個(gè)人信息管理制度

**有限公司工作指導(dǎo)書文件編號(hào)WI-016生效日期2019.06.28個(gè)人信息管理制度修訂狀態(tài)A0頁(yè)碼第1頁(yè)共6頁(yè)1.0目的尊重、保護(hù)個(gè)人隱私權(quán)。保證個(gè)人信息處理、使用及利用的目的與個(gè)人信息主體的意愿一致，不超目的、超范圍處理、利用。2.0范圍適用于各部門以及從屬機(jī)構(gòu)。3.0定義個(gè)人信息：與特定個(gè)人相關(guān)、并可識(shí)別該個(gè)人的信息，如數(shù)據(jù)、圖像、聲音等，包括不能直接確認(rèn)，但與其他信息對(duì)照、參考、分析仍可間接識(shí)別特定個(gè)人的信息。個(gè)人信息主體：可通過(guò)個(gè)人信息識(shí)別的特定的自然人。個(gè)人信息數(shù)據(jù)庫(kù)：為實(shí)現(xiàn)一定的目的，按照某種規(guī)則組織的個(gè)人信息的集合體。包括：磁介質(zhì)、電子及網(wǎng)絡(luò)媒介，紙介質(zhì)，聲音，照片等。個(gè)人信息管理者：獲個(gè)人信息主體授權(quán)，基于特定、明確、合法目的，管理、處理、使用、利用個(gè)人信息的機(jī)關(guān)、企業(yè)、事業(yè)、社會(huì)團(tuán)體等組織及個(gè)人。收集：基于特定、明確、合法的目的獲取個(gè)人信息的行為。處理：處谿個(gè)人信息的過(guò)程，如錄入、加工、編輯、存儲(chǔ)、檢索、交換、傳輸、輸出等行為及其它處谿行為。使用：基于特定、明確、合法的目的，運(yùn)用個(gè)人信息的行為。利用：基于特定、明確、合法的目的，提供、委托第三方處理、使用個(gè)人信息及其它因某種利益處理、使用個(gè)人信息的行為。隱私：是一種與公共利益、群體利益無(wú)關(guān)，當(dāng)事人不愿他人知道或他人不便知道的個(gè)人信息，當(dāng)事人不愿他人干涉或他人不便干涉的個(gè)人私事，以及當(dāng)事人不愿他人侵入或他人不便侵入的個(gè)人領(lǐng)域。隱私權(quán)：隱私權(quán)是指自然人享有的私人生活安寧與私人信息秘密依法受到保護(hù)，不被他人非法侵?jǐn)_、知悉、收集、利用和公開的一種人格權(quán)，而且權(quán)利主體對(duì)他人在何種程度上可以介入自己的私生活，對(duì)自己是否向他人公開隱私以及公開的范圍和程度等具有決定權(quán)。隱私權(quán)作為一種基本人格權(quán)利，是指公民享有的私人生活安寧與私人信息依法受到保護(hù)，不被他人非法侵?jǐn)_、知悉、搜集、利用和公開的一種人格權(quán)。4.0職責(zé)信息安全小組：負(fù)責(zé)個(gè)人信息管理者的個(gè)人信息保護(hù)工作。應(yīng)制定個(gè)人信息保護(hù)的規(guī)章和制度。制定個(gè)人信息保護(hù)監(jiān)察制度和監(jiān)察計(jì)劃，并按計(jì)劃實(shí)施監(jiān)察。編制監(jiān)察報(bào)告，督促、建議個(gè)人信息保護(hù)的改進(jìn)、完善。IT：通過(guò)信息技術(shù)手段，保證個(gè)人信息數(shù)據(jù)庫(kù)存儲(chǔ)、保存的個(gè)人信息的完整性、保密性、可用性。人力資源部：宣傳教育，在個(gè)人信息保護(hù)管理機(jī)構(gòu)的指導(dǎo)下開展工作。**有限公司工作指導(dǎo)書文件編號(hào)WI-016生效日期2019.06.28個(gè)人信息管理制度修訂狀態(tài)A0頁(yè)碼第2頁(yè)共6頁(yè)組織、實(shí)施個(gè)人信息保護(hù)宣傳教育。制定個(gè)人信息保護(hù)宣傳教育策略和方法、培訓(xùn)計(jì)劃。個(gè)人信息保護(hù)相關(guān)知識(shí)、技術(shù)的培訓(xùn)、教育。提供個(gè)人信息保護(hù)相關(guān)咨詢和服務(wù)。提供個(gè)人信息處理、使用建議和意見。5.0作業(yè)內(nèi)容領(lǐng)導(dǎo)成立信息安全小組。建立個(gè)人信息保護(hù)系統(tǒng)。定期對(duì)雇員及供應(yīng)商進(jìn)行個(gè)人信息保護(hù)知識(shí)培訓(xùn)。內(nèi)容包括：個(gè)人信息保護(hù)相關(guān)法律、法規(guī)、規(guī)范、標(biāo)準(zhǔn)和管理制度；個(gè)人信息保護(hù)的重要性和必要性;違反個(gè)人信息保護(hù)相關(guān)標(biāo)準(zhǔn)可能引起的損害和后果等。開展個(gè)人信息保護(hù)工作的組織、實(shí)施。個(gè)人信息保護(hù)宣傳、教育。個(gè)人信息保護(hù)情況的檢查、改進(jìn)、完善。與接觸到個(gè)人信息人員及供應(yīng)商簽訂保密協(xié)議。收集所有個(gè)人信息收集行為，必須具有特定、明確、合法的目的。不得通過(guò)任何非法途徑收集個(gè)人信息。收集個(gè)人信息，不得使用執(zhí)行軟件、登記平臺(tái)等方式收集。所有個(gè)人信息收集行為，應(yīng)征得個(gè)人信息主體同意，限定在收集目的范圍內(nèi)。收集、處理、使用、利用個(gè)人信息，應(yīng)通知個(gè)人信息主體并征得個(gè)人信息主體的明確同意。通知形式包括：以書面形式通知個(gè)人信息主體；以可鑒證的、有規(guī)范記錄的、滿足書面形式要求的非書面形式通知個(gè)人信息主體。對(duì)個(gè)人信息收集進(jìn)行嚴(yán)格限制，僅收集雇員服務(wù)必須信息。收集個(gè)人信息，應(yīng)符合供應(yīng)商協(xié)議要求，符合法律法規(guī)。管理應(yīng)明確與個(gè)人信息相關(guān)人員的權(quán)限、責(zé)任，加強(qiáng)相關(guān)人員的監(jiān)察和管理，防止未經(jīng)授權(quán)的個(gè)人信息接觸。涉及個(gè)人信息相關(guān)資料的使用、借閱，應(yīng)建立登記備案制度。登記應(yīng)署真實(shí)姓名、部門、使用目的、使用方法及安全承諾。個(gè)人信息安全應(yīng)采取必要、合理的管理和技術(shù)措施，防止未經(jīng)授權(quán)的個(gè)人信息檢索、使用、公開及丟失、泄露、損毀、篡改等行為。**有限公司工作指導(dǎo)書文件編號(hào)WI-016生效日期2019.06.28個(gè)人信息管理制度修訂狀態(tài)A0頁(yè)碼第3頁(yè)共6頁(yè)人員手工處理個(gè)人信息時(shí)，應(yīng)按照一定的應(yīng)用目的和規(guī)則進(jìn)行信息收集、加工、存儲(chǔ)、傳輸、檢索、咨詢、交換等。個(gè)人信息應(yīng)在收集、處理目的范圍內(nèi)保持準(zhǔn)確性、完整性和最新狀態(tài)。其它業(yè)務(wù)開展或有特殊要求的業(yè)務(wù)，涉及個(gè)人信息收集、處理，應(yīng)制定相應(yīng)的個(gè)人信息保護(hù)規(guī)定。所人的個(gè)人信息應(yīng)保存在核心服務(wù)器、文控中心或指定的資料存放室。個(gè)人信息管理者應(yīng)為個(gè)人信息的存儲(chǔ)、保存設(shè)定一個(gè)合理的時(shí)限，并與目的充分相關(guān)。必須建立個(gè)人信息數(shù)據(jù)庫(kù)。可以通過(guò)自動(dòng)處理檢索、查閱特定的個(gè)人信息的集合體，如紙介質(zhì)，聲音，照片等。使用個(gè)人信息不得超范圍處理、使用、利用。所有收集的任何個(gè)人隱私信息不得用作商業(yè)用途或任意泄漏給第三方。個(gè)人信息管理者處理個(gè)人信息之前，必須征得個(gè)人信息主體同意；或?yàn)槁男信c個(gè)人信息主體達(dá)成的合法協(xié)議的需要。個(gè)人信息的用途發(fā)生變化時(shí)，將征得所涉?zhèn)€人同意。使用個(gè)人信息，不得超過(guò)服務(wù)期限。個(gè)人信息使用服務(wù)期限結(jié)束，必須對(duì)所持有的個(gè)人信息進(jìn)行銷毀或退還，并留有效的銷毀證明。個(gè)人信息主體對(duì)相關(guān)個(gè)人信息享有權(quán)利，個(gè)人信息應(yīng)向信息主體提供。任何人要取得個(gè)人信息時(shí)，信息安全管理部門將告知個(gè)人信息主體取得個(gè)人信息的途徑或訪問(wèn)步驟。個(gè)人信息主體在通過(guò)身份驗(yàn)證后，均只能訪問(wèn)其所需的信息，并且這些個(gè)人信息無(wú)法用于識(shí)別其它人。個(gè)人信息主體均有訪問(wèn)的記錄。利用不得讓任何次承攬人收集、使用、訪問(wèn)、存儲(chǔ)個(gè)人信息。將選擇有良好聲譽(yù)的次承攬人參與供應(yīng)商計(jì)劃，在轉(zhuǎn)包服務(wù)之前將獲得供應(yīng)商的書面同意。與所有參與供應(yīng)商計(jì)劃的次承攬人簽訂保密協(xié)議以保護(hù)供應(yīng)商個(gè)人信息。所有參與供應(yīng)商計(jì)劃的次承攬人僅限于獲取履行與該供應(yīng)商合約所需的個(gè)人信息。信息安全管理部門將對(duì)任何非法使用或揭露供應(yīng)商個(gè)人信息的投訴進(jìn)行審查。對(duì)于次承攬人將供應(yīng)商個(gè)人信息用于非“向供應(yīng)商服務(wù)”目的時(shí)，將立即采取行動(dòng)，以降低實(shí)際或潛在造成的損害。在將任何供應(yīng)商個(gè)人信息提供給第三方時(shí)，將事先征得供應(yīng)商的書面許可。持續(xù)進(jìn)行信息安全審計(jì)，并且也將對(duì)供應(yīng)商的進(jìn)行年度審查，以保證遵從。對(duì)于任何疑似或已經(jīng)違反隱私權(quán)或相關(guān)的安全漏洞的事件，將立即通知供應(yīng)商。在發(fā)布任何與供應(yīng)商個(gè)人或敏感信息之前，將通知供應(yīng)商并征得同意。對(duì)于任何可以的漏洞或違規(guī)行為，立即修復(fù)。**有限公司工作指導(dǎo)書文件編號(hào)WI-016生效日期2019.06.28個(gè)人信息管理制度修訂狀態(tài)A0頁(yè)碼第4頁(yè)共6頁(yè)信息安全管理部門建立信息安全事件上報(bào)、投訴機(jī)制，信息安全事件可在第一時(shí)間反饋到信息安全管理部門，該機(jī)制已經(jīng)在信息安全管理體系文件中規(guī)定。對(duì)于接受到的投訴，信息安全管理部門將向供應(yīng)商提供投訴記錄文件。安全基制風(fēng)險(xiǎn)管理，在個(gè)人信息收集、處理、使用、利用過(guò)程中，識(shí)別、分析、評(píng)估潛在的風(fēng)險(xiǎn)因素，制定風(fēng)險(xiǎn)應(yīng)對(duì)策略，采取風(fēng)險(xiǎn)管理措施，監(jiān)控風(fēng)險(xiǎn)變化，并將殘余風(fēng)險(xiǎn)控制在可接受范圍內(nèi)。物理環(huán)境管理，根據(jù)需要采取必要的措施，保證個(gè)人信息存儲(chǔ)、保存環(huán)境的安全，包括防火、防盜及其它自然災(zāi)害、意外事故、人為因素等。工作環(huán)境管理，注意工作人員工作環(huán)境內(nèi)所有相關(guān)的個(gè)人信息的保護(hù)，防止未經(jīng)授權(quán)的、無(wú)意的、惡意的使用、泄露、損毀、丟失。網(wǎng)絡(luò)行為管理，制定網(wǎng)絡(luò)管理措施，采用相應(yīng)的技術(shù)手段，引導(dǎo)、約束通過(guò)網(wǎng)絡(luò)利用、傳播個(gè)人信息的行為，構(gòu)建規(guī)范、科學(xué)、合理、文明的網(wǎng)絡(luò)秩序。信息安全管理，在整體信息安全體系建設(shè)中，充分考慮個(gè)人信息保護(hù)的特點(diǎn)，加強(qiáng)個(gè)人信息安全防護(hù)，預(yù)防安全隱患和安全威脅。如網(wǎng)絡(luò)基礎(chǔ)平臺(tái)、系統(tǒng)平臺(tái)、應(yīng)用系統(tǒng)、安全系統(tǒng)、數(shù)據(jù)等的安全，及信息交換中的安全防范、病毒預(yù)防和恢復(fù)、非傳統(tǒng)信息安全等。存儲(chǔ)管理，保存?zhèn)€人信息的個(gè)人計(jì)算機(jī)系統(tǒng)、可移動(dòng)存儲(chǔ)媒介（電子、磁、紙、網(wǎng)絡(luò)等介質(zhì)及其它非自動(dòng)處理介質(zhì)）應(yīng)確保個(gè)人信息存儲(chǔ)的準(zhǔn)確性、完整性、可靠性和安全使用。使用管理，根據(jù)個(gè)人信息自動(dòng)和非自動(dòng)處理的特點(diǎn)，制定相應(yīng)的個(gè)人信息使用管理策略，包括訪問(wèn)/調(diào)用控制、權(quán)限設(shè)谿、密鑰管理等，防止個(gè)人信息的不當(dāng)使用、毀損、泄露、刪除等。備份和恢復(fù)，制定個(gè)人數(shù)據(jù)資料備份和恢復(fù)機(jī)制，并保證備份和恢復(fù)個(gè)人信息的完整性、可靠性和準(zhǔn)確性。人員管理，明確與個(gè)人信息相關(guān)人員的權(quán)限、責(zé)任，加強(qiáng)相關(guān)人員的監(jiān)察和管理，防止未經(jīng)授權(quán)的個(gè)人信息接觸。備案管理，涉及個(gè)人信息相關(guān)資料的使用、借閱，應(yīng)建立登記備案制度。登記應(yīng)署真實(shí)姓名、部門、使用目的、使用方法及安全承諾。違反登記備案制度，應(yīng)予以處罰，并承擔(dān)賠償責(zé)任。計(jì)劃。根據(jù)相關(guān)法律、規(guī)范和實(shí)際需求制定信息保護(hù)監(jiān)察計(jì)劃。應(yīng)急管理。個(gè)人信息管理者制定應(yīng)急預(yù)案，對(duì)收集、處理、使用、利用個(gè)人信息過(guò)程中可能出現(xiàn)的個(gè)人信息泄露、丟失、損壞、篡改、不當(dāng)使用等事件進(jìn)行評(píng)估、分析，采取相應(yīng)的預(yù)防措施和處理。持續(xù)改進(jìn)。個(gè)人信息管理者依據(jù)相關(guān)法規(guī)、監(jiān)察報(bào)告、需求變化、建議、投訴等，定期評(píng)估、分析個(gè)人信息保護(hù)體系運(yùn)行狀況，持續(xù)改進(jìn)和完善個(gè)人信息保護(hù)系統(tǒng)。記錄個(gè)人信息保護(hù)實(shí)施過(guò)程中記錄相關(guān)個(gè)人信息保護(hù)行為的目的、時(shí)間、范圍、對(duì)象、方式方法、效果、反饋等信息。如培訓(xùn)教育、監(jiān)察、宣傳等。應(yīng)急管理個(gè)人信息管理者應(yīng)制定應(yīng)急預(yù)案，對(duì)收集、處理、使用、利用個(gè)人信息過(guò)程中可能出現(xiàn)的個(gè)人信息泄露、丟失、損壞、篡改、不當(dāng)使用等事件進(jìn)行評(píng)估、分析，采取相應(yīng)的預(yù)防措施和處理。**有限公司工作指導(dǎo)書文件編號(hào)WI-016生效日期2019.06.28個(gè)人信息管理制度修訂狀態(tài)A0頁(yè)碼第5頁(yè)共6頁(yè)6.0相關(guān)文件《信息安全管理體系手冊(cè)》《信息資產(chǎn)及分級(jí)管控制程序》《人力資源控制程序》《憲法》。第三十八條中華人民共和國(guó)公民的人格尊嚴(yán)不受侵犯。禁止用任何方法對(duì)公民進(jìn)行侮辱、誹謗和誣告陷害。第三十九條中華人民共和國(guó)公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。第四十條中華人民共和國(guó)公民的通信自由和通信秘密受法律的保護(hù)。除因國(guó)家安全或者追查刑事犯罪的需要，由公安機(jī)關(guān)或者檢察機(jī)關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M(jìn)行檢查外，任何組織或者個(gè)人不得以任何理由侵犯公民的通信自由和通信秘密?！缎谭ā返诙偎氖鍡l非法搜查他人身體、住宅，或者非法侵入他人住宅的，處三年以下有期徒刑或者拘役。司法工作人員濫用職權(quán)，犯上一款罪的，從重處罰。第二百四十六條以暴力或者其他方法公然侮辱他人或者捏造事實(shí)誹謗他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑、拘役、管制或者剝奪政治權(quán)利。第二百五十二條隱匿、毀棄或者非法開拆他人信件，侵犯公民通信自由權(quán)利，情節(jié)嚴(yán)重的，處一年以下有期徒刑或者拘役。第二百五十三條郵政工作人員私自開拆或者隱匿、毀棄郵件、電報(bào)的，處二年以下有期徒刑或者拘役。犯前款罪而竊取財(cái)物的，依照本法第二百六十四條的規(guī)定定罪從重處罰。第二百五十三條之一國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國(guó)家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處以罰金。竊取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。單位犯前兩款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰。《民法通則》第一百條公民享有肖像權(quán)，未經(jīng)本人同意，不得以營(yíng)利為目的使用公民的肖像。第一百零一條公民、法人享有名譽(yù)權(quán)，公民的人格尊嚴(yán)受法律保護(hù)，禁止用侮辱、誹謗等方式損害公民、法人的名譽(yù)。關(guān)于貫徹執(zhí)行《民法通則》若干問(wèn)題的意見140.以書面、口頭等形式宣揚(yáng)他人的隱私，或者捏造事實(shí)公然丑化他人人格，以及用侮辱、誹謗等方式損害他人名譽(yù)，造成一定影響的，應(yīng)當(dāng)認(rèn)定為侵害公民名譽(yù)權(quán)的行為。以書面、口頭等形式詆毀、誹謗法人名譽(yù)，給法人造成損害的，應(yīng)當(dāng)認(rèn)定為侵害法人名譽(yù)權(quán)的行為。**有限公司工作指導(dǎo)書文件編號(hào)WI-016生效日期2019.06.28個(gè)人信息管理制度修訂狀態(tài)A0頁(yè)碼第6頁(yè)共6頁(yè)141.盜用、假冒他人姓名、名稱造成損害的，應(yīng)當(dāng)認(rèn)定侵犯姓名權(quán)、名稱權(quán)的行為。《未成年人保護(hù)法》第三十一條任何組織或者個(gè)人不得披露未成年人的個(gè)人隱私。對(duì)未成年人的信件、日記、電子郵件，任何組織或者個(gè)人不得