专业咨询
致力推进中国医疗卫生信息化

突发公卫事件中如何保护个人信息?这份标准正在征求意见

来源:全国信息安全标准化技术委员会

8月31日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 网络数据处理安全规范》(征求意见稿),并面向社会公开征求意见。意见反馈截止时间为2020年10月27日前。

该标准规定了网络运营者利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和安全要求,适用于网络运营者规范数据处理活动,提高数据安全管理和个人信息保护水平,也适用于主管监管部门对网络运营者数据处理活动进行监督管理,同时还可为第三方评估机构开展相关评估工作提供指导。

值得关注的是,该标准对“突发公共卫生事件个人信息保护”单列章节,要求:在启动Ⅰ级(特别重大)、Ⅱ级(重大)响应的突发公共卫生事件中,指定机构收集、调用个人信息应坚持最小化原则,一般只限于个人信息主体的联系方式、位置、行踪信息;根据应对突发公共卫生事件实际需要,严格限定调用个人信息的范围、规模、数量以及行踪信息的回溯时间跨度。

标准还规定,指定机构在提供信息服务过程中,以人脸识别作为身份验证方式时,原则上应提供其他身份验证方式供用户选择。应对工作结束后,指定机构应停止收集、调用个人信息,并在60天内或者国务院卫生健康行政部门规定的时限内删除在突发公共卫生事件应对中已收集、调用的个人信息。

标准全文请见附件下载,“突发公共卫生事件个人信息保护”章节内容如下所示。

突发公共卫生事件个人信息保护

7.1 概述

本章所称突发公共卫生事件,是指依据突发公共卫生事件专项预案启动Ⅰ级(特别重大)、Ⅱ级(重大)响应的事件。

7.2 个人信息服务协议

为应对突发公共卫生事件,由国务院卫生健康行政部门或者省级人民政府有关部门指定的机构(以下称“指定机构”),利用个人信息为社会提供位置、行踪查询等信息服务时,应当按照与国务院卫生健康行政部门或者省级人民政府有关部门签订的服务合同或者其他有约束力的协议,履行个人信息保护要求,承担违约责任等。

7.3 个人信息收集

突发公共卫生事件应对中,收集个人信息应事先征得个人信息主体同意。但是,为控制事件扩大、减轻事件危害而必须收集的,由指定机构实施并经全国突发公共卫生事件应急指挥部(以下称“指挥部”) 或者国务院卫生健康行政部门同意的除外。

7.4 个人信息调用

为控制事件扩大、减轻事件危害,指定机构确需调用关键信息基础设施运营单位已经收集的个人信息,应经指挥部同意,或者由国务院卫生健康行政部门会同相关行业管理部门同意,并明确调用个人信息的范围、类型及程序。

7.5 收集、调用规则

指定机构收集、调用个人信息应坚持最小化原则,一般只限于个人信息主体的联系方式、位置、行踪信息;根据应对突发公共卫生事件实际需要,严格限定调用个人信息的范围、规模、数量以及行踪信息的回溯时间跨度。

7.6 人脸识别验证

指定机构在提供信息服务过程中,以人脸识别作为身份验证方式时,原则上应提供其他身份验证方式供用户选择。 利用人脸识别信息进行身份验证的,原则上不留存可提取人脸识别信息的原始图像。

7.7 信息查阅服务

指定机构提供信息查阅服务,应通过境内手机号码等能够确认身份的方式核验查阅人身份,防止非授权查阅他人个人信息。

7.8 公开、向他人提供个人信息和改变个人信息用途

指定机构收集掌握的个人信息,未经个人信息主体同意,不得公开或者非法向他人提供,不得改变用途。确需公开、向他人提供或者改变用途的,应报指挥部或者国务院卫生健康行政部门同意。指定机构不得利用已掌握的个人信息或者提供信息服务的便利条件谋取商业利益,包括进行市场营销、定向推送广告等。

7.9 应对工作结束后的个人信息处理

突发公共卫生事件应对工作结束后,指定机构应停止收集、调用个人信息,并在60天内或者国务院卫生健康行政部门规定的时限内删除在突发公共卫生事件应对中已收集、调用的个人信息。

7.10 日志留存

指定机构应留存个人信息收集、调用、使用活动日志,并保存至突发公共卫生事件应对工作结束后不少于6个月。

附件下载:

关注HIT专家网微信订阅号
精彩不容错过!

【责任编辑:陈曦】

赞(3)

评论 抢沙发

评论前必须登录!

 


未经允许不得转载:HIT专家网 » 突发公卫事件中如何保护个人信息?这份标准正在征求意见
分享到: 更多 (0)