数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
一、数据收集和使用
1、提供产品、服务过程中收集个人信息,仅收集与实现产品或服务的业务功能直接相关的个人信息。不得因个人不同意提供非必要个人信息,而拒绝向其提供基本功能或服务。数字化转型网www.szhzxw.cn
超出必要范围收集用户个人信息的,应当征得个人同意。如需使用在提供产品、服务过程中收集到的数据,应当事先获得相关数据主体的授权同意。
2、保证自动化决策的透明度,公示其自动化决策的基本原理、目的意图和主要运行机制等信息。自动化决策的结果可能对个人权益造成显著影响的,应当对此种影响及可能产生的后果予以说明,并为个人提供拒绝自动化决策的选项。
通过自动化决策方式进行信息推送、商业营销的,同时提供不针对个人特征的选项,并向个人提供便捷的拒绝方式。数字化转型网www.szhzxw.cn
3、向第三方购买、交换、共享等方式收集数据的,应当符合法律、法规要求,对第三方的资质以及获取和持有数据的合规性进行审查,要求其作出数据来源合法性的必要证明。
4、对个人权益有重大影响的数据处理活动开展个人信息保护影响评估,持续检验、监控个人信息处理活动的合法合规程度,形成和保存个人信息保护影响评估报告和处理情况记录,并采取相应改进措施。
5、采用自动化工具收集数据时,遵守法律法规、行业自律公约,事前评估对网络服务的性能、功能可能带来的影响,避免干扰网络服务的正常功能或妨碍计算机信息系统正常运行。
6、禁止以不正当的方式获取他人持有的数据。数字化转型网www.szhzxw.cn
二、数据存储
1、根据分类分级规范对不同类型、风险等级和重要、敏感程度的数据进行分级分域管理,对不同数据进行物理隔离或强逻辑隔离,并采取安全保护措施和访问控制机制,维护数据的完整性、保密性、可用性。
通过加密存储、访问控制、校验技术等措施强化对重要数据和敏感个人信息的保护。
2、使用第三方云平台进行数据存储,应当要求云服务提供商定期报告云平台运行状态、安全状况等信息,并定期对第三方云平台的稳定性和采取的安全保护措施等进行审计,确保其具备充分的数据安全保护能力。数字化转型网www.szhzxw.cn
终止使用云平台存储服务时,云服务提供商应当按照约定方式删除、销毁云平台存储的数据及副本。
3、存储数据时采取加密、去标识化、匿名化处理等安全技术措施,降低个人信息被篡改、破坏、泄露或者非法获取、非法利用等风险。经过去标识化处理的个人信息与其他个人信息分开存储,并严格控制访问权限。
4、建立重要数据和个人信息的备份与恢复机制,并定期对备份数据进行恢复测试和完整性校验,防范数据意外损毁、丢失等风险。
三、数据传输和提供
1、向第三方提供或共享、委托处理数据时,对数据接收方进行事前资格审查并评估其数据安全保护能力。涉及提供重要数据、敏感数据的,应当留存相应的日志记录。数字化转型网www.szhzxw.cn
通过合同等形式与数据接收方约定处理数据的目的、范围、方式、限制与应采取的安全保护措施等事项,明确双方权利和义务,并对数据接收方的处理活动进行必要监督。发现数据接收方违反法律、法规规定或双方约定处理数据的,立即要求其停止相关行为并采取必要的补救措施;必要时应当暂停或终止向其提供数据,并监督数据接收方及时返还、删除、销毁已获得的数据。
2、向第三方提供或共享、委托处理个人信息时,需向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并征得个人单独同意。数字化转型网www.szhzxw.cn
3、定期对合作方进行合规检查和审计,并结合风险特征对合作方进行分级、分类管控,对不同风险级别的合作方采取相适应的合规管理措施。发现合作方存在严重违法、违规、违约行为或发生重大数据安全事故、丧失数据安全保障能力、故意不履行数据安全保护职责等情形的,应及时终止与其合作。
4、第三方接入场景/SDK的合规要求。在产品或服务中接入由第三方提供的软件开发工具包,事前对接入第三方进行安全检测,评估是否存在已知的安全漏洞以及可能引起数据泄露等安全事件的行为,建立相应的接入第三方合规管理机制,通过签署开发者服务协议等形式明确双方的权利和义务、采取的安全保护措施、发生数据安全事件时的补救与应急处置措施以及责任承担等事项,并留存第三方接入日志记录。
四、数据交易
1、确保数据获取手段合法合规、数据来源链路清晰,并经过所涉主体明确授权同意,不存在侵犯国家、公共利益或其他组织、个人合法权益的情况。数字化转型网www.szhzxw.cn
2、不得交易含有以下内容的数据产品或服务:
(一)含有未经授权的个人信息的;
(二)含有侵犯他人知识产权或商业秘密的内容的;
(三)含有未经依法开放的公共数据的;数字化转型网www.szhzxw.cn
(四)含有国家核心数据或国家秘密的;
(五)含有法律、法规规定禁止交易的其他数据的。
五、数据删除和销毁
1、定期对存储数据进行盘点,对于对实现处理目的不再必要的数据,及时进行删除或匿名化处理。
2、数据删除和销毁的操作规程和管理制度,明确删除和销毁的对象、权限、流程和技术等要求,确保被销毁数据不可恢复,并对相关活动进行记录和留存。
数据存储设备和介质进行报废,事先采取格式化、重复删除、介质消磁等方式删除其中存储的数据,并采取物理损毁等方式对介质进行彻底销毁。
六、数据出境合规
1、数据出境风险自评估,重点评估以下事项:
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;数字化转型网www.szhzxw.cn
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;数字化转型网www.szhzxw.cn
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务;
(六)其他可能影响数据出境安全的事项。数字化转型网www.szhzxw.cn
2、与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。数字化转型网www.szhzxw.cn
3、向境外提供个人信息,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个人信息保护法》规定的各项权利的方式和程序等事项,并取得个人的单独同意。数字化转型网www.szhzxw.cn
向境外提供个人信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。
个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;数字化转型网www.szhzxw.cn
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于容慧合规资讯;编辑/翻译:数字化转型网Jerry。
