個人信息安全規範的國家標準將實施，這幾點個人信息保護常識很重要！

當前移動互聯網、物聯網高速發展和普及的階段，個人信息被非法收集、濫用的情況非常嚴重。上述國家標準的出台對於移動互聯網時代的個人信息保護工作具有重要意義。

該標準正式實施後，所有收集和處理個人信息的單位或組織，特別是藉助網路技術收集和處理個人信息的組織，都要按照標準要求，保障個人信息安全。

《信息安全技術 個人信息安全規範》對個人信息控制者對個人信息的收集、保存、處理、傳輸和存儲等方面都提出具體要求。由於文件內容較多，小編把規範中個人需要知曉的最基本常識性內容摘錄如下。

一、個人信息的範圍

以電子或其他方式記錄的能夠單獨或與其他信息結合識別自然人身份的各種信息，包括與確定自然人相關的生物特徵、位置、行為等信息，如姓名、出生日期、身份證號、個人賬號信息、住址、電話號碼、指紋、虹膜等。（註：關於個人信息的範圍和類別可參考附錄A。）

規範特別注重對個人敏感信息的保護，個人敏感信息的含義如下。

指一旦泄露、披露或濫用可能危害人身和財產安全、損害個人名譽和身心健康、導致歧視性待遇等的個人信息。通常情況下，身份證號、銀行卡號、健康記錄、生物特徵等屬於個人敏感信息。（註：關於個人敏感信息的範圍和類別可參考附錄B。）

二、關於個人信息的收集

1. 收集要求

a）收集個人信息應具備合法、正當的目的，並清晰、準確地予以描述；

b）根據已確定的目的，確定所需收集的個人信息最小元素集，以及存放地域、存儲期限、收集頻率等處理規則；

c）在收集前向個人告知信息處理目的、個人信息最小元素集、處理規則、實際收集的個人信息範圍，以及個人享有的訪問、更正、刪除個人信息，註銷賬戶等權利；

d）應在取得個人信息主體授權同意後，才可處理個人信息，法律法規另有規定的除外；

e）實際收集的個人信息範圍超出個人信息最小元素集時，不得因個人信息主體不同意而拒絕向其提供服務，並保障相應的服務質量；

f）收集動態性的個人信息時，應保持合理的頻率，避免超出服務目的所必需；

g）如個人信息主體對收集有疑義或反對，應停止收集活動。

2. 收集的原則：目的合法性

在收集個人信息前，應驗證個人信息處理目的的合法性，考慮因素包括但不限於：

a）遵循法律法規和公序良俗；

b）履行合同義務所必需；

c）不侵害個人信息主體的利益；

d）維護公共利益所必需。

三、個人信息主體同意

除法律法規另有規定外，應在取得個人信息主體授權同意後，才可收集個人信息，包括：

a）事先明確個人信息主體的同意範圍，不應強制要求個人信息主體同意超範圍收集個人信息的要求；

b）收集個人敏感信息時，確保個人信息主體的同意是其在完全知情的基礎上自願給出的、具體的、清晰明確的願望表示，如個人信息主體主動聲明（電子或紙質形式）或主動點擊「同意」選項，不得以默許同意方式獲取用戶同意；

c）收集身份證、護照、駕照等法定證件信息時，專門提醒個人信息主體此次收集活動涉及其法定證件信息，並說明處理目的；

d）主要業務面向未成年人的，在收集未成年人個人信息前應取得其監護人或法定代理人的明示同意；

e）基於多個來源的信息創建可公開展示的綜合個人信息前，應徵得個人信息主體的同意。

四、關於個人信息的保存

1. 個人信息保存時間最小化

對個人信息控制者的要求包括：

a) 個人信息保存期限應為實現目的所必需的最短時間;

b) 超出上述個人信息保存期限後，應對個人信息進行刪除或匿名化處理。

2. 個人信息收集最小化

a）應列出為達到已聲明目的所需處理的個人信息最小元素集，包括個人信息類別和內容，並告知個人信息主體；

b）更新個人信息最小元素集時，應及時告知個人信息主體；

c）收集超出個人信息最小元素集的個人信息時，應明確告知個人信息主體並徵得個人信息主體的明示同意。

3. 去標識化處理

收集個人信息後，個人信息控制者宜立即進行去標識化處理，並採取技術和管理方面的措施，將去標識化後的數據與可用於恢復識別個人的信息分開存儲，並確保在後續的個人信息處理中不重新識別個人。

4.個人敏感信息的傳輸和存儲

對個人信息控制者的要求包括：

a) 傳輸和存儲個人敏感信息時，應採用加密等安全措施;

b) 存儲個人生物識別信息時，應採用技術措施處理後再進行存儲，例如僅存儲個人生物識別信息的摘要。

5. 個人信息控制者停止運營

當個人信息控制者停止運營其產品或服務時，應：

a)及時停止繼續收集個人信息的活動;

b) 將停止運營的通知以逐一送達或公告的形式通知個人信息主體;

c) 對其所持有的個人信息進行刪除或匿名化處理。

五、信息主體本人的知情權

1. 知情權內容

《規範》要求，個人信息的控制者，也就是收集、掌握個人信息的公司或組織，要及時向個人信息主體告知的內容應包括但不限於：

a）個人信息控制者的基本情況，包括註冊名稱、註冊地址、常用辦公地點和聯繫方式、個人信息安全專員的聯繫方式（如適用）等；

b）處理個人信息的目的和依據，以及目的與所收集的個人信息的對應關係；

c）收集個人信息的來源、存放地域、存儲方式和期限，對超出存儲期限的個人信息的處置方式等；

d）是否將個人信息用於直接商業營銷；

e）是否形成個人數字畫像，及其可能對個人信息主體合法權益造成的影響等；

f）對外披露或轉讓個人信息的場景、涉及的個人信息類別和接收個人信息的第三方；

g）提供個人信息後可能存在的安全風險，及不提供個人信息可能產生的影響；

h）採取的個人信息安全措施；

i） 個人信息主體的權利和實現機制，如選擇和撤回同意的方法、訪問方法、更正方法、刪除方法、註銷賬戶的方法、獲取個人信息副本的方法、約束信息系統自動決策的方法等；

j）處理個人信息主體詢問和投訴的內部渠道和機制，以及外部爭議解決機構及聯絡方式。

2. 告知方式

a）所告知的內容應易於個人信息主體訪問，並應確保告知信息的完整性和準確性，如在網站的專門頁面、移動應用程序安裝頁、社交媒體頁面等顯著位置發布隱私聲明或政策（參考附錄C）；

b）應逐一告知個人信息主體，當告知成本過高或有顯著困難時，應能提供分析說明，並以公告的形式告知；

c）內容應清楚明白易懂，符合通用的語言習慣，避免使用有歧義的語言；

d）應使用標準化語言、數字、圖示等；

3. 告知時間

a）對於直接從個人信息主體獲得的個人信息的，應在收集個人信息前告知；

b）對於非直接從個人信息主體獲得的個人信息的，應在處理個人信息前或在獲得個人信息後的合理期限內告知。

內容較多。針對個人信息採集，可以說規範的非常詳細、到位。期望企業或機構了解，做到合法合規；期望個人了解，維護自己的合法權益。

4. 安全事件的知情權

這一點特別重要，《規範》規定，誰泄露你的信息，要及時通知你，以便你做好防範，防止更大的損失。

《規範》規定，個人信息控制者要履行安全事件告知義務。例如，互聯網公司遇到客戶信息泄露事件，要按要求及時通知信息主體本人。

具有要求包括：

a) 應及時將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的個人信息主體。難以逐一告知個人信息主體時，應採取合理、有效的方式發布與公眾有關的警示信息;

b) 告知內容應包括但不限於：

1) 安全事件的內容和影響;

2) 已採取或將要採取的處置措施;

3) 個人信息主體自主防範和降低風險的建議;

4) 針對個人信息主體提供的補救措施;

5) 個人信息保護負責人和個人信息保護工作機構的聯繫方式。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！