù)量達(dá)到110G以上。人們?cè)俅伪徊豢耙粨舻膫€(gè)人信息保護(hù)問(wèn)題所**，觸目驚心的泄露數(shù)據(jù)內(nèi)容和數(shù)據(jù)量，使人們深深疑問(wèn)：到底由誰(shuí)、怎么樣才能**廣大用戶的個(gè)人信息安全。
    眾所周知，2017年6月1日《網(wǎng)絡(luò)安全法》已正式實(shí)施（其中，*42條明確規(guī)定“未經(jīng)被收集者同意，不得向他人提供個(gè)人信息?！薄?44條則提出“任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息”），其后全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)**（信安標(biāo)委）出臺(tái)了一系列的標(biāo)準(zhǔn)，以支持和**《網(wǎng)絡(luò)安全法》的有效落實(shí)，其中GB/T 35273：2017 《信息安全技術(shù)：個(gè)人信息安全規(guī)范》（下稱《安全規(guī)范》）提出了用于實(shí)踐《網(wǎng)絡(luò)安全法》中有關(guān)個(gè)人信息保護(hù)的規(guī)范類要求，并于2018年5月1日正式實(shí)施，此外，《安全規(guī)范》在編制過(guò)程中保持了與**主流個(gè)人信息保護(hù)法令的一致性，例如，歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）。可以認(rèn)為，《安全規(guī)范》可作為《網(wǎng)絡(luò)安全法》**實(shí)踐中的重要參考文件。
    《安全規(guī)范》提出了使用或處理個(gè)人信息的處理者（狹隘地講，可以認(rèn)為就是公司或企業(yè)）需遵循的原則和應(yīng)承擔(dān)的責(zé)任，就具體內(nèi)容來(lái)講，主要包括個(gè)人信息以及個(gè)人敏感信息的范圍界定、個(gè)人信息處理的安全基本原則、個(gè)人信息流轉(zhuǎn)環(huán)節(jié)的要求，例如，收集、保存、使用、委托處理、共享、轉(zhuǎn)讓和公開披露，以及與個(gè)人信息安全事件處置有關(guān)的內(nèi)控管理要求等多個(gè)方面。
    從個(gè)人信息以及個(gè)人敏感信息的范圍界定來(lái)看，個(gè)人信息則包括個(gè)人身份信息、個(gè)人生物識(shí)別信息、網(wǎng)絡(luò)身份標(biāo)識(shí)信息、個(gè)人教育工作信息、個(gè)人財(cái)產(chǎn)信息、個(gè)人通信信息、個(gè)人上網(wǎng)記錄等等；個(gè)人敏感信息則包括個(gè)人財(cái)產(chǎn)信息、個(gè)人健康生理信息、個(gè)人生物識(shí)別信息、個(gè)人身份信息、網(wǎng)絡(luò)身份標(biāo)識(shí)信息等，并在附錄中給出了個(gè)人信息與個(gè)人敏感信息的具體實(shí)例。
    從個(gè)人信息處理的安全基本原則角度來(lái)看，則包括：（1）權(quán)責(zé)一致；（2）目的明確；（3）選擇同意；（4）較少夠用；（5）公開透明；（6）確保安全；以及（7）主體參與共七大項(xiàng)。重點(diǎn)在于，維護(hù)個(gè)人信息保護(hù)過(guò)程中，堅(jiān)持多方共同參與，積極發(fā)揮公民以及其他主體的保護(hù)能動(dòng)性等形式。
    從個(gè)人信息流轉(zhuǎn)環(huán)節(jié)的要求角度來(lái)看，強(qiáng)調(diào)了尊重個(gè)人信息主體真實(shí)意愿，**個(gè)人信息主體的訪問(wèn)、更正以及刪除其個(gè)人信息的權(quán)利，同時(shí)要求個(gè)人信息控制者具備與安全風(fēng)險(xiǎn)相匹配的安**力，并且采取適當(dāng)?shù)墓芾泶胧┖图夹g(shù)手段保護(hù)個(gè)人信息的保密性、完整性和可用性，切實(shí)承擔(dān)相應(yīng)的義務(wù)與責(zé)任。
    從個(gè)人信息安全事件處置等內(nèi)控管理要求來(lái)看，則要求個(gè)人信息控制者應(yīng)當(dāng)就個(gè)人信息制定相關(guān)的安全事件應(yīng)急預(yù)案，制定了一系列相關(guān)措施，較為主要的包括，要求個(gè)人信息控制者定期對(duì)個(gè)人信息安全影響進(jìn)行評(píng)估，建立自身的評(píng)估機(jī)制，除此以外，還應(yīng)建設(shè)適當(dāng)?shù)臄?shù)據(jù)安**力，定期對(duì)相關(guān)人員進(jìn)行管理培訓(xùn)，并對(duì)自身建立的相關(guān)隱私政策以及安全措施的有效性進(jìn)行審計(jì)，完善具體的審計(jì)體系，落實(shí)必要的管理和技術(shù)措施，較大程度地防范個(gè)人信息的泄露、損毀和丟失等情況發(fā)生。
    《安全規(guī)范》屬于推薦性國(guó)家標(biāo)準(zhǔn)，和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)不同，因此，監(jiān)管部門可以將規(guī)范當(dāng)作執(zhí)法指引，卻不能作為執(zhí)法的直接依據(jù)，但是，可通過(guò)“轉(zhuǎn)化”的方式，把規(guī)范融入到日常監(jiān)管要求當(dāng)中，例如，2018年5月21日，中國(guó)銀保監(jiān)會(huì)發(fā)布的《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》中*24條明確要求：“銀行業(yè)金融機(jī)構(gòu)采集、應(yīng)用數(shù)據(jù)涉及到個(gè)人信息的，應(yīng)遵循**個(gè)人信息保護(hù)法律法規(guī)要求，符合與個(gè)人信息安全相關(guān)的國(guó)家標(biāo)準(zhǔn)”，同樣的，其他監(jiān)管部門后續(xù)在制定規(guī)章和規(guī)范性文件的時(shí)候，也會(huì)參照《安全規(guī)范》中所確定的規(guī)則，并將其融入到規(guī)章和規(guī)范性文件中去。
綜上可以看出，《安全規(guī)范》的出臺(tái)符合產(chǎn)業(yè)發(fā)展的需要，也較靠近**上通行的做法，呼應(yīng)了國(guó)家有關(guān)個(gè)人信息安全的政策戰(zhàn)略、法律法規(guī)以及其他規(guī)范，勾勒出具體且明確的操作規(guī)則進(jìn)而提供可行的合規(guī)指南，對(duì)于有效**公民的合法權(quán)益、及時(shí)制止侵害個(gè)人信息的行為都具有重要的意義。同時(shí)，隨著規(guī)范實(shí)施后積累的實(shí)踐經(jīng)驗(yàn)，也將為后續(xù)的個(gè)人信息保護(hù)立法打下很好的基礎(chǔ)。（Frake. Chen ）


通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司專注于ISO9001,ISO14001,ISO45001等

• 詞條

  詞條說(shuō)明

• **一個(gè)可持續(xù)和韌性基礎(chǔ)設(shè)施認(rèn)證(SuRe?)項(xiàng)目落戶山東德州

  2019年6月26日，***與山東安德湖投資有限公司在山東省德州市舉行安德湖生態(tài)小鎮(zhèn)可持續(xù)和韌性基礎(chǔ)設(shè)施標(biāo)準(zhǔn)（SuRe?）認(rèn)證項(xiàng)目簽約儀式。德國(guó)**合作機(jī)構(gòu)（GIZ），**基礎(chǔ)設(shè)施巴塞爾基金會(huì)（GIB）,德國(guó)**認(rèn)證認(rèn)可機(jī)構(gòu)(ASI), 德州市**，齊河縣縣**等機(jī)構(gòu)及**代表出席了此次會(huì)議。 簽字儀式由中國(guó)設(shè)備監(jiān)理協(xié)會(huì)秘書長(zhǎng)助理張瑞杰先生主持，他介紹了可持續(xù)和韌性基礎(chǔ)設(shè)施認(rèn)證標(biāo)準(zhǔn)（SuRe?）

• 京東生鮮通過(guò)***認(rèn)證成為獲得ISO9001、BRCGSAB雙重認(rèn)證的生鮮電商平臺(tái)

  6月13日，京東生鮮“尋鮮記”最后一站回歸京東植物工廠，深度探訪現(xiàn)代智能農(nóng)業(yè)發(fā)展。本次，京東生鮮同時(shí)向***申請(qǐng)了ISO 9001和BRCGS A&B的雙認(rèn)證，且在經(jīng)過(guò)****的評(píng)審后成功獲得了ISO 9001和BRCGS A&B的認(rèn)證證書，成為了國(guó)內(nèi)一個(gè)獲此殊榮的生鮮電商平臺(tái)。 ***通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司北區(qū)總監(jiān) 蔡文輝先生在此次活動(dòng)中發(fā)表演講 提到在中國(guó)市場(chǎng)消費(fèi)升級(jí)的大背景下，消費(fèi)者對(duì)于

• 管理體系4.0加速中國(guó)制造業(yè)、服務(wù)業(yè)數(shù)字化轉(zhuǎn)型

  近日，***通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司（簡(jiǎn)稱“***”）攜手深圳奧哲網(wǎng)絡(luò)科技有限公司（簡(jiǎn)稱“奧哲”）、北京鑫牧思網(wǎng)絡(luò)科技有限公司（簡(jiǎn)稱“鑫牧思”） 三方正式簽訂戰(zhàn)略合作協(xié)議，將基于管理體系的數(shù)字化解決方案——“管理體系4.0” （簡(jiǎn)稱“MS 4.0”）發(fā)揮自身行業(yè)優(yōu)勢(shì)及資源，共同致力于為中國(guó)制造業(yè)、服務(wù)業(yè)提供較專業(yè)的技術(shù)與服務(wù)，用可行、可靠、可持續(xù)的數(shù)字化平臺(tái)，助力企業(yè)較快地實(shí)現(xiàn)管理的數(shù)字化轉(zhuǎn)型。

• ISO/IEC27701賦能**隱私信息安全，為商業(yè)文明保駕**

  隱私保護(hù)一直是一個(gè)備受關(guān)注的敏感問(wèn)題，隱私保護(hù)深入與完善的程度，不僅是社會(huì)進(jìn)步的體現(xiàn)，也是人類文明的標(biāo)志。隨著信息技術(shù)的高速發(fā)展，越來(lái)越多的企業(yè)與個(gè)人較加關(guān)心個(gè)人信息在商業(yè)領(lǐng)域和網(wǎng)絡(luò)云端的安全使用與有效保護(hù)。 大數(shù)據(jù)應(yīng)用的不斷開發(fā)，云端信息交互領(lǐng)域的擴(kuò)展，“萬(wàn)物互聯(lián)”促進(jìn)商務(wù)信息多元共融，使得隱私信息在工作與生活中跨平臺(tái)頻繁使用。 從電腦端向移動(dòng)端應(yīng)用習(xí)慣的轉(zhuǎn)換，信息數(shù)據(jù)獲取與傳輸?shù)撵`活性，使得人