个人信息流转安全合规探索*

doi:10.12267/j.issn.2096-5931.2024.01.002

信息通信技术与政策 ›› 2024, Vol. 50 ›› Issue (1): 7-12.doi: 10.12267/j.issn.2096-5931.2024.01.002

个人信息流转安全合规探索^*

Exploration of personal information transfer and security compliance

辛建峰, 张晓梅, 毕强, 杨莉, 陈淑娟

中国网络安全审查技术与认证中心,北京 100001

收稿日期:2023-12-01 出版日期:2024-01-25 发布日期:2024-02-01
作者简介:
辛建峰,中国网络安全审查技术与认证中心高级工程师,长期从事信息技术产品安全、信息系统安全、个人信息安全等方面的研究工作
张晓梅,中国网络安全审查技术与认证中心高级工程师,长期从事信息安全检测、实验室管理等方面的工作
毕强,中国网络安全审查技术与认证中心工程师,长期从事信息安全认证及检测、实验室管理等方面的工作
杨莉,中国网络安全审查技术与认证中心助理工程师,主要从事信息技术产品安全检测、移动应用程序安全检测、软件测评等方面的工作
陈淑娟,中国网络安全审查技术与认证中心助理工程师,主要从事信息技术产品安全检测、移动应用程序安全检测、软件测评等方面的工作
基金资助:
*国家重点研发计划专项(2021YFB3101205)

XIN Jianfeng, ZHANG Xiaomei, BI Qiang, YANG Li, CHEN Shujuan

China Cybersecurity Review Technology and Certification Center, Beijing 100001, China

Received:2023-12-01 Online:2024-01-25 Published:2024-02-01

摘要/Abstract

摘要：

基于对国内个人信息安全相关法规、标准的梳理,对个人信息的流转方式进行了分类研究;对个人信息流转在应用过程中遇到的安全合规问题进行了梳理、分类及原因分析;提出个人信息流转安全合规分析模型;对个人信息控制者的个人信息流转活动提出安全合规建议。

关键词: 个人信息流转, 安全合规, 合规建议, 个人信息控制者

Abstract:

Based on the review of domestic regulations and standards related to personal information security, this paper first classifies and studies the transfer methods of personal information. In addition, it sorts out, classifies, and analyzes the actual security compliance problems encountered in the process of personal information transfer. Then, it proposes a security compliance analysis model for personal information transfer. Finally, it gives security compliance suggestions for the personal information transfer activities of personal information controllers.

Key words: personal information transfer, security compliance, compliance suggestions, personal information controller

中图分类号:

D913
D923

辛建峰, 张晓梅, 毕强, 杨莉, 陈淑娟. 个人信息流转安全合规探索^*[J]. 信息通信技术与政策, 2024, 50(1): 7-12.

XIN Jianfeng, ZHANG Xiaomei, BI Qiang, YANG Li, CHEN Shujuan. Exploration of personal information transfer and security compliance[J]. Information and Communications Technology and Policy, 2024, 50(1): 7-12.

导出引用管理器 EndNote|Ris|BibTeX

链接本文:

http://ictp.caict.ac.cn/CN/10.12267/j.issn.2096-5931.2024.01.002

http://ictp.caict.ac.cn/CN/Y2024/V50/I1/7

图/表 9

参考文献 10

[1]	国家市场监督管理总局, 国家标准化管理委员会. 信息安全技术个人信息安全规范: GB/T 35273—2020[S]. 北京: 中国标准出版社, 2020:2.
[2]	中央网络安全和信息化委员会办公室. 习近平总书记关于网络强国的重要思想概论[M]. 北京: 人民出版社, 2023:31-32.
[3]	刘行, 胡影, 高超, 等. 基于个人信息保护标准的个人信息安全治理实践[J]. 信息技术与标准化, 2022(5):167-172,178.
[4]	刘丹, 廖泽婧. 重拳出击保护公民个人信息安全[N]. 人民公安报, 2023-08-11(001). DOI:10.28651/n.cnki.nrmga.2023.004363.
[5]	洪延青. 《个人信息保护法》背景下侵犯公民个人信息行为的罪与非罪认定标准分析[J]. 数据法学, 2023, 4(1):3-22.
[6]	何延哲. 个人信息保护标准实施对组织合规的影响[J]. 信息安全与通信保密, 2018(8):13-16.
[7]	何延哲, 陈舒. 我国个人信息保护标准体系与实践[J]. 保密科学技术, 2018(10):19-23.
[8]	国家市场监督管理总局, 国家标准化管理委员会. 信息安全技术个人信息处理中告知和同意的实施指南: GB/T 42574—2023[S]. 北京: 中国标准出版社, 2023:5.
[9]	洪延青. 过度收集个人信息如何破解及国家标准的路径选择[J]. 中国信息安全, 2019(1):90-93.
[10]	杜丽娟. 各项个人信息保护框架基本形成[N]. 中国经营报, 2023-11-13(A03). DOI:10.38300/n.cnki.nzgjy.2023.002590.

序号	流转类型	个人信息控制者数量	来源	备注
1	收集	1	GB/T 35273—2020 3.5	个人信息由个人信息主体流转至个人信息控制者
2	共享	≥2	《个人信息保护法》第23条 GB/T 35273—2020 3.13	一部分个人信息由个人信息控制者复制一份给其他个人信息控制者独立控制
3	转让	1	《个人信息保护法》第22条 GB/T 35273—2020 3.12	个人信息由个人信息控制者转让给其他个人信息控制者,原个人信息控制者不保留个人信息副本
4	删除	0	《个人信息保护法》第47条 GB/T 35273—2020 3.10	—
5	共同控制	1	《个人信息保护法》第20条 GB/T 35273—2020 3.10	多个个人信息控制者共同决定个人信息的处理方式和目的
6	委托处理	1	《个人信息保护法》第21条 GB/T 35273—2020 9.1	第三方处理完个人信息后,删除或返还个人信息控制者,第三方不保留个人信息副本
7	第三方接入	1	GB/T 35273—2020 9.7	第三方借助其他个人信息控制者的平台作为业务入口,可独立收集个人信息

序号	流转类型	个人信息控制者数量	来源	备注
1	收集	1	GB/T 35273—2020 3.5	个人信息由个人信息主体流转至个人信息控制者
2	共享	≥2	《个人信息保护法》第23条 GB/T 35273—2020 3.13	一部分个人信息由个人信息控制者复制一份给其他个人信息控制者独立控制
3	转让	1	《个人信息保护法》第22条 GB/T 35273—2020 3.12	个人信息由个人信息控制者转让给其他个人信息控制者,原个人信息控制者不保留个人信息副本
4	删除	0	《个人信息保护法》第47条 GB/T 35273—2020 3.10	—
5	共同控制	1	《个人信息保护法》第20条 GB/T 35273—2020 3.10	多个个人信息控制者共同决定个人信息的处理方式和目的
6	委托处理	1	《个人信息保护法》第21条 GB/T 35273—2020 9.1	第三方处理完个人信息后,删除或返还个人信息控制者,第三方不保留个人信息副本
7	第三方接入	1	GB/T 35273—2020 9.7	第三方借助其他个人信息控制者的平台作为业务入口,可独立收集个人信息

序号	阶段工作	主要工作内容	备注
1	法规、标准梳理	梳理对象包括《个人信息保护法》、《中华人民共和国数据安全法》、部门规章、标准技术文件、公司规章等	—
2	业务相关法规、标准清单输出	输出内容包括与业务相关的法规、标准清单	—
3	个人信息相关业务梳理	梳理工作包括业务板块、业务数据接口、第三方SDK清单、个人信息对外提供清单、内部个人信息处理业务清单	—
4	个人信息相关数据清单输出	输出内容包括各业务板块个人信息流转清单、第三方SDK业务类型及个人信息收集类型/数量/频率清单、个人信息对外提供接口清单、内部个人信息处理类型(汇聚融合、数据挖掘、大模型分析等)及输出清单	—
5	综合分析研判	分析手段包括个人信息安全影响评估、第三方评估、业务法规、标准符合性自评估等	—
6	制定整改方案	整改内容包括待取消收集的个人信息清单、待降低收集频率的个人信息清单、待去标识化的个人信息清单、待停止对外提供的个人信息清单、隐私政策修改方案、待替换/整改的第三方SDK清单等	—
7	整改	整改依据:整改方案	若整改不到位可进行多轮整改

序号	阶段工作	主要工作内容	备注
1	法规、标准梳理	梳理对象包括《个人信息保护法》、《中华人民共和国数据安全法》、部门规章、标准技术文件、公司规章等	—
2	业务相关法规、标准清单输出	输出内容包括与业务相关的法规、标准清单	—
3	个人信息相关业务梳理	梳理工作包括业务板块、业务数据接口、第三方SDK清单、个人信息对外提供清单、内部个人信息处理业务清单	—
4	个人信息相关数据清单输出	输出内容包括各业务板块个人信息流转清单、第三方SDK业务类型及个人信息收集类型/数量/频率清单、个人信息对外提供接口清单、内部个人信息处理类型(汇聚融合、数据挖掘、大模型分析等)及输出清单	—
5	综合分析研判	分析手段包括个人信息安全影响评估、第三方评估、业务法规、标准符合性自评估等	—
6	制定整改方案	整改内容包括待取消收集的个人信息清单、待降低收集频率的个人信息清单、待去标识化的个人信息清单、待停止对外提供的个人信息清单、隐私政策修改方案、待替换/整改的第三方SDK清单等	—
7	整改	整改依据:整改方案	若整改不到位可进行多轮整改

个人信息流转安全合规探索^*

Exploration of personal information transfer and security compliance

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 9

参考文献 10

相关文章 5

编辑推荐

Metrics

本文评价

[1]	胡国华, 王振东, 李强. 新型智慧城市数据安全挑战与对策研究[J]. 信息通信技术与政策, 2023, 49(8): 31-37.
[2]	张照龙, 谢江, 包宏宇. 电信领域数据安全合规治理思考[J]. 信息通信技术与政策, 2023, 49(2): 14-19.
[3]	胡国华, 王振东, 刘绍宇, 李强. 政务数据安全合规分析与创新实践[J]. 信息通信技术与政策, 2023, 49(2): 20-29.
[4]	朴鸿国, 刘明辉. 数据安全合规体系建设目标框架与实施方案研究[J]. 信息通信技术与政策, 2023, 49(2): 58-64.
[5]	龙凯, 高瑞鑫. 个人信息保护场景的区块链技术嵌入研究[J]. 信息通信技术与政策, 2018, 44(7): 18-20.