网安微课堂第四期
没有网络安全就没有国家安全。网络是信息化社会的重要基础,网络空间是国家安全和经济社会发展的关键领域。维护网络安全是全社会共同责任,共筑网络安全防线。五一小长假,也别忘了给自己充电!今天,我们走进网安微课堂第四期《合规使用个人信息》。
个人信息定义
“公民个人信息”,是指以电子或者其他方式记录,能够单独或者与其他信息相结合,识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通讯凯发k8国际首页登录的联系方式、住址、账号密码、财产状况、行踪轨迹等。
机构使用个人信息
应当具有特定、明确和合理的目的。
应当在个人信息主体知情的情况下获得个人信息主体的同意。
应当在达成个人信息使用目的之后删除个人信息。
个人信息种类
个人身份识别与鉴别信息:数字证书、指纹、密码等。
个人身份信息:姓名、性别、照片、民族、地址、凯发k8国际首页登录的联系方式、婚姻关系等。
个人财产信息:个人收入、不动产情况、车辆情况、税金等。
个人账户信息:卡号、有效期、开户时间、余额等。
个人信用信息:能够反映信息状况的其他信息。
衍生信息:反映特定个人某些情况的信息。
个人金融交易信息:个人金融信息是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。
个人信息采集
最小化原则
指严格按照有关保密和标准规定管理国家秘密,确保国家秘密数量最少、知悉范围最小、涉密环节最简。
告知原则
通过明示的事前约定、事中提醒等方式告知被采集方具体的个人信息采集范围、使用者以及使用方式。
采集方式
线上采集:对不同敏感级别数据采取不同的安全控制措施。
线下采集:防范非授权人员获得可恢复信息的数据片段。
脚本采集:防范数据被其他程序读取、篡改或恢复明文。
个人信息存储
对个人信息的存储介质有完善的访问控制机制,在操作系统、网络、应用以及数据库层面都有适当的访问控制。个人信息存储应按照个人信息敏感等级,采取不同的加密方式。
个人信息传输
对访问个人敏感信息的通道应该进行限制和区别,配置严格的访问控制规则,明确个人信息传输的控制策略。
信息系统应采用时间戳、挑战与应答等保护机制,防止第三方通过重放攻击获取个人敏感信息。对于包含高敏感级别个人信息的应在传输过程中采取应用层加密措施,以保证数据的加密性。
个人信息使用
应根据业务需要和最小授权原则,严格控制访问、展示以及使用个人信息。对高、中敏感等级信息的通讯、使用行为应进行记录;对用户密码、卡片验证码等高敏感级别个人信息不允许在任何场景明文展示;对可疑操作进行实时控制。
个人信息销毁
个人信息如果有需要配合司法机关协助调查的,其生命周期应按相关法律规定执行。存储有个人敏感信息的存储介质在被弃置时,应对个人敏感信息进行销毁。
如何保护自身信息安全
提升安全意识
积极参与信息安全知识的学习,提升个人信息安全意识水平。
不登录陌生网站
不良网站会以各种各样的名义收集个人信息,甚至带有木马病毒,因此,上网时应该认准正确的网站。
不透露个人信息
许多渠道通过赠送礼品的方式来套取个人信息,不要轻易扫描不明二维码,不轻易透露个人敏感信息。
不使用不明wifi热点
公共区域的wifi隐藏着安全风险,可能导致个人信息泄露,甚至账户密码被窃取。
及时销毁纸质单据
在处理快递单或者各种账单票据时,最好先涂抹掉个人信息部分再丢弃,或者集中起来一起销毁。
警惕不明电子邮件
来路不明的软件不要随便安装,陌生人发来的邮件千万不能轻易打开,尤其是看到中奖或者是奖品认领等带有诱惑性信息的内容。