许多用户在使用某些应用软件时,经常会碰到这样的情况:明明是在一个平台上搜索过的内容,却在另一个平台上也接收到相关内容;刚注册完应用程序会员,就收到铺天盖地的广告;甚至一些推销短信直接包含我们的真实姓名……
《全国移动App第三季度安全研究报告》显示,针对全国移动App进行的个人信息合规性抽样检测中,56.87%的应用存在“违规收集个人信息”的违规情况,55.60%的应用存在“超范围收集个人信息”的违规情况,19.16%的应用存在“App强制、频繁、过度索取权限”的违规情况。
我们的个人信息流转去了哪里,又是谁允许这些信息被使用 ???
以上这些情况都是由于个人信息保护不当所导致的,信息收集者违背公民意愿强制收集个人信息以及信息收集单位管理技术和制度不佳,都是公民个人信息被滥用、泄露的导火索。
2021年11月1日,《中华人民共和国个人信息保护法》(以下简称:《个人信息保护法》)正式实施,标志着个人信息安全得到全方位保护。《个人信息保护法》主要针对以下内容进行了规定:
01遵从“告知-同意”原则
“告知-同意”原则是《个人信息保护法》的核心处理规则,保障了公民对个人信息处理的知情权和决定权。《个人信息保护法》要求在涉及公民信息处理行为时,应当事先充分告知并且取得个人同意,个人信息处理的重要事项发生变更时,应当重新告知并取得个人同意,不得以个人不同意为由拒绝提供产品或者服务。同时,基于个人同意处理个人信息的,个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式。
02禁止超范围收集和使用个人信息
目前,利用个人信息和算法进行定向推送已成为一些互联网企业的普遍营利模式。《个人信息保护法》明确规定,处理个人信息应当具有明确、合理的目的,并采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。
03加大对敏感个人信息的保护力度
《个人信息保护法》规定,信息处理者在处理敏感个人信息时应取得个人的单独同意,并且只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,才可以处理敏感个人信息。
针对上述规定,中信网安建议,可以从以下几个方面对个人信息进行保护,具体如下:
01深刻认识个人信息安全问题的重要性,加强管理体系建设
社会各界要清醒认识当前个人信息泄露形势的复杂性,增强个人信息保护的责任感和使命感。在具体的信息保护工作中,理清思路、统筹兼顾,抓好相关政策培训的环节,全面提升个人信息安全保障能力和水平,强化“统一指挥、功能完善、结构合理、保障有力”的个人信息保护指挥体系建设,专人专岗专职推动个人信息保护任务高效落实。
02做好个人信息分级分类和数据监管工作
“个人信息分级分类”作为个人信息安全管理的重要一环,将大大提高治理的效率和投入产出比,按以下步骤开展工作:
(1)首先需要对个人信息资产进行梳理,明确信息类型、属性、分布、访问对象、访问方式、使用频率等,绘制“数据地图”,以此为依据进行个人信息分级分类,针对不同级别的个人信息确定所实施的安全手段。
(2)其次,从访问关系和安全策略两个方向探索个人信息安全治理模式。访问关系指的是明确数据的访问者(应用用户/信息管理人员)、访问对象、访问行为;安全策略指的是基于个人信息资产梳理的结果制定不同的、有针对性的数据安全策略,以满足个人信息在访问、存储、分发、共享等不同场景下的业务需求,保障个人信息安全治理效能。
(3)最后,信息管理人员需要定期根据数据安全风险评估结果进一步加强对数据的监管工作。
03进一步完善个人信息安全管理制度
各责任单位要落实信息安全等级保护制度,落实信息系统定级、备案、安全测评和整改工作。建立一套完善的个人信息安全管理制度,明确各单位主要责任人、安全技术人员,规范各部门、人员的责任,做到各项安全管理工作有章可循,及时解决,将各种信息安全问题消灭在萌芽之中。
