信息安全技術(shù) 個人信息安全規(guī)范-編制說明_第1頁
信息安全技術(shù) 個人信息安全規(guī)范-編制說明_第2頁
信息安全技術(shù) 個人信息安全規(guī)范-編制說明_第3頁
信息安全技術(shù) 個人信息安全規(guī)范-編制說明_第4頁
信息安全技術(shù) 個人信息安全規(guī)范-編制說明_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

一、工作簡況1.1任務(wù)來源2017年12月,GB/T35273-2017《信息安全技術(shù)個人信息安全規(guī)范》正式發(fā)布。本標(biāo)準一經(jīng)發(fā)布便受到廣泛關(guān)注,全國信息安全標(biāo)準化技術(shù)委員會針對該標(biāo)準召開多次宣貫、培訓(xùn)會,并在中央網(wǎng)信辦等四部門兩次隱私條款評審工作中得到應(yīng)用。同時,2018年標(biāo)準的實踐應(yīng)用過程中,得到了一系列反饋,考慮到本標(biāo)準廣泛的影響力,就其中內(nèi)容進行修訂,以更好地指導(dǎo)組織實踐。本次標(biāo)準修訂主要承辦單位:中國電子技術(shù)標(biāo)準化研究院。標(biāo)準負責(zé)人:洪延青。1.2主要工作過程1.2018年9月,由原標(biāo)準制定組進行廣泛調(diào)研2018年9月,原標(biāo)準制定組根據(jù)標(biāo)準應(yīng)用情況,展開廣泛調(diào)研,摸清國內(nèi)外的研究動向,為本標(biāo)準的修訂夯實牢固的基礎(chǔ)。調(diào)研過程中,著重調(diào)研有關(guān)部門隱私條款評審、監(jiān)管約談、法律法規(guī)編制、企業(yè)實踐經(jīng)驗等情況。2.成立標(biāo)準修訂工作組2018年10月,在原有標(biāo)準制定工作組基礎(chǔ)上,成立標(biāo)準修訂工作組。3.工作組多次內(nèi)部討論從2018年9月至2018年11月,工作組內(nèi)部共進行了5次內(nèi)部工作討論,分別提出了修訂原則和修訂內(nèi)容,并對提出的修改意見進行反復(fù)討論和推敲。尤其是針對捆綁授權(quán)、收集必要性、定向推送等重點問題進行了探討。3.2018年11月形成草案2018年11月底,標(biāo)準修訂工作組結(jié)合前期調(diào)研和討論情況,形成標(biāo)準草案。4.2018年12月首次向企業(yè)征求意見2018年12月,標(biāo)準修訂工作組就標(biāo)準草案內(nèi)容首次向企業(yè)代表征求意見,并對意見進行處理,形成草案版本2.0。5.2019年1月召開多次專家會議完善標(biāo)準,并形成征求意見稿2019年1月,標(biāo)準修訂工作組召開2次專家會議,召集標(biāo)準化、法律、科研機構(gòu)、學(xué)校等個人信息保護相關(guān)領(lǐng)域?qū)<疫M行研討,并積極吸收其建議;同時,標(biāo)準修訂工作組召開2次企業(yè)代表征求意見會議,就標(biāo)準最新內(nèi)容進行反復(fù)研討,最終,于2019年1月30日形成草案版本3.0。6.2019年2月1日,標(biāo)準草案公開向社會征求意見2019年2月1日,標(biāo)準修訂工作組就標(biāo)準草案內(nèi)容向社會公開征求意見,征求意見期限為45天。7.2019年3月-4月,標(biāo)準工作組處理收到的意見2019年3月至4月,標(biāo)準工作組召開多次工作組內(nèi)會議,分別對國外機構(gòu)和國內(nèi)機構(gòu)以及個人的意見進行逐條處理,進一步完善草案。8.2019年4月,在信安標(biāo)委會議周匯報2019年4月25日,標(biāo)準工作組將最細版本標(biāo)準草案在信安標(biāo)委寧波會議周期間的大數(shù)據(jù)工作組內(nèi)進行匯報,與組內(nèi)專家進行討論,最后順利將標(biāo)準推進至征求意見稿。9.2019年5-6月,標(biāo)準工作組內(nèi)部會議2019年5月至6月,標(biāo)準工作組召開多次工作組內(nèi)會議,對信安標(biāo)委寧波會議周期間的意見進行討論,同時結(jié)合App違法違規(guī)收集使用個人信息專項治理工作的實踐和個人信息相關(guān)法規(guī)政策文件要求,對標(biāo)準內(nèi)容進一步優(yōu)化。二、標(biāo)準修訂原則和確定主要內(nèi)容的論據(jù)及解決的主要問題2.1修訂原則《信息安全技術(shù)個人信息安全規(guī)范》通過借鑒國外標(biāo)準的研究,結(jié)合新的技術(shù)發(fā)展和國內(nèi)應(yīng)用實踐,提出與國際標(biāo)準接軌、適合我國國情,具有可操作性的“個人信息保護”標(biāo)準。通過該標(biāo)準的實施,支撐組織提升個人信息保護水平。同時為主管監(jiān)管部門開展個人信息安全相關(guān)監(jiān)督提供參考。《信息安全技術(shù)個人信息安全規(guī)范》標(biāo)準的修訂遵循以下原則:(1)先進性:標(biāo)準反映當(dāng)今個人信息保護的先進技術(shù)水平;(2) 開放性:標(biāo)準的編制、評審與使用具有開放性;(3) 適應(yīng)性:標(biāo)準結(jié)合我國國情;(4) 簡明性:標(biāo)準易于理解、實現(xiàn)和應(yīng)用;(5) 中立性:公正、中立,不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián);(6) 一致性:術(shù)語與國內(nèi)外標(biāo)準所用術(shù)語最大程度保持一致。2.2主要修訂內(nèi)容本標(biāo)準與GB/T35273-2017的主要差異如下:——“3縮略語”中補充了內(nèi)容;——增加了“5.3不得強迫收集個人信息的要求”;——“5.7征得授權(quán)同意的例外”進行了修改;——增加了“7.4個性化展示及退出”;——增加了“7.5基于不同業(yè)務(wù)目所收集的個人信息的匯聚融合”;——增加了“8.7第三方接入管理”;——修改了“10.1明確責(zé)任部門與人員;——增加“10.2個人信息處理活動記錄;——修改了“資料性附錄C保障個人信息主體選擇同意權(quán)的方法”?!黾恿恕案戒汣.1區(qū)分基本業(yè)務(wù)功能和擴展業(yè)務(wù)功能”、“C.2基本業(yè)務(wù)功能的告知和明示同意”、“C.3擴展業(yè)務(wù)功能的告知和明示同意”。2.3確定主要內(nèi)容的論據(jù)及解決的主要問題1.確定標(biāo)準修訂主要內(nèi)容的論據(jù)在標(biāo)準的修訂過程中,修訂工作組查閱了大量國內(nèi)外相關(guān)資料,進行學(xué)習(xí)、消化、比對和深入研究,結(jié)合自己的科研實踐,得出下述結(jié)論性意見,并得到多數(shù)專家的贊同。本次標(biāo)準修訂核心為以下三方面內(nèi)容:1)突出基本業(yè)務(wù)功能和擴展業(yè)務(wù)功能的劃分要求;2)增加基本業(yè)務(wù)功能和擴展業(yè)務(wù)功能的明示、同意的規(guī)則,同時修訂附錄C,給出具體的實現(xiàn)方式;3)增加新聞、時政、廣告的定向推送的規(guī)定。修訂工作組在《個人信息安全規(guī)范》“收集”這一章提出了兩個方案。方案一:區(qū)分基本業(yè)務(wù)功能和擴展業(yè)務(wù)功能。給出劃分原則,規(guī)定不同的授權(quán)同意方案等。但企業(yè)對方案一的反對聲音很大。方案二:不區(qū)分基本業(yè)務(wù)功能和擴展業(yè)務(wù)功能。但是增加了“不得強迫收集個人信息的要求”,著重打破“強制索權(quán)”的問題。同時“過度索權(quán)、過度收集個人信息”的問題,還是主要通過個人信息分級的思路來解決。經(jīng)與專家和企業(yè)的反復(fù)討論,最終確定將方案二作為標(biāo)準主體內(nèi)容,方案一作為資料性附錄供組織實現(xiàn)相應(yīng)機制時進行參考。此外,對于定向推送,《個人信息安全規(guī)范》修訂組結(jié)合《電子商務(wù)法》等法律法規(guī)相關(guān)規(guī)定提出了相應(yīng)的要求。2.解決的主要問題《個人信息安全規(guī)范》于2018年5月1日生效。在生效不到一年時修訂標(biāo)準,根本目的是為了突出體現(xiàn)、落實《網(wǎng)絡(luò)安全法》規(guī)定的個人信息收集、使用的“合法、正當(dāng)、必要”基本原則,尤其是“必要原則”,以此解決群眾反映強烈的APP“強制索權(quán)、過度索權(quán)、超范圍收集、強制個性化推送”的問題。三、主要試驗[或驗證]情況分析標(biāo)準修訂組廣泛征求前期參與四部門隱私條款評審的相關(guān)企業(yè)和在個人信息保護領(lǐng)域有豐富經(jīng)驗的企業(yè),包括阿里巴巴、騰訊、京東、百度、華為技術(shù)有限公司、高德地圖、滴滴出行、微軟中國、字節(jié)跳動、美團點評等。他們對修訂后的標(biāo)準進行試用與驗證。反饋的建議對標(biāo)準的修訂奠定了良好基礎(chǔ)。四、知識產(chǎn)權(quán)情況說明標(biāo)準的技術(shù)內(nèi)容不涉及專利。五、采用國際標(biāo)準和國外先進標(biāo)準情況個人信息保護上廣受關(guān)注。原有版本標(biāo)準編制過程中,廣泛參考了國內(nèi)外的相關(guān)標(biāo)準和規(guī)范,此次修訂結(jié)合目前的技術(shù)發(fā)展、我國的應(yīng)用實踐進行修改、補充與完善。提出與國際標(biāo)準接軌、適合我國國情的“個人信息安全規(guī)范”標(biāo)準。六、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準的協(xié)調(diào)性標(biāo)準符合現(xiàn)行法律、法規(guī)和規(guī)章;與相關(guān)標(biāo)準沒有沖突。七、重大分歧意見的處理經(jīng)過和依據(jù)無。八、標(biāo)準性質(zhì)的建議建議作為推薦性標(biāo)準頒布。九、貫徹標(biāo)準的要求和措施建議建議本標(biāo)準作為網(wǎng)絡(luò)安全標(biāo)準體系的一部分,配合實施。十、替代或廢止現(xiàn)行相關(guān)標(biāo)準的建議本標(biāo)準將代替GB/T35273—2007。十二、其它應(yīng)予說明的事項無。國家標(biāo)準《信息安全技術(shù)個人信息安全規(guī)范》(征求意見稿)修訂說明國

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論