個人信息安全工程原則
為使產品服務符合個人信息安全要求、更大程度保障用戶個人信息權益.組織宜在產品服務規劃建設時開展個人信息安全工程實踐.落實同步規劃、同步建設、同步使用個人信息安全措施。實施個人信 息安全工程時,基於尊重用戶、主動防範的理念.按照以下原則開展。
a ) 嵌入設計原則:將個人信息保護要求納入產品服務的設計中。
注 1:也稱隱私設計原則。
b ) 默認保護原則:產品服務的默認設置要最大程度保護個人信息安全,如默認收集最小化等。
注 2:也稱默認隱私原則。
c) 用戶中心原則:充分考慮用戶個人信息安全需求,以用戶為中心設計產品服務的個人信息安全 功能,最大程度保障用戶個人信息權益。
d ) 工程對應原則:個人信息安全工程與軟件開發生存周期對應,階段劃分一致.便於軟件升發和 工具集成。
e) 全程安全原則:在個人信息處理活動的全流程中實現個人信息安全。
附件:GB_T 41817-2022《信息安全技術 個人信息安全工程指南》實施日期:2023/5/1
收集人臉識別數據時應向數據主體告知人臉識別數據的相關事項;在識別過程中持續告知數據主體驗證目的,並通過語言,文字等向數據主體進行提示
車外數據未完成匿名化處理前不應向車外提供;匿名化處理過程中.除分析確定包含人臉以及車牌等個人信息的區域不應進行人臉比對步態分析以及語音識別等其他處理
應按照有關要求和標準進行數據分類分級保護,識別即時通信服務涉及的核心數據,重要數 據 ,一般數據,對不同級別的數據采取不同的保護措施
快遞物流服務數據處理活動主要圍繞著快遞物流服務的業務功能開展;用戶數據如收寄件人姓名,地址,聯係電話,企業賬號信息,企業通信信息等
網上購物服務的相關方包括買家,賣家,網上購物服務提供者及第三方服務提供者;用戶數據如買家消費記錄,收貨人信息(姓名,地址,電話號碼),賣家賬號信息等
網絡支付服務提供者如提供跨境支付服務,出境數據應僅限為處理跨境支付業務所需的必要信息,每年應自行或委托第二方機構對數據出境至少進行一次數據出境 風險評估
網絡音視頻服務提供者傳輸,存儲數據,應采用安全口令,數字簽名證書等 兩種及以上方式進行接收方身份鑒別與認證,個人身份信息與其他個人信息分開存儲
網絡預約汽車服務數據包括用戶數據如手機號碼,位置信息,支付信息,行蹤軌跡和行程錄音錄像等;業務數據如駕駛員數量,乘客數量,行程訂單量和裏程總數等
分析了量子安全通信發展機遇,研究了量子安全通信關鍵技術和產業標準規範,給出了基於端到端量子加密網絡內生安全的解決方案,打造重點行業量子安全通信應用標杆
企業內部基礎設施建設不完善,擁抱數字化轉型後缺少有效的安全防護措施;高額贖金已經成為網絡攻擊者極高的犯罪動力;遠程辦公增加安全風險