新版个人信息安全规范正式发布，企业该注意哪些？

这段时间，受疫情的影响，很多APP的活跃度都非常高，这些APP的信息安全问题也引起了相关部门的关注，近日广东、河南、天津等省市都陆续开展了APP数据安全专项检查。

现在相关部门不仅加大数据的安全监管，对各类信息安全法规也在不断完善。3月，国家市场监督管理总局、国家标准化管理委员会正式发布国家标准《信息安全技术个人信息安全规范》，就对新发展趋势下个人信息安全保护提出更多要求，该规范将于2020年10月1日实施。

新版《个人信息安全规范》增加了哪些安全要求？

作为《网络安全法》的延续和细化，《个人信息安全规范》以国家标准的形式，明确了个人信息的收集、保存、使用、共享的合规要求。相比现行《规范》，新版《规范》在个人信息安全合规管理方面有较多变化。

新增个人信息合规管理要求

新规范增加了企业基于不同业务目的所收集的个人信息的汇聚融合时，需采取有效的个人信息保护措施的合规监管要求，还增加个人信息安全工程、个人信息处理活动记录、建立自动化审计系统等内容，新规范变得更细致，也更贴合当前的信息安全发展。

新增对个人生物识别信息的强化保护

随着手机指纹解锁、人脸解锁、人脸支付、声音锁等新技术的广泛应用，难以或不可能发生变化的个人生物识别信息，一旦出现被泄露、被窃取等安全事件，很容易给个人造成财产损失、名誉损失等严重后果。此次新规范就特别针对个人生物识别信息方面的采集、存储保护进行细化并完善，进一步强调了个人生物信息保护的重要性。

《个人信息安全规范》对企业信息安全管理影响？

从此次新规范中可以看到，企业在新业务系统建设之初就需要同步规划建设和使用个人信息保护措施，个人敏感信息需采取加密等安全措施保护其安全；此外还需要加强对数据信息在处理过程中的记录和审计。这次的新规范可以说是更深入到业务系统数据存储和使用的全过程管理。

新规范不仅为企业完善内部个人信息保护工作提出了具体的实践要求与合规建议，也为监督部门提供了执法管理的参考依据。

近年来众多个人信息保护相关立法文件均在一定程度上沿用了《个人信息安全规范》的相关要求，监管部门多次开展的APP相关执法工作也是以《个人信息安全规范》的规定作为重要依据。新版《个人信息安全规范》的发布和实施，仍将会对后续个人信息保护工作的开展产生深远影响。

企业该如何完善信息保护措施？

建设符合新规范要求的信息数据保护，需要有非常全面的数据管理措施，企业开展信息系统审计以及等级保护工作可以有效地、系统地保护企业及用户信息不泄露，保证信息的安全性。IT审计可以揭示目前企业所存在的信息安全风险，并提出改善现状，消灭风险的最佳有效途径，为企业以及企业用户的信息安全保驾护航。

个人信息处理系统的安全管理要求应满足GB/T 22239《信息系统安全等级保护基本要求》中相应等级的要求。在网络安全等级保护工作中，企业是需要承担网络安全主体的责任，有义务保护数据信息不泄露或者被窃取、篡改、删除。企业开展网络安全工作可以防止安全风险威胁数据信息安全，及时预警高风险泄密行为，通过安全整改提升系统的安全防护能力，降低被攻击导致信息泄露的风险。

新版规范的推出，一定程度上反映了个人信息保护相关问题的最新监管态度。随着监管力度的加大，企业需要有更好的个人信息保护能力才能避免更多的数据安全风险以及法律风险，才能保障各类业务能够顺利地开展。

Classified protection

IT Audit Service

Security Service

About us