ISO27001认证
热线:
Q Q:站在ISO27701隐私信息国际标准角度浅谈《疫情期间如何打好个人信息保护战》
发布时间:2020-08-21 作者:广汇联合 来源:广汇联合
疫情期间收集、使用个人信息的部门、团队比平常大幅增加,为保障一般公众对疫情情况的知情权,又兼顾个人信息保护的合规性,我们有必要采取比以往更为严格的措施,防范以抗疫的名义违规收集使用个人信息。作为个人信息的收集者、使用者以及监管者,各个角色成员均应依法履行各自责任和义务。涉疫个人信息收集者及使用者作为收集和使用涉疫个人信息的收集及使用的部门或岗位,应确保下述各环节的个人信息安全:
一、收集合法性及数据最小化
1、同意:收集之前向个人信息主体传达个人信息收集的目的、方式及相关保护措施,征得个人信息主体同意后方可收集;
2、数据最小化原则:仅收集疫情防控必要的个人信息,如姓名、体温、住址(不采集细化到家庭住址门牌号的住址信息,只需收集城市乡镇区域即可);当发现疑似病例或确认病例时,相应的个人信息收集对象可适当增加或细化,但需严格按照下述要求严格执行保护工作;
3、收集过程管理:以纸质填表方式收集个人信息时,需严格要求纸质材料不被拍照、复印,进行专人统一回收,专人上锁保管;以电子方式记录或汇总相关信息,需要责任到人,并保存在特定的电脑。
二、个人信息安全传输
1、个人信息收集表通过公司正式通信工具传送,禁止通过微信、QQ等社交媒体发送,应通过公司邮件加密发送;
2、通过APP收集个人信息,需采用https安全传输协议;
3、在向疫情防控工作相关方共享、传输相关数据时,应确认对方是有权获取数据的机构或个人,并采取加密传输的措施。
三、个人信息加密存储
1、在汇总存储环节,尽可能相对集中管理和处理个人信息,采用严密的访问控制、审计、加密等安全措施,包括但不限于电脑硬盘加密、文档加密工具加密、office文档加密等方式;
2、通过第三方免费网盘或工具进行的数据存储(如百度网盘等)时,需选用具备隐私安全和信息安全管理资质的、具备良好市场口碑的产品,避免由于第三方引发的个人信息泄露。
四、疫情报告、通报和公布等对外披露的安全
1、仅公开返乡人员流动统计数据、确诊患者仅公开性别、确诊日期、发病症状等非个人信息;
2、对于确诊或疑似病例所在地区的公布,可公开确诊或疑似病例的大致居住区域;
3、如果掌握涉及“密切接触传染源”的重点人群信息,需要与其直接取得联系的,应安排专人负责,保证其联系方式不被扩大传播,相关人员名单应进一步限定知晓范围,予以重点保护。
五、目的失效的个人信息销毁
1、需要做到专采专用,严格限制于疾病防控目的,不得挪作他用,并且在疫情防控结束后按照规定进行安全处置;
2、纸制数据须用粉碎机进行粉碎处理;电脑、存储介质中的电子化个人信息,应采用格式化、清零、覆盖、消磁等完全破坏方式处理。
涉疫个人信息监管者数据与隐私保护委员会办公室作为公司内容个人信息保护监管责任方,应组织相关人员按照上述要求每周进行一次涉疫个人信息保护工作的合规检查。确保涉疫个人信息的收集、传输、存储、披露、销毁满足国家法律法规要求以及公司个人信息安全管理要求,并将检查结果报告公司数据与隐私保护管理委员会。ISO27701隐私信息管理体系为企业和其他组织提供了一个国际通用的隐私信息管理工具,可降低企业隐私合规难度,更有利于企业证明、增强社会各方对企业的信任程度。隐私安全,惠及你我,业务持续,与广汇联合同行!我们公司将继续关注个人身份信息保护标准的推动和应用,以保护个人信息为核心,遏制个人信息滥用,最大程度保护用户合法权益和社会公共利益。
