ISO29151中 PII 的使用、保留和披露限制:
一、保護(hù) PII 的實(shí)施指南
ISO29151標(biāo)準(zhǔn)要求組織應(yīng)該:
a) 將 PII 的使用,保留和披露 (包括轉(zhuǎn)讓)限制在為實(shí)現(xiàn)特定,明確和合法目的必要的范圍內(nèi);
b) 配置其信息系統(tǒng),以記錄:收集 ,創(chuàng)建、更新 PII 的日期、何時(shí)將 PII 刪除、歸檔的時(shí)間。
二、使用 PII 的實(shí)施指南
ISO29151標(biāo)準(zhǔn)要求組織應(yīng)該:
a) 當(dāng)所述目的已經(jīng)過期時(shí),鎖定(即歸檔,保護(hù)和免除進(jìn)一步處理)任何 PII , 并滿足適用法律的保留要求;
b) 使用適當(dāng)?shù)募夹g(shù)或方法確保安全刪除或銷毀 PII (包括原件,副本和存檔記錄);
c) 僅將 PII 用于在收集之前或收集時(shí)向 PII 主體商定披露的目的,并且在為任何新用途進(jìn)行之前獲得必要的同意;
d) 將外部組織對 PII 的訪問權(quán),限制在必要且已獲得正式授權(quán)的范圍內(nèi):如果業(yè)務(wù)確實(shí)需要訪問,則應(yīng)遵循適當(dāng)?shù)膶徟绦颍?/p>
e) 確認(rèn)被允許連接到本組織系統(tǒng)的外部系統(tǒng)在被允許連接之前已經(jīng)實(shí)施了適當(dāng)?shù)谋Wo(hù)措施;
f) 定期審查第三方實(shí)施的保障措施,以確保它們繼續(xù)滿足本組織的安全要求:如果由于此類審查而發(fā)現(xiàn)保障措施不足 ,應(yīng)立即斷開第三方的連接,直到已經(jīng)恢復(fù)了適當(dāng)?shù)谋U洗胧?/p>
g) 當(dāng)通過遠(yuǎn)程接口訪問 PII 時(shí),實(shí)施適當(dāng)?shù)脑L問認(rèn)證機(jī)制: 記錄 PII 訪問的日志;
h) 利用安全監(jiān)控待續(xù)收集 PII 的變更,應(yīng)向公眾提供警示。
三、保留 PII 的實(shí)施指南
ISO29151標(biāo)準(zhǔn)要求組織應(yīng)該:
a) 僅保留授權(quán)時(shí)間段的 PII , 以履行通知中確定的目的或法律和組織的要求,并在保留期屆滿時(shí)立即刪除 PII ;
b) 如果需要保留 PII 的時(shí)間超過特定商業(yè)目的所需時(shí)間,則應(yīng)實(shí)施諸如去識別化等措施以保護(hù) PII ;
c) 定義有時(shí)間限制的、適合于處理目的的 PII 保留期;
d) 確認(rèn)信息系統(tǒng)可以檢測到保留期限到期;
e) 確保實(shí)施商定的保留期限并根據(jù)保留期限處置 PII ;
f) 開發(fā)一種自動化功能,在其保留期限到期時(shí)刪除 PII , 這種刪除應(yīng)立即發(fā)生或盡快實(shí)施;
g) PII 的存儲形式(包括數(shù)據(jù)庫字段或文本摘錄)以及確定的風(fēng)險(xiǎn),應(yīng)該是“去標(biāo)識”的內(nèi)容;
h) 根據(jù)待識別數(shù)據(jù)的形式(包括數(shù)據(jù)庫和文本記錄)和已確定的風(fēng)險(xiǎn), 去識別化數(shù)據(jù);
i) 如果數(shù)據(jù)不能被“去識別”,則選擇用千保護(hù) PII 的工具(包括部分刪除,哈希 ,密鑰散列和索引)。
四、披露 PII 的實(shí)施指南
ISO29151標(biāo)準(zhǔn)要求組織應(yīng)該:
a) 未經(jīng) PII 主體事先知情同意,不得將PII 披露給外部各方 ,除非相關(guān)法律允許此類披露:如果向需要了解的內(nèi)部各方(例如員工)披露,則可能不需要 PII 主體的知情和同意;;
b) 在轉(zhuǎn)讓個(gè)人身份信息時(shí)提供強(qiáng)有力的保護(hù)機(jī)制,包括數(shù)據(jù)加密和完整性保護(hù)。
員工個(gè)人身份信息應(yīng)按照適用的法律和法規(guī)、組織處置策略,適當(dāng) 情況下需征得員工同意才能進(jìn)行處置(即安全刪除或存檔) 。
中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
