-
专家解读 | 银行保险业个人信息安全保护现状分析与自查整改思考
在当今大数据广泛应用、个人信息合规成为各方关注的重点的背景下,如何让个人信息在发挥数据价值的前提下保证合规变得非常关键。作为个人信息密集程度、以及个人信息监管力度均走在前列的银行保险行业,相关企业及机构面临较为严峻的安全挑战。 近日,银保监会办公厅向各银保监局,各大型银行、股份制银行、外资银行、直销银行、理财公司,各保险集团(控股)公司、保险公司下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,要求各机构全面摸排2021年以来与消费者个人信息处理活动相关的经营行为和管理情况,深…
-
深度分析 | 个人信息保护合规审计工作的现状分析和建议
背景 随着数据成为了重要的资产,成为了生产要素,数据安全也越来越重要。2021年,我国陆续发布了《数据安全法》、《个人信息保护法》这些专门针对数据安全相关的法律,同时也陆续发布了管理办法,开始着手制定相关的支撑标准,当前数据安全合规要求成为了当前数据安全最急迫、最重要、最基本的数据安全工作。 在已发布的相关法律法规中,规定数据处理者需要针对自身所使用的数据情况开展审计合规审计工作,包括《个人信息保护法》“第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”,…
-
标准应用 | 数据安全运营平台助力政务数据安全建设,筑牢数字政府安全防线
2022年4月19日,习近平总书记主持召开中央全面深化改革委员会第二十五次会议,审议通过《关于加强数字政府建设的指导意见》,强调要全面贯彻网络强国战略,把数字技术广泛应用于政府管理服务,推动政府数字化、智能化运行,为推进国家治理体系和治理能力现代化提供有力支撑。其中,数据利用是数字政府建设的核心关键,为此,国家出台系列法律法规来指导、保障电子政务安全建设。 01 背景 为主动适应数字信息技术的快速发展,解决部门信息“孤岛”和数据“烟囱”问题,加快推进“互联网+电子政务”,建设“数字政务”,在省…
-
标准应用| GB/T 41391中“告知同意”相关条款测试技术解析
2022年4月15日,国家市场监督管理总局、国家标准化管理委员会发布 “《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391—2022)”标准,该标准适用于App运营者规范其个人信息收集活动,规定了App收集个人信息的基本要求,给出了常见服务类型App必要个人信息范围和使用要求。 1 条款解读 6.4.2告知同意-敏感个人信息告知同意 a) 收集生物识别、宗教信仰、特定身份,、医疗健康、金融账户、行踪轨迹等敏感个人信息时,应同步告知用户收集使用目的,目的描述应…
-
专题工作 | “健康码”数据安全和个人信息保护措施与建议(可下载查阅)
“健康码”在我国的疫情防控中发挥了重大作用,为新冠肺炎疫情防控的精准施策、动态清零等举措提供了关键支撑,当前每个人的日常生活、工作都离不开它。 “健康码”运转的背后逻辑是海量个人信息的汇集、共享,并利用算法进行自动化决策等等。若“健康码”所处理的大量敏感个人信息一旦被泄露、滥用等均会直接影响到大量民众的切身利益,还可能会增加社会治理成本、损害政府公信力。 而此前,各地“健康码”在不断运行完善的过程中,也曾暴露出一些安全方面的问题、隐患,随着“健康码”的持续运行、功能更迭,其数据安全和个人信息保护…
-
专家解读 | 《数据出境安全评估办法》主要制度和常见误解
2022年7月7日,国家互联网信息办公室发布《数据出境安全评估办法》(下称“《出境评估办法》”),并将于2022年9月1日施行。本次出台的《出境评估办法》主要聚焦于谁应该评估、具体怎么评估,其未来也将和《网络数据安全管理条例》衔接,共同落实《网络安全法》《数据安全法》《个人信息保护法》等上位法的要求。 笔者结合参与相关工作的经验,就《数据出境安全评估办法》的主要制度进行解读,并澄清部分常见误解。 01 什么是“数据出境活动”? 虽然《个保法》《数据安全法》《网络安全法》均规定向境外提供数据的法律…
-
知识科普 | 个人信息频繁被泄露,用户如何自我保护、及时止损?
近期,有消息称,“大学生学习软件“学习通”数据库信息被公开售卖,其中疑似泄露的数据包含学校/组织名、姓名、手机号、学号/工号、性别、邮箱等信息达1.7亿条。如果这一消息确为事实,意味着海量学生个人信息遭到泄露,一旦流入黑产和诈骗团体,其后果不堪设想。公安部门已经介入了调查,尚没有公布调查结果,此类事件曾多次被媒体爆出,APP数据泄露,确实不容小觑。 “学习通”是辅助大学生查阅学习资料、线上考试的工具APP。疫情期间,教育部提出“停课不停学”,学习通平台也成为第一批被推荐的22个学习平台之一,成为…
-
专家解读 | 《个人信息出境标准合同规定(征求意见稿)》要点解读
2022年6月30日,国家互联网信息办公室发布《个人信息出境标准合同规定(征求意见稿)》(“标准合同规定”)。《个人信息保护法》第三十八条明确列举了三种向中国境外提供个人信息的路径,包括:(1)通过国家网信部门组织的安全评估;(2)通过专业机构进行的个人信息保护认证;(3)与境外接收方订立国家网信部门制定的标准合同。由于订立标准合同兼具成本优势和可操作性,因此出境标准合同也一直是企业关注的重点。作为跨境提供个人信息的选择路径之一,理解标准合同文本的适用及内容有重要意义。 01 适用范围:与出境安…
-
专题研讨 | 如何把握金融领域数据安全工作的重点和方向,提升安全措施实效?
研讨背景 随着金融业迈入数字化时代,金融机构掌握的数据呈爆发式增长,这些数据既是助推金融机构不断创新发展的生产力要素,且多数较为敏感、重要,为此金融机构正积极筑牢数据安全和个人信息保护的“护城河”。近年来,个人信息非法获取、数据泄露和滥用事故高发,保障个人信息和个人权益也成为民众非常关心的现实问题。2021年《数据安全法》《个人信息保护法》的落地实施,进一步将其上升至法律层面的强制性义务。作为典型的数据密集型行业,金融机构普遍将数据安全和个人信息保护提升至企业战略高度,如何切实落实好法律法规要求…