客服热线:
手机版
二维码
ISO29151中PII的使用、保留和披露限制
ISO29151中 PII 的使用、保留和披露限制:
一、保护 PII 的实施指南
ISO29151标准要求组织应该:
a) 将 PII 的使用,保留和披露 (包含转让)限制在为实现特定,明确和合法目的必要的范围内;
b) 配置其信息系统,以记录:收集 ,创建、更新 PII 的日期、何时将 PII 删除、归档的时间。
二、使用 PII 的实施指南
ISO29151标准要求组织应该:
a) 当所述目的已经过期时,锁定(即归档,保护和免除进1步处理)任何 PII , 并满足适用法律的保留要求;
b) 使用适当的技术或方法确保安全删除或销毁 PII (包含原件,副本和存档记录);
c) 仅将 PII 用于在收集以前或收集时向 PII 主体商定披露的目的,并且在为任何新用途进行以前获得必要的同意;
d) 将外部组织对 PII 的访问权,限制在必要且已获得正式授权的范围内:假如业务确实必须访问,则应遵循适当的审批程序;
e) 确认被容许连接到本组织系统的外部系统在被容许连接以前已经实施了适当的保护措施;
f) 定期审查第三方实施的保障措施,以确保它们继续满足本组织的安全要求:假如由于此类审查而发现保障措施不足 ,应立即断开第三方的连接,直到已经恢复了适当的保障措施;
g) 当通过远程接口访问 PII 时,实施适当的访问认证机制: 记录 PII 访问的日志;
h) 利用安全监控待续收集 PII 的变更,应向公众提供警示。
三、保留 PII 的实施指南
ISO29151标准要求组织应该:
a) 仅保留授权时间段的 PII , 以履行通知中明确的目的或法律和组织的要求,并在保留期届满时立即删除 PII ;
b) 假如必须保留 PII 的时间超过特定商业目的所需时间,则应实施诸如去识别化等措施以保护 PII ;
c) 定义有时间限制的、适合于处理目的的 PII 保留期;
d) 确认信息系统能够检测到保留期限到期;
e) 确保实施商定的保留期限并根据保留期限处置 PII ;
f) 开发一种自动化功能,在其保留期限到期时删除 PII , 这种删除应立即发生或尽快实施;
g) PII 的存储形式(包含数据库字段或文本摘录)以及明确的风险,应该是“去标识的内容;
h) 根据待识别数据的形式(包含数据库和文本记录)和已明确的风险, 去识别化数据;
i) 假如数据不能被“去识别,则选择用千保护 PII 的工具(包含部分删除,哈希 ,密钥散列和索引)。
四、披露 PII 的实施指南
ISO29151标准要求组织应该:
a) 未经 PII 主体事先知情同意,不得将PII 披露给外部各方 ,除非相关法律容许此类披露:假如向必须了解的内部各方(例如员工)披露,则可能不必须 PII 主体的知情和同意;;
b) 在转让个人身份信息时提供强有力的保护机制,包含数据加密和完整性保护。
员工个人身份信息应按照适用的法律和法规、组织处置策略,适当 情况下需征得员工同意才能进行处置(即安全删除或存档) 。
ISO29151中PII数据最小化原则
ISO29151中 PII 数据最小化原则:
对于 PII 数据最小化原则,ISO29151要求组织应该:
a) 确保采用“必须知道的原则,仅有在 PII 处理的合法目的框架内,才可获得职责所必需的 PII 的访问权;
b) 使用和提供默认选项时 ,尽可能不包含 PII 主体的身份;
c) 限制 PII 收集的可联络性;
d) 对组织保留的个人身份信息进行初步评估,并制定、遵循定期对其进行审查的时间表,以确保仅收集通知中明确的个人身份信息,并且仅限于为了达成业务目的,有必要继续使用;
e ) 将包含 PII 的电子文档传输给与其工作相关的利益相关者,利益相关者应最小量化;
f) 依据 PII 的存储形式(例如数据库字段或文本摘录)和风险识别 ,明确应对什么PII 进行匿名或去标识化;
g) 基千待识别数据的形式 (例如,数据库和文本记录)和所识别的风险 ,去标识这些数据;
h) 当 PII 处理的目的已经过期时,又没有法定义务必须保留 PII , 应删除和处置PII;
i) 考虑采用隐私增强技术(PET)
支持特定组织业务流程所需的最小量的 PII 元素,可能是该组织被授权收集的 PII 的子集。
应将 PII 分类为:强制性 PII 、可选 PII , 以供收集。
在收集可选的 PII 时,组织应仅收集提供服务所需的强制性 PII , 并从 PII 主体获得适当的同意。 当 PII 主体拒绝提供可选的 PII 时,组织不应拒绝提供服务。
CPO 和法律顾问应该提出 PII 处理合理性的质疑和建议 ,以确保信息系统或活动达到法定授权目的的最少限度。
注 1 : ISO 29100 中定义的匿名化是一种过程,通过该过程,PII 不可逆转地改变 ,使得 PII 主体不能直接、间接的被识别。 这样的过程必然涉及(不可逆转的)信息丢失,在某些情况下,只要删除部分数据能够达到所需的目标。
注 2 : 根据 ISO 29100 中的隐私原则,隐私增强和去标识技术,被用于描述和设计去身份识别措施,作为符合本国际标准的计划。 为了鉴别过程符合法律的结论,能够通过删除或概括属性、强有力的组织和技术措施,来进行识别过程。
注 3 : 当为某种目的处理个人身份信息时,处理的个人身份信息的范围应被最小化,以便仅用千预期目的 ,而不会泄露主体的过多信息,例如,交通相关调查的答复者的地理区域, 必须考虑只收集附近的地标而不是确切的地址。
注 4 : 当输出是1个小数据集时,通常在分析匿名数据时,能够揭示PII 主体的身份。因此,当记录数量小千阙值数量时 (例如10 条记录),防止输出是一种好的做法。 根据数据分布模式,必须仔细设计输出阈值。
在适当的情况下,组织应该通过减少他们的 PII 库存来降低他们的隐私和安全风险。组织应对其待有的 PII 进行初步审查和随后的审查,在最大可能的范围内确保这些数据堆栈的准确性,关联性,及时性和完整性 。
组织也应该被指示将其 PII 待有量减少到履行业务目的所需的最少限度。 组织应制定并公布定期审查其数据堆栈的计划,作为初始审查的补充。
通过定期评估,组织能够降低风险,确保他们仅收集通知中指定的数据,并确保收集的数据仍然是相关且必要的。
