在技术不断发展的今天,如何处理好个人信息利用和保护已经成为突出问题,一直备受关注的个人信息保护法草案即将揭开神秘面纱于本月正式亮相。
个人信息保护法草案今天(13日)提请十三届全国人大常委会第二十二次会议初次审议。草案明确了适用范围,健全了个人信息处理规则。
草案共八章70条,明确了适用范围,健全了个人信息处理规则,完善了个人信息跨境提供规则,明确个人信息处理活动中个人的权利和处理者义务,并明确履行个人信息保护职责的部门。
根据草案,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
草案确立以“告知—同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
同时,草案设专节明确敏感个人信息处理规则,规定:基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。
草案明确了敏感个人信息的定义:一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。
草案明确个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等。
加强隐私数据“落地”风险管控:随着法律法规的建立健全,围绕个人信息保护,各涉及大量个人数据处理的组织机构商业组织,都会加强个人信息的技术防护体系建设。在建设过程中又往往以生产系统的隐私数据防护建设为主,而经常疏于非生产系统的隐私数据“落地”的风险管控。
华途个人信息保护管理系统【PIP】主要应用在对个人隐私数据“落地”到“终端”提供全面安全管理。个人信息保护“终端”,包括PC终端、文件服务器(如cifs/nfs/ftp)、业务系统(如网盘系统,通过SDK接口方式),云主机等系统;业务涉及个人信息(隐私数据)的敏感数据分类分级定义、识别、标注、防护、个人敏感数据可视化,以及合规审计等管理的目标。
华途信息个人信息保护方案四大能力:
① 个人隐私数据合规检测能力:提供个人隐私数据是否存在违规存储、使用合规的检测能力。
② 个人隐私数据风险预警能力:根据合规检测结果,通过邮件通知、消息提醒、终端告警等方式,及时提供风险预警和告警能力。
③ 个人隐私数据安全防护能力:提供文件静态内容脱敏、文件加密存储、传输阻断、传输内容脱敏等多种个人隐私数据的安全防护能力。
④ 个人隐私数据合规审计能力:提供比较全面的个人隐私数据的审计日志、个人隐私数据数据可视化、以及多种合规对比分析。
来源:freebuf.com 2020-10-13 16:50:05 by: 华途信息007
请登录后发表评论
注册