谢谢观赏
注册个人信息保护专业人员
白皮书
发布日期:2019年 4 月
中国信息安全测评中心
中电数据服务有限公司
注册个人信息保护专业人员(CISP-PIP)
白皮书
咨询及索取
关于中国信息安全测评中心CISP-PIP考试相关信息,请与个人信息保护专业人员考试中心联系。
个人信息保护专业人员考试中心联系方式
【邮箱】xx
【地址】北京市海淀区知春路7号致真大厦C座14层
【邮编】100191
中电数据服务有限公司是中国电子信息产业集团有限公司旗下专注网络安全和人工智能,为国家重点行业、部门提供数据互联互通、数据安全管理及数据智能开放等服务的专业公司,以保障国家重要数据安全、推动行业大数据应用为己任。
2019年初,经中国信息安全测评中心授权,中电数据成立个人信息保护专业人员考试中心,开展注册个人信息保护专业人员(CISP-PIP)知识体系研发与维护、培训体系建立、考试中心组织管理、专项证书推广等工作。CISP-PIP是我国目前唯一的国家级个人信息保护专业人员资质评定。持证人员掌握国家网络安全顶层设计、网络安全体系结构、安全管理与工程、数据安全基础、个人信息安全规范、个人信息保护技术、个人信息保护实践、行业个人信息保护等知识,具备个人信息保护理论基础和实践能力,可在数据保护、信息审计、组织合规与风险管理等领域发挥专长,有效提升相关企业数据安全意识和保护能力,强化我国公民个人信息和国家重要数据安全保护水平。
目录
引言1
一、CISP-PIP知识体系结构2
二、CISP-PIP认证要求 3
三、CISP-PIP注册流程 3
四、CISP-PIP职业准则 4
五、CISP-PIP考生申请资料要求5
六、CISP-PIP收费标准 5
七、个人信息保护专业人员考试中心联系方式6
引言
当前,全球进入“数据驱动”时代,信息流带动物流、人流、资金流、技术流,创造巨大价值。但数据爆发增长、海量集聚也带来了日益严峻的安全风险。个人信息非法收集、泄露、滥用事件频发,引发广泛关注。此外,越来越多的组织大量汇聚、使用、交易、跨境传输国家重要数据,但对重要数据失之保护,可能危害国家安全、公共利益和公民权益。
各国均将个人信息和重要数据保护作为当前网络安全治理的重要内容,出台相关法规、政策,建立完善数据安全监管体系。我国先后颁布《网络安全法》、《全国人大常委会关于加强网络信息保护的决定》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《个人信息和重要数据出境安全评估办法(征求意见稿)》等,并将《数据安全法》、《个人信息保护法》列入本届全国人大常委会立法规划。欧盟实施“史上最严”《通用数据保护条例》,其严格的定责条例、空前的处罚力度及强大的域外效力在全球产生重大影响。
在此形势下,社会各界对数据保护专业人才的需求日益迫切。在数据安全保护工作中,人是最核心、也是最活跃的因素,人员的数据安全意识、知识与技能已经成为保障个人信息与重要数据安全的重要基本要素之一。为了加快数据保护特别是个人信息保护人才的培养,缓解我国数据安全保护领域专业人才紧缺带来的突出矛盾,中国信息安全测评中心依据中编办批准开展“信息安全人员培训与资质认证”的职能,在代表国家对信息安全专业人员能力认可的CISP体系下,推出了对个人信息保护专业人员能力认可的CISP-PIP(Certified Information Security Professional - Personal Information Protection)技能水平注册考试,由个人信息保护专业人员考试中心运营。其面向我国数据保护、信息审计、组织合规与风险管理等领域的信息安全专业人员,以加强用户个人信息保护为目标,同时兼顾国家重要数据保护需求以及医疗健康、金融等领域的行业监管要求,旨在为我国数据安全保护工作培养一支强有力的专业人才队伍。
一、CISP-PIP知识体系结构
CISP-PIP知识体系以个人信息安全保护为主线,以落实政策、衔接国际、注重实效为基本原则,全面覆盖数据安全保障工作所需的基础、标准、法规、技术、管理和工程等领域。
一方面,与CISP形成进阶关系,适度保留注册信息安全专业人员应掌握的重点通用知识。另一方面,参考国际影响力较大的个人信息保护专业人员认证制度IAPP知识体系,基于对《网络安全法》、《个人信息安全规范》等主要法规、标准、监管要求的深刻理解和网络安全审查等工作的实践经验,结合我国数据保护,特别是个人信息保护实际需求,设计培训与考试内容。
CISP-PIP知识体系分为通用知识与数据安全知识两部分。通用知识部分在继承CISP体系大纲基础上重新设计,包括国家网络安全顶层设计、网络安全体系结构、安全管理与工程共3个知识域;数据安全知识部分包括数据安全基础、个人信息安全规范、个人信息保护实践、个人信息保护技术、行业个人信息保护共5个知识域。
具体考试内容、范围及考试形式可参阅《CISP-PIP知识体系大纲》。
二、CISP-PIP认证要求
取得注册个人信息保护专业人员(CISP-PIP)认证,必须同时满足以下基本要求:
1. 具备注册个人信息保护专业人员(CISP-PIP)知识大纲所要求的知识和技能;
2. 通过个人信息保护专业人员考试中心组织的注册个人信息保护专业人员(CISP-PIP)考试;
3. 同意并遵守CISP-PIP职业道德准则。
注册个人信息保护专业人员的资质证书有效期为三年,证书失效后需重新申请。
三、CISP-PIP注册流程
四、CISP-PIP职业准则
作为国家注册信息安全专业人员应该遵循其应有的道德准则,中国信息安全测评中心为CISP注册人员设定了职业道德准则。
(1)维护国家、社会和公众的信息安全
自觉维护国家信息安全,拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为;
自觉维护网络社会安全,拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为;
自觉维护公众信息安全,拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为。
(2)诚实守信,遵纪守法
不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为;
不利用个人的信息安全技术能力实施或组织各种违法犯罪行为;
不在公众网络传播反动、暴力、黄色、低俗信息及非法软件。
(3)努力工作,尽职尽责
热爱信息安全工作岗位,充分认识信息安全专业工作的责任和使命;
为发现和消除本单位或雇主的信息系统安全风险做出应有的努力和贡献;
帮助和指导信息安全同行提升信息安全保障知识和能力,为有需要的人谨慎负责地提出应对信息安全问题的建议和帮助。
(4)发展自身,维护荣誉
通过持续学习保持并提升自身的信息安全知识;
利用日常工作、学术交流等各种方式保持和提升信息安全实践能力;
以CISP身份为荣,积极参与各种证后活动,避免任何损害CISP声誉形象的行为。
五、CISP-PIP考生申请资料要求
1. 学员需要在报道当日提交以下申请材料:
●《注册个人信息保护专业人员考试及注册申请表》(加盖所在单位
公章);
●个人近期免冠2寸彩色白底证件照片3张(非白底照片为不合格照片
,将不予采用);
●身份证复印件2张;
●最高学历、学位证书复印件各2张。
注:填写申请表格时应注意,申请表格可采用电子模版录入填写,也可手写,填写过程中应确保内容的真实准确,手写申请表格应用正楷字体,字迹要求清晰可辨。
2. 注册要求:
●教育与工作经历:硕士研究生以上,具有1
年工作经历;或本科毕业,具有2年工作经历;或大专毕业,具有4
年工作经历;
●专业工作经历:至少具备1年从事信息安全有关工作经历。
六、CISP-PIP收费标准
1.CISP-PIP培训费用为12800元/人,不含学员住宿费。
2. 培训及考试费用中电数据服务有限公司先行收取、开据发票,并与中国信息安全测评中心统一结算。
3. 收款单位账号
开户行:招商银行北京亚运村支行
开户名:中电数据服务有限公司
账号:xxx
七、个人信息保护专业人员考试中心联系方式
关于CISP-PIP考试相关的更多信息,请与个人信息保护专业人员考试中心联系。
【邮箱】xxx
【地址】北京市海淀区知春路7号致真大厦C座14层
【邮编】100191
《个人信息保护法》(专家建议稿)立法研究报告 六.关于法律的适用范围 它主要涉及两个方面的判断或选择:第一是公共部门与私营部门的选择,第二是计算机处理信息与手动处理信息的选择。 首先看第一点,从个人信息保护的角度看,不论是公共部门还是私营部门,只要掌握大量的个人信息,均存在滥用或侵犯个人权利的可能尤其在信息通讯技术高度发达、个人信息的收集和处理成本越来越低的环境下,这种可能性会越来越大。因此个人信息保护法应该同时适用于公共部门与私营部门,立法时应均不加区别地将法律适用于公共部门与私营部门。一些国家或地区认为,提高企业的效率,实现个人信息的保护与经济发展的平衡,对企业的规制不能太多,更多地应通过市场机制或行业自律机制解决问题。对于这个问题,我们应采取统分结合的方式,既要有平等适用于公共部门与私营部门的规定,又要规定对政府机关与其它个人信息处理者不同的义务。 其次看第二点,在我国,由于文字和档案管理制度历史久远,加之许多个人信息处理仍未完全实现计算机化或自动化,因此应明确规定法律同时适用于计算机处理信息与手动处理信息。明确法律适用于手动方式处理的信息,不但可以减少法律适用的模糊区域,防止规避法律的现象大量出现,而且对于真正保护个人权利也具有重要的现实意义。同时应参考域外立法的普遍经验,将手动方式处理的信息限定在“根据一定的编排标准或检索方式”进行处理的个人信息,而不是所有的手动处理信息。这样的信息对于降低立法的社会成本,提高执法的有效性,切实保护个人的信息权利,都具有重要意义。 附:各国对第一点不同的适用范围 1.不加区别地适用于二者:奥地利、波兰、阿根廷。 2.通过一部法律分章进行规定:德国、我国台湾。
1.应该如何保护我们个人信息安全? 对于个人的自我保护是网络隐私权保护第一重要环节。网民进行保护网络隐私权的方式有很多。 一是将个人信息与互联网隔离。当某计算机中有重要资料时,最安全的办法就是将该计算机与其他上网的计算机切断连接。这样,可以有效避免被入侵的个人数据隐私权侵害和数据库的删除、修改等带来的经济损失。换句话说,网民用来上网的计算机里最好不要存放重要个人信息。这也是目前很多单位通行的做法。 二是传输涉及个人信息的文件时,使用加密技术。在计算机通讯中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传输出去,使信息在传输过程中即使被窃取或截获,窃取者也不能了解信息的内容,发送方使用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,使用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,他也只能得到无法理解的密文,从而保证信息传输的安全。 三是不要轻易在网络上留下个人信息。网民应该非常小心保护自己的资料,不要随便在网络上泄露包括电子邮箱等个人资料。现在,一些网站要求网民通过登记来获得某些“会员”服务,还有一些网站通过赠品等方式鼓励网民留下个人资料。网民对此应该十分注意,要养成保密的习惯,仅仅因为表单或应用程序要求填写私人信息并不意味着你应该自动泄漏这些信息。如果喜欢的话,可以化被动为主动,用一些虚假信息来应付对个人信息的过分要求。当被要求中输入数据时,可以简单地改动姓名、邮政编号、社会保险号的几个字母,这就会使输入的信息跟虚假的身份相联系,从而抵制了数据挖掘和特征测验技术。对唯一标识身份类的个人信息应该更加小心翼翼,不要轻易泄漏。这些信息应该只限于在在线银行业务、护照重新申请或者跟可信的公司和机构打交道的事务中使用。即使一定要留下个人资料,在填写时也应先确定网站上是否具有保护网民隐私安全的政策和措施。 四是在计算机系统中安装防火墙。防火墙是一种确保网络安全的方法。防火墙可以被安装在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中。在保护网络隐私权方面,防火墙主要起着保护个人数据安全和个人网络空间不受到非法侵入和攻击等作用。 五是利用软件,反制Cookie和彻底删除档案文件。如前所述,建立Cookie 信息的网站,可以凭借浏览器来读取网民的个人信息,跟踪并收集网民的上网习惯,对个人隐私权造成威胁和侵害。网民可以采取一些软件技术,来反制Cookie软件。另外,由于一些网站会传送一些不必要的信息给网络使用者的计算机中,因此,网民也可以通过每次上网后清除暂存在内存里的资料,从而保护自己的网络隐私权。 六是针对未成年人的网络隐私保护,除了对未成年人进行隐私知识和媒介素养教育外,应在家长或监护人的帮助下,借助相关的软件技术进行。
1.某公司准备在业务环境中部署一种新的计算机产品,下列哪一项是授权过程的最后一步? A.认证 B.定级 C.认可 D.识别 答案:C 2.下列哪一项准确地描述了可信计算基(TCB)? A.TCB只作用于固件(Firmware) B.TCB描述了一个系统提供的安全级别 C.TCB描述了一个系统内部的保护机制 D.TCB通过安全标签来表示数据的敏感性 答案:C 3.下列哪一项安全机制是一个抽象机,不但确保主体拥有必要的访问权限,而且确保对客体不会有未经 授权的访问以及破坏性的修改行为? A.安全核心 B.可信计算基 C.引用监视器 D.安全域 答案:C 4.安全模型明确了安全策略所需的数据结构和技术,下列哪一项最好地描述了安全模型中的“简单安全 规则”? A.Biba模型中的不允许向上写 B.Biba模型中的不允许向下读 C.Bell-LaPadula模型中的不允许向下写 D.Bell-LaPadula模型中的不允许向上读 答案:D 5.为了防止授权用户不会对数据进行未经授权的修改,需要实施对数据的完整性保护,下列哪一项最好 地描述了星或(*-)完整性原则? A.Bell-LaPadula模型中的不允许向下写 B.Bell-LaPadula模型中的不允许向上读 C.Biba模型中的不允许向上写 D.Biba模型中的不允许向下读 答案:C 6.某公司的业务部门用户需要访问业务数据,这些用户不能直接访问业务数据,而只能通过外部程序来 操作业务数据,这种情况属于下列哪种安全模型的一部分? A.Bell-LaPadula模型 B.Biba模型 C.信息流模型 D.Clark-Wilson模型 答案:D 7.作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动 性较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该采用下列哪一种访问控制模型?
1.微博个人信息保护政策 为切实保护微博用户隐私权,优化用户体验,新浪公司根据现行法规及政策,制定本《个人信息保护政策》。本《个人信息保护政策》将详细说明微博在获取、管理及保护用户个人信息方面的政策及措施。本《个人信息保护政策》适用于微博向您提供的所有服务,无论您是通过计算机设备、移动终端或其他设备获得的微博服务。 2.个人信息的收集 您已知悉且同意,在您注册微博或使用微博提供的服务时,微博将记录您提供的相关个人信息,如:、手机等,上述个人信息是您获得微博提供服务的基础。同时,基于优化用户体验之目的,微博会获取与提升微博服务有关的其他信息,例如当您访问微博时,我们可能会收集哪些服务的受欢迎程度、浏览器软件信息等以便优化我们的服务。 3.个人信息的管理 为了向您提供更好的服务或产品,微博会在下述情形使用您的个人信息: 1)根据相关法律法规的要求; 2)根据您的授权; 3)根据微博相关服务条款、应用许可使用协议的约定。 此外,您已知悉并同意:在现行法律法规允许的围,微博可能会将您非隐私的个人信息用于市场营销,使用方式包括但不限于:在微博平台中向您展示或提供广告和促销资料,向您通告或推荐微博的服务或产品信息,以及其他此类根据您使用微博服务或产品的情况所认为您可能会感兴趣的信息。其中也包括您在采取授权等某动作时选择分享的信息,例如当您新增朋友、在动态中新增地标、使用微博的联络人汇入工具等。 未经您本人允许,微博不会向任何第三方披露您的个人信息,下列情形除外: 1)微博已经取得您或您监护人的授权; 2)司法机关或行政机关给予法定程序要求微博披露的; 3)微博为维护自身合法权益而向用户提起诉讼或仲裁时; 4)根据您与微博相关服务条款、应用许可使用协议的约定; 5)法律法规规定的其他情形。 4.个人信息的保护 微博将尽一切合理努力保护其获得的用户个人信息。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用,微博已经并将继续采取以下措施保护您的个人信息: 1)以适当的方式对用户的个人信息进行加密处理; 2)在适当的位置使用密码对用户个人信息进行保护;
《电信和互联网用户个人信息保护规定》解读2013年7月16日,工业和信息化部公布了《电信和互联网用户个人信息保护规定》(中华人民共和国工业和信息化部令第24号)。记者就《规定》采访了工业和信息化部政法司巡视员李国斌,请他对《规定》进行了解读。 记者:近日,工业和信息化部出台了《电信和互联网用户个人信息保护规定》,请问《规定》出台的意义是什么? 李国斌:近年来,我国电信和互联网行业快速发展,新技术、新应用层出不穷,对促进经济社会发展起到了积极的作用。与此同时,用户个人信息的泄露风险和保护难度不断增大,加强用户个人信息保护立法成为社会广泛关注的问题。 出台《规定》,可以进一步完善电信和互联网行业个人信息保护制度。目前,部分电信业务经营者、互联网信息服务提供者对用户个人信息安全重视不够,安全防护措施不完善,管理制度不健全,信息安全责任落实不到位,需要进一步完善用户个人信息保护法律制度,规范电信服务、互联网信息服务过程中收集、使用用户个人信息的活动。 出台《规定》,也是贯彻落实全国人大常委会《关于加强网络信息保护的决定》(以下简称《决定》)的需要。贯彻执行好《决定》有关收集、使用个人信息的制度,需要出台相关配套规定。制定《规定》,进一步明确电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等,是落实全国人大常委会《决定》规定的制度和措施,切实保护用户合法权益的要求。?
记者:您能否介绍一下《规定》的制定过程? 李国斌:2012年5月,工业和信息化部启动了《规定》立法研究和起草工作。在起草过程中,我们赴吉林、广东、四川等地进行了调研,多次书面征求了部机关相关司局、各省(区、市)通信管理局、基础电信企业和互联网企业对《规定(征求意见稿)》的意见,组织召开了省级通信管理局、基础电信企业和互联网企业参加的立法座谈会,并通过国务院法制办的“中国政府法制信息网”和我部门户网站向社会公开征求了意见。经征求意见,社会各方面对制定《规定》给予了积极的肯定,没有原则性的不同意见。在充分听取各方面意见并进一步完善有关制度的基础上,我们形成了《规定(草案)》。 2013年6月28日,我部第2次部务会议审议通过了《规定》。7月16日,工业和信息化部第24号令公布了《规定》。《规定》将于9月1日生效。 记者:?您能否介绍一下《规定》关于用户个人信息保护管理工作的定位? 李国斌:全国人大常委会《决定》对“公民个人电子信息”做了界定,并明确了信息收集、使用的原则和相关规则。 目前,各行业普遍存在收集、使用个人信息的情况,相应的信息保护工作也涉及到众多的部门,我部并不负责管理所有的个人信息。《规定》依据《决定》的有关规定,立足我部电信和互联网行业管理职责,以“概括加列举”的方式规定了由我部负责监督管理的用户个人
信息安全技术互联网交互式服务安全保护管理制度
锐理信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处理制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯
2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:
编号:SM-ZD-46667 员工信息安全规范 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
员工信息安全规范 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 1、适用范围 本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求,规定了员工保护公司涉密信息的责任,并列出了大量可能遇到的情况下的安全要求。 本标准适用于公司所有员工,包括子公司的员工,以及其他经授权使用公司内部资源的人员。 2、计算机安全要求 1)计算机信息登记与使用维护: 每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记,严禁私自变更使用人和增减配置; 每位员工有责任保护公司的计算机资源和设备,以及包含的信息。 每位员工必须把自己的计算机名字设置成固定的格式,一律采用AD域名_所属地区编号组成;
例如某台计算机名为SSSS_100201,SSSS为地区AD 域名,100为地区编号,201代表该地区第201个账户。 2)必须在所有个人计算机上激活下列安全控制: 所有计算机(包括便携电脑与台式机)必须设有系统密码;系统密码应当符合一定程度的复杂性要求,并不定期更换密码;存储在个人计算机中的包含有公司涉密信息的文件,需要加密存放。 3)当员工离开办公室或工作区域时: 必须立即锁定计算机或者激活带密码保护的屏幕保护程序; 如果办公室或者工作区域能上锁,最后一个离开的员工请锁上办公室或工作区域; 妥善保管所有包含公司涉密内容的文件,如锁进文件柜。 4)防范计算机病毒和其他有害代码: 每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件; 员工必须开启防病毒软件实时扫描保护功能,至少每周进行一次全硬盘扫描,在网络条件许可的情况下每天进行一
谢谢观赏 注册个人信息保护专业人员 白皮书 发布日期:2019年 4 月 中国信息安全测评中心 中电数据服务有限公司
注册个人信息保护专业人员(CISP-PIP) 白皮书 咨询及索取 关于中国信息安全测评中心CISP-PIP考试相关信息,请与个人信息保护专业人员考试中心联系。 个人信息保护专业人员考试中心联系方式 【邮箱】xx 【地址】北京市海淀区知春路7号致真大厦C座14层 【邮编】100191 中电数据服务有限公司是中国电子信息产业集团有限公司旗下专注网络安全和人工智能,为国家重点行业、部门提供数据互联互通、数据安全管理及数据智能开放等服务的专业公司,以保障国家重要数据安全、推动行业大数据应用为己任。 2019年初,经中国信息安全测评中心授权,中电数据成立个人信息保护专业人员考试中心,开展注册个人信息保护专业人员(CISP-PIP)知识体系研发与维护、培训体系建立、考试中心组织管理、专项证书推广等工作。CISP-PIP是我国目前唯一的国家级个人信息保护专业人员资质评定。持证人员掌握国家网络安全顶层设计、网络安全体系结构、安全管理与工程、数据安全基础、个人信息安全规范、个人信息保护技术、个人信息保护实践、行业个人信息保护等知识,具备个人信息保护理论基础和实践能力,可在数据保护、信息审计、组织合规与风险管理等领域发挥专长,有效提升相关企业数据安全意识和保护能力,强化我国公民个人信息和国家重要数据安全保护水平。
目录 引言1 一、CISP-PIP知识体系结构2 二、CISP-PIP认证要求 3 三、CISP-PIP注册流程 3 四、CISP-PIP职业准则 4 五、CISP-PIP考生申请资料要求5 六、CISP-PIP收费标准 5 七、个人信息保护专业人员考试中心联系方式6
《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容: 6.1 个人信息保存时间最小化 对个人信息控制者的要求包括: a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。 6.2 去标识化处理 收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括: a) 传输和存储个人敏感信息时,应采用加密等安全措施; b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时,应: a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:9.1 安全事件应急处置和报告 对个人信息控制者的要求包括: a) 应制定个人信息安全事件应急预案; b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置: 1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患; 3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式; 4) 按照本标准9.2的要求实施安全事件的告知。 d) 根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。 9.2 安全事件告知 对个人信息控制者的要求包括: a) 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息; b) 告知内容应包括但不限于:
郑州工业应用技术学院课程设计(论文) 题目:个人信息安全保护技术概论 指导教师:郭军利 学生姓名:吴万强 学号: 1401120125 专业: 14级通信工程 院(系):信息工程学院 2016年12月26日
目录 1 个人信息安全保护技术概论 (3) 1.1 背景简介 (3) 1.2 研究意义 (3) 1.3 国内外研究状况 (4) 2 个人信息安全保护技术发展趋势 (4) 2.1 主要技术和发展趋势 (4) 2.2 常见的安全威胁 (7) 3 个人信息安全防护策略 (7) 3.1 威胁计算机信息安全主要因素 (8) 3.1.1 黑客的威胁和攻击 (8) 3.1.2 计算机病毒 (8) 3.1.3 网络软件的漏洞 (8) 3.2 计算机信息安全的防护措施 (8) 3.2.1 设置身份鉴别系统 (8) 3.2.2 设制口令识别 (8) 3.2.3 安装防火墙技术软件 (9) 3.2.4 安装网络版防病杀毒软件 (9) 3.2.5 采取数据加密技术 (9) 3.2.6 加强管理解决信息安全的问题 (9) 4 总结 (9)
1个人信息安全保护技术概论 1.1背景简介 在21世纪的今天,随着计算机技术的不断发展,计算机的使用已经深入到人们生活工作中的每个角落,对其网络的应用以来也来越高,然而,随着计算机应用的普及,信息安全的问题也渐渐的浮出水面,大量的信息都出存在网络上,可能随时早到非法侵入,对信息安全造成威胁,因此,计算机网络信息安全及维护是非常重要的,必须引起高度的重视,本文阐述了关于计算机网络信息安全与防护的策略进行探讨分析,仅供参考。 由于互联网技术在全球的发展速度很迅猛,在给人们工作带来方便和带来物质享受的同时,在在承担着来自网络的安全威胁,例如像数据被剽窃、黑客的侵袭、系统内部的信息被盗等,虽然在计算机的系统里安装了很多的安全软件,但还是难免发生诸如的类似的情况,目前,怎样能够保证计算机网络信息的安全性和可靠性,是全球都在关注的话题. 1.2研究意义 从发展的眼光来看,Windows平台的发展方向已经从桌面应用转向网络应用,计算机用户也已经越来越离不开网络。这一方面大大提高了人们的工作效率,另一方面也对计算机上的信息安全提出了更高的要求。一个没有任何安全维护的网站的安全漏洞至少有1 500个,而这些漏洞恰恰使黑客攻击的主要目标。病毒、黑客、木马程序都对我们的系统安全造成严重的威胁。1999年4月26日的CIH 病毒大爆发给我国带来了数以亿计的损失,根据Financial Times的统计,全球平均每20s就有一个网络遭到非法入侵,Yahoo,Sina,263等很多国内外著名 站点都曾遭到黑客的攻击。 信息安全是一个相对的概念,有些用户认为只要使用了防病毒软件和防火墙产品,信息安全问题就可以迎刃而解,这是完全错误的。随着计算机操作系统漏洞的不断发现、新病毒和新的攻击手段的不断产生,我们只能使系统越来越安全,而做不到绝对的安全。 为了保护计算机系统里的各种信息,我们必须时刻保持高度的警惕。一方面要使用合格的防病毒软件和防火墙产品,并对其进行正确的设置;另一方面要了解病毒、木马程序、防病毒软件和防火墙等产品的基本知识,注意计算机系统漏洞、软件安全方面的最新信息,做到对自己的系统安全情况始终有一个清醒的认识。只有这样才能使你的系统受到最大程度的保护,从而保障个人信息的安全。
注册信息安全专业人员(CISP) 随着信息技术的迅速发展和广泛应用,网络安全威胁向经济社会的各个方面渗透,成为国家安全的重要组成部分。2017年6月1日《中华人民共和国网络安全法》正式施行,保障网络安全对我国网络安全有着重大意义。 CISP即“注册信息安全专业人员”,系国家对信息安全人员资质的最高认可。英文为Certified Information Security Professional (简称CISP),CISP系经中国信息安全产品测评认证中心(已改名中国信息安全测评中心)实施国家认证。CISP是强制培训的。如果想参加CISP考试,必须要求出具授权培训机构的培训合格证明。 一、企业所需 注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。 二、个人所需
CISP作为目前国内最权威的信息安全认证,将会使您的个人职业生涯稳步提升,同时,CISP也是国内拥有会员数最多的信息安全认证,你可以通过CISP之家俱乐部与行业精英交流分享,提高个人信息安全保障水平。 三、适用人群 包括在国家信息安全测评机构、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员、企业信息安全主管、信息安全服务提供商、IT或安全顾问人员、IT审计人员、信息安全类讲师或培训人员、信息安全事件调查人员、其他从事与信息安全相关工作的人员(如系统管理员、程序员等) 1、CISE(注册信息安全工程师): 适合政府、各大企事业单位、网络安全集成服务提供商的网络安全技术人员 2、CISO(注册信息安全管理人员): 适合政府、各大企事业单位的网络安全管理人员,也适合网络安全集成服务提供商的网络安全顾问人员 四、认证要求 1、注册要求 1.教育与工作经历
个人信息的保护和安全措施 一、广电公众平台将尽一切合理努力保护获得的用户个人信息,并由专门的数据安全部门对个人信息进行保护。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用,广电公众平台已经并将继续采取以下措施保护用户的个人信息: 通过采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。在个人信息使用时,例如个人信息展示、个人信息关联计算,广电公众平台会采用包括内容替换、加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。设立严格的数据使用和访问制度,采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。 二、保护个人信息采取的其他安全措施 1、通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。 2、建立数据安全专项部门,负责安全应急响应组织来推进和保障个人信息安全。 3、个人信息安全事件的通知 1)如发生个人信息引发的安全事件,广电公众平台将第一事件向相应主管机关报备,并即时进行问题排查,开展应急措施。 2)通过与全量用户发送通知提醒更改密码。还可能通过电话、短信等各种方式触达用户知晓,在公共运营平台运营宣传,制止数据
泄露。 尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但广电公众平台仍然无法保证用户的个人信息通过不安全途径进行交流时的安全性。因此,用户个人应采取积极措施保证个人信息的安全,如:定期修改账号密码,不将自己的账号密码等个人信息透露给他人。 网络环境中始终存在各种信息泄漏的风险,当出现意外事件、不可抗力等情形导致用户的信息出现泄漏时,广电公众平台将极力控制局面,及时告知用户事件起因、广电公众平台采取的安全措施、用户可以主动采取的安全措施等相关情况。
国外在企业收集、利用公众信息方面的 政策、措施、规定、法规。 一、美国 1.《隐私权法》 1974 年12 月31 日, 美国参众两院通过了《隐私权法》(Privacy Act)1, 1979 年, 美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》。该法又称《私生活秘密法》, 是美国行政法中保护公民隐私权和了解权的一项重要法律。就“行政机关”对个人信息的采集、使用、公开和保密问题作出详细规定, 以此规范联邦政府处理个人信息的行为, 平衡公共利益与个人隐私权之间的矛盾。2该法中的“行政机关”, 包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司, 以及行政部门的其他机构, 包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关, 但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。该法中的“记录”, 是指包含在某一记录系统中的个人记录。个人记录是指“行政机关根据公民的姓名或其他标识而记载的一项或一组信息”。其中, “其他标识”包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码, 以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。 《隐私权法》规定了行政机关“记录”的收集、登记、公开、保存等方面应遵守的准则。 1https://www.doczj.com/doc/228900885.html,/foia/privacy/index.html 2摘自《情报科学》,周健:美国《隐私权法》与公民个人信息保护
2.《电子通讯隐私法》 到目前为止,美国并没有一部综合性法典对个人信息的隐私权提供保护,主要依靠联邦和州政府制定的各种类型的隐私和安全条例。其中最为重要的条例是1986 年颁布的《电子通讯隐私法》(The Electronic Communication Privacy Act,简称ECPA)3。 尽管《电子通讯隐私法》还存在不足,但它是目前有关保护网络上的个人信息最全面的一部数据保护立法。《电子通讯隐私法》涵盖了声音通讯、文本和数字化形象的传输等所有形式的数字化通讯,它不仅禁止政府部门未经授权的窃听,而且禁止所有个人和企业对通讯内容的窃听,同时还禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。 3.《金融服务现代化法案》 Financial Services Modernization Act of 1999,也就是格雷姆-里奇-比利雷法(Gramm-Leach-Bliley Act,GLB Act)4,它规定了金融机构处理个人私密信息的方式。这部法案包括三部分:金融秘密规则(Financial Privacy Rule),它管理私密金融信息的收集和公开;安全维护规则(Safeguards Rule),它规定金融机构必须实行安全计划来保护这些信息;借口防备规定(Pretexting provisions),它禁止使用借口的行为(使用虚假的借口来访问私密信息)。这部法律还要求金融机构给顾客一个书面的保密协议,以说明他们的信息共享机制。 4、《儿童在线隐私权保护法案》 The Children’s Online Privacy Protection Act,,简称COPPA5,它规定网站经营者必须向父母提供隐私权保护政策的通知,以儿童为目标的网站必须在网站主页上或是从儿童处收集信息的每一网页上提供链接连接到此通知。它还详细规定了网站对 13 岁以下 3摘自https://www.doczj.com/doc/228900885.html,/ywdt/txt/2010-01/25/content_3357265.htm 4https://www.doczj.com/doc/228900885.html,/privacy/privacyinitiatives/glbact.html 5https://www.doczj.com/doc/228900885.html,/ogc/coppa1.htm
互联网个人信息安全保护指南 前言 为有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握 的情况,组织北京市网络行业协会和公安部第三研究所等单位相关专家,研究起草了《互联网个人信息安全保护指南》,供互联网服务单位在个人信息保护工作中参考借鉴。 1范围 本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。 适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作 参考使用。本文件适用于通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069—2010 信息安全技术术语 GB/T 35273—2017 信息安全技术个人信息安全规范 GB/T 22239 信息安全技术网络安全等级保护基本要求(信息系统安全等 级保护基本要求) 3术语和定义 3.1 个人信息
以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 [中华人民共和国网络安全法,第七十六条(五)] 注:个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 3.2 个人信息主体 个人信息所标识的自然人。 [GB/T 35273-2017,定义3.3] 3.3 个人信息持有 对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。 3.4 个人信息持有者 对个人信息进行控制和处理的组织或个人。 3.5 个人信息收集 获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。 [GB/T 35273-2017,定义3.5] 3.6 个人信息使用
员工信息安全规范 1、适用范围 本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求,规定了员工保护公司涉密信息的责任,并列出了大量可能遇到的情况下的安全要求。 本标准适用于公司所有员工,包括子公司的员工,以及其他经授权使用公司内部资源的人员。 2、计算机安全要求 1)计算机信息登记与使用维护: 每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记,严禁私自变更使用人和增减配置; 每位员工有责任保护公司的计算机资源和设备,以及包含的信息。 每位员工必须把自己的计算机名字设置成固定的格式,一律采用AD域名_所属地区编号组成; 例如某台计算机名为SSSS_100201,SSSS为地区AD域名,100为地区编号,201代表该地区第201个账户。 2)必须在所有个人计算机上激活下列安全控制: 所有计算机(包括便携电脑与台式机)必须设有系统密码;系统密码应当符合一定程度的复杂性要求,并不定期更换密码;存储在个人计算机中的包含有公司涉密信息的文件,需要加密存放。
3)当员工离开办公室或工作区域时: 必须立即锁定计算机或者激活带密码保护的屏幕保护程序; 如果办公室或者工作区域能上锁,最后一个离开的员工请锁上办公室或工作区域; 妥善保管所有包含公司涉密内容的文件,如锁进文件柜。 4)防范计算机病毒和其他有害代码: 每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件; 员工必须开启防病毒软件实时扫描保护功能,至少每周进行一次全硬盘扫描,在网络条件许可的情况下每天进行一次病毒库文件的更新; 如果员工发现未能处理的病毒,应立即断开局域网连接,以免病毒在局域网内部交叉感染,并及时向公司IT部门汇报。 5)软件的使用: 员工不得私自在计算机上安装公司禁止的软件,公司禁止安装的软件包括但不限于:BT等P2P软件、Sniffer等流量监控软件及黑客软件、P2P 终结者、网络执法官之类的网络管理软件; 工作用计算机禁止安装盗版杀毒软件和盗版防火墙软件; 公司员工的机器上必须安装并开启功能的软件有:金山企业版防病毒软件、Office2010、360浏览器、IE8.0升级包、Winrar、固网打印服务;如果由于使用未经公司授权的且没有许可的软件造成公司损失,员工需
国家注册信息安全管理体系(ISMS)审核员 培训招生简章 中国信息安全认证中心(China Information Security Certification Center,英文缩写:ISCCC)是经中央编制委员会批准成立,由原国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关强制性产品认证、信息安全管理的法律法规,负责实施信息安全认证(产品认证、服务资质认证和ISMS、ITSM认证)的专门机构。 中国信息安全认证中心是经国家批准的ISMS审核员、信息安全产品认证工厂检查员、信息安全服务资质认证评审员、信息安全技术培训的专业培训机构。 国家注册ISMS审核员是国家认可的ISMS认证审核执业资格,从事和提供第三方ISMS认证的认证机构必须具备规定数量的国家注册ISMS审核员。另外,ISMS审核员也是一个组织中不可缺少的、重要的信息安全岗位,其职责是持续评审组织ISMS的符合性,以保证组织的信息安全符合法规、标准和业务的要求。 为各类人员对培训的需求,我们将定期举办ISMS审核员培训班,欢迎报名参加。 培训班的培训与考试内容、时间与方式见附件。
报名回执: 国家注册ISMS 审核员培训班报名表 注: 1. 学员报名条件按国家ISMS 注册审核员注册基本要求执行(见CCAA网站人员注册-新领域确认-关于发布《信息安全管理体系认证审核员确认方案的》通知)。 2. 请随回执一并提交480*640的数码登记照。 3. 回执请联系:
李智贾梦妮 北京市朝阳区朝外大街甲10号中认大厦,100020 中国信息安全认证中心 电话:传真: 电子邮件:
国家个人信息保护法律法规相关要求 为进一步强对个人信息的保护,国家先后出台了《中华人民共和国网络安全法》(以下简称《网安法》)、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)、《中华人民共和国刑法修正案(九)》(以下简称《修正案(九)》)等一系列法律法规。 这些法律法规解释了个人信息的定义,提出了个人信息收集、使用、传输、存储的相关要求,并明确了个人信息泄露后的罚则,其中主要条款有: 1、《解释》定义了公民个人信息,第一条指出公民个人信息包括“姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。 2、《网安法》对网络运营者提出个人信息保护相关管理要求,第四十条指出“应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”。《网安法》对网络运营者提出个人信息保护相关技术要求,第四十二条指出“应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失”。 3、《网安法》明确网络运营者收集、使用个人信息需经被收集者同意,第四十一条指出“网络运营者应当明示收集、使用信息的目
的、方式和范围,并经被收集者同意,不得收集与其提供的服务无关的个人信息”。 4、《网安法》明确了网络安全实名制要求,第二十四条指出“网络运营者在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。” 5、《网安法》对关键信息基础设施个人信息出境提出安全评估要求,第三十七条指出“关键信息基础设施的运营者在境内收集和产生的个人信息应当在境内存储。因业务需要,确需向境外提供的,应当按照有关部门制定的办法进行安全评估”。 6、《修正案(九)》对网络服务提供者的个人信息泄露情形提出量刑标准,指出“网络服务提供者不履行信息网络安全管理义务,致使用户信息泄露,造成严重后果的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金”。《解释》定义了拒不履行信息网络安全管理义务罪,第九条指出“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,致使用户的公民个人信息泄露,造成严重后果的,以拒不履行信息网络安全管理义务罪定罪处罚”。 7、《解释》中提出企业在经营过程中可能采集或生成的公民个人信息主要包括:姓名、身份证号码、通信通讯联系方式、住址、征信信息、财产交易信息等,如员工以出售、交换等方式故意征信信息、泄露财产信息超过50条的,交易信息超过500条的,其他信息超过5000条的,或者违法所得5000元以上的,将构成侵犯公民个人信息
个人信息保护 摘要:随着个人信息侵权事件的频繁发生,有关个人信息保护的立法问题也成为学界关注的焦点,而对于个人信息权的保护模式一直是理论界关注的焦点之一。本文通过对美国和德国两国的个人信息权保护模式的分析,提出对我国个人信息权保护模式应选择人格权保护模式,将其确定为一项具体人格权加以保护。关键词:个人信息个人信息权保护模式 日常生活中,我们经常遇到这样的事情:超市开业,会员卡会莫名其妙地寄到了家里;新房刚拿到钥匙,就有装修公司跟踪而至;新车刚买,就接到电话,询问是否需要购买车辆保险等等。大量的个人信息在不知不觉中被收集、利用,现代人因此而成为“透明人”或“半透明人”,而个人信息保护制度的缺失使人们的工作和生活受到了严重影响,09年央视3.15晚会上的分众传媒“短信门”事件更提醒我们加强个人信息保护已经刻不容缓。因此,个人信息的法律保护就成为法律亟需解决的一个问题。虽然我国从2005年就已经开始将个人信息保护法纳入立法日程,但至今尚未出台,而对个人信息相关问题的争论在理论界也从未停止,对个人信息权保护模式的选择理论界也存在颇多争议,本文将对此进行探讨,发表本人一点浅薄的看法。 一、个人信息权 (一个人信息 个人信息是指可以识别出信息主体本人的一切信息的总和,包括了信息主体生理信息、心理信息、智力信息以及有关信息主体个体的信息、社会的信息、经济的信息、文化的信息、家庭的信息等等。对于个人信息,学界有不同的称谓,有的称为个人隐私,有的称为个人资料(数据,下面对这三个概念进行一下比较. 1.个人信息与个人隐私 隐私是近年来在我们生活中频繁出现的词语,一般是指不愿告诉别人的或不想公开的个人的事情,或者说与公共利益无关的个人私生活秘密方面的事情。“个人隐私”与“个人信息”最大的区别在于范围上的差异,个人信息的范围大于个人隐私,即
完善银行客户个人信息保护机制的思考 一、我国银行客户个人信息保护的法律法规建设情况 (一)国家法律法规建设情况 我国《民法通则》、《刑法》和《商业银行法》均对银行客户个人信息保护作出规定。《民法通则》第99—101条分别对公民的姓名权、肖像权和名誉权作出保护规定。《刑法修正案(七)》将侵犯公民个人信息的行为纳入刑事犯罪的范畴,规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。《商业银行法》第29条则规定:“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则”。“为存款人保密”是指商银行业对存款人的姓名、住址、存款金额、储蓄种类、存款次数、提取情况、印鉴以及其他各种情况都要严格的保守秘密,不得披露。对个人储蓄银存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。这一原则是保护存款人合法权益的最基本要求,是商业银行在办理个人存款业务时必须遵循的原则。 (二)部门规章建设情况 人民银行、银监会等部门在其规章中针对电子银行、反洗钱及信用卡业务等方面对银行客户个人信息保护作出规定。如《电子银行业务管理办法》第52条规定:“金融机构应采取适当措施,保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定”;《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第28条规定:“金融机构应采取必要管理措施和技术措施,防止客户身份资料和交易记录的缺失、损毁,防止泄漏客户身份信息和交易信息”;银监会《商业银行信息科技风险管理指引》第四章以专章形式规定了信息安全,对信息安全管理职能、信息安全级别划分和信息安全措施等作出具体规定。人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》第2条规定:“银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用”;《商业银行信用卡业务监督管理办法》第3条规定:“商业银行经营信用卡业务(https://www.doczj.com/doc/228900885.html,整理提供),应当依法保护客户合法权益和相关信息安全。未经客户授权,不得将相关信息用于本行信用卡业务以外的其他用途”。 二、我国银行客户个人信息保护存在的主要问题 (一)客户个人信息保护法律法规缺失 1.行政法责任缺失。我国尚未制订专门的《个人信息保护法》,对个人信息