中國工業和信息化部12日正式宣布,《信息安全技術 公共及商用服務信息系統個人信息保護指南》已編制完成,現已作為指導性技術檔案通過全國信息安全標準化技術委員會主任辦公會審議,正按照國家標準審批程式上報國家標準化管理委員會批准。
基本介紹
- 中文名:個人信息保護國家標準
- 外文名:National standards for the protection of personal information
- 實施時間:2013年2月1日
- 單位:信息安全部
- 提出單位:全國信息安全標準化技術委員會
標準概述,標準介紹,
標準概述
我國首個個人信息保護國家標準——《信息安全技術公共及商用服務信息系統個人信息保護指南》將於2013年2月1日起實施。該標準最顯著的特點是規定個人敏感信息在收集和利用之前,必須首先獲得個人信息主體明確授權。
標準介紹
據介紹,這項標準由全國信息安全標準化技術委員會提出並歸口組織,中國軟體測評中心等30多家單位參與編制。
該項標準明確要求,處理個人信息應當具有特定、明確和合理的目的,應當在個人信息主體知情的情況下獲得個人信息主體的同意,應當在達成個人信息使用目的之後刪除個人信息。
該項標準最顯著的特點是將個人信息分為個人一般信息和個人敏感信息,並提出了默許同意和明示同意的概念。對於個人一般信息的處理可以建立在默許同意的基礎上,只要個人信息主體沒有明確表示反對,便可收集和利用。但對於個人敏感信息,則需要建立在明示同意的基礎上,在收集和利用之前,必須首先獲得個人信息主體明確的授權。
該項標準還正式提出了處理個人信息時應當遵循的八項基本原則,即目的明確、最少夠用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確,劃分了收集、加工、轉移、刪除四個環節,並針對每一個環節提出了落實八項基本原則的具體要求。
工信部有關負責人表示,作為國家標準,這項標準的出台,可以進一步促進公民對個人信息保護的自覺,增進共識,為個人信息保護立法積累經驗,可以在一定程度上規範個人信息的處理行為,構建政府引導下的行業自律機制和模式。除政府機關等行使公共管理職責的機構以外的各類組織和機構,在利用信息系統處理個人信息過程中的個人信息保護都適用這個標準。
工業和信息化部信息安全協調司副司長歐陽武在21日舉行的個人信息保護國家標準宣講會上說,這項標準是由全國信息安全標準化技術委員會提出並歸口組織,中國軟體評測中心牽頭,聯合多家單位制定。該標準是我國首個關於個人信息保護的國家標準,於2012年11月發布。
這項標準明確要求,處理個人信息應有特定、明確和合理的目的,並在個人信息主體知情的情況下獲得個人信息主體的同意,在達成個人信息使用目的之後刪除個人信息。
其中,標準最顯著的特點是將個人信息分為個人一般信息和個人敏感信息,並提出默許同意和明示同意的概念。對於個人一般信息的處理可以建立在默許同意的基礎上,只要個人信息主體沒有明確表示反對,便可收集和利用。對於個人敏感信息,則需要建立在明示同意的基礎上,在收集和利用之前,必須首先獲得個人信息主體明確的授權。
這項標準還提出了處理個人信息時應當遵循的八項基本原則,即目的明確、最少夠用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確。
中國軟體評測中心副主任朱璇說,標準的出台意味著我國個人信息保護工作正式進入“有標可依”階段。中國軟體評測中心還將牽頭組建個人信息保護推進聯盟,建立企業自律模式,彌補我國個人信息保護相關組織機構的缺失。
