管理委员会发布的《
信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)正式施行。作为第一个个人信息安全规范的国家标准性文件,《个人信息安全规范》对个人信息问题从收集到最终使用完毕的删除销毁均作出了严格的程序性及原则性要求。其中第四章,《个人信息安全规范》对个人信息安全的基本原则进行了阐述,对个人信息安全的保护有重要意义。
打开
百度APP,查看更多高清图片
一、个人信息安全的基本原则之目的明确原则
个人信息安全问题的起点在于个人信息的收集,即个人信息脱离了信息主而由他人掌握的情形。因此,在个人信息收集过程中,必须遵循目的明确的原则。所谓目的明确,是指他人在收集个人信息时必须有合法、正当、明确的意图,例如微博实名制下必须收集个人姓名及身份证号码、外卖送餐时必须掌握订餐者的姓名住址及电话号码以保证配送正确。此所谓满足该项业务而必须掌握的个人信息,其最终目的是为了满足个人信息主体的需求。
二、个人信息安全的基本原则之选择同意原则
当然,个人信息主体有权选择是否将自己的个人信息向他人提供,无论基于何种目的,除法律规定外,他人不得强制要求个人信息主体提供其个人信息。在网络运营过程中,个人信息主体若必须提供自己的个人信息方可从事该项活动,网络运营者必须事先向个人信息主体说明并提供选择,个人信息主体有权选择是否同意提供,从而有权决定是否接受该项服务。而网络运营者对个人信息的保存方式、获取方式、使用方式等,均在个人信息主体是否同意提供个人信息的考虑范围之内,因此网络运营者必须以明示方式提供,从而供个人信息主体自主选择是否接纳。
三、个人信息安全的基本原则之最少够用原则
所谓最少够用原则,是指网络运营者或者其他的个人信息
收集者,即使以合法正当的途径收集他人的个人信息,也必须秉持信息收集最小化,即数量最少、频率最低、保存时间最短。其对于个人信息的收集只需要满足从事该业务所必须的最低标准即可,而不得在超出必要限度的范围内进行信息的收集或者保存。此举最大程度减少个人信息在非信息主体手中停留的时间及数量,以降低个人信息泄露的风险,提高个人信息安全程度。
四、个人信息安全的基本原则之公开透明原则
因为个人信息的敏感性较强,信息收集者对个人信息的处理及保存方式备受关注。根据《个人信息安全规范》,信息持有者对于个人信息的获取、保存、使用方式必须公开透明,以接受包括个人信息主体在内的各方监督,以最大程度避免信息持有者内部违规导致的个人信息受到威胁的情形出现。
五、个人信息安全的基本原则之确保安全原则
确保安全原则是对个人信息持有者技术能力层面的要求,其明确个人信息持有者必须有足够强大的
技术支持来满足个人信息保存的秘密性及安全性要求,建立完善的
规章制度以最大程度保证个人信息的安全。
六、个人信息安全的基本原则之权责一致原则
权责一致原则属于个人信息遭受侵害后的补救措施。其要求当个人信息被不当泄露、利用、篡改、删除时,负责个人信息安全的一方需要对由此给塌方主体造成的损失承担相应的赔偿责任。实践中,网络运营商往往属于个人信息持有者,因此也往往成为最终的责任承担者。