ISO29151标准收集限制
发布时间:2020-06-24 作者:广汇联合 来源:广汇联合
目标:将PII的收集范围限制在适用法律界限范围内,并且严格限于满足特定需求的范围内。
控制
组织应实施适当的措施,将PII的类型、数量的收集限制在通知和适用法律法规范围内的最小元素。
保护PII的实施指南
组织应该:
a) 将PI1的收集范围限制为通知所述目所确定的最小元素,并且PII主体已经同意;
b) 不收集敏感的PIL,除非收集敏感的PII得到合法授权或获得同意;
c) 限制间接的从PII主体收集的信息量(例如,通过网络日志,系统日志)。
组织应确定处理PII目的,确定实现该目的所需的PII,确定不需要收集的信息,并确认仅收集基本信息。
在继续收集之前,组织应仔细考虑需要收集哪些PII以实现特定目的。组织不应该不分青红皂白地收集PII。
定期审査其收集PII的目的,以确保其仍然有效。他们还应该定期审査他们正在收集的个人身份信息,以确保它仍然只是达成该目的所需的最基本元素。
除非获得收集此类信息的合法授权,否则组织不应收集敏感的PII,例如国家识别号码(身份证、护照、社会保险号)。
其他信息用于保护P1I
一些司法管辖区可能将某些类别的PII (例如种族出身,政治观点、宗教或其他信仰、关于健康的个人数据、性生活、刑事定罪等)定义为敏感。这些司法管辖区可能会对收集这类PII施加限制或条件,组织在决定收集PII时应考虑这些限制和条件。