当前位置:安全行业动态 → 正文

个人信息安全规范国标将引导企业自律

责任编辑:editor007 |来源:企业网D1Net  2018-01-28 18:10:23 本文摘自:南方都市报

记者从全国信息安全标准化技术委员会获悉,由该委员会制定和归口管理的个人信息保护国家标准《信息安全技术个人信息安全规范》(G B /T35273-2017)于日前正式发布,内容涵盖个人信息的收集、保存、使用、共享转让以及安全事件处置等方方面面。该《规范》将于2018年5月1日开始实施。

近年来,因APP默认勾选、第三方数据采集等问题引发的纠纷频出,个人信息保护的议题被高密度置于公共视野中。大数据时代,消费者该怎样保护自己的合法权益,怎样维护自己的隐私、切实保护好自己的个人信息?

首先,当然需要消费者提高个人信息的保护意识,其次,则必须谈到企业、商家的责任。两者相比,后者毋宁更为重要,因为即使一个消费者对个人信息安全非常敏感,发现信息泄露之后的维权意识也颇高,但就目前而言,由于面临维权成本高昂的问题,多数消费者即使遭遇了信息泄露,往往也只能息事宁人。实际上这也是虽然公民信息泄露事件频发,却鲜有个人起诉案例的原因。

要真正重视个人信息安全保护,遏制所谓公民个人信息“裸奔”的现象,从企业和商家入手显然是一个最优的路径。

但是企业和商家对此也许会倍感委屈。在大数据时代,公民不提供足够的信息会导致一些业务无法开展,也可能影响产业的进步。但究竟哪些信息是必要的;哪些信息不应该被采集;哪些又属于个人敏感信息,采集之后需要给予额外保护,如此种种,明确的定义和边界在哪里?缺乏明确的定义和边界,企业和商家要履行保护公民个人信息安全的责任,又该从何处着手?

现在,随着《信息安全技术个人信息安全规范》的出台,企业和商家的上述困惑已经迎刃而解。

据媒体报道,该《规范》被定位为中国个人信息保护工作的基础性标准文件,它从收集、保存、使用、共享、转让、公开披露等个人信息处理活动方面进行了详细规定。比如关于个人敏感信息,《规范》首次定义,是指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”,并由此出发,明确了企业收集此类信息时的前提和义务。

阅读这份标准,可以发现其把消费者的知情权和选择权放在一个很高的位置。无论个人信息的采集、使用还是共享,消费者都应该知道信息会用于哪些方面、可能存在哪些风险,如果关涉个人敏感信息,消费者还应该有拒绝的权利,而且不会因此失去企业所提供的基本服务,否则就不是给消费者选择而成了“霸王条款”。过去消费者常会遭遇一个纠结的场景,如果不完全满足企业关于个人信息采集的要求,则意味着失去企业的服务。但现在《规范》明确,“当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量”。

个人信息安全规范国标发布意义重大,诚如专家所言,该《规范》对个人信息保护的一些原则性规定进行了细化,突出了可操作性,使法律在这个问题上的落地成为了可能。但也有人担心,这份国标只是一份推荐性标准,如果缺乏强制力,又能在多大程度上影响企业的作为呢?

这种担心或许有一定道理,但同时也要注意到,在整个社会日益重视个人信息安全的背景下,任何一个企业对此轻忽都会付出不菲的代价。现在随着国标的正式出台,企业不再如过去那样拥有一块天然的免责挡箭牌,明智的企业会作出什么样的选择,会不会因此而逐渐学会自律,其实是不言而喻的。

即使是推荐性标准,本次规范的出台也会对行业起到良好的引导作用。同时,规范在实施过程中还会为个人信息保护提供丰富经验,假以时日,这些经验无疑都是将来个人信息保护立法的重要参考。

关键字:信息泄露 信息安全技术

本文摘自:南方都市报

个人信息安全规范国标将引导企业自律 扫一扫
分享本文到朋友圈

关于我们联系我们版权声明友情链接广告服务会员服务投稿中心招贤纳士

企业网版权所有©2010-2018 京ICP备09108050号-6

^