保护个人信息,在当今社会中变得越来越重要。社交媒体、智能电网、电子医保、移动金融和云计算等的扩散,以及从结构化到非结构化数据和元数据环境的转变,显著增加了个人信息管理者和个人信息获得者保护个人信息安全的复杂性和挑战。这些挑战远远超出了传统保护个人信息(主要是确保其保密性)的安全观点,蕴含了更大的有关控制个人信息完整性,并确保个人信息可以按需获得(即可用性)的意义。个人信息的超采、滥用将给社会秩序和个人主体的切身利益带来严重危害。
为了规范我国信息系统使用中的个人信息保护,促进个人信息的合理使用和有效保护,引导我国个人信息保护工作健康有序发展,在主管部门和国家项目的支持下中国软件评测中心牵头组织相关机构和企业,在研究国内外先进案例经验的基础上,结合我国具体情况搭建了我国个人信息保护标准体系框架,并编制完成了基础标准GB/Z 28828-2012《信息安全技术 公共及商用服务信息系统个人信息保护指南》。目前中国软件评测中心正在牵头组织相关机构和企业进行其配套标准的研究、编制工作。
美国为了将联邦信息系统和组织的隐私保护纳入信息安全规划,2013年4月30日,国家标准技术研究所(NIST)依据国际公认的公平信息实践原则(FIPP,Fair Information Practice Principles)出版的NIST SP 800-53 R4《联邦信息系统和组织的安全和隐私控制》,专门针对隐私保护,提供了八个新的隐私控制族,共26个相关控制,下表给出了联邦信息系统和组织隐私控制的概要。深入研究《联邦信息系统和组织的安全和隐私控制》,尤其是26个隐私保护相关的控制,将会对我们的工作提供很好的启发和帮助。
表 联邦信息系统和组织隐私控制概要
