敏感信息需授权

admin

个人信息保护将出台 收集敏感信息需获主体授权

　【新华社北京4月12日电】工业和信息化部12日正式宣布，《信息安全技术 公共及商用服务信息系统个人信息保护指南》已编制完成，现已作为指导性技术文件通过全国信息安全标准化技术委员会主任办公会审议，正按照国家标准审批程序上报国家标准化管理委员会批准。

　　这项标准明确要求，处理个人信息应当具有特定、明确和合理的目的，应当在个人信息主体知情的情况下获得个人信息主体的同意，应当在达成个人信息使用目的之后删除个人信息。

　　这项标准最显著的特点是将个人信息分为个人一般信息和个人敏感信息，并提出了默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，便可收集和利用。但对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前，必须首先获得个人信息主体明确的授权。

admin

安卓系统非授权软件能够轻易获取敏感私人信息
4月12日消息，据国外媒体报道，非授权软件在未授权的情况下能够获取敏感的私人信息，给安卓手机用户造成新的安全威胁。

Leviathan Security Group安全研究人员保罗·布洛德表示，非授权应用程序依然可以接近手机的SD卡，获取手机的标识数据和其他应用存储的文件。

在SD卡中，布洛德的应用程序产生了一系列非隐藏的文件，包括照片、备份和外部配置文件。


他同时发现，虚拟通道（OpenVPN）证书也已经存储到SD卡中。接着，他去读取/data/system/packages路径的目录文件，并发现属于其他应用程序的文件能够成功读取。

最终，布洛德的应用程序可以收集手机的标识信息。然而在没有授权的情况下，正常应用程序并不能读取手机IMEI码和IMSI码。

布洛德表示，他做这项实验的平台是Android 4.0.3 Ice Cream Sandwich与Android 2.3.5 Gingerbread系统。（小川）

admin

利用个人敏感信息须获授权

　据新华社电工信部昨天正式宣布,《信息安全技术、公共及商用服务信息系统个人信息保护指南》已编制完成,现已作为指导性技术文件通过全国信息安全标准化技术委员会主任办公会审议,正按照国家标准审批程序上报国家标准化管理委员会批准。
　　这项标准最显著的特点是将个人信息分为个人一般信息和个人敏感信息,并提出了默许同意和明示同意的概念。
　　对于个人一般信息的处理可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用。但对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得个人信息主体明确的授权。此外,应当在达成个人信息使用目的之后删除个人信息。

admin

工信部拟出台个人信息保护国标 收集敏感信息需授权

    中广网北京4月13日消息(记者马闯)据中国之声《央广新闻》报道，工业和信息化部昨天(12日)正式宣布，《信息安全技术公共及商用服务信息系统个人信息保护指南》已经编制完成。而且已经通过全国信息安全标准化技术委员会主任办公会的审议，正按照国家标准审批程序上报国家标准化管理委员会批准。

    标准中明确要求，处理个人信息应当具有特定、明确和合理的目的，应当在个人信息主体知情的情况下获得个人信息主体的同意，应当在达成个人信息使用目的之后删除个人信息。

    这项标准最显著的特点是将个人信息分为个人一般信息和个人敏感信息，并提出了默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，便可收集和利用。但对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前，也必须首先获得个人信息主体明确的授权。

    这项标准还正式提出了处理个人信息时应当遵循的八项基本原则，即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。同时，标准还划分了收集、加工、转移、删除四个环节，并针对每一个环节都提出了落实八项基本原则的具体要求。

    据介绍，这项标准由全国信息安全标准化技术委员会提出，具体的编制工作由中国软件测评中心等30多家单位共同参与。

admin

敏感信息需授权 信息也分三六九等？
在权利至上的社会，个人信息安全越来越受到民众重视。在经历多次个人信息泄露之后，工信部终于出台了相关措施，并将之分为个人一般信息和个人敏感信息，并规定敏感信息需授权。笔者以为，个人信息关系自身权利的保护和财产、权益等的安全，不应该将此分为三六九等。
按照工信部指导文件的规定，对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，便可收集和利用。但对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前，必须首先获得个人信息主体明确的授权。此外，应当在达成个人信息使用目的之后删除个人信息。
工信部将个人信息分为一般个人信息和敏感个人信息，其中，一般个人信息是指电话号码、电子邮箱等，它们大多带有广而告之的性质；敏感个人信息一般带有"需要个人授权"的性质。首先要分敏感信息和一般信息，哪些是敏感，哪些是一般的，根据不同的行业，不同的应用和不同的人群，存在这巨大的差异。由此可以看来，在个人一般信息和敏感信息的界定上还存在问题，需要进一步的解决。
工信部还规定个人一般信息在没有明确表示反对的情况下，便可以使用。笔者认为这是极不科学也不负责任的。假使你的电话被泄露，经常会有各种各样的推销甚至骚扰电话，这样肯定会严重打扰原本的安静生活。比如，你刚有了小孩，还沉浸在喜悦的气氛当中，突然有人打电话推销婴儿用品；在你驾驶新添置的汽车驰骋在大马路上时，有人向你推销汽车保险，这样的种种情况都会影响到我们的生活。所以，个人一般信息与敏感信息同等重要，也需要得到有效的保护。
不可否认，在利益驱动下，非法销售、使用个人信息已经形成了产业链。我们不禁会问，到底是谁泄露了我的个人信息？其实，那些公共企事业单位，比如银行、医院、通讯公司、保险公司等等，以及掌握了个人信息的某一些政府机构，比如婚姻登记机构等，往往是信息泄露最主要的渠道，这主要是因为这些主体要提供公共服务，或者要履行法定职能，就自然地拥有大量的个人信息。因此，也成为个人信息泄露的主要渠道。而且这种泄露的危害也特别大，因为它涉及的人群特别广，造成的损害特别大。2011年12月29号，一家知名互联网资讯平台发布消息称，国内多家银行的用户数据已经泄露，数据包含了用户的姓名、卡号、密码等敏感信息。由于银行卡号和密码丢失，多名在京东商城、当当网等电商网站消费过的客户银行卡钱款"不翼而飞"，给他们造成很大的损失。所以，个人信息的泄露可能造成个人信息使用不当，甚至是滥用，这些都会给公众带来不良影响。
个人信息不应该分为三六九等，凡是属于个人的信息都应得到有效保护。其次，光制订国家标准还是不够，还应该早日立法推动个人信息安全保护。只有这样，才能彻底杜绝诸如个人信息泄露事件的再次发生。