ISO29151中PII信息收集的限制
ISO29151中 PII 信息收集的限制:
对于 PII 信息收集,ISO29151标准要求组织应该:
a)将 PII 的收集范围限制为通知所述目所明确的最小元素,且 PII 主体已经同意;
b)不收集敏感的 PII , 除非收集敏感的 PII 得到合法授权或获得同意;
c)限制间接的从 PII 主体收集的信息量 (例如,通过网络日志 ,系统日志)。
组织应明确处理 PII 的目的,明确实现该目的所需的 PII , 明确不必须收集的信息,并确认仅收集基本信息。
在继续收集以前 ,组织应仔细考虑必须收集什么 PII 以实现特定目的。 组织不应该不分青红皂白地收集 PII。
定期审查其收集 PII 的目的,以确保其仍然有效。 他们还应该定期审查他们正在收集的个人身份信息,以确保它仍然只是达成该目的所需的最基本元素。
除非获得收集此类信息的合法授权,否则组织不应收集敏感的PII , 例如国家识别号码(身份证、护照、社会保险号)。其他信息用千保护 PII 一些司法管辖区可能将某些类别的 PII (例如种族出身,政治观点、宗教或其他信仰、关千健康的个人数据、性生活、刑事定罪等)定义为敏感。 这些司法管辖区可能会对收集这类 PII 施加限制或条件,组织在决定收集 PII 时应考虑这些限制和条件。
ISO29151中使用和保护PII的通常策略
ISO29151中使用和保护PII的通常策略:
ISO29151标准要求隐私策略应包含:支待和承诺遵守适用的 PII 保护法规、合同要求,其他声明的内部策略(单独的隐私策略或对现有策略的补充) 。
ISO29151标准要求隐私和安全策略的主题可能不相互覆盖,尽管它们密切相关。 信息安全策略和隐私策略都应涉及信息的CIA:保密性,完整性和可用性,除此之外,隐私策略还应涉及诸如同意和个人访问等主题。
ISO/IEC 29100 为实施隐私框架提供指导。
PII 保护策略应该:
a) 适合组织的宗旨;
b) 对组织收集和处理 PII 透明;
c) 为制定保护PII 目标提供框架;
d) 为保护 PII 的问题制定决策规则;
e) 定义隐私风险接受准则(另见 ISO/IEC 29134 的6.3.1) ;
f) 包含承诺满足适用的隐私保护要求;
g) 包含对待续改进的承诺;
h) 在组织内传达;
i) 酌情提供给感兴趣的相关方。