個人信息保護(hù)指南

個人信息保護(hù)指南00:35來源：第一章總則第一條[目的]為提高個人信息保護(hù)意識，保護(hù)個人合法權(quán)益，促進(jìn)個人信息有序利用，指導(dǎo)和標(biāo)準(zhǔn)利用信息系統(tǒng)處理個人信息的活動，制定本指南。其次條[適用范圍和方式]企事業(yè)單位局部或全部承受信息系統(tǒng)進(jìn)展個人信息處理時，可依據(jù)本指南的原則和要求，制定個人信息保護(hù)政策、個人信息處理準(zhǔn)則或方法，標(biāo)準(zhǔn)本單位的個人信息處理活動。行業(yè)協(xié)會、標(biāo)準(zhǔn)化組織、第三方機構(gòu)等可依據(jù)本指南的原則和要求，制定個人信息處理自律手則、標(biāo)準(zhǔn)和評估方法等，標(biāo)準(zhǔn)、指導(dǎo)相關(guān)單位的個人信息處理活動。第三條[不適用范圍]本指南不適用于以下狀況的個人信息處理活動：因統(tǒng)計和科學(xué)爭論需要由統(tǒng)計機構(gòu)和爭論機構(gòu)匿名進(jìn)行的個人信息處理；因家庭事務(wù)和個人交往需要由自然人進(jìn)展的個人信息處理；法律法規(guī)對個人信息處理有明確規(guī)定的其他情形。[術(shù)語定義]本指南中，“個人信息”是指與特定自然人相關(guān)、能夠單獨或與其他信息結(jié)合識別該特定自然人的任何信息?！皞€人信息主體”是指可通過個人信息識別的特定自然人?！靶畔⑻幚怼笔侵甘占?、儲存、修改、編輯、整理、匯編、檢索、標(biāo)注、挖掘、轉(zhuǎn)移、披露、公開、傳輸、交換、刪除、銷毀等等針對信息所進(jìn)展的全部行為?！靶畔⑾到y(tǒng)”是指為實現(xiàn)信息處理目的，依據(jù)確定規(guī)章組合并運行的計算機及其配套的設(shè)備、設(shè)施〔含網(wǎng)絡(luò)〕?！笆占笔侵斧C取并記錄個人信息的行為?！凹庸ぁ笔褂?、銷毀或刪除之外的一切信息處理行為?！稗D(zhuǎn)移”是指將保存或擁有的個人信息移交給其他自然人、法人或組織的行為?！笆褂谩笔侵高\用個人信息的行為，包括向公眾或特定群體披露、在決策中加以考慮、依據(jù)個人信息作出打算或決策，依據(jù)個人信息實施某種行動或行為等?！颁N毀”是指從物理上消滅記錄個人信息的載體?！皠h除”是指從信息系統(tǒng)和載體上永久去除個人信息并不行恢復(fù)。其次章個人信息處理原則第五條【遵循原則要求】利用信息系統(tǒng)進(jìn)展個人信息處理，應(yīng)自覺遵守本指南確定的原則。第六條【目的明確原則】處理個人信息應(yīng)具有明確、合法的目的，法律法規(guī)沒有明確規(guī)定或者個人信息主體沒有明確授權(quán)，不應(yīng)擅自處理個人信息。第七條【公開透亮原則】處理個人信息之前，應(yīng)以明確、易懂的方式向個人信息主體告知處理個人信息的目的，處理個人信息的具體內(nèi)容、個人信息在信息系統(tǒng)中的留存時限、個人信息保護(hù)的政策，個人信息主體的權(quán)利以及個人信息的使用范圍和相關(guān)責(zé)任人等。第八條【質(zhì)量保證原則】應(yīng)依據(jù)處理目的的需要保證個人信息準(zhǔn)確、完整，時間敏感的個人信息應(yīng)處于最狀態(tài)。保護(hù)信息系統(tǒng)中的個人信息安全，防止未經(jīng)授權(quán)檢索、公開及喪失、泄露、損毀和篡改個人信息。第十條【合理處置原則】利用信息系統(tǒng)處理個人信息的方式應(yīng)合理，處理個人信息的內(nèi)容應(yīng)與告知個人信息主體的目的相關(guān)，不超出目的范圍處理個人信息，不應(yīng)在既定目的實現(xiàn)后超期限保存?zhèn)€人信息。第十一條【個人參與原則】應(yīng)在個人信息處理的過程中，供給必要的途徑和手段，為個人信息主體實現(xiàn)其權(quán)利供給便利。第十二條【責(zé)任落實原則】應(yīng)明確個人信息處理過程中的責(zé)第三章個人信息主體權(quán)利保護(hù)第十三條【權(quán)利保護(hù)要求】利用信息系統(tǒng)處理個人信息時，信息系統(tǒng)治理者應(yīng)供給必要的措施和手段保護(hù)個人信息主體的權(quán)利，除非法定緣由或維護(hù)公共利益、第三方重大利益的需要，不應(yīng)限制個人信息主體的權(quán)利。第十四條【知情權(quán)】個人信息主體向信息系統(tǒng)治理者提出申請了解：〔1〕是否擁有其個人信息；〔2〕擁有個人信息的內(nèi)容；〔3〕獲得其個人信息的來源；〔4〕處理其個人信息的目的；〔5〕保護(hù)其個人信息的政策和措施；〔6〕披露或向其他機構(gòu)供給其個人信息的范圍；〔7〕信息系統(tǒng)治理者的相關(guān)信息等時，信息系統(tǒng)治理者應(yīng)當(dāng)照實告知。第十五條【選擇權(quán)】信息系統(tǒng)治理者向個人信息主體收集其個人信息時，應(yīng)賜予個人信息主體同意或拒絕的時機。第十六條【更正權(quán)】信息系統(tǒng)治理者應(yīng)供給必要的方法和手段，保證個人信息主體能夠檢查到信息系統(tǒng)中其個人信息的完整性、準(zhǔn)確性，并且在覺察錯誤時進(jìn)展修改。第十七條【制止權(quán)】個人信息主體覺察信息系統(tǒng)治理者不當(dāng)處理其個人信息并要求屏蔽、刪除或銷毀其個人信息時，信息系統(tǒng)治理者應(yīng)當(dāng)依據(jù)個人信息主體的要求屏蔽、刪除或銷毀有關(guān)個人信息。第十八條【求償權(quán)】因信息系統(tǒng)治理者的緣由導(dǎo)致個人信息泄露或不當(dāng)使用，給相關(guān)個人信息主體造成損害或損失，個人信息主體要求賠償時，信息系統(tǒng)治理者應(yīng)當(dāng)賠償。第四章個人信息處理的前提條件第十九條【個人信息處理的前提條件】未經(jīng)法律法規(guī)的明確授權(quán)或個人信息主體的明示同意，信息系統(tǒng)治理者不應(yīng)處理個人信息，除非滿足以下條件之一：履行與個人信息主體簽訂的合同需要或是為了與個人信息主體締結(jié)合同的需要；履行信息系統(tǒng)治理者的法定職責(zé)，且不會對個人信息主體權(quán)益造成侵害；為維護(hù)個人信息主體的利益需要，且狀況緊急，獲得個人信息主體同意客觀上不行能或者由于時間耽誤造成的損失過于巨大；維護(hù)公共利益或第三方的重大利益需要，且不會對個人信息主體權(quán)益造成侵害；因傳輸需要，由自動設(shè)備進(jìn)展的自動、瞬時完成的個人信息處理；處理個人信息主體主動公開的信息，且處理目的不超出個人信息主體主動公開的目的范圍。其次十條【特定個人信息的處理】法律法規(guī)已明確規(guī)定由專門機構(gòu)處理的特定個人信息，信息系統(tǒng)治理者在未獲得行業(yè)治理部門批準(zhǔn)前，不應(yīng)擅自處理相關(guān)信息。其次十一條【個人信息公告要求】本指南公布前，信息系統(tǒng)治理者已經(jīng)存留個人信息的，應(yīng)當(dāng)實行適當(dāng)方式公告其存留的個人信息類別、個人信息主體的規(guī)模和范圍以及個人信息的使用目的。第五章個人信息收集其次十二條【直接收集個人信息】信息系統(tǒng)治理者如需使用個人信息，應(yīng)直接向個人信息主體收集。利用信息系統(tǒng)收集個人信息，應(yīng)滿足以下條件：具有特定、明確、合法的目的；承受合理、適當(dāng)?shù)姆椒ê褪侄危猾@得個人信息主體的明確同意，或滿足第十九條的規(guī)定；其次十三條【信息收集要求】信息系統(tǒng)治理者向個人信息主體收集個人信息前，應(yīng)實行個人信息主體能夠收悉的方式向個人信息主體明確告知如下事項：收集信息的目的、使用范圍和收集方式；信息系統(tǒng)治理者的名稱、地址、聯(lián)系方法；不供給個人信息可能消滅的后果；個人信息主體的權(quán)利；個人信息主體的投訴渠道等。其次十四條【間接收集個人信息】信息系統(tǒng)治理者一般不應(yīng)在個人信息主體不知情、未參與的狀況下實行技術(shù)手段間接收集個人信息，特別狀況必需間接收集個人信息時，應(yīng)符合第十九條規(guī)定的條件或法律法規(guī)政策有明確的規(guī)定。其次十五條【未成年人個人信息收集】信息系統(tǒng)治理者不應(yīng)14周歲未成年人的個人信息，收集14-18周歲未成年人信息時，應(yīng)征得未成年人家長的同意。第六章個人信息托付加工其次十六條【信息加工托付的前提】信息系統(tǒng)治理者收集個人信息后需托付第三方對個人信息進(jìn)展加工的，應(yīng)在收集前向個人信息主體說明。其次十七條【信息加工托付的要求】信息系統(tǒng)治理者托付第三方對個人信息進(jìn)展加工時，應(yīng)確保第三方具有不低于自身的信息安全保護(hù)水平，并且應(yīng)通過合同明確第三方的個人信息保護(hù)責(zé)任。其次十八條【加工轉(zhuǎn)移過程中的安全要求】信息系統(tǒng)治理者在向承受托付加工的第三方轉(zhuǎn)移個人信息時，應(yīng)保證轉(zhuǎn)移過程中的個人信息安全。其次十九條【信息加工者的責(zé)任】承受托付的第三方應(yīng)依據(jù)法律法規(guī)的規(guī)定、本指南的要求和托付者的合同要求，實行必要的技術(shù)手段和治理措施，保障個人信息在加工過程中的安全。第三十條【加工完成后銷毀】承受托付的第三方完成個人信息加工任務(wù)并移交給托付者后，應(yīng)自行刪除和銷毀相關(guān)個人信息。法律法規(guī)有規(guī)定或合同有商定的，從其規(guī)定或商定。第七章個人信息轉(zhuǎn)移第三十一條【個人信息轉(zhuǎn)移的一般要求】信息系統(tǒng)治理者收集個人信息后一般不應(yīng)向其他機構(gòu)轉(zhuǎn)移，如需轉(zhuǎn)移應(yīng)當(dāng)在收集時向個人信息主體說明轉(zhuǎn)移的目的、轉(zhuǎn)移的對象，并獲得個人信息主體明示同意。法律法規(guī)或政策對個人信息的轉(zhuǎn)移有明確規(guī)定的，從其規(guī)定。第三十二條【信息轉(zhuǎn)移者的責(zé)任】信息系統(tǒng)治理者向其他機構(gòu)轉(zhuǎn)移個人信息時，應(yīng)確保個人信息的接收者具有不低于自身的信息安全保護(hù)水平，應(yīng)保證轉(zhuǎn)移過程中的個人信息安全。第三十三條【限制向國外轉(zhuǎn)移】未經(jīng)個人信息主體的明示同意，信息系統(tǒng)治理者不應(yīng)將個人信息轉(zhuǎn)移到國外。法律法規(guī)另有規(guī)定或政策另有要求的除外。第八章個人信息披露、公開、使用、銷毀或刪除第三十四條【信息披露】信息系統(tǒng)治理者應(yīng)將收集的個人信息限定在收集時告知個人信息主體的范圍之內(nèi)，不應(yīng)向其他機構(gòu)披露相關(guān)個人信息。第三十五條【公開個人信息】未經(jīng)個人信息主體明示同意，信息系統(tǒng)治理者不應(yīng)公開其處理的個人信息。第三十六條【使用個人信息】個人信息使用應(yīng)限于收集個人信息時告知的目的，無法律法規(guī)的明確規(guī)定或個人信息主體的明確授權(quán)，不應(yīng)超出目的使用個人信息。第三十七條【網(wǎng)站個人信息治理】未經(jīng)個人信息主體同意，信息系統(tǒng)治理者不應(yīng)在網(wǎng)站上公布未公開的個人信息。應(yīng)個人信息主體要求，網(wǎng)絡(luò)經(jīng)營者或治理者應(yīng)準(zhǔn)時刪除個人信息。刪除個人信息可能會影響到公安機關(guān)的調(diào)查取證時，信息系統(tǒng)治理者應(yīng)實行適當(dāng)?shù)男畔⒈Ｈ胧?。第三十八條【個人信息銷毀或刪除】個人信息使用完成后原則上應(yīng)刪除或銷毀。假設(shè)需要連續(xù)保存?zhèn)€人信息，應(yīng)對相關(guān)個人信息進(jìn)展匿名處理。法律法規(guī)另有規(guī)定或個人信息主體另有授權(quán)的，從其規(guī)定或授權(quán)。第三十九條【個人信息修改和補充】個人信息主體覺察其個人信息有誤并要求修改時，信息系統(tǒng)治理者應(yīng)查驗相關(guān)信息，并在核對正確后修改和補充相關(guān)信息。第九章個人信息治理第四十條【治理的一般要求】信息系統(tǒng)治理者利用信息系統(tǒng)處理個人信息的，應(yīng)制定個人信息保護(hù)政策或方針，建立個人信息治理制度，落實個人信息治理責(zé)任，加強個人信息管理，標(biāo)準(zhǔn)個人信息處理活動。第四十一條【機構(gòu)要求】信息系統(tǒng)治理者應(yīng)指定特地機構(gòu)或人員負(fù)責(zé)內(nèi)部的個人信息保護(hù)工作，承受個人信息主體的投訴與質(zhì)詢。第四十二條【技術(shù)手段要求】信息系統(tǒng)治理者應(yīng)實行必要的技術(shù)手段，保護(hù)個人信息的安全，確保但不限于以下目標(biāo)：防止對個人信息處理場所和個人信息存儲介質(zhì)的未授權(quán)訪問、損壞和干擾；處理個人信息時，應(yīng)保證信息系統(tǒng)持續(xù)穩(wěn)定運行；保證個人信息在信息系統(tǒng)中的保密性、真實性和完整性。第四十三條【信息查詢要求】信息系統(tǒng)治理者在個人信息主體提出查詢懇求時，應(yīng)照實和免費地告知懇求人有關(guān)其個人信息，除非告知信息的本錢明顯過于高或者懇求人懇求次數(shù)明顯過于頻繁。第四十四條【風(fēng)險治理要求】信息系統(tǒng)治理者應(yīng)加強個人信息風(fēng)險治理，識別、分析、評估潛在的風(fēng)險因素，制定風(fēng)險應(yīng)對策略，實行風(fēng)險把握措施，監(jiān)控風(fēng)險變化。第四十五條【應(yīng)急處理要求】信息系統(tǒng)治理者應(yīng)對個人信息處理過程中可能消滅的泄露、喪失、損壞、篡改、不當(dāng)使用等大事制定預(yù)案，實行相應(yīng)的預(yù)防和應(yīng)對措施。第四十六條【教育培訓(xùn)要求】信息系統(tǒng)治理者應(yīng)制定個人信息保護(hù)的教育培訓(xùn)打算并組織落實。第四十七條【內(nèi)控機制要求】信息系統(tǒng)治理者應(yīng)建立個人信息保護(hù)的內(nèi)控機制，定期開展檢查，并形成檢查評價報告。第四十八條【持續(xù)改善要求】信息系統(tǒng)治理者應(yīng)建立持續(xù)完善機制，不斷改進(jìn)信息保護(hù)狀況，提高信息保護(hù)的水平。第十章附則第四十九條【實施日期】本指南自公布之日起實施。第五十條【本指南的解釋】本指南由工業(yè)和信息化部負(fù)責(zé)解釋。相關(guān)