? ??針對個人信息的保存葛躏,《個人信息安全規(guī)范》對個人信息控制者提出了關(guān)于信息保存的時間最小化要求與去標(biāo)識化處理要求悠菜。
(1)時間最小化悔醋,要求信息的保存時間應(yīng)是使用目的所需的最短時間摩窃;在超過保存期限后,即應(yīng)對信息作出刪除或匿名化處理芬骄。
a) 個人信息保存期限應(yīng)為實現(xiàn)目的所必需的最短時間;
b) 超出上述個人信息保存期限后猾愿,應(yīng)對個人信息進(jìn)行刪除或匿名化處理。
(2)去標(biāo)識化账阻,是對信息主體的技術(shù)性保護(hù)蒂秘,要求將收集到的信息去除個人信息主體特征,確保該數(shù)據(jù)后續(xù)不能對應(yīng)到特定個體淘太。
? ??收集個人信息后姻僧,個人信息控制者宜立即進(jìn)行去標(biāo)識化處理,并采取技術(shù)和管理方面的措施蒲牧,將去標(biāo)識化后的數(shù)據(jù)與可用于恢復(fù)識別個人的信息分開存儲撇贺,并確保在后續(xù)的個人信息處理中不重新識別個人冰抢。
????《個人信息安全規(guī)范》進(jìn)一步要求個人信息控制者對存儲和傳輸?shù)膫€人敏感信息采取響應(yīng)的安全措施(加密松嘶、審計、脫敏等)挎扰,對于生物識別類信息翠订,應(yīng)采用技術(shù)措施處理后再行存儲。該處理方式與去標(biāo)識化處理方式存在差異遵倦,去標(biāo)識化處理主要是針對信息的個體特征處理尽超,使該信息失去獨(dú)立識別信息主體的能力,而此處涉及的技術(shù)措施是對生物識別信息通過加密技術(shù)手段存儲或只存儲該信息的摘要部分骇吭。
a) ?傳輸和存儲個人敏感信息時橙弱,應(yīng)采用加密等安全措施;
b) ?存儲個人生物識別信息時,應(yīng)采用技術(shù)措施處理后再進(jìn)行存儲,例如僅存儲個人生物識別信息的摘要棘脐。
????針對個人信息控制者停止運(yùn)營產(chǎn)品或服務(wù)斜筐,《個人信息安全規(guī)范》規(guī)定個人信息控制者應(yīng)及時停止收集行為,并將停止運(yùn)營通知以公告或逐一送達(dá)方式通知個人信息主體蛀缝,此外應(yīng)對其所持有的個人信息作出刪除或匿名化處理顷链。限制其濫用已收集的各類數(shù)據(jù),保護(hù)個人信息主體的基本權(quán)利屈梁。
? ??當(dāng)個人信息控制者停止運(yùn)營其產(chǎn)品或服務(wù)時嗤练,應(yīng):
a) 及時停止繼續(xù)收集個人信息的活動;
b) 將停止運(yùn)營的通知以逐一送達(dá)或公告的形式通知個人信息主體;
c) 對其所持有的個人信息進(jìn)行刪除或匿名化處理。
個人信息安全規(guī)范(二):數(shù)據(jù)生命周期--個人信息收集
個人信息安全規(guī)范(三):數(shù)據(jù)生命周期--個人信息存儲
個人信息安全規(guī)范(四):數(shù)據(jù)生命周期--個人信息使用
