信息安全技術(shù)個人信息保護指南

1、我國首個個人信息保護國家標(biāo)準(zhǔn)將于2013年2月1日起開始實施，該標(biāo)準(zhǔn)最顯著的特點，就是將個人信息分為個人一般信息和個人敏感信息，并提出默許同意和明示同意的概念，而個人敏感信息就涉及個人隱私。信息安全技術(shù)個人信息保護指南刖言本指南由工業(yè)和信息化部信息安全協(xié)調(diào)司提出。本指南由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口。本指南起草單位：中國軟件評測中心、大連軟件行業(yè)協(xié)會、中國軟件行業(yè)協(xié)會、中國互聯(lián)網(wǎng)協(xié)會、中國通信企業(yè)協(xié)會通信網(wǎng)絡(luò)安全專業(yè)委員會、北京金山安全軟件有限公司、深圳市騰訊計算機系統(tǒng)有限公司、北京奇虎科技有限公司、北京新浪互聯(lián)信息服務(wù)有限公司、北京百合在線科技有限公司、上?；ㄇ湫畔⒖萍加邢薰?、北京百

2、度網(wǎng)訊科技有限公司等單位。本指南主要起草人：高熾揚、孫鵬、朱璇、嚴(yán)霄鳳、朱信銘、曹劍。引言伴隨著信息技術(shù)的廣泛應(yīng)用和互聯(lián)網(wǎng)的不斷普及，個人信息在社會、經(jīng)濟活動中的地位日益凸顯。與此同時，濫用個人信息的現(xiàn)象隨之出現(xiàn)，給社會秩序和人民切身利益帶來了危害。合理利用和有效保護個人信息已成為企業(yè)、個人和社會各界廣泛關(guān)注的熱點問題。為提高個人信息保護意識，保護個人合法權(quán)益，促進個人信息的合理利用，指導(dǎo)和規(guī)范利用信息系統(tǒng)處理個人信息的活動，制定本指南。個人信息保護指南1范圍本指南明確了個人信息處理原則和個人信息主體的權(quán)利，提出了個人信息的收集、加工、轉(zhuǎn)移、使用、屏蔽和刪除等行為要求。法律、行政法規(guī)已規(guī)定了個

3、人信息處理有關(guān)事項的，從其規(guī)定。本指南適用于利用信息系統(tǒng)處理個人信息的活動。2術(shù)語和定義下列術(shù)語和定義適用于本指南。2.1個人信息personalinformation能夠被知曉和處理、與具體自然人相關(guān)、能夠單獨或與其他信息結(jié)合識別該具體自然人的任何信息。2.2個人信息主體subjectofpersonalinformation個人信息指向的自然人。2.3個人信息管理者administratorofpersonalinformation對個人信息具有實際管理權(quán)的自然人或法人。2.4信息系統(tǒng)informationsystem由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)

4、和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。2.5信息處理processingofinformation收集、加工、轉(zhuǎn)移、使用、屏蔽、刪除等處置信息的行為。2.6收集collection獲取并記錄個人信息的行為2.7力卩工alteration錄入、存儲、修改、編輯、整理、匯編、檢索、標(biāo)注、比對、挖掘等除收集、使用、轉(zhuǎn)移、屏蔽、刪除之外的一切信息處理行為。2.8轉(zhuǎn)移transmission將存儲或擁有的個人信息移交給其他自然人或法人的行為。2.9使用use運用個人信息的行為，包括向公眾或特定群體披露、依據(jù)個人信息作出決定或決策，依據(jù)個人信息實施某種行動或行為等。2.10屏蔽bl

5、ock將個人信息進行特殊標(biāo)注，限制其繼續(xù)處理。2.11刪除erasure從信息系統(tǒng)和載體上永久清除個人信息并不可恢復(fù)，從而毀滅該個人信息。3個人信息處理原則3.1概述利用信息系統(tǒng)進行個人信息處理，應(yīng)自覺遵守本指南確定的原則。3.2目的明確原則處理個人信息具有特定、明確、合理的目的，不擴大收集和使用范圍，不改變目的處理個人信息。3.3公開透明原則處理個人信息之前，以明確、易懂和適宜的方式向個人信息主體告知處理個人信息的目的、處理個人信息的具體內(nèi)容、個人信息的留存時限、個人信息保護的政策、個人信息主體的權(quán)利以及個人信息的使用范圍和相關(guān)責(zé)任人等。3.4質(zhì)量保證原則根據(jù)處理目的的需要保證收集的各項個人

6、信息準(zhǔn)確、完整，并處于最新狀態(tài)。3.5安全保障原則采取必要的管理措施和技術(shù)手段，保護個人信息安全，防止未經(jīng)授權(quán)檢索、公開及丟失、泄露、損毀和篡改個人信息。3.6合理處置原則處理個人信息的方式合理，不采用非法、隱蔽、間接等方式收集個人信息，在達到既定目標(biāo)后不再繼續(xù)處理個人信息。3.7知情同意原則未經(jīng)個人信息主體同意，不處理個人信息。在個人信息處理的過程中，為個人信息主體保障其權(quán)利提供必要的信息、途徑和手段。3.8責(zé)任落實原則明確個人信息處理過程中的責(zé)任，采取必要的措施落實相關(guān)責(zé)任。4個人信息主體的權(quán)利4.1概述利用信息系統(tǒng)處理個人信息時，個人信息管理者應(yīng)采取必要的措施和手段保護個人信息主體的權(quán)利

7、，除非基于法定事由或為避免公共利益受到重大影響，不應(yīng)限制個人信息主體的權(quán)利。個人信息主體的權(quán)利包括保密權(quán)、知情權(quán)、選擇權(quán)、更正權(quán)和禁止權(quán)。4.2保密權(quán)個人信息主體有權(quán)利要求個人信息管理者采取必要的措施和手段，保護個人信息不為處理目的之外的任何自然人或法人所知。4.3知情權(quán)個人信息管理者對個人信息主體應(yīng)盡到告知、說明和警示的義務(wù)。個人信息主體有權(quán)請求個人信息管理者如實告知之如下事項：是否擁有或正在處理其個人信息；擁有其個人信息的內(nèi)容；獲得其個人信息的渠道；處理其個人信息的目的和使用范圍；保護其個人信息的政策和措施；披露或向其他機構(gòu)提供其個人信息的范圍；個人信息管理者的相關(guān)信息等。4.4選擇權(quán)個人

8、信息主體有權(quán)利選擇同意或拒絕，信息管理者應(yīng)為個人信息主體的選擇權(quán)的行使提供條件，并履行通知、說明和警示的義務(wù)。4.5更正權(quán)個人信息主體有權(quán)利要求個人信息管理者維護其信息的完整性和準(zhǔn)確性，對錯誤的信息有權(quán)利要求個人信息管理者予以及時更正。4.6禁止權(quán)個人信息主體有權(quán)利要求個人信息管理者停止對其個人信息當(dāng)前的處理行為，有權(quán)利要求個人信息管理者屏蔽、刪除其個人信息。5個人信息保護要求5.1個人信息收集，應(yīng)直接向個人信息主體收集，依照法律規(guī)定，或行使法律授權(quán)的收集除外。收集個人信息，應(yīng)滿足以下條件：a）法律法規(guī)明確授權(quán)或經(jīng)個人同意；b）具有特定、明確、合理的目的；c）采用合理、適當(dāng)?shù)姆椒ê褪侄巍?，?yīng)采

9、用個人信息主體能夠收悉的方式，至少向個人信息主體明確告知如下事項：a）收集個人信息的目的、使用范圍和收集方式；b）個人信息管理者的名稱、地址、聯(lián)系辦法；c）不提供個人信息可能出現(xiàn)的后果；d）個人信息主體的權(quán)利；e）個人信息主體的投訴渠道。，當(dāng)發(fā)現(xiàn)信息提交者未滿16周歲時，應(yīng)給出明確提示并停止收集行為，為提供必要服務(wù)確需收集其個人信息的，應(yīng)征得其監(jiān)護人的同意。，特別是揭示個人種族、宗教信仰、基因、指紋的信息，或與健康狀況、性生活有關(guān)的信息。5.2個人信息加工和委托加工，并采取必要的措施和手段保障個人信息在加工過程中的安全。，應(yīng)在收集前向個人信息主體說明。，應(yīng)確保第三方是達到本指南要求的、合格的第

10、三方，并且應(yīng)通過合同明確第三方的個人信息保護責(zé)任，應(yīng)保證轉(zhuǎn)移過程中的個人信息安全。，采取必要的措施和手段，保障個人信息在加工過程中的安全。，應(yīng)刪除相關(guān)個人信息。5.3個人信息轉(zhuǎn)移，如需轉(zhuǎn)移應(yīng)當(dāng)向個人信息主體說明轉(zhuǎn)移的目的、轉(zhuǎn)移的對象，并獲得個人信息主體的明示同意。，應(yīng)確保個人信息的接收者是達到本指南要求的、合格的接收者，應(yīng)保障個人信息在轉(zhuǎn)移過程中的安全。，應(yīng)在合同中明確處理個人信息的目的不改變，并采取措施確保其個人保護水平不下降。，應(yīng)采取措施確保個人信息主體的各項權(quán)利不受損害。，或未經(jīng)行業(yè)主管部門同意，個人信息管理者不應(yīng)將個人信息轉(zhuǎn)移給境外注冊的個人信息管理者。5.4個人信息使用、屏蔽和刪除，

11、不應(yīng)向其他機構(gòu)披露相關(guān)個人信息。，個人信息管理者不應(yīng)公開其處理的個人信息。，除非法律法規(guī)有明確規(guī)定或個人信息主體明示同意，不應(yīng)超出目的使用個人信息。，個人信息管理者應(yīng)及時刪除個人信息。刪除個人信息可能會影響公安機關(guān)調(diào)查取證時，個人信息管理者應(yīng)采取適當(dāng)?shù)男畔⒈Ｈ胧?，需要繼續(xù)處理的，應(yīng)采取匿名方式。保存期限有明確規(guī)定的，按相關(guān)規(guī)定執(zhí)行。，個人信息管理者應(yīng)查驗相關(guān)信息，并在核對正確后修改或補充相關(guān)信息。,應(yīng)強化保護措施和手段，不得超出收集時告知的使用目的之外使用其個人信息。5.5個人信息管理，應(yīng)制定個人信息保護政策，建立個人信息管理制度，落實個人信息管理責(zé)任，加強個人信息安全管理，規(guī)范個人信息處理活動。，接受個人信息主體的投訴與質(zhì)詢。，保護個人信息安全，確保但不限于以下目標(biāo)：a）防止對個人信息處理場所和個人信息存儲介質(zhì)的未授權(quán)訪問、損壞和干擾；b）處理個人信息時，應(yīng)保證信息系