ISO29151中 PII 信息收集的限制:
对于 PII 信息收集,ISO29151标准要求组织应该:
a)将 PII 的收集范围限制为通知所述目所确定的最小元素,且 PII 主体已经同意;
b)不收集敏感的 PII , 除非收集敏感的 PII 得到合法授权或获得同意;
c)限制间接的从 PII 主体收集的信息量 (例如,通过网络日志 ,系统日志)。
组织应确定处理 PII 的目的,确定实现该目的所需的 PII , 确定不需要收集的信息,并确认仅收集基本信息。
在继续收集之前 ,组织应仔细考虑需要收集哪些 PII 以实现特定目的。 组织不应该不分青红皂白地收集 PII。
定期审查其收集 PII 的目的,以确保其仍然有效。 他们还应该定期审查他们正在收集的个人身份信息,以确保它仍然只是达成该目的所需的最基本元素。
除非获得收集此类信息的合法授权,否则组织不应收集敏感的PII , 例如国家识别号码(身份证、护照、社会保险号)。其他信息用千保护 PII 一些司法管辖区可能将某些类别的 PII (例如种族出身,政治观点、宗教或其他信仰、关千健康的个人数据、性生活、刑事定罪等)定义为敏感。 这些司法管辖区可能会对收集这类 PII 施加限制或条件,组织在决定收集 PII 时应考虑这些限制和条件。
