首页 > 赛迪观察 > 正文

企事业单位该如何保护个人信息?

来源:中国软件评测中心  作者:山健 朱信铭  投稿时间:2018-12-25

近期,中国软件评测中心作为国内权威的第三方系统安全检测机构,参与了针对北京市内各大高校的网络安全大检查工作。在检查工作的实施过程中,作为具体实施的中国软件评测中心网络空间安全测评工程技术中心特别关注针对个人信息保护相关的检查工作。通过检查过程中和被检查单位深入的沟通,了解到部分被检查单位虽具有个人信息保护意识,但具体工作人员对作为信息收集方和信息保管主体该如何保护个人信息还存在认识上的不足,此文就企事业单位该如何保护个人信息,这一普遍存在的疑问,进行一个简要的解答。

一、什么是个人信息?

个人信息是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

从信息的用途看,个人信息主要涉及以下三类。第一类用于建立特定主体之间互动的渠道,如电话号码、电子邮箱、地址、IMEI号等。第二类用于认证特定个人电子身份,如用户名密码、指纹、虹膜、Face ID等。一旦被泄露、滥用、误用,与电子身份紧密相连的各种权益都将处于巨大的风险之中。第三类用于描述特定个人某些方面的特征或情况,如浏览记录、婚史、行踪轨迹、教育经历、疾病史、宗教信仰、血型、基因信息、身份证号码等。

二、网络安全法对个人信息保护的要求

网络安全法对个人信息保护要求,中国软件评测中心认为有以下几点:

1. 明确履行个人信息保护的责任主体义务: 搜集、使用个人信息的网络运营者包括网络所有者、网络管理者和网络服务提供者就是个人信息保护的责任主体,并需要接受国家网信部门和有关监管部门的监督和管理。 

2.明确个人信息收集原则和范围:收集、使用个人信息,应采用合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;不得收集与提供服务无关的个人信息,不得违反法律和行政约束规定。

3. 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

三、企事业单位该如何依据网络安全法的要求保护个人信息

中国软件评测中心认为企事业单位需认真评估和履行网络安全法在个人信息保护方面的上述要求,我们建议采取如下四个步骤:

1. 计划与信息搜集: 确认自身是否属于网络安全法适用对象,是否属于网络运营者?确认是否或即将搜集、使用、存储公民的个人信息?确认自身拥有的或者正在使用的信息系统是否属于关键信息基础设施?如果是,建议各相关单位先应尽快盘点已搜集、使用、存储的个人信息类型、个人信息对应的容器和载体、内部访问、处理、分析、使用这些个人信息对应的人员岗位、存储这些个人信息的信息系统情况(例如系统后台数据库的物理位置等)、这些个人信息是否会被内部人员或者系统后台接口的方式披露、传输给外部第三方?

2. 差异分析和对标:基于第一步信息搜集的结果,各相关单位应评估当时业务操作与系统操作的现状是否能满足网络安全法中的法规要求

3.整改与行动:上一步差异分析的结果应根据影响程度、整改成本等尽快明确整改策略、整改计划与具体执行方案。 

4. 持续改进:基于各单位业务、管理、信息系统的不断变化,其个人信息搜集、使用、存储的范围、生命周期的管理方式也随之变化。因此各相关单位需要考虑建立一套可持续的、完整的个人信息保护管理框架,并应从治理层包括目标战略、治理组织,管理层包括岗位职责、个人信息保护流程、个人信息保护教育培训、个人信息保护评估与改进机制等维度完善个人信息保护的框架。从而不仅实现某个时间点上的合法合规,更要实现可持续性的合法合规并最终赢得消费者和客户的认可、信任和期望。(通讯员:雷蕾)

共1页 |< 首页 < 上一页 1 下一页 > 尾页 >|

【上一篇】: 新技术创造互联网体育新机遇!    【下一篇】: 2018年数据泄露事件频出,如何破解?

  中国电子信息产业发展研究院(赛迪集团)是直属于国家工业和信息化部的一类科研事业单位。成立二十多年来,一直致力于面向政府、面向企业、面向社会提供研究咨询、评测认证、媒体传播与技术研发等专业服务。形成了政府决策与软科学研究、传媒与网络服务、咨询与外包服务……[详细]

赛迪专家更多

链条化、生态化成为电子信息产业发展必然要求

中国电子信息产业发展研究院副总工程师安晖发表了《强..

赛迪专家央视解读一季度工业通信业

4月23日,中央二套财经频道——《经济信息联播》栏..

赛迪机构

咨询业 媒体业 评测业 信息技术服务业 会展培训业 其他(分支机构)