信息安全技術(shù)個(gè)人信息保護(hù)指南

1、我國首個(gè)個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)將于 2013年2月1日起開始實(shí)施，該標(biāo)準(zhǔn)最顯著的特 點(diǎn)，就是將個(gè)人信息分為個(gè)人一般信息和個(gè)人敏感信息，并提出默許同意和明示同意的概念，而個(gè)人敏感信息就涉及個(gè)人隱私。信息安全技術(shù)個(gè)人信息保護(hù)指南前?言本指南由工業(yè)和信息化部信息安全協(xié)調(diào)司提出。本指南由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本指南起草單位：中國軟件中心、大連軟件行業(yè)協(xié)會(huì)、中國軟件行業(yè)協(xié)會(huì)、 中國互聯(lián)網(wǎng)協(xié)會(huì)、中國通信企業(yè)協(xié)會(huì)通信網(wǎng)絡(luò)安全專業(yè)委員會(huì)、 北京金山安全軟 件有限公司、深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、北京奇虎科技有限公司、北京新 浪互聯(lián)信息服務(wù)有限公司、北京百合在線科技有限公司、上?；ㄇ湫畔⒖萍加?限

2、公司、北京百度網(wǎng)訊科技有限公司等單位。本指南主要起草人：高熾揚(yáng)、孫鵬、朱璇、嚴(yán)霄鳳、朱信銘、曹劍。引？言伴隨著信息技術(shù)的廣泛應(yīng)用和互聯(lián)網(wǎng)的不斷普及， 個(gè)人信息在社會(huì)、經(jīng)濟(jì)活 動(dòng)中的地位日益凸顯。與此同時(shí)，濫用個(gè)人信息的現(xiàn)象隨之出現(xiàn)， 給社會(huì)秩序和 人民切身利益帶來了危害。合理利用和有效保護(hù)個(gè)人信息已成為企業(yè)、個(gè)人和社 會(huì)各界廣泛關(guān)注的熱點(diǎn)問題。為提高個(gè)人信息保護(hù)意識，保護(hù)個(gè)人合法權(quán)益，促進(jìn)個(gè)人信息的合理利用， 指導(dǎo)和規(guī)范利用信息系統(tǒng)處理個(gè)人信息的活動(dòng)，制定本指南。個(gè)人信息保護(hù)指南1范圍本指南明確了個(gè)人信息處理原則和個(gè)人信息主體的權(quán)利， 提出了個(gè)人信息的 收集、加工、轉(zhuǎn)移、使用、屏蔽和刪除等行為

3、要求。法律、行政法規(guī)已規(guī)定了個(gè) 人信息處理有關(guān)事項(xiàng)的，從其規(guī)定。本指南適用于利用信息系統(tǒng)處理個(gè)人信息的活動(dòng)2術(shù)語和定義下列術(shù)語和定義適用于本指南。個(gè)人信息？pers onal in formatio n能夠被知曉和處理、與具體自然人相關(guān)、能夠單獨(dú)或與其他信息結(jié)合識別該 具體自然人的任何信息。個(gè)人信息主體？subject of personal information個(gè)人信息指向的自然人。個(gè)人信息管理者 adm ini strator of pers onal in formatio n對個(gè)人信息具有實(shí)際管理權(quán)的自然人或法人。信息系統(tǒng) information system由計(jì)算機(jī)及其相關(guān)的和配套

4、的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用 目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。信息處理?processing of information收集、加工、轉(zhuǎn)移、使用、屏蔽、刪除等處置信息的行為。收集?collection獲取并記錄個(gè)人信息的行為加工 /alteration錄入、存儲(chǔ)、修改、編輯、整理、匯編、檢索、標(biāo)注、比對、挖掘等除收集、 使用、轉(zhuǎn)移、屏蔽、刪除之外的一切信息處理行為。轉(zhuǎn)移 transmission將存儲(chǔ)或擁有的個(gè)人信息移交給其他自然人或法人的行為。使用?use運(yùn)用個(gè)人信息的行為，包括向公眾或特定群體披露、依據(jù)個(gè)人信息作出決定 或決策，依據(jù)個(gè)人信息

5、實(shí)施某種行動(dòng)或行為等。屏蔽?block將個(gè)人信息進(jìn)行特殊標(biāo)注，限制其繼續(xù)處理。刪除?erasure從信息系統(tǒng)和載體上永久清除個(gè)人信息并不可恢復(fù)，從而毀滅該個(gè)人信息。3個(gè)人信息處理原則概述利用信息系統(tǒng)進(jìn)行個(gè)人信息處理，應(yīng)自覺遵守本指南確定的原則。目的明確原則處理個(gè)人信息具有特定、明確、合理的目的，不擴(kuò)大收集和使用范圍，不改 變目的處理個(gè)人信息。公開透明原則處理個(gè)人信息之前，以明確、易懂和適宜的方式向個(gè)人信息主體告知處理個(gè) 人信息的目的、處理個(gè)人信息的具體內(nèi)容、個(gè)人信息的留存時(shí)限、個(gè)人信息保護(hù) 的政策、個(gè)人信息主體的權(quán)利以及個(gè)人信息的使用范圍和相關(guān)責(zé)任人等。質(zhì)量保證原則根據(jù)處理目的的需要保證收集的

6、各項(xiàng)個(gè)人信息準(zhǔn)確、 完整，并處于最新狀態(tài)。安全保障原則采取必要的管理措施和技術(shù)手段，保護(hù)個(gè)人信息安全，防止未經(jīng)授權(quán)檢索、 公開及丟失、泄露、損毀和篡改個(gè)人信息。合理處置原則處理個(gè)人信息的方式合理，不采用非法、隱蔽、間接等方式收集個(gè)人信息， 在達(dá)到既定目標(biāo)后不再繼續(xù)處理個(gè)人信息。知情同意原則未經(jīng)個(gè)人信息主體同意，不處理個(gè)人信息。在個(gè)人信息處理的過程中，為個(gè) 人信息主體保障其權(quán)利提供必要的信息、途徑和手段。責(zé)任落實(shí)原則明確個(gè)人信息處理過程中的責(zé)任，采取必要的措施落實(shí)相關(guān)責(zé)任。4個(gè)人信息主體的權(quán)利概述利用信息系統(tǒng)處理個(gè)人信息時(shí)，個(gè)人信息管理者應(yīng)采取必要的措施和手段保 護(hù)個(gè)人信息主體的權(quán)利，除非基于法

7、定事由或?yàn)楸苊夤怖媸艿街卮笥绊懀?不 應(yīng)限制個(gè)人信息主體的權(quán)利。個(gè)人信息主體的權(quán)利包括保密權(quán)、知情權(quán)、選擇權(quán)、更正權(quán)和禁止權(quán)。保密權(quán)個(gè)人信息主體有權(quán)利要求個(gè)人信息管理者采取必要的措施和手段，保護(hù)個(gè)人信息不為處理目的之外的任何自然人或法人所知。知情權(quán)個(gè)人信息管理者對個(gè)人信息主體應(yīng)盡到告知、 說明和警示的義務(wù)。個(gè)人信息 主體有權(quán)請求個(gè)人信息管理者如實(shí)告知之如下事項(xiàng)：是否擁有或正在處理其個(gè)人信息；擁有其個(gè)人信息的內(nèi)容；獲得其個(gè)人信息的渠道；處理其個(gè)人信息的目的和使用范圍；保護(hù)其個(gè)人信息的政策和措施；披露或向其他機(jī)構(gòu)提供其個(gè)人信息的范圍；個(gè)人信息管理者的相關(guān)信息等。選擇權(quán)個(gè)人信息主體有權(quán)利選擇同意

8、或拒絕，信息管理者應(yīng)為個(gè)人信息主體的選擇 權(quán)的行使提供條件，并履行通知、說明和警示的義務(wù)。更正權(quán)個(gè)人信息主體有權(quán)利要求個(gè)人信息管理者維護(hù)其信息的完整性和準(zhǔn)確性，對錯(cuò)誤的信息有權(quán)利要求個(gè)人信息管理者予以及時(shí)更正。禁止權(quán)個(gè)人信息主體有權(quán)利要求個(gè)人信息管理者停止對其個(gè)人信息當(dāng)前的處理行 為，有權(quán)利要求個(gè)人信息管理者屏蔽、刪除其個(gè)人信息。I5個(gè)人信息保護(hù)要求個(gè)人信息收集個(gè)人信息管理者如需使用個(gè)人信息， 應(yīng)直接向個(gè)人信息主體收集，依照法律 規(guī)定，或行使法律授權(quán)的收集除外。收集個(gè)人信息，應(yīng)滿足以下條件：a）法律法規(guī)明確授權(quán)或經(jīng)個(gè)人同意；b）具有特定、明確、合理的目的；c）采用合理、適當(dāng)?shù)姆椒ê褪侄?。個(gè)人信

9、息管理者不應(yīng)在個(gè)人信息主體不知情、未參與的情況下采取隱蔽技術(shù) 手段或采用間接方式收集個(gè)人信息。個(gè)人信息管理者收集個(gè)人信息前，應(yīng)采用個(gè)人信息主體能夠收悉的方式， 至 少向個(gè)人信息主體明確告知如下事項(xiàng)：a）收集個(gè)人信息的目的、使用范圍和收集方式；b）個(gè)人信息管理者的名稱、地址、聯(lián)系辦法；c）不提供個(gè)人信息可能出現(xiàn)的后果；d）個(gè)人信息主體的權(quán)利；e）個(gè)人信息主體的投訴渠道。個(gè)人信息管理者不應(yīng)要求未滿16周歲的未成年人提交個(gè)人信息，當(dāng)發(fā)現(xiàn)信 息提交者未滿16周歲時(shí)，應(yīng)給出明確提示并停止收集行為，為提供必要服務(wù)確 需收集其個(gè)人信息的，應(yīng)征得其監(jiān)護(hù)人的同意。個(gè)人信息管理者不得收集與其所告知的信息收集目的無

10、直接關(guān)系的個(gè)人信 息，特別是揭示個(gè)人種族、宗教信仰、基因、指紋的信息，或與健康狀況、性生 活有關(guān)的信息。個(gè)人信息加工和委托加工個(gè)人信息管理者應(yīng)在個(gè)人信息主體知曉的目的和范圍內(nèi)加工個(gè)人信息，并采取必要的措施和手段保障個(gè)人信息在加工過程中的安全。個(gè)人信息管理者需委托第三方對個(gè)人信息進(jìn)行加工的，應(yīng)在收集前向個(gè)人信 息主體說明。個(gè)人信息管理者委托第三方對個(gè)人信息進(jìn)行加工時(shí)，應(yīng)確保第三方是達(dá)到本 指南要求的、合格的第三方，并且應(yīng)通過合同明確第三方的個(gè)人信息保護(hù)責(zé)任。個(gè)人信息管理者向接受委托的第三方轉(zhuǎn)移個(gè)人信息時(shí)， 應(yīng)保證轉(zhuǎn)移過程中的 個(gè)人信息安全。接受委托的第三方應(yīng)按照法律法規(guī)的規(guī)定、本指南的要求和委托

11、者的合同， 采取必要的措施和手段，保障個(gè)人信息在加工過程中的安全。接受委托的第三方完成個(gè)人信息加工任務(wù)并移交給委托者后，應(yīng)刪除相關(guān)個(gè)人信息。個(gè)人信息轉(zhuǎn)移個(gè)人信息管理者一般情況下不應(yīng)向其他機(jī)構(gòu)轉(zhuǎn)移其收集的個(gè)人信息，如需轉(zhuǎn)移應(yīng)當(dāng)向個(gè)人信息主體說明轉(zhuǎn)移的目的、 轉(zhuǎn)移的對象，并獲得個(gè)人信息主體的明 示同意。個(gè)人信息管理者向其他機(jī)構(gòu)轉(zhuǎn)移個(gè)人信息時(shí)，應(yīng)確保個(gè)人信息的接收者是達(dá) 到本指南要求的、合格的接收者，應(yīng)保障個(gè)人信息在轉(zhuǎn)移過程中的安全。個(gè)人信息管理者與其他機(jī)構(gòu)合并或被其他機(jī)構(gòu)收購時(shí)， 應(yīng)在合同中明確處理 個(gè)人信息的目的不改變，并采取措施確保其個(gè)人保護(hù)水平不下降。個(gè)人信息管理者破產(chǎn)時(shí)，應(yīng)采取措施確保個(gè)人

12、信息主體的各項(xiàng)權(quán)利不受損害。如法律法規(guī)沒有明確規(guī)定，或未經(jīng)行業(yè)主管部門同意，個(gè)人信息管理者不應(yīng) 將個(gè)人信息轉(zhuǎn)移給境外注冊的個(gè)人信息管理者。個(gè)人信息使用、屏蔽和刪除個(gè)人信息管理者應(yīng)將收集的個(gè)人信息限定在收集時(shí)告知個(gè)人信息主體的范 圍之內(nèi)，不應(yīng)向其他機(jī)構(gòu)披露相關(guān)個(gè)人信息。未經(jīng)個(gè)人信息主體明示同意，個(gè)人信息管理者不應(yīng)公開其處理的個(gè)人信息個(gè)人信息使用應(yīng)限于收集個(gè)人信息時(shí)告知的目的， 除非法律法規(guī)有明確規(guī)定 或個(gè)人信息主體明示同意，不應(yīng)超出目的使用個(gè)人信息。個(gè)人信息主體有正當(dāng)理由要求刪除其個(gè)人信息時(shí)， 個(gè)人信息管理者應(yīng)及時(shí)刪 除個(gè)人信息。刪除個(gè)人信息可能會(huì)影響公安機(jī)關(guān)調(diào)查取證時(shí)，個(gè)人信息管理者應(yīng) 采取適

13、當(dāng)?shù)男畔⒈Ｈ胧?。個(gè)人信息使用完成后應(yīng)刪除，需要繼續(xù)處理的，應(yīng)采取匿名方式。保存期限 有明確規(guī)定的，按相關(guān)規(guī)定執(zhí)行。個(gè)人信息主體發(fā)現(xiàn)其個(gè)人信息有誤并要求修改時(shí)，個(gè)人信息管理者應(yīng)查驗(yàn)相 關(guān)信息，并在核對正確后修改或補(bǔ)充相關(guān)信息。對于未滿16周歲未成年人的個(gè)人信息，應(yīng)強(qiáng)化保護(hù)措施和手段，不得超出 收集時(shí)告知的使用目的之外使用其個(gè)人信息。個(gè)人信息管理個(gè)人信息管理者利用信息系統(tǒng)處理個(gè)人信息的，應(yīng)制定個(gè)人信息保護(hù)政策， 建立個(gè)人信息管理制度，落實(shí)個(gè)人信息管理責(zé)任，加強(qiáng)個(gè)人信息安全管理，規(guī)范 個(gè)人信息處理活動(dòng)。個(gè)人信息管理者應(yīng)指定專門機(jī)構(gòu)或人員負(fù)責(zé)內(nèi)部的個(gè)人信息保護(hù)工作，接受個(gè)人信息主體的投訴與質(zhì)詢。個(gè)人信息管理者應(yīng)采取必要的措施和手段， 保護(hù)個(gè)人信息安全，確保但不限 于以下目標(biāo)：a）防止對個(gè)人信息處理場所和個(gè)人信息存儲(chǔ)介質(zhì)的未授權(quán)訪問、損壞和干 擾；b）處理個(gè)人信息時(shí)，應(yīng)保證信息系統(tǒng)持續(xù)穩(wěn)定運(yùn)行；c）保證個(gè)人信息在信息系統(tǒng)中的保密性、真實(shí)性和完整性。個(gè)人信息管理者在個(gè)人信息主體提出查詢請求時(shí)，應(yīng)如實(shí)并免費(fèi)地告知請求 人與其相關(guān)的個(gè)人信息，除非告知成本或者請求頻率超出合理的范圍。個(gè)人信息管理者應(yīng)加強(qiáng)個(gè)人信息風(fēng)險(xiǎn)管理，