|
|
|
|
|
|
来源: 发布日期:2020.07.10 点击量:
几乎每个组织都会处理个人识别信息(PII)。而且,处理的PII的数量和种类正在增加,组织在PII处理方面需要与其他组织合作的情况也在增加。在PII处理过程中的隐私保护是一种社会需求,也是全世界立法和监管关注的重点。
一. 何为个人识别信息
可定位到个人的信息称为个人可识别信息(PII),要被认为是PII,信息必须特定地与某个人相关联,如姓名、身份证号、银行卡号、家庭住址等。
每次网购时,开始界面总会推送一些我们这段时间比较感兴趣或浏览过的相似物品,大家有没有好奇为什么商家总是能“精准打击”呢?
因为在我们的手机里存在一个IMEI码,这个码是每个人独有的,网购APP就是以IMEI进行个人兴趣的识别和定位,IMEI也是属于个人可识别信息。
二. 个人信息、个人可识别信息及隐私信息之间的区别
个人可识别信息包含在个人信息中,单独的个人信息,如:个人上网信息,个人消费信息等不能精确定位到个人,以下以GB/T 35273中的表A.1进行举例区分。
隐私信息在中国并没有明确区分,《民法典》给出的隐私定义为:“私人生活安宁”,也包含“不愿让他人知晓的私密空间”、“私密活动”、“私密信息”。
三. ISO/IEC 27701对PII的要求
ISO/IEC 27701重点讨论了PIMS特定要求,除了信息安全以外,还考虑到了PII处理过程中受到潜在影响的PII主体的隐私保护,ISO/IEC 27701对PII控制者和PII处理者规定了处理PII时应尽的责任和义务。
四. 如何区分PII本体、PII控制者、PII处理者
不同的业务场景PII控制者和PII处理者的角色不同,以下将举例一场景教大家如何区分PII本体、PII控制者和PII处理者。
场景:“我”注册并使用了一款导航软件A,第二次使用时,A中出现了某出行软件B的入口,可以在B上订机票或酒店。
场景分析图
分析:“我”注册并使用导航软件A,所以“我”是PII主体,此时“我”的信息被A获取,A中出现出行软件B的入口,表明“我”的信息被A分享给了B,所以A为PII控制者,而如果“我”要在B上订机票或者酒店,此时B就是PII处理者。
更多相关业务与内容,请持续关注安言咨询公众号。
详情请咨询:
电话:021-62101209-811
邮件:mkt@aryasec.com
相关新闻:
