網(wǎng)安微課堂第四期

沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。網(wǎng)絡(luò)是信息化社會(huì)的重要基礎(chǔ)，網(wǎng)絡(luò)空間是國(guó)家安全和經(jīng)濟(jì)社會(huì)發(fā)展的關(guān)鍵領(lǐng)域。維護(hù)網(wǎng)絡(luò)安全是全社會(huì)共同責(zé)任，共筑網(wǎng)絡(luò)安全防線。五一小長(zhǎng)假，也別忘了給自己充電！今天，我們走進(jìn)網(wǎng)安微課堂第四期《合規(guī)使用個(gè)人信息》。

個(gè)人信息定義

“公民個(gè)人信息”，是指以電子或者其他方式記錄，能夠單獨(dú)或者與其他信息相結(jié)合，識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號(hào)碼、通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。

機(jī)構(gòu)使用個(gè)人信息

應(yīng)當(dāng)具有特定、明確和合理的目的。

應(yīng)當(dāng)在個(gè)人信息主體知情的情況下獲得個(gè)人信息主體的同意。

應(yīng)當(dāng)在達(dá)成個(gè)人信息使用目的之后刪除個(gè)人信息。

個(gè)人信息種類

個(gè)人身份識(shí)別與鑒別信息：數(shù)字證書(shū)、指紋、密碼等。

個(gè)人身份信息：姓名、性別、照片、民族、地址、聯(lián)系方式、婚姻關(guān)系等。

個(gè)人財(cái)產(chǎn)信息：個(gè)人收入、不動(dòng)產(chǎn)情況、車輛情況、稅金等。

個(gè)人賬戶信息：卡號(hào)、有效期、開(kāi)戶時(shí)間、余額等。

個(gè)人信用信息：能夠反映信息狀況的其他信息。

衍生信息：反映特定個(gè)人某些情況的信息。

個(gè)人金融交易信息：個(gè)人金融信息是指金融機(jī)構(gòu)通過(guò)開(kāi)展業(yè)務(wù)或者其他渠道獲取、加工和保存的個(gè)人信息,包括個(gè)人身份信息、財(cái)產(chǎn)信息、賬戶信息、信用信息、金融交易信息及其他反映特定個(gè)人某些情況的信息。

個(gè)人信息采集

最小化原則

指嚴(yán)格按照有關(guān)保密和標(biāo)準(zhǔn)規(guī)定管理國(guó)家秘密，確保國(guó)家秘密數(shù)量最少、知悉范圍最小、涉密環(huán)節(jié)最簡(jiǎn)。

告知原則

通過(guò)明示的事前約定、事中提醒等方式告知被采集方具體的個(gè)人信息采集范圍、使用者以及使用方式。

采集方式

線上采集：對(duì)不同敏感級(jí)別數(shù)據(jù)采取不同的安全控制措施。

線下采集：防范非授權(quán)人員獲得可恢復(fù)信息的數(shù)據(jù)片段。

腳本采集：防范數(shù)據(jù)被其他程序讀取、篡改或恢復(fù)明文。

個(gè)人信息存儲(chǔ)

對(duì)個(gè)人信息的存儲(chǔ)介質(zhì)有完善的訪問(wèn)控制機(jī)制，在操作系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用以及數(shù)據(jù)庫(kù)層面都有適當(dāng)?shù)脑L問(wèn)控制。個(gè)人信息存儲(chǔ)應(yīng)按照個(gè)人信息敏感等級(jí)，采取不同的加密方式。

個(gè)人信息傳輸

對(duì)訪問(wèn)個(gè)人敏感信息的通道應(yīng)該進(jìn)行限制和區(qū)別，配置嚴(yán)格的訪問(wèn)控制規(guī)則，明確個(gè)人信息傳輸?shù)目刂撇呗浴?

信息系統(tǒng)應(yīng)采用時(shí)間戳、挑戰(zhàn)與應(yīng)答等保護(hù)機(jī)制，防止第三方通過(guò)重放攻擊獲取個(gè)人敏感信息。對(duì)于包含高敏感級(jí)別個(gè)人信息的應(yīng)在傳輸過(guò)程中采取應(yīng)用層加密措施，以保證數(shù)據(jù)的加密性。

個(gè)人信息使用

應(yīng)根據(jù)業(yè)務(wù)需要和最小授權(quán)原則，嚴(yán)格控制訪問(wèn)、展示以及使用個(gè)人信息。對(duì)高、中敏感等級(jí)信息的通訊、使用行為應(yīng)進(jìn)行記錄；對(duì)用戶密碼、卡片驗(yàn)證碼等高敏感級(jí)別個(gè)人信息不允許在任何場(chǎng)景明文展示；對(duì)可疑操作進(jìn)行實(shí)時(shí)控制。

個(gè)人信息銷毀

個(gè)人信息如果有需要配合司法機(jī)關(guān)協(xié)助調(diào)查的，其生命周期應(yīng)按相關(guān)法律規(guī)定執(zhí)行。存儲(chǔ)有個(gè)人敏感信息的存儲(chǔ)介質(zhì)在被棄置時(shí)，應(yīng)對(duì)個(gè)人敏感信息進(jìn)行銷毀。

如何保護(hù)自身信息安全

提升安全意識(shí)

積極參與信息安全知識(shí)的學(xué)習(xí)，提升個(gè)人信息安全意識(shí)水平。

不登錄陌生網(wǎng)站

不良網(wǎng)站會(huì)以各種各樣的名義收集個(gè)人信息，甚至帶有木馬病毒，因此，上網(wǎng)時(shí)應(yīng)該認(rèn)準(zhǔn)正確的網(wǎng)站。

不透露個(gè)人信息

許多渠道通過(guò)贈(zèng)送禮品的方式來(lái)套取個(gè)人信息，不要輕易掃描不明二維碼，不輕易透露個(gè)人敏感信息。

不使用不明WIFI熱點(diǎn)

公共區(qū)域的WIFI隱藏著安全風(fēng)險(xiǎn)，可能導(dǎo)致個(gè)人信息泄露，甚至賬戶密碼被竊取。

及時(shí)銷毀紙質(zhì)單據(jù)

在處理快遞單或者各種賬單票據(jù)時(shí)，最好先涂抹掉個(gè)人信息部分再丟棄，或者集中起來(lái)一起銷毀。

警惕不明電子郵件

來(lái)路不明的軟件不要隨便安裝，陌生人發(fā)來(lái)的郵件千萬(wàn)不能輕易打開(kāi)，尤其是看到中獎(jiǎng)或者是獎(jiǎng)品認(rèn)領(lǐng)等帶有誘惑性信息的內(nèi)容。