網(wǎng)安微課堂第四期

沒有網(wǎng)絡安全就沒有國家安全。網(wǎng)絡是信息化社會的重要基礎，網(wǎng)絡空間是國家安全和經(jīng)濟社會發(fā)展的關鍵領域。維護網(wǎng)絡安全是全社會共同責任，共筑網(wǎng)絡安全防線。五一小長假，也別忘了給自己充電！今天，我們走進網(wǎng)安微課堂第四期《合規(guī)使用個人信息》。

個人信息定義

“公民個人信息”，是指以電子或者其他方式記錄，能夠單獨或者與其他信息相結合，識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。

機構使用個人信息

應當具有特定、明確和合理的目的。

應當在個人信息主體知情的情況下獲得個人信息主體的同意。

應當在達成個人信息使用目的之后刪除個人信息。

個人信息種類

個人身份識別與鑒別信息：數(shù)字證書、指紋、密碼等。

個人身份信息：姓名、性別、照片、民族、地址、聯(lián)系方式、婚姻關系等。

個人財產(chǎn)信息：個人收入、不動產(chǎn)情況、車輛情況、稅金等。

個人賬戶信息：卡號、有效期、開戶時間、余額等。

個人信用信息：能夠反映信息狀況的其他信息。

衍生信息：反映特定個人某些情況的信息。

個人金融交易信息：個人金融信息是指金融機構通過開展業(yè)務或者其他渠道獲取、加工和保存的個人信息,包括個人身份信息、財產(chǎn)信息、賬戶信息、信用信息、金融交易信息及其他反映特定個人某些情況的信息。

個人信息采集

最小化原則

指嚴格按照有關保密和標準規(guī)定管理國家秘密，確保國家秘密數(shù)量最少、知悉范圍最小、涉密環(huán)節(jié)最簡。

告知原則

通過明示的事前約定、事中提醒等方式告知被采集方具體的個人信息采集范圍、使用者以及使用方式。

采集方式

線上采集：對不同敏感級別數(shù)據(jù)采取不同的安全控制措施。

線下采集：防范非授權人員獲得可恢復信息的數(shù)據(jù)片段。

腳本采集：防范數(shù)據(jù)被其他程序讀取、篡改或恢復明文。

個人信息存儲

對個人信息的存儲介質(zhì)有完善的訪問控制機制，在操作系統(tǒng)、網(wǎng)絡、應用以及數(shù)據(jù)庫層面都有適當?shù)脑L問控制。個人信息存儲應按照個人信息敏感等級，采取不同的加密方式。

個人信息傳輸

對訪問個人敏感信息的通道應該進行限制和區(qū)別，配置嚴格的訪問控制規(guī)則，明確個人信息傳輸?shù)目刂撇呗浴?

信息系統(tǒng)應采用時間戳、挑戰(zhàn)與應答等保護機制，防止第三方通過重放攻擊獲取個人敏感信息。對于包含高敏感級別個人信息的應在傳輸過程中采取應用層加密措施，以保證數(shù)據(jù)的加密性。

個人信息使用

應根據(jù)業(yè)務需要和最小授權原則，嚴格控制訪問、展示以及使用個人信息。對高、中敏感等級信息的通訊、使用行為應進行記錄；對用戶密碼、卡片驗證碼等高敏感級別個人信息不允許在任何場景明文展示；對可疑操作進行實時控制。

個人信息銷毀

個人信息如果有需要配合司法機關協(xié)助調(diào)查的，其生命周期應按相關法律規(guī)定執(zhí)行。存儲有個人敏感信息的存儲介質(zhì)在被棄置時，應對個人敏感信息進行銷毀。

如何保護自身信息安全

提升安全意識

積極參與信息安全知識的學習，提升個人信息安全意識水平。

不登錄陌生網(wǎng)站

不良網(wǎng)站會以各種各樣的名義收集個人信息，甚至帶有木馬病毒，因此，上網(wǎng)時應該認準正確的網(wǎng)站。

不透露個人信息

許多渠道通過贈送禮品的方式來套取個人信息，不要輕易掃描不明二維碼，不輕易透露個人敏感信息。

不使用不明WIFI熱點

公共區(qū)域的WIFI隱藏著安全風險，可能導致個人信息泄露，甚至賬戶密碼被竊取。

及時銷毀紙質(zhì)單據(jù)

在處理快遞單或者各種賬單票據(jù)時，最好先涂抹掉個人信息部分再丟棄，或者集中起來一起銷毀。

警惕不明電子郵件

來路不明的軟件不要隨便安裝，陌生人發(fā)來的郵件千萬不能輕易打開，尤其是看到中獎或者是獎品認領等帶有誘惑性信息的內(nèi)容。