个人信息流转安全合规探索.pdf
《个人信息流转安全合规探索.pdf》由会员分享,可在线阅读,更多相关《个人信息流转安全合规探索.pdf(6页珍藏版)》请在咨信网上搜索。
1、N0 个人信息流转安全合规探索辛建峰张晓梅毕强杨莉陈淑娟(中国网络安全审查技术与认证中心,北京 100001)摘要:基于对国内个人信息安全相关法规、标准的梳理,对个人信息的流转方式进行了分类研究;对个人信息流转在应用过程中遇到的安全合规问题进行了梳理、分类及原因分析;提出个人信息流转安全合规分析模型;对个人信息控制者的个人信息流转活动提出安全合规建议。关键词:个人信息流转;安全合规;合规建议;个人信息控制者中图分类号:D913;D923 文献标志码:A引用格式:辛建峰,张晓梅,毕强,等.个人信息流转安全合规探索J.信息通信技术与政策,2024,50(1):7-12.DOI:10.12267/j
2、.issn.2096-5931.2024.01.0020 引言自 2021 年 11 月中华人民共和国个人信息保护法(简称个人信息保护法)实施以来,中央网信办、工业和信息化部、国家市场监督管理总局、公安部等部门以不同形式组织了个人信息安全专项执法检查;与个人信息保护法相关的标准体系逐步完善;针对个人信息控制者及其相关业务的检测、认证、评估制度陆续建立,个人信息控制者对法规、标准的认识逐步深入。由于个人信息保护法及相关标准多为概括性、总体性要求,因此在实施过程中,各部门、第三方机构、标准制定者、个人信息控制者对法规和标准的理解存在差异。本文以个人信息保护法、GB/T 352732020信息安全技
3、术 个人信息安全规范1等法规、标准的合规活动为研究对象,结合个人信息安全相关标准制定、修订及检测认证工作实践,系统梳理个人信息流转的主要方式,对企业的个人信息流转安全合规活动提出建议。1 个人信息流转 1.1 个人信息流转的分类如表 1 所示,个人信息保护法及 GB/T 352732020信息安全技术 个人信息安全规范涉及多类个人信息流转方式。为便于理解和区分,将表 1 中除“删除”外的各类个人信息流转方式以流转图表示,详情见图 1图 6。1.2 易混淆的概念1.2.1 委托处理与第三方接入委托处理与第三方接入的主要区别是个人信息控制权的所有者不同。在委托处理场景下,个人信息控制权属于委托方,
4、受托方仅能按照与个人信息控制者的约定处理个人信息,委托处理完后需将个人信息返还或删除。在第三方接入场景下,个人信息控制权属于第三方,第三方仅将其他平台作为业务入口。1.2.2 共享与共同控制在共享场景下,个人信息的全部或一部分被复制给7基金项目:国家重点研发计划专项(No.2021YFB3101205)E0表 1 个人信息流转类型序号流转类型 个人信息控制者数量来源备注1收集1GB/T 352732020 3.5个人信息由个人信息主体流转至个人信息控制者2共享2个人信息保护法第 23 条GB/T 352732020 3.13一部分个人信息由个人信息控制者复制一份给其他个人信息控制者独立控制3转
5、让1个人信息保护法第 22 条GB/T 352732020 3.12个人信息由个人信息控制者转让给其他个人信息控制者,原个人信息控制者不保留个人信息副本4删除0个人信息保护法第 47 条GB/T 352732020 3.105共同控制1个人信息保护法第 20 条GB/T 352732020 3.10多个个人信息控制者共同决定个人信息的处理方式和目的6委托处理1个人信息保护法第 21 条GB/T 352732020 9.1第三方处理完个人信息后,删除或返还个人信息控制者,第三方不保留个人信息副本7第三方接入1GB/T 352732020 9.7第三方借助其他个人信息控制者的平台作为业务入口,可独
6、立收集个人信息图 1 个人信息收集12图 2 个人信息共享独立的个人信息控制者处理。在共同控制场景下,个人信息仅存在一份,所有个人信息控制者共同决定个人信息处理的方式和目的。图 3 个人信息转让12图 4 个人信息共同控制8N0 图 5 个人信息委托处理图 6 第三方接入1.3 小结理解和区分法规及标准中不同的个人信息流转类型,是开展个人信息流转安全合规工作的基础。其中尤以理解“个人信息控制权”的流转为关键。以共享的定义为例,个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程1。即共享的个人信息控制权为多个个人信息控制者独立控制。以此类推,收集的个人信息控制权由个
7、人信息主体流转至个人信息控制者;转让的个人信息控制权由一个个人信息控制者流转至其他个人信息控制者;共同控制的个人信息控制权由多个个人信息控制者共同决定个人信息的处理;委托处理的个人信息控制权暂时共享给第三方;第三方接入的个人信息控制权由第三方独立获取。2 个人信息流转安全合规实践问题及原因分析2.1 产业界、法规界、标准界认知的差异本部分以信息技术产业界的第三方软件开发工具包(Software Development Kit,SDK)与法规、标准中第三方接入为例说明产业界与法规界、标准界认知的差异。第三方 SDK 是随着信息技术产业的发展,产业分工细化而产生的,是信息技术产业自然发展的产物。第
8、三方 SDK 具有提高开发效率、减少重复劳动、保护知识产权等优点。典型的第三方 SDK 包括地图导航、问题诊断、数据分析、身份鉴别等类型。第三方接入的概念出现于“GB/T 352732020 9.7 第三方接入管理”1章节。根据该标准的解释,第三方接入者仅将其他产品或服务作为业务入口,可独立收集个人信息。由此可见,第三方 SDK 是信息技术产业界的技术概念;而第三方接入是有关个人信息安全的法规、标准概念,是个人信息的一种流转类型,二者不能等同。第三方 SDK 可集成各种业务功能,可涉及个人信息法规、标准中的多种个人信息流转类型。下面通过两个第三方 SDK 举例说明。(1)嵌入在手机应用程序(A
9、pplication Program,APP)中的地图导航 SDK 可为 APP 提供定位服务和数据,地图导航 SDK 也会自行独立收集一部分个人信息,因此该业务场景涉及第三方接入、共享等个人信息流转方式。(2)短信接口 SDK 可帮助 APP 运营者向指定手机号发送短信,短信接口 SDK 的运营商不能存储手机号及短信内容,仅可提供短信接口服务,因此短信接口SDK 属于委托处理的业务场景。产业界多从生产的视角看待技术方案,其目的是提高生产效率;法规界、标准界多从合规视角看待技术方案,其目的是符合法规、标准要求。二者之间存在一定的认知差异。2.2 个人信息流转的模糊边界当前法规、标准对个人信息流
10、转的规定均为原则性、框架性的,不能覆盖所有情况和边界,下面通过几个场景举例说明因个人信息流转的模糊边界而引起的相关问题。场景 1:个人信息控制者复杂的股权结构导致个人信息安全风险加大。如某款 APP 的运营者涉及众多股东,具有复杂的股权结构。APP 运营者股东间应属于个人信息共同控制者,如果约定所有股东均可访问个人信息,则个人信息泄露的风险骤增,但此种情况9E0在符合当前法规、标准要求时是允许的。场景 2:某大型企业拥有多款 APP,该企业旗下APP 之间的个人信息可否共享?目前的法规、标准尚未对此有明确规定。从检测、认证机构的安全实践角度看,未获得个人信息主体同意前不建议共享;从企业的经营利
11、益角度看,存在共享的情况。场景 3:不同部门对法规、标准的理解和实施尺度不一致。如针对个人信息的收集,一些部门认为在APP 端本地采集个人信息即为收集;另一些部门则认为 APP 端本地采集个人信息因未发生个人信息控制权流转,不属于收集。个人信息安全相关的法规、标准颁布实施时间较短,在实施过程中难免遭遇一些特殊情况,相信随着法规的深入实施和标准的不断完善,一些模糊边界引起的问题会得到解决。2.3个人信息流转安全合规实践相关问题的原因分析 信息技术产业界、法规界、标准界看待信息技术方案的视角不同,导致认知存在差异,需要经历一段磨合期。个人信息保护法自 2021 年 11 月实施至今已 2年多。个人
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 个人信息 流转 安全 合规 探索
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。