ISO27001認(rèn)證
熱線:
Q Q:ISO29151標(biāo)準(zhǔn)收集限制
發(fā)布時間:2020-06-24 作者:廣匯聯(lián)合 來源:廣匯聯(lián)合
目標(biāo):將PII的收集范圍限制在適用法律界限范圍內(nèi),并且嚴(yán)格限于滿足特定需求的范圍內(nèi)。
控制
組織應(yīng)實施適當(dāng)?shù)拇胧?,將PII的類型、數(shù)量的收集限制在通知和適用法律法規(guī)范圍內(nèi)的最小元素。
保護(hù)PII的實施指南
組織應(yīng)該:
a) 將PI1的收集范圍限制為通知所述目所確定的最小元素,并且PII主體已經(jīng)同意;
b) 不收集敏感的PIL,除非收集敏感的PII得到合法授權(quán)或獲得同意;
c) 限制間接的從PII主體收集的信息量(例如,通過網(wǎng)絡(luò)日志,系統(tǒng)日志)。
組織應(yīng)確定處理PII目的,確定實現(xiàn)該目的所需的PII,確定不需要收集的信息,并確認(rèn)僅收集基本信息。
在繼續(xù)收集之前,組織應(yīng)仔細(xì)考慮需要收集哪些PII以實現(xiàn)特定目的。組織不應(yīng)該不分青紅皂白地收集PII。
定期審査其收集PII的目的,以確保其仍然有效。他們還應(yīng)該定期審査他們正在收集的個人身份信息,以確保它仍然只是達(dá)成該目的所需的最基本元素。
除非獲得收集此類信息的合法授權(quán),否則組織不應(yīng)收集敏感的PII,例如國家識別號碼(身份證、護(hù)照、社會保險號)。
其他信息用于保護(hù)P1I
一些司法管轄區(qū)可能將某些類別的PII (例如種族出身,政治觀點、宗教或其他信仰、關(guān)于健康的個人數(shù)據(jù)、性生活、刑事定罪等)定義為敏感。這些司法管轄區(qū)可能會對收集這類PII施加限制或條件,組織在決定收集PII時應(yīng)考慮這些限制和條件。
