ISO27701标准构建个人信息保护屏障

2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。自2021年11月1日起施行。个人信息保护法是一部保护个人信息的法律条款,涉及法律名称的确立、立法模式问题、立法的意义和重要性、立法现状以及立法依据、法律的适用范围、法律的适用例外及其规定方式、个人信息处理的基本原则、与政府信息公开条例的关系、对政府机关与其他个人信息处理者的不同规制方式及其效果、协调个人信息保护与促进信息自由流动的关系、个人信息保护法在特定行业的适用问题、关于敏感个人信息问题、法律的执行机构、行业自律机制、信息主体权利、跨境信息交流问题、刑事责任问题。对个人及行业有着很大的作用。

2021年7月10日,国家互联网信息办公室关于《网络安全审查办法(修订草案征求意见稿)》第六条,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。

2021年6月8日,工信部通报291款侵害用户权益App,要求这些App在6月16日前完成整改,逾期不整改的,将依法依规组织开展相关处置工作。智联招聘、掌上高铁等在列。

2021年5月21日,国家互联网信息办公室发布《关于抖音等105款App违法违规收集使用个人信息情况的通报》,抖音、快手、360浏览器、百度等APP就被点名批评。其中“未经用户同意收集使用个人信息等”、“违反必要原则,收集与其提供的服务无关的个人信息”等问题普遍存在。

2021年5月13日,工信部发布关于下架侵害用户权益App的通报,指出90款App未按照要求完成整改,将对这些App下架处理。下架原因集中于“App违规收集个人信息”,和“App强制、频繁、过度索取权限”。

2021年5月10日,国家网信办通报了近期对安全管理、网络借贷等常见类型App的个人信息收集使用情况的检测结果,腾讯手机管家、360安全卫士等84款App被点名。

现在很多APP下载要求获取用户位置、通讯录、调用摄像头、短信读取、启用录音等权限,在用户注册的过程,要求进行身份证上传、人脸认证、个人工作单位、家庭住址信息收集的APP也不在少数,最重要的一条就是要求同意隐私授权,否则无法注册、无法使用。用户信息过度透明,也催生了“大数据杀熟”、“个人身份信息倒卖”、“网络诈骗”等诸多问题。信息化时代,大数据就是财富、是资源,数据的泄露,不仅对公民生命财产安全造成威胁,更重要的是也影响了国家网络安全。以上只是今年通报中的一部分,我们可以看出国家对个人信息数据管理的系统性整治规范是大势所趋。

自2017年《网络安全法》实施以来,网络安全和数据领域的立法和执法俨然已经成为新趋势、新常态。习近平总书记指出:“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”在国际形式错综复杂的今天,国家信息安全是重中之重,我们要在全局的高度审视信息安全,不断完善信息保障体系,提高信息安全水平。ISO27701隐私信息管理正是基于此需求而开发的一项国际管理体系标准,它是对ISO27001信息安全管理和ISO27002安全控制在隐私信息管理方面的扩展,它为企业保护个人隐私信息方面提供指导。

ISO27701标准的发布,填补了隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性的规定,对组织在隐私保护和信息安全方面给出了指导建议。通过实施本标准,能够使组织给他们的监管机构、合作伙伴、客户和雇员带来更加有力的信任,为企业赢得更多的机遇。