首页 > 其他分享 >个保新标解读|《信息安全技术 敏感个人信息处理安全要求》(征求意见稿)

个保新标解读|《信息安全技术 敏感个人信息处理安全要求》(征求意见稿)

时间:2023-08-11 18:02:49浏览次数:41  
标签:信息处理 个人 安全 信息安全 个人信息 敏感 保新标

8 月 9 日,全国信息安全标准化技术委员会公开发布关于国家标准《信息安全技术 敏感个人信息处理安全要求》(征求意见稿)(以下简称《标准》)的通知,面向社会广泛征求意见。

个保新标解读|《信息安全技术 敏感个人信息处理安全要求》(征求意见稿)_数据安全


《标准》的制定背景是为支撑《个人信息保护法》第二节敏感个人信息的处理规则的落地实施,《标准》针对医疗健康、金融账户、行踪轨迹等敏感个人信息,明确数据处理者进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求,重点针对采集必要性、安全保护、脱敏规则、告知同意等方面提出要求。

近年来,涉及对医疗健康、行踪轨迹、金融账户等敏感个人信息的非法收集与使用等典型案件不胜枚举,依托于互联网的各类应用程序(App),如移动支付、网约车、在线问诊挂号、线上借贷等业务运营均需要以用户的敏感个人信息为依托。首先,背后支撑这些业务的数据湖仓、业务系统中必然涉及到大量的敏感个人信息数据处理活动。其次,无论是湖仓数据开发和探索,或是数据平台和业务系统的数据运维,必然存在自然人对敏感个人信息的直接访问。第三,采用生态合作和数据委托方式加速业务的同时,必然存在对敏感个人信息的跨组织和地域的供给或共享。

原点安全技术专家认为,随着监管要求的收紧和监管粒度的深化,敏感个人信息保护与利用、流通的矛盾日益突出,本次《标准》征求意见稿的推出,是主管部门对于个人信息保护的更进一步要求;同时,作为个人信息处理者,以敏感个人信息为核心及切入点,以理清敏感个人信息的数据收集和存储状态为基础,在场景化数据应用过程中,综合利用且无缝衔接基于敏感数据标签的访问控制、脱敏、加密、控权、行为分析等技术手段,从业务和安全两个维度的一体化视角构建整体方案,能更清晰、更具体地做好个人信息保护,在数据保护与利用之间,寻找到适合自身的平衡,提升企业数据利用能力,释放数据产能。


《标准》与有关法律、行政法规和相关标准的关系?

《标准》符合现有法律法规的要求。


《个人信息保护法》第二章第二节规定了敏感个人信息的处理规则。第二十八条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。


《信息安全技术 个人信息安全规范》规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求;同时规定了个人敏感信息的传输和存储等内容。


敏感个人信息与个人信息处理者如何定义与识别?

01 定义

敏感个人信息

sensitive personal information

定义:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。


个人信息处理者

personal information processor

定义:自主决定处理目的、处理方式的组织、个人。


02 识别方法

个人信息处理者在进行个人信息处理前,应按照以下方法识别敏感个人信息。符合以下任一属性的,应识别为敏感个人信息:

  1. 个人信息遭到泄露或者非法使用,容易导致自然人的人格尊严受到侵害;
    示例 1:个人信息主体可能会因特定身份、犯罪记录、宗教信仰、性取向、特定疾病和健康状态等信息泄露遭到歧视性待遇。
  2. 个人信息遭到泄露或者非法使用,容易导致自然人的人身安全受到危害;
  3. 个人信息遭到泄露或者非法使用,容易导致自然人的财产安全受到危害;
    示例 2:泄露、非法使用金融账户信息及其相关的鉴别信息(如支付口令),可能会造成个人信息主体的财产损失。


处理敏感个人信息应采取哪些安全保护措施?

根据《个人信息保护法》的规定,处理敏感个人信息应当采取严格的保护措施。《标准》从安全保护要求和安全管理要求层面,针对敏感个人信息的全流程需采取的保护措施进行了细致的规定,一定程度上弥补了《个人信息保护法》关于敏感个人信息安全保护措施的空白。


《标准》中关于敏感个人信息处理基本要求:

处理敏感个人信息应具有特定的目的和充分的必要性,取得个人的单独同意,应在满足 GB/T35273—2020 《信息安全技术 个人信息安全规范》要求的基础上,在收集、存储、使用、加工、传输、提供、公开、删除等处理的各个环节采取严格保护措施。


具体而言应从以下几点开展:

  1. 在敏感个人信息收集环节,个人信息处理者在收集敏感个人信息前,收集非敏感个人信息可以实现处理目的的,不应收集敏感个人信息;应仅在个人信息主体使用业务功能期间,收集该业务功能所需的敏感个人信息;应按照业务功能或服务场景,分项收集敏感个人信息。
  2. 在敏感个人信息使用环节,个人信息处理者应遵循所约定的处理目的、处理方式开展敏感个人信息处理活动,并对处理情况进行记录;应在个人信息接收方的个人信息保护能力不低于个人信息处理者的条件下传输敏感个人信息;
  3. 在敏感个人信息传输环节,互联网传输敏感个人信息时,应至少采用通道加密方式进行传输,宜采用通道加密与内容加密两种加密方式结合进行,通道加密和内容加密算法应符合有关行业技术标准与行业主管部门有关规定要求;应定期评估或验证敏感个人信息传输方式的安全状况,网络环境发生重大变化时,应及时调整安全策略;应定期梳理应用及 API 资产清单,定期针对应用及 API 传输敏感个人信息情况进行审计;
  4. 在敏感个人信息存储环节,个人信息处理者应将经过加密、去标识化处理后的敏感个人信息应与解密密钥、其他个人信息等分开存储;对于敏感个人信息存储环境按照就高从严原则设定安全保护措施,应建立异常监测和分析能力,对出现的异常情况进行及时响应,动态调整安全保护措施。
  5. 在敏感个人信息访问环节,应在对角色权限控制的基础上,按照业务流程的需求触发操作授权,定期针对敏感个人信息的访问、修改、删除、导出等操作进行日志审计;建立异常监测预警和响应机制,对超出业务正常需求的异常操作(如频繁、大量敏感个人信息浏览查询、下载、打印,非工作时间操作等)应采取中断操作,并通过邮件、消息、弹窗等形式进行告警,开展分析调查,提前排除隐患;
  6. 在敏感个人信息删除方面,个人信息处理者应定期评估敏感个人信息删除或匿名化处理效果,确保已删除或匿名化处理的敏感个人信息不具备还原能力;应建立敏感个人信息过期自动删除机制,法律、行政法规规定需要留存敏感个人信息的,应在到期后及时删除。
  7. 安全管理要求方面,要求敏感个人信息处理者对敏感个人信息实行分类管理,按照有关规定,达到一定量级的敏感个人信息,应参照重要数据进行保护;并建立敏感个人信息安全管理策略,对敏感个人信息的处理行为进行识别、审批、记录、审计;开展个人信息保护影响评估,并对处理情况进行记录;数据安全能力应达到GB/T 37988—2019 《信息安全技术 数据安全能力成熟度模型》三级及以上能力要求;规划建设涉及敏感个人信息处理产品和服务时,宜参考 GB/T41817—2022 《信息安全技术 个人信息安全工程指南》开展个人信息安全工程实践,同步规划、同步建设、同步部署、同步使用个人信息安全措施。处理敏感个人信息超过1万条、涉及个人信息跨境传输的,应开展数据出境风险自评估,并通过所在地省级网信部门向国家网信部门申报数据出境安全评估。


敏感个人信息处理有哪些特殊安全要求?

此前,国家网信办针对人脸识别信息发布了专门的安全管理规定征求意见稿,以规范人脸识别信息的处理活动。《标准》亦对于不同类型的常见敏感个人信息类别进行了特殊安全要求


个保新标解读|《信息安全技术 敏感个人信息处理安全要求》(征求意见稿)_信息安全_02

常见敏感个人信息类别


个保新标解读|《信息安全技术 敏感个人信息处理安全要求》(征求意见稿)_数据_03

常见敏感个人信息的特殊安全要求


《标准》中参考的相关文件

[1] GB/T 35274-2017 信息安全技术 大数据服务安全能力要求

[2] GB/T 37973-2019 信息安全技术 大数据安全管理指南

[3] GB/T 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求

[4] GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南


一体化数据安全平台可实现组织内敏感数据发现与数据分类分级,并形成敏感数据资产目录;在此之上提供一体化的敏感数据访问控制、数据权限管控、数据动态脱敏、敏感数据访问审计等功能,满足数据安全管控、个人信息保护和数据出境安全合规要求,让企业的数据更安全,合规更高效。

 

数据安全平台可涵盖企业数据安全管理常见手段及管理方式,包括数据资产盘点管理,敏感数据识别、数据分类分级;数据库防火墙、数据审计,数据库安全审计、云数据库审计、API 审计;敏感数据脱敏,数据脱敏、数据动态脱敏、实时脱敏,敏感数据访问监督;数据库安全防护、数据库运维管控、云数据库安全运维,数据库权限管理设置、访问权限设置、数据访问治理,达到细粒度权限管控,做好数据安全运营,防止敏感数据泄露,满足数据合规与业务合规要求。


标签:信息处理,个人,安全,信息安全,个人信息,敏感,保新标
From: https://blog.51cto.com/OriPoint/7050668

相关文章

  • 2023-2029全球远程信息处理网关行业调研及趋势分析报告
     2022年全球远程信息处理网关市场规模约亿元,2018-2022年年复合增长率CAGR约为%,预计未来将持续保持平稳增长的态势,到2029年市场规模将接近亿元,未来六年CAGR为%。从核心市场看,中国远程信息处理网关市场占据全球约%的市场份额,为全球最主要的消费市场之一,且增速高于全球。2022年......
  • 2023 CISCN 第十六届全国大学生信息安全竞赛 初赛 WriteUp
    2023CISCN第十六届全国大学生信息安全竞赛初赛WriteUp引言第十六届全国大学生信息安全竞赛——创新实践能力赛http://www.ciscn.cn/competition/securityCompetition?compet_id=38时光荏苒,又是一年一度的国赛了!这篇writeup是xdlddw战队的队友一起写的,非常感谢队......
  • cisp认证,让你在信息安全领域“风生水起”
    CISP认证CISP 即“注册信息安全专业人员”,系国家对信息安全人员资质的最高认可。英文为CertifiedInformationSecurityProfessional(简称CISP)。CISP是强制培训的。如果想参加 CISP考试,必须要求出具授权培训机构的培训合格证明,培训后直接由GLAB提供给国测中心。CISP认......
  • 《信息安全数学基础》第三章:循环群
    循环群(medium)循环群定义群\(G\)中的元素都是某个元素\(g\)的幂,则\(G\)称为循环群。\(g\)是\(G\)的一个生成元,\(g\)生成的循环群\(G\)记为\((g)\)或\(<g>\)。循环群分类无限循环群:\(\{...,g^{-2},g^{-1},g^{0},g^{1},g^{2},...\}\),其中\(g^{0}=e\)......
  • 信息安全 -- 数据加密 -- HTTPS原理
    对称加密:同一个密钥进行加解密,典型的对称加密方式AES算法优点:运算速度快缺点:密钥需要信息交换的双方共享,一旦被窃取,消息会被破解 非对称加密:公钥加密,私钥解密;或者私钥加密,公钥解密优点:私钥严格保密,公钥任意分发,黑客获取公钥无法破解密文缺点:运算速度非常慢非对称加密的......
  • 第三届计算机应用与信息安全国际会议(ICCAIS2023)
    由湖北省众科地质与环境技术服务中心主办的2023第三届计算机应用与信息安全国际会议(ICCAIS2023)将于2023年12月20-22日在中国武汉召开。 ICCAIS2023力图建立 一个国际化的计算机应用与信息安全领域的学术交流平台,分享最新进展和研究成果。期待您的参与。 ★重要信息大会时间:20......
  • ISO/IEC 27001是信息安全管理系统(ISMS)的国际标准 以下是ISO/IEC 27001各个版本的更新
    ISO(国际标准化组织)对信息安全的定义如下:ISO27000系列标准是国际上广泛应用的信息安全管理体系(InformationSecurityManagementSystem,ISMS)标准之一,ISO/IEC27000:2018是该系列标准的概述与词汇标准。在这个标准中,ISO对信息安全的定义如下:信息安全(InformationSecurity):信息安全......
  • 信息安全服务
    1.漏洞扫描设备的主要功能通过专业的自动化漏洞检测工具,定期对网络设备、操作系统、中间件、应用系统、数据库、网络安全设备等实施漏洞检测,输出:《漏洞扫描检测报告》《弱口令检测报告》《渗透测试检测报告》《系统后门入侵事件分析报告》,服务人员均具备CISP注册信息安全服务......
  • NIST SP 800-39 管理信息安全风险
    NISTSP800-39管理信息安全风险组织、任务和信息系统观点摘要目的和适用性NISTSP800-39是管理信息安全风险的指南。800-39的结构类似于NISTSP800-37风险管理框架。800-39描述了第1层(组织愿景)、第2层(业务任务)和第3层(信息系统观点)。NISTSP800-37中也描述了第三层。你......
  • 第十四届全国大学生信息安全竞赛-线上赛Writeup
    文章目录场景实操开场卷WEBeasy_sqleasy_sourceMISCtinytrafficrunning_pixel场景实操二阶卷WEBmiddle_sourceMISC隔空传话场景实操冲刺卷MISCrobot场景实操开场卷WEBeasy_sql有sql报错简单fuzz了一下发现过滤了union、information、column、inno等关键字。无表名,无列名注入......