(图片来源:韩国个人信息保护委员会)

韩国个人信息保护委员会8日表示,随着Web和App服务持续升级,平台联动及与合作方的系统对接日益增多,API在个人信息处理中的应用不断扩大。委员会指出,企业在通过API处理个人信息时,应加强权限管理,并落实个人信息最小必要传输等保护措施。

委员会要求,凡通过API处理个人信息的企业,都应从设计阶段起贯彻个人信息最小必要原则。

具体来看,页面未展示的个人信息,以及非实现服务目的所必需的信息,不应包含在API响应数据中。同时,企业还应限制通过API进行批量查询和重复调用,防止出现大规模个人信息查询及泄露风险。

在权限控制方面,委员会强调,API访问权限应遵循最小权限原则,并实行规范化管理。

针对用户端、管理端和合作方等不同主体,企业应依据实际业务需要,分别控制其可调用的API以及可访问的个人信息范围。对于缺乏身份认证、未完成授权或不符合安全策略的请求,原则上应默认拦截。

委员会还要求企业持续梳理并核查在运API清单。在功能优化、测试结束或服务改版后,应重点检查是否仍存在可被外部调用的遗留接口,API响应中是否包含不必要的信息,并及时删除不必要的接口和信息项。

韩国个人信息保护委员会事务处处长Yang Cheong-sam表示,API在传输过程中可能附带页面未展示的个人信息,因此无论在设计还是运营环节,都必须确保仅处理提供服务所必需的最少量个人信息。

关键词

#韩国个人信息保护委员会 #API #个人信息保护 #最小必要原则 #最小权限原则 #权限管理 #API治理 #个人信息泄露
版权所有 © DigitalToday。未经授权禁止转载或传播。