|
工業(yè)和信息化部12日正式宣布,《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》已編制完成,現(xiàn)已作為指導(dǎo)性技術(shù)文件通過全國信息安全標準化技術(shù)委員會主任辦公會審議,正按照國家標準審批程序上報國家標準化管理委員會批準。 這項標準明確要求,處理個人信息應(yīng)當(dāng)具有特定、明確和合理的目的,應(yīng)當(dāng)在個人信息主體知情的情況下獲得個人信息主體的同意,應(yīng)當(dāng)在達成個人信息使用目的之后刪除個人信息。 這項標準最顯著的特點是將個人信息分為個人一般信息和個人敏感信息,并提出了默許同意和明示同意的概念。對于個人一般信息的處理可以建立在默許同意的基礎(chǔ)上,只要個人信息主體沒有明確表示反對,便可收集和利用。但對于個人敏感信息,則需要建立在明示同意的基礎(chǔ)上,在收集和利用之前,必須首先獲得個人信息主體明確的授權(quán)。 這項標準還正式提出了處理個人信息時應(yīng)當(dāng)遵循的八項基本原則,即目的明確、最少夠用、公開告知、個人同意、質(zhì)量保證、安全保障、誠信履行和責(zé)任明確,劃分了收集、加工、轉(zhuǎn)移、刪除四個環(huán)節(jié),并針對每一個環(huán)節(jié)提出了落實八項基本原則的具體要求。 據(jù)介紹,這項標準由全國信息安全標準化技術(shù)委員會提出并歸口組織,中國軟件測評中心等30多家單位參與編制。 |
