個人信息安全和隱私保護體系的“國家認證”來了���,涵蓋與公眾公共生活及經(jīng)濟行為密切相關(guān)的掃碼支付及線上支付這些網(wǎng)絡(luò)支付業(yè)務(wù)及云計算業(yè)務(wù)。
圖片來源:攝圖網(wǎng)
中國首次針對企業(yè)的“個人信息安全管理體系認證”近日公布結(jié)果���,券商中國記者獲悉�,支付寶、騰訊云�、百度云等成為首批獲得國家認證的企業(yè)。
據(jù)了解��,這是《網(wǎng)絡(luò)安全法》頒布后�����,有關(guān)管理部門首次對國內(nèi)企業(yè)進行的個人信息保護認證����,通過認證的企業(yè)將會獲得個人信息安全管理體系認證證書。
首批個人信息安全管理體系認證名單出爐
據(jù)券商中國記者了解�����,2月2日����,至少有支付寶(中國)網(wǎng)絡(luò)技術(shù)有限公司,騰訊云計算(北京)有限責(zé)任公司��,北京百度網(wǎng)訊科技有限公司云計算事業(yè)部等�,因建立的個人信息安全管理體系符合國家標準及隱私政策要求,成為國內(nèi)首批通過個人信息安全管理體系認證的試點單位����。
從證書看,上述支付寶主體獲得認證的業(yè)務(wù)范圍包括掃碼支付/線上支付等網(wǎng)絡(luò)支付業(yè)務(wù)服務(wù)��。
而百度旗下公司和騰訊旗下公司獲得認證的業(yè)務(wù)范圍����,則均為云計算領(lǐng)域。具體來看���,百度云的業(yè)務(wù)范圍是:百度云計算事業(yè)部向外部客戶提供的百度云計算服務(wù)��;騰訊云計算獲得認證的也是云計算服務(wù)��。
據(jù)了解�����,此次針對個人信息安全的認證由“中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心”(CRCC)組織進行���,測評對象涵蓋了阿里、騰訊���、百度��、京東等10家與老百姓生活息息相關(guān)的企業(yè)�;個人信息安全管理體系認證采用一次認證兩張證書的方式進行,即通過個人信息安全管理體系認證的組織將獲得信息安全管理體系認證證書和個人信息安全管理體系認證證書��。
券商中國記者從北京某征信評級機構(gòu)從業(yè)人士了解到�����,上述認證依據(jù)的國家標準GB/T 35273-2017《信息安全技術(shù)個人信息安全規(guī)范》��,于2017年12月29日正式發(fā)布����。該國家標準緊緊圍繞“保護個人權(quán)益”為核心,在《網(wǎng)絡(luò)安全法》的框架下���,結(jié)合國際通用保護理念����,提出了權(quán)責(zé)一致���、目的明確����、選擇同意���、最少夠用��、公開透明��、確保安全����、主體參與七大原則以及個人信息處理生命周期的控制和管理要求�,為組織全面提升個人信息保護水平提供了詳盡、完備和體系化的指導(dǎo)���。
這也就意味著����,在上述企業(yè)的被測評認證過程中����,“企業(yè)的信息安全/數(shù)據(jù)保護,以及落實文化、組織����、制度、流程到技術(shù)的全方位的數(shù)據(jù)保護能力和意識�����,能得到認證機構(gòu)的高度認可�。”上述人士說。
螞蟻金服方面人士的說法也印證了上述分析���,據(jù)其評價���,支付寶成為首批獲得國家標準認證的企業(yè)意味著,“針對用戶個人信息安全和隱私保護的體系已達到國家最嚴格的標準�����。”“這些信息安全的相關(guān)認證�����,標志著支付寶的信息安全和數(shù)據(jù)保護����,已在安全策略����、信息安全組織��、人力資源安全���、合規(guī)性等多個領(lǐng)域有一套科學(xué)有效的管理體系。”
而騰訊云方面���,據(jù)了解�,從開始落地踐行國家標準����,到最終通過國家檢測認證機構(gòu)的現(xiàn)場審核,并以云計算服務(wù)的認證范圍�,獲得全國首批云服務(wù)商認證證書,歷時近一年時間��。
個人信息安全和網(wǎng)絡(luò)數(shù)據(jù)安全受國家重視
個人信息安全管理體系從個人信息的收集���、保存��、使用�、共享、轉(zhuǎn)讓�、公開披露等多個方面提高和完善組織的個人信息安全管理能力。
隨著《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)的出臺���,個人信息安全有了法律依據(jù)�。隨著其正式實施以來���,監(jiān)管和執(zhí)法層面在全國各地開展了一系列個人信息專項檢查和隱私條款評審專項工作����,許多企業(yè)和APP因未落實好個人信息安全和隱私保護義務(wù)被“約談”或受處罰���。
如何應(yīng)對個人信息專項檢查和提升個人信息安全能力與合規(guī)性��,成為了許多企業(yè)和APP產(chǎn)品面臨的難題�����。
今年4月�,有知名第三方支付機構(gòu)就因個人信息保護問題而被查���。這也是涉及第三方支付規(guī)范上�,首提“個人金融信息收集最少、必需原則”�。
券商中國記者查閱2017年6月1日正式施行的《網(wǎng)絡(luò)安全法》中有明確禁止收集與其提供服務(wù)無關(guān)的個人信息,且需遵循“合法�����、正當(dāng)�����、必要的原則”����,而于2018年5月1日開始施行的國家標準《信息安全技術(shù)/個人信息安全規(guī)范》解釋�,個人信息保存時間最小化、個人信息收集最小化�����,為如果“沒有這些信息��,產(chǎn)品或服務(wù)的功能無法實現(xiàn)”��,且自動采集個人信息為最低頻率、間接獲取個人信息應(yīng)為最少數(shù)量����。
▲國家標準個人信息安全規(guī)范解釋
上述規(guī)定也引起了企業(yè)重視。2018年的支付寶賬單查詢過程中�����,會彈出一頁“芝麻信用的守約信息”����,需用戶“需要我親自批準才會呈上來”才可以顯示,以從查詢?nèi)肟谏献鰧嵱脩舻碾[私保護權(quán)限許可�����。
從這次獲得認證的企業(yè)機構(gòu)和業(yè)務(wù)范圍來看��,都是和社會公眾的社會經(jīng)濟密切/產(chǎn)生高頻交易行為的領(lǐng)域�。
也因此,有熟悉情況的業(yè)內(nèi)人士分析���,“個人信息安全管理體系認證要求緊扣我國個人信息保護相關(guān)的要求和執(zhí)法檢查經(jīng)驗����,從個人信息分類、隱私政策書寫合規(guī)性����、隱私政策技術(shù)性檢測、服務(wù)運營者組織管理等四個方面提出了細致要求�。”
這之中,像支付寶這類活躍用戶數(shù)達到10億以上的綜合國民服務(wù)類app��,將在個人信息安全及隱私政策上嚴格合規(guī)���;而面向各類機構(gòu)提供云計算服務(wù)的互聯(lián)網(wǎng)技術(shù)公司��,將尤其注重全流程數(shù)據(jù)保護���,比如騰訊云“數(shù)盾”通過數(shù)據(jù)安全網(wǎng)關(guān)(堡壘機)��、敏感數(shù)據(jù)處理���、數(shù)據(jù)審計三大模塊�����,保護云用戶數(shù)據(jù)安全及應(yīng)用抗量子密碼算法安全加固�����。
來源:券商中國(ID:quanshangcn)記者:段久惠
