ISO29151中PII数据最小化原则
ISO29151中 PII 数据最小化原则:
对于 PII 数据最小化原则,ISO29151要求组织应该:
a) 确保采用“需要知道”的原则,只有在 PII 处理的合法目的框架内,才可获得职责所必需的 PII 的访问权;
b) 使用和提供默认选项时 ,尽可能不包含 PII 主体的身份;
c) 限制 PII 收集的可联系性;
d) 对组织保留的个人身份信息进行初步评估,并制定、遵循定期对其进行审查的时间表,以确保仅收集通知中确定的个人身份信息,并且仅限于为了达成业务目的,有必要继续使用;
e ) 将包含 PII 的电子文档传输给与其工作相关的利益相关者,利益相关者应最小量化;
f) 依据 PII 的存储形式(例如数据库字段或文本摘录)和风险识别 ,确定应对哪些PII 进行匿名或去标识化;
g) 基千待识别数据的形式 (例如,数据库和文本记录)和所识别的风险 ,去标识这些数据;
h) 当 PII 处理的目的已经过期时,又没有法定义务需要保留 PII , 应删除和处置PII;
i) 考虑采用隐私增强技术(PET)
支持特定组织业务流程所需的最小量的 PII 元素,可能是该组织被授权收集的 PII 的子集。
应将 PII 分类为:强制性 PII 、可选 PII , 以供收集。
在收集可选的 PII 时,组织应仅收集提供服务所需的强制性 PII , 并从 PII 主体获得适当的同意。 当 PII 主体拒绝提供可选的 PII 时,组织不应拒绝提供服务。
CPO 和法律顾问应该提出 PII 处理合理性的质疑和建议 ,以确保信息系统或活动达到法定授权目的的最低限度。
注 1 : ISO 29100 中定义的匿名化是一种过程,通过该过程,PII 不可逆转地改变 ,使得 PII 主体不能直接、间接的被识别。 这样的过程必然涉及(不可逆转的)信息丢失,在某些情况下,只要删除部分数据可以达到所需的目标。
注 2 : 根据 ISO 29100 中的隐私原则,隐私增强和去标识技术,被用来描述和设计去身份识别措施,作为符合本国际标准的计划。 为了鉴别过程符合法律的结论,可以通过删除或概括属性、强有力的组织和技术措施,来进行识别过程。
注 3 : 当为某种目的处理个人身份信息时,处理的个人身份信息的范围应被最小化,以便仅用千预期目的 ,而不会泄露主体的过多信息,例如,交通相关调查的答复者的地理区域, 需要考虑只收集附近的地标而不是确切的地址。
注 4 : 当输出是一个小数据集时,通常在分析匿名数据时,可以揭示PII 主体的身份。因此,当记录数量小千阙值数量时 (例如10 条记录),防止输出是一种好的做法。 根据数据分布模式,需要仔细设计输出阈值。
在适当的情况下,组织应该通过减少他们的 PII 库存来降低他们的隐私和安全风险。组织应对其待有的 PII 进行初步审查和随后的审查,在最大可能的范围内确保这些数据堆栈的准确性,相关性,及时性和完整性 。
组织也应该被指示将其 PII 待有量减少到履行业务目的所需的最低限度。 组织应制定并公布定期审查其数据堆栈的计划,作为初始审查的补充。
通过定期评估,组织可以降低风险,确保他们仅收集通知中指定的数据,并确保收集的数据仍然是相关且必要的。
