大連軟件及信息服務(wù)業(yè)個人信息保護規(guī)范.課件

1、大連軟件及信息服務(wù)業(yè)個人信息保護規(guī)范大連軟件行業(yè)協(xié)會Regulation for Privacy Protection of Dalian Software and Information Service Industry前 言 為了增強大連軟件行業(yè)個人信息保護理念，提高管理水平，加強與國內(nèi)外的合作，促進(jìn)大連市軟件及信息服務(wù)業(yè)的規(guī)范發(fā)展，大連軟件行業(yè)協(xié)會特制定大連軟件及信息服務(wù)業(yè)個人信息保護規(guī)范。大連軟件及信息服務(wù)業(yè)個人信息保護規(guī)范是依據(jù)我國信息管理及信息安全相關(guān)法規(guī)和標(biāo)準(zhǔn)，并參照 OECD 關(guān)于保護隱私和個人數(shù)據(jù)跨國流通指導(dǎo)原則和日本JIS Q15001制定。 本規(guī)范由大連軟件行業(yè)協(xié)會個人信

2、息保護工作委員會制定。首次發(fā)布。 1 適 用 范 圍 大連軟件及信息服務(wù)業(yè)個人信息保護規(guī)范主要適用于利用計算機及其相關(guān)和配套設(shè)備（含網(wǎng)絡(luò)），按照一定的應(yīng)用目的和規(guī)則對信息進(jìn)行收集、加工、存儲、傳輸、檢索等處理業(yè)務(wù)的企業(yè)、事業(yè)、社會團體等獨立法人單位。2 定 義軟件業(yè)包括軟件咨詢、設(shè)計、開發(fā)、集成、測試、外包、維護等業(yè)務(wù)；信息服務(wù)業(yè)包括系統(tǒng)集成、數(shù)據(jù)加工和處理、呼叫中心、信息與數(shù)據(jù)中心、電子商務(wù)、互聯(lián)網(wǎng)內(nèi)容及增值服務(wù)、IT教育與培訓(xùn)等業(yè)務(wù)。軟件及信息服務(wù)業(yè)OECD世界經(jīng)濟合作發(fā)展組織（Organization for Economic Co-operation and Development）。

3、個人信息個人信息是指存在的與個人相關(guān)的、并且可用于識別特定個人的信息。包括姓名、出生日期、分派給個人的號碼、標(biāo)志以及其它符號,可以識別個人的圖像或聲音等（包括某些單獨使用時無法識別、但能夠方便地與其他數(shù)據(jù)進(jìn)行對照參考，并由此識別特定個人的信息）。根據(jù)特定信息進(jìn)行識別或者能夠識別的對象。這里指擁有該個人信息的本人。信息主體 個人信息的收集是指為建立個人信息資料而取得個人信息的行為。個人信息的處理是指利用計算機或軟件對個人信息進(jìn)行錄入、存儲、編輯、修改、檢索、刪除、輸出、傳輸、或其它處理的過程。個人信息的利用指單位將自己擁有的個人信息在單位內(nèi)部使用或提供給第三者。個人信息的委托單位為了委托信息處理

4、業(yè)務(wù)，而將自己擁有的個人信息委托給第三者。原則上以信息主體的簽名蓋章和口頭承諾為準(zhǔn)，下述情況也可以包括在默認(rèn)范圍內(nèi)：a 未成年人和無法對事情做出正確判斷的成年人可以由家長或監(jiān)護人代表；b 信息主體已經(jīng)確切得到了通知，而且沒有表示反對；c 在信息收集時，信息管理者與信息主體簽定的合同中規(guī)定了個人信息的使用，而且信息主體同意履行合同。信息主體的同意個人信息管理者 被委托保存和管理個人信息的企業(yè)、單位、團體和個人。3 個人信息保護原則收集和利用原則安全保障原則信息主體權(quán)利原則信息內(nèi)容最新狀態(tài)原則個人信息保護應(yīng)遵循以下原則加以保護3.1 收集和利用原則個人信息收集應(yīng)采用合理合法手段，并應(yīng)征得信息主體的

5、同意；個人信息收集應(yīng)有明確目的，不得超范圍利用。3.2 安全保障原則應(yīng)采取合理的安全保護措施，避免個人信息的丟失、泄漏、篡改和破壞等現(xiàn)象發(fā)生；除信息主體的同意外，個人信息不得提供給第三方。3.3 信息主體權(quán)利原則信息主體有權(quán)確認(rèn)個人信息所在；信息主體有權(quán)對個人信息提出刪除、修改和完善的要求。3.4 信息內(nèi)容最新狀態(tài)原則個人信息應(yīng)確保在目的范圍內(nèi)的正確性和完全性，并保持最新狀態(tài)。4 組織機構(gòu)及責(zé)任單位領(lǐng)導(dǎo)者個人信息保護負(fù)責(zé)人監(jiān)查負(fù)責(zé)人部門個人信息保護責(zé)任人客戶窗口責(zé)任人培訓(xùn)教育負(fù)責(zé)人管理和操作人員4.1 管理層負(fù)責(zé)人及責(zé)任4.1.1 單位領(lǐng)導(dǎo)者單位領(lǐng)導(dǎo)者應(yīng)重視個人信息保護工作，并在資金和資源上給

6、予支持。4.1.2 單位個人信息保護負(fù)責(zé)人單位應(yīng)任命個人信息保護負(fù)責(zé)人，負(fù)責(zé)單位個人信息保護工作的開展、組織基本規(guī)章制度的制定與實施；組織各部門個人信息保護責(zé)任人共同制定部門管理細(xì)則；指導(dǎo)培訓(xùn)教育工作的開展。4.2 監(jiān)查負(fù)責(zé)人4.2.1 監(jiān)查負(fù)責(zé)人的指定單位應(yīng)設(shè)置專門的個人信息保護監(jiān)查負(fù)責(zé)人，監(jiān)查負(fù)責(zé)人可以在單位內(nèi)部指定，也可以從外面聘請。監(jiān)查負(fù)責(zé)人應(yīng)在單位領(lǐng)導(dǎo)者的直接領(lǐng)導(dǎo)下；監(jiān)查負(fù)責(zé)人應(yīng)具有獨立性，并站在公平、公正的立場上。4.2.3 監(jiān)查負(fù)責(zé)人的責(zé)任監(jiān)查負(fù)責(zé)人負(fù)責(zé)制定監(jiān)查規(guī)定和監(jiān)查計劃，按照計劃對單位個人信息保護情況進(jìn)行監(jiān)查，負(fù)責(zé)寫出監(jiān)查報告并提出改進(jìn)意見。4.3 部門和其它責(zé)任人及責(zé)任4

7、.3.1 部門責(zé)任人單位應(yīng)指定各部門的個人信息保護責(zé)任人，負(fù)責(zé)本部門個人信息保護工作的開展和配合單位個人信息保護負(fù)責(zé)人制定本部門個人信息保護管理細(xì)則，負(fù)責(zé)本部門個人信息保護管理細(xì)則的實施。4.3 部門和其它責(zé)任人及責(zé)任4.3.2 培訓(xùn)教育負(fù)責(zé)人單位應(yīng)任命個人信息保護培訓(xùn)與教育工作負(fù)責(zé)人，配合單位個人信息保護負(fù)責(zé)人制定培訓(xùn)教育規(guī)定和培訓(xùn)教育計劃，并負(fù)責(zé)培訓(xùn)教育計劃的實施。 4.3 部門和其它責(zé)任人及責(zé)任4.3.3 客戶窗口責(zé)任人單位應(yīng)指定客戶窗口責(zé)任人，負(fù)責(zé)接受客戶或消費者的意見和建議；提出處理意見和促進(jìn)意見的落實和反饋；在出現(xiàn)問題時負(fù)責(zé)與客戶或消費者溝通和討論補償辦法。5 基本規(guī)章 單位基本規(guī)

8、章由單位個人信息保護負(fù)責(zé)人組織相關(guān)管理人員共同制定。主要包括如下規(guī)定：個人信息保護組織機構(gòu)與責(zé)任的規(guī)定個人信息收集、利用、提供、委托、處理等管理規(guī)定個人信息保護培訓(xùn)教育的規(guī)定個人信息保護監(jiān)查規(guī)定違反個人信息保護規(guī)章制度的處罰規(guī)定6 運行與實施6.1 個人信息保護的宣傳6.1.1 對內(nèi)宣傳向全體員工宣傳個人信息保護的重要性和策略，以得到員工對個人信息保護工作的配合和重視。6.1.2 對外宣傳在單位宣傳資料或網(wǎng)站上增加個人信息保護相關(guān)內(nèi)容。在承接有個人信息的業(yè)務(wù)時，應(yīng)主動向客戶和消費者宣傳單位個人信息保護的措施和規(guī)定。6 運行與實施6.2 部門管理細(xì)則 6.2.1部門管理細(xì)則的制定部門管理細(xì)則由個

9、人信息保護單位負(fù)責(zé)人組織各部門個人信息保護責(zé)任人共同制定，分別適用于單位各部門，部門管理細(xì)則應(yīng)與單位基本規(guī)章相一致，應(yīng)切實可行，而且要求每一個具體操作人員可以理解和執(zhí)行。部門管理細(xì)則最終要得到單位個人信息保護負(fù)責(zé)人的同意。6.2.2部門管理細(xì)則的實施部門管理細(xì)則由部門個人信息保護責(zé)任人負(fù)責(zé)實施。6.3 個人信息的收集收集目的收集方法和手段不允許收集的個人信息直接從信息主體收集個人信息間接收集個人信息6.3.1 收集目的個人信息收集之前就應(yīng)明確收集的目的，并應(yīng)征得信息主體的同意，在收集目的范圍內(nèi)進(jìn)行收集。從被公開的資料中收集個人信息時也應(yīng)設(shè)定收集目的。6.3.2收集方法和手段個人信息收集應(yīng)采取適

10、當(dāng)?shù)姆椒ê秃戏ǖ氖侄巍?.3.3不允許收集的個人信息不允許收集、利用和提供下列內(nèi)容的個人信息（不包括信息主體明確同意或法律有特別規(guī)定的情況下）。a 有關(guān)思想、信仰、宗教的事項；b 有關(guān)人權(quán)、身體障礙、精神障礙、犯罪史及相關(guān)能造成社會岐視的事項；c 有關(guān)政治權(quán)利的事項；d 有關(guān)保健醫(yī)療及性生活的事項。6.3.4 直接從信息主體收集個人信息直接從信息主體收集個人信息時，應(yīng)以書面或能代替書面的形式通知信息主體，并征得信息主體的同意，通知信息主體的內(nèi)容應(yīng)包括：a 企業(yè)名稱、信息管理者名稱、職務(wù)、部門、聯(lián)系電話；b 收集目的；c 委托保管個人信息時的信息接受者及個人信息保管合同；d 信息主體對信息如果拒

11、絕提供可能會產(chǎn)生的后果。6.3.5 間接收集個人信息間接收集個人信息時，也應(yīng)以書面和能代替書面的形式通知信息主體，并征得信息主體的同意，但以下情況除外；a 在信息主體同意的前提下通過信息提供者來收集個人信息；b 為了對外委托業(yè)務(wù)而委托保管的個人信息；c 在不可能侵害到信息主體利益的情況下。6.4 個人信息提供和利用6.4.1提供和利用目的范圍限定個人信息的提供和利用應(yīng)在收集目的范圍之內(nèi)，不可超出收集目的以外的利用，除非得到信息主體的同意，但在下述情況下可以不征得信息主體的同意：a 在法律規(guī)定的情況下；b 在信息主體或公眾的生命、健康、財產(chǎn)的重大利益需要保護的情況下。6.4.2收集目的外的利用與

12、提供在信息主體同意的收集目的范圍外利用與提供個人信息，應(yīng)事先征得信息主體的同意,并以書面形式或代替書面形式的方式通知信息主體。6.5 個人信息的委托6.5.1委托的范圍限制對于委托業(yè)務(wù)中委托保管的個人信息，應(yīng)在信息主體同意的目的范圍內(nèi)或委托方要求的目的和合同要求的范圍內(nèi)對信息進(jìn)行處理，不可隨意利用和提供。6.5.2委托條件對于委托信息處理業(yè)務(wù)而需要寄存的個人信息，應(yīng)制定統(tǒng)一的標(biāo)準(zhǔn)，選擇個人信息保護能力較強的公司，并在合同中規(guī)定如下內(nèi)容：a 保守個人信息秘密；b 再委托時的相關(guān)事項；c 事故發(fā)生時的責(zé)任；d 合同期滿后，個人信息的返還和消除。6.6 個人信息保管6.6.1 個人信息正確保管個人信

13、息管理者應(yīng)在信息主體同意的目的范圍內(nèi)，以信息主體同意的形式正確及時地保管個人信息，應(yīng)對個人信息的安全負(fù)全責(zé)。個人信息的保管應(yīng)有明確的記錄和專人負(fù)責(zé)，記錄應(yīng)包括業(yè)務(wù)類型、信息存放位置、保管期限、獲取方法、獲取途徑、提供目的、廢棄方法。6.6.2 確保個人信息的完整性和可用性個人信息管理者要保證所保管的個人信息在目的范圍內(nèi)的完整性和可用性，并對信息隨時更新，以保證信息的最新狀態(tài)。6.7 保障信息主體權(quán)利6.7.1 信息主體權(quán)利信息主體有權(quán)知道自身信息所在位置，有權(quán)對自身信息提出修改、刪除、完善和公開的要求，有權(quán)確認(rèn)、提取、拷貝自身個人信息，有權(quán)對自身個人信息的利用目的提出反對意見。6.7.2 告知

14、義務(wù)個人信息管理者應(yīng)將信息的利用目的、不提供信息的后果、查詢和更正自身個人信息的權(quán)利告訴信息主體。6.7.3 信息主體意見及反饋在信息主體對自身信息提出要求的情況下，要及時做出回應(yīng)，并采取相應(yīng)措施。6.8 個人信息安全技術(shù)和物理措施單位應(yīng)對本單位擁有的個人信息采取合理的安全保護措施。個人信息安全保護措施應(yīng)參考國家有關(guān)信息安全管理標(biāo)準(zhǔn)及法規(guī)制定。安全保護措施應(yīng)包括：權(quán)限管理網(wǎng)絡(luò)與設(shè)備管理數(shù)據(jù)備份存儲管理6.8.1 權(quán)限管理 明確個人信息接觸人員的權(quán)限及責(zé)任，加強對相關(guān)人員的管理，防止無權(quán)者對個人信息的接觸6.8.2 網(wǎng)絡(luò)與設(shè)備管理對計算機、網(wǎng)絡(luò)、服務(wù)器及相關(guān)設(shè)備應(yīng)采取安全防護措施，包括訪問及存取

15、控制、密鑰管理、權(quán)限設(shè)置等，防止對個人信息的不當(dāng)存取、非法修改、破壞、泄漏和刪除等；對外部網(wǎng)絡(luò)和電子郵件的信息交換過程，要研究特別的預(yù)防措施，防止非法入侵和病毒破壞等。6.8.3 數(shù)據(jù)備份對個人信息數(shù)據(jù)應(yīng)采取備份和數(shù)據(jù)恢復(fù)等措施，防止個人信息的破壞和丟失。6.8.4 存儲管理對保存有個人信息的計算機及活動介質(zhì)（包括磁帶、磁盤（各類）、筆記本、輸入和輸出介質(zhì)、程序清單、測試報告和系統(tǒng)文檔等）要確保安全使用、保存和處置。6.9培訓(xùn)與教育6.9.1培訓(xùn)教育實施單位應(yīng)按照培訓(xùn)教育計劃對全體員工進(jìn)行個人信息保護的培訓(xùn)教育，培訓(xùn)對象應(yīng)包括正式員工、臨時員工、派遣人員等；教育的內(nèi)容應(yīng)包括：個人信息保護的重要性、員工在單位個人信息保護中的職能用責(zé)任，以及違反個人信息保護規(guī)章可能引起的損害和后果等。6.9.2培訓(xùn)教育記錄對每次培訓(xùn)教育應(yīng)有記錄，記錄應(yīng)包括培訓(xùn)時間、地點、教材、教師、參加人員、培訓(xùn)效果及員工反應(yīng)等內(nèi)容。6.10 意見及反饋單位