GBZ 28828-2012 信息安全技术.公共及商用服务信息系统个人信息保护指南

GBZ 28828-2012 信息安全技术.公共及商用服务信息系统个人信息保护指南

什么是GBZ 28828-2012？

GBZ 28828-2012是中国国家标准化管理委员会发布的关于个人信息保护的技术指南，旨在为公共及商用服务信息系统中的个人信息保护提供指导原则和技术要求。

GBZ 28828-2012的主要目的是什么？

该标准的主要目的是规范公共及商用服务信息系统中个人信息的收集、存储、处理和传输行为，保障个人信息的安全性和隐私性，防止个人信息被滥用或泄露。

GBZ 28828-2012适用于哪些场景？

• 适用于所有涉及个人信息处理的公共及商用服务信息系统。
• 包括但不限于电子商务、金融服务、医疗健康、教育等领域的信息系统。

如何确保个人信息的合法性与正当性？

• 在收集个人信息前，必须获得用户的明确同意。
• 收集的信息应与服务目的直接相关，并以最小化原则限制信息范围。

个人信息保护的基本原则有哪些？

• 知情权：用户有权了解其个人信息的收集和使用方式。
• 选择权：用户有权决定是否同意个人信息的收集和使用。
• 安全保障：个人信息必须采取必要的技术和管理措施进行保护。

GBZ 28828-2012对数据存储有哪些具体要求？

• 个人信息应存储在安全的环境中，避免未经授权的访问。
• 存储的数据应加密处理，并定期备份。
• 存储期限应根据业务需求设定，并在到期后及时删除。

如果发生个人信息泄露事件，应该如何应对？

• 立即启动应急预案，通知受影响的用户。
• 向相关部门报告事件情况，并配合调查。
• 改进系统安全措施，防止类似事件再次发生。

企业如何证明其符合GBZ 28828-2012的要求？

• 建立完善的个人信息保护管理制度。
• 定期开展内部审计和风险评估。
• 接受第三方机构的合规性审核。

GBZ 28828-2012是否具有强制性？

GBZ 28828-2012属于推荐性国家标准，不具有强制执行力，但其内容可作为行业自律和法律法规制定的重要参考依据。

如何获取GBZ 28828-2012的完整文本？

可以通过中国国家标准化管理委员会官方网站或其他授权渠道购买或下载该标准的正式版本。