個人信息保護復習資料

第一章概論信息1信息定義2個人信息保護3國際間個人信息保護狀況

4信息信息是人類生產(chǎn)活動、社會活動中的基本載體，承載以文字、符號、聲音、圖形、圖像等形式，通過各種渠道傳播的信號、消息、情報、資料、文檔等內(nèi)容。信息普遍存在于自然界、人類社會和人的思維之中。信息在我們的社會、生產(chǎn)等活動中無處不在，始終伴隨著我們。信息貫穿人類社會的發(fā)展歷史，是人類社會實踐的深刻概括，并隨著人類的發(fā)展進步而不斷演變、發(fā)展。第二次五次信息相關(guān)的技術(shù)革命第一次第三次第四次第五次從猿進化到人的重要標志，信息交流的手段和工具——語言的創(chuàng)造和使用

信息產(chǎn)生、傳播、存儲跨越時間和地域限制——文字的出現(xiàn)擴大信息交流和傳播的范圍和容量，提高信息的可靠性——造紙和印刷術(shù)的發(fā)明現(xiàn)代通信技術(shù)(電報、電話、廣播、電視等)的發(fā)明、運用和普及，標志信息交流、傳遞手段的根本性變革

計算機技術(shù)的發(fā)明、應用，與現(xiàn)代通信技術(shù)的結(jié)合突破了人類使用大腦及感覺器官加工、利用信息的能力，徹底改變了人類加工信息的手段。

信息的定義狹義的信息定義

廣義的信息定義

可以定義為一種消息、情報、文檔資料或數(shù)據(jù)

可以定義為對各種事物的存在方式、運動狀態(tài)和相互聯(lián)系特征的表達和陳述，是自然界、人類社會和人類思維活動普遍存在的一種物質(zhì)和事物的普遍屬性。信息的基本要素與傳播過程信道信源信宿

信息的主體。表示具有某種存在方式、運動狀態(tài)和相互聯(lián)系特征的源信息。信源反映了事務的客觀存在，因此，信源與信源具有不同的內(nèi)涵；信源與信宿之間建立的傳遞通道。

信息的接收者。是對信源的認知和理解；信息的特征OneThreeTwoFour信息是客觀存在的。源于物質(zhì)世界和人的思維、意識。信息反映了物質(zhì)的特征、運動狀態(tài)和內(nèi)在的規(guī)律，反映了人的意識過程。

信息是可再現(xiàn)的。通過識別、搜索、存儲、傳遞、變換、顯示、處理、復制等，信息可以獨立于物質(zhì)和思維存在，再現(xiàn)信息..本體。信息是可共享的。信息是不可或缺的資源，收集、生成、壓縮、更新和共享?？梢愿鶕?jù)信息分類設定共享條件。意識過程。

信息是可以控制的?？梢愿鶕?jù)信息的使用目的，確定信息處理范疇、處理方法。四個特征個人信息保護個人信息主要體現(xiàn)在軟件及信息服務業(yè)、金融保險業(yè)、醫(yī)療服務業(yè)、政府機關(guān)、電信業(yè)、教育、廣告及印刷、勞動服務業(yè)、制造業(yè)等行業(yè)中，隨著現(xiàn)代信息服務業(yè)的深入，正逐漸向全社會展開。社會、政治、經(jīng)濟等各個行業(yè)在計算機網(wǎng)絡系統(tǒng)、相關(guān)軟件及數(shù)據(jù)處理、社會生活的各個方面經(jīng)常涉及個人信息的使用和處理。因此個人信息的保護尤為重要。個人信息保護其一其二產(chǎn)業(yè)整體表現(xiàn)為，信息服務業(yè)客戶對加工信息發(fā)包謹慎；軟件加工業(yè)客戶不提供真實測試數(shù)據(jù)。客戶向承接外包項目的企業(yè)提出個人信息保護的具體要求，并在合同中增加個人信息保護相關(guān)條款和違反規(guī)定的處罰。因有關(guān)個人信息保護不當所造成損失的處罰金額相當高。

從個人信息保護對大連軟件及信息服務業(yè)的影響可以窺見一般：

國際間個人信息保護狀況1頒布年代國家法規(guī)197319741984198619881995199619991999美國歐盟歐盟歐盟日本美國英國美國瑞典互聯(lián)網(wǎng)保護個人隱私的政策Internet個人隱私保護的一般原則

電子通訊數(shù)據(jù)保護指令個人數(shù)據(jù)保護指令個人信息保護法電子通信隱私法數(shù)據(jù)保護法隱私法數(shù)據(jù)法123456789已制定了個人信息保護相關(guān)法規(guī)和標準的國家與地區(qū)OECD于1980年頒布的《隱私保護和個人數(shù)據(jù)跨國流通指導原則》中有關(guān)個人信息保護的八項原則第二講基本概念個人隱私1網(wǎng)絡隱私權(quán)2個人數(shù)據(jù)與個人信息3法律名稱的使用4

Conclusion4個人信息的特征5個人信息的分類6個人信息保護范疇7個人隱私(隱私權(quán)）隱私權(quán)是關(guān)于隱私的權(quán)利，是人的基本權(quán)利。美國學者布蘭代斯和沃倫在其發(fā)表的著名的《論隱私權(quán)》中把隱私權(quán)界定為生活的權(quán)利和不受干擾的權(quán)利以保障人格的不可侵犯。現(xiàn)代的隱私觀，包含三種形態(tài)：個人數(shù)踞資料個人生活個人生活領域隱私權(quán)的基本權(quán)利隱私知情權(quán)隱私選擇權(quán)隱私控制權(quán)隱私維護權(quán)屬于個人隱私的、與公共利益無關(guān)的所有事情，權(quán)利人有權(quán)隱瞞。未經(jīng)權(quán)利人允許，不能收集、公開和傳播；

權(quán)利人在不違反公共利益的前提下，有權(quán)根據(jù)個人的需要控制個人隱私的使用；可以利用個人隱私滿足自身或他人。的精神和物質(zhì)需要；

權(quán)利人有權(quán)根據(jù)使用需求和使用目的決定公開或不允許知悉或利用個人隱私；

公民個人的隱私享有不受非法侵害的權(quán)利。在受到非法侵害時，可以尋求司法保護，或要求侵權(quán)人停止侵權(quán)、直至賠償損失。

基本權(quán)利隱私權(quán)侵權(quán)行為盜用私事的公開

侵入公共誤認

盜用原告姓名、肖像等；；

不法侵入原告的私人生活；不合理公開涉及原告私生活的事情；公開原告不實的形象侵權(quán)行為網(wǎng)絡隱私權(quán)網(wǎng)絡隱私權(quán)是個人在網(wǎng)絡虛擬空間中生活安寧的權(quán)利和個人信息不被非法利用、收集、公開的權(quán)利；同時，個人能夠控制和支配個人隱私的使用，決定個人生活和個人信息的現(xiàn)狀、目的、范圍等。網(wǎng)絡隱私權(quán)具有傳統(tǒng)隱私基本權(quán)利的特征。網(wǎng)絡隱私權(quán)是傳統(tǒng)隱私權(quán)在網(wǎng)絡空間中的延伸，表現(xiàn)形式多為個人信息的收集、使用、利用。在網(wǎng)絡空間中，個人信息是個人隱私的數(shù)字化形式。因此，網(wǎng)絡隱私權(quán)的核心是個人信息的保護。網(wǎng)絡隱私權(quán)主要特征包括TwoOneThree網(wǎng)絡隱私權(quán)的環(huán)境是互連網(wǎng)絡或接入網(wǎng)絡。個人的網(wǎng)絡行為和活動、個人網(wǎng)站、發(fā)布信息、電子商務活動、電子郵件等產(chǎn)生的個人信息都可以很容易的采用現(xiàn)代信息技術(shù)手段監(jiān)控、收集、利用。

網(wǎng)絡隱私權(quán)的主體是雙重的。網(wǎng)絡是一個虛擬空間，任何人都可以以實名(現(xiàn)實生活中的自然人)，或匿名(現(xiàn)實生活中不存在，只存在于網(wǎng)絡虛擬世界中)方式在網(wǎng)上活動。

網(wǎng)絡隱私權(quán)的客體也是雙重的，網(wǎng)絡隱私權(quán)的客體同網(wǎng)絡隱私權(quán)的主體一樣，也包括虛擬世界中虛擬個體的個人信息和私人領域。個人數(shù)據(jù)與個人信息個人數(shù)據(jù)個人信息個人數(shù)據(jù)是已經(jīng)識別或可以識別的與個人相關(guān)的所有資料，可以被計算機系統(tǒng)識別、存儲、加工處理。個人數(shù)據(jù)的概念比較寬泛，

個人信息是具有屬性特征的個人數(shù)據(jù)和經(jīng)過加工處理的個人數(shù)據(jù)的集合。個人數(shù)據(jù)是個人信息的載體。個人信息的主體是擁有個人數(shù)據(jù)的個人。

家庭基本情況：婚姻狀況、配偶、父母、子女等；

其他：計算機儲存的個人資料等。

個人的自然情況：姓名、性別、肖像、出生日期、身高、體重、血型、生理特征、住宅、種族等。

與個人相關(guān)的社會背景：受教育程度、工作經(jīng)歷、宗教及其他信仰、政治觀點和傾向、社會關(guān)系等

與個人相關(guān)的自然情況、日常生活、家庭、社交等個人數(shù)據(jù)與個人信息個人數(shù)據(jù)主要包括：

數(shù)據(jù)加工處理后的數(shù)據(jù)：

個人數(shù)據(jù)；

記錄、存儲在網(wǎng)站數(shù)據(jù)庫中的個人網(wǎng)絡行為，及其在虛擬空間中所有活動軌跡的描述等數(shù)據(jù)資料。個人數(shù)據(jù)與個人信息個人信息主要包括：法律名稱的使用個人數(shù)據(jù)個人隱私

個人信息個人隱私一詞來源于美國，在美國現(xiàn)行法律體系中，隱私是內(nèi)涵和外延非常廣泛的概念，在與美國屬于同一法律體系、或受美國影響較大的國家中，在個人信息保護相關(guān)法律中，多采用“個人隱私”的概念。歐盟及受1995年歐盟《個人數(shù)據(jù)保護指令》影響的國家，多采用“個人數(shù)據(jù)”的概念。《個人數(shù)據(jù)保護指令》的基本原則包括：數(shù)據(jù)質(zhì)量原則數(shù)據(jù)處理合法化原則告知原則特殊類型數(shù)據(jù)處理原則日本、韓國、俄羅斯等國多使用個人信息的概念。個人信息包含個人隱私，當與公共利益無關(guān)、與自然人個體相關(guān)的個人數(shù)據(jù)資料不愿公開時，則成為隱私，而個人信息并不完全涉及個人隱私。個人信息的特征可識別特征

主體特征

價值特征

個人信息為個人信息的主體擁有。個人信息主體是其所擁有的個人信息可以作為數(shù)據(jù)收集、處理的自然人。個人信息主體享有人格權(quán)和法律賦予的義務，其所擁有的個人信息是可識別的，并可依據(jù)這些信息直接定位于特定的主體。

個人信息的可識別性，是通過個人信息的內(nèi)容，經(jīng)過判斷可以確定個人信息的主體。可識別性是個人信息的重要特征，是明確個人信息內(nèi)容和范疇的客觀標準。個人信息的屬性決定了個人信息是有價值的資源。由于個人信息具有的可識別特性，可以非常方便的了解個人信息主體的個人喜好、生活習慣、個人需求等，從而創(chuàng)造可能的獲得利潤的機會。個人信息具有的價值取向是個人信息的顯著特征。個人信息的類別單一信息和組合信息靜態(tài)信息和動態(tài)信息顯性信息和隱性信息真實信息與虛擬信息在個人信息構(gòu)成中，單一數(shù)據(jù)元素可以稱為單一信息，如姓名；由多個數(shù)據(jù)元素構(gòu)成的數(shù)據(jù)單位，可以稱為組合信息。易于識別的個人信息可以稱為顯性信息，隱性信息則是需要收集或采用某些技術(shù)手段才能獲取的個人信息。

靜態(tài)信息是個人信息主體已經(jīng)存在的，或過往的、歷史的信息，動態(tài)信息則是個人信息主體當前的信息，存在于現(xiàn)實世界中的個人信息主體的真實的信息和存在于網(wǎng)絡虛擬世界中的虛擬的信息。大致分為個人信息的分類公開信息與隱秘信息

自動處理和非自動處理

敏感信息和瑣碎信息

個人信息是可以直接或間接識別個人信息主體的信息，具有法律屬性，且與人格利益密不可分。因此，個人信息具有私密性，一般不為人所知。通過特定、合法的途徑，了解、掌握、利用個人信息，是明確目標的公開獲取。以此為標準，個人信息可以分為公開的和隱秘的。

個人信息自動處理是利用計算機系統(tǒng)及其相關(guān)和配套設備、計算機網(wǎng)絡系統(tǒng)，按照一定的應用目的和規(guī)則進行個人信息的收集、加工、存儲、傳輸、檢索、咨詢、交換等業(yè)務。

個人信息是否涉及特殊的個人隱私，可以作為個人信息的一種分類——敏感信息。而零散的、不重要的、如散碎紙片一般的，或散見與各處的個人信息則屬于瑣碎信息。個人信息保護范疇個人情息保護的內(nèi)涵豐富、外延廣泛。采用自動或非自動處理方式進行個人信息的收集、錄人、加工、編輯、存儲、管理、檢索、咨詢、交換、傳輸、輸出、使用、委托或其他利用個人信息的行為，均在提供個人信息安全保護的范疇之內(nèi)。第三講PI管理機制管理職能1個人信息保護管理體系2

個人信息管理機制3個人信息管理的目標和原則

4管理職能管理的概念管理的職能

管理是由計劃、組織、領導、控制所組成的一種職能活動，是指一定組織中的管理者，通過實施計劃、組織、領導、控制等職能來協(xié)調(diào)他人的活動，使別人同自己一起實現(xiàn)既定目標的活動過程。

管理是由一些相互關(guān)聯(lián)的活動組成的，這些相互關(guān)聯(lián)的管理活動我們稱之為管理的職能，是管理過程中各項活動應該擔負和完成的基本任務。

計劃選擇合適的組織目標，確定切實可行的行動方案并且有效地實現(xiàn)這些目標。

組織建立一種能夠促使人們?yōu)閷崿F(xiàn)組織目標的任務分派和領導關(guān)系控制建立準確的測評監(jiān)控系統(tǒng)用以評價組織目標的完成情況。

領導指揮、激勵和協(xié)調(diào)下屬，使他們?yōu)閷崿F(xiàn)組織目標而努力工作管理職能的內(nèi)容個人信息保護管理體系建立個人信息保護管理體系的基本目的是滿足個人信息管理的需要，指導企事業(yè)單位建立健全各類管理機制，協(xié)調(diào)各類資源，充分保障個人信息主體的權(quán)利，保障個人信息管理業(yè)務的穩(wěn)定運行。個人信息保護管理體系的特點唯一性系統(tǒng)性

有效性

預防性

動態(tài)性

與特定組織的管理目標、業(yè)務流程、管理策略、過程特點、實踐經(jīng)驗等結(jié)合。因而，不同組織的體系具有不同的特點

個人信息保護管理體系是組織內(nèi)各種因素相互關(guān)聯(lián)和作用的組合應全面有效，滿足個人信息保護相關(guān)法規(guī)的要求，保障個人信息主體的權(quán)益。也滿足個人信息保護認證的要求

個人信息保護管理體系的實施，可以有效預防個人信息相關(guān)安全事件的發(fā)生

進行個人信息保護內(nèi)部審核和個人信息保護認證，采用預防和糾正措施，改進和完善個人信息保護管理體系

個人信息保護管理機制管理機制是一個組織內(nèi)部管理機構(gòu)及其運行機理。它以管理機構(gòu)為載體，包括：管理機制的約束

管理機構(gòu)的動因

管理機構(gòu)的功能和目標

個人信息保護管理機制最高管理者的職責

明確管理者代表

明確個人信息保護的方針

責任落實資源分配領導決策持續(xù)改進個人信息保護管理機制個人信息保護負責人

個人信息保護管理機構(gòu)個人信息保護的管理機構(gòu)個人信息保護監(jiān)察機構(gòu)負責機構(gòu)中宣傳教育工作負責服務支持與用戶的溝通工作獨立開展監(jiān)督、檢查、調(diào)查工作

代表管理者管理各部門各項工作負責組織的個人信息保護工作

個人信息保護管理機制體系化

組織保障融合性告知各個規(guī)章制度之間是相互有機聯(lián)系的一個整體。不僅包括個人信息保護的各個方面，也包括組織內(nèi)橫向、縱向的管理關(guān)系。個人信息保護管理體系不是獨立存在的，應與其他管理體系有機融合，才能有效執(zhí)行，降低和控制風險

基于組織的總體利益，統(tǒng)一管理、制定組織的個人信息保護相關(guān)管理制度和各個部門的管理細則，以形成制度的合力。個人信息保護相關(guān)管理制度應以一定形式公示，或告知員工。

管理制度

個人信息保護管理機制業(yè)務宣傳基本宣傳社會宣傳主要是在組織的內(nèi)部，宣傳個人信息保護的基本知識、個人信息保護相關(guān)法規(guī)、個人信息保護的重要性、個人信息管理的基本策略等。

在形象宣傳、業(yè)務交往中，宣傳組織的個人信息保護目的、個人信息管理措施、個人信息使用和處理方法及規(guī)定、個人信息安全措施等。

在面向社會時，應積極宣傳本組織的個人信息保護政策和措施，可以在各種媒介中增加相關(guān)的官傳內(nèi)容，如宣傳資料、各種網(wǎng)絡媒介等。個人信息保護宣傳的三種形式個人信息管理的目標和原則個人信息保護管理的目標是維護個人信息主體的合法權(quán)益不受損害。為實現(xiàn)這一目的，個人信息管理應該遵循以下基本原則：P個人信息保護管理體系的確立

D個人信息保護管理體系的導入和運用A個人信息保護管理體系的改善

C個人信息保護管理體系的監(jiān)察和認證

個人信息安全管理PDCA模式第四講PIP機制侵害個人信息現(xiàn)狀

1個人信息擁有者

2個人信息保護原則

3個人信息收集

4個人信息處理

５個人信息保護安全機制

６個人信息保護模式

７侵害個人信息現(xiàn)狀在現(xiàn)代社會經(jīng)濟活動中，個人信息的無形的物質(zhì)性財產(chǎn)權(quán)益日益重要。信息技術(shù)的迅猛發(fā)展，使得個人信息的收集、處理，愈加方便、容易，同時，對個人信息的侵害也愈加頻繁，愈加呈現(xiàn)多樣性。

侵害個人信息現(xiàn)狀網(wǎng)絡應用中的個人信息侵害

社會工程學與個人信息侵害現(xiàn)實生活中的個人信息侵害網(wǎng)絡應用中的個人信息侵害互聯(lián)網(wǎng)搜索引擎木馬和肉雞

Cookie的作用個人信息收集、利用的侵權(quán)行為

在網(wǎng)絡應用中所存在著對個人信息的侵害例如Google獲取的海量用戶信息，正在對用戶的個人隱私構(gòu)成威脅。同時，依據(jù)不同的目的，可以通過Coode收集到大量的個人信息，威脅個人隱私和信息安全。

Cookie為網(wǎng)絡服務商收集和利用個人信息提供了必要的技術(shù)支持，因而存在個人信息的不當使用和泄露的危險，威脅信息主體的個人隱私權(quán)。

用戶終端被植入木馬程序后，就成為可以任意宰割的“肉雞”。

“肉雞’被隨意設置，用于各種用途；

“肉雞’’的個人數(shù)據(jù)資料被公開地、任意地買賣。

基于網(wǎng)絡的個人信息利用和收集，存在來自個人、網(wǎng)絡服務商、生產(chǎn)廠商為主體的侵權(quán)行為

現(xiàn)實生活中的個人信息侵害通過已公開的信息，或在平常的人際交往、工作關(guān)系中收集并累積個人情息

通過在公共場所進行市場調(diào)查、問卷調(diào)查等形式，獲取個人信息

采用某種方式，與具有大客戶群的單位建立聯(lián)系，獲取、累積個人信息其他方式，如竊取的個人信息資料造成個人信息泄露、濫用的危險也日益嚴重。出現(xiàn)在實生活中的對個人信息的侵害ABCD心理攻擊：構(gòu)建陷阱攻擊的方式，如說服、友善、恭維、模仿等

社會工程學與個人信息侵害

在個人信息侵害事件中，社會工程學亦扮演著重要的角色。攻擊者通過交談、欺騙、引誘、偽裝等各種形式，套取個人信息主體的敏感信息，人是信息安全的核心，是“木桶效應”的短板

社會工程學實施的基礎是信任。利用人性的弱點進行各種形式的攻擊，嘗試與用戶建立相對穩(wěn)定的相互信任關(guān)系來地獲取重要的敏感信息。通常有兩種攻擊形式

物理攻擊：實施攻擊的位置，如工作場所、網(wǎng)絡環(huán)境、電話等

在個人信息保護中，對社會工程學攻擊的防護尤為重要

AABB個人信息擁有者個人信息主體

個人信息管理者個人信息主體是基于自然規(guī)律出生、具有生物學意義和法理人格，并被法律賦予民事主體資格的自然人。自然人與生俱來的個人信息，包括生理的、心理的和智力的，和在社會實踐中形成的個人信息，包括社會的、經(jīng)濟的、家庭的等，與自然人個體緊密相關(guān)，為個人信息主體基于其生物學意義和法理人格所唯一擁有。享有個人信息知悉、支配和控制的權(quán)利，

個人信息管理者是基于特定的目的，經(jīng)個人信息主體明確同意、委托、授權(quán)，收集、占有、保存、管理、處理、利用個人信息的組織、機構(gòu)或個人。個人信息管理是對個人信息資源及針對這些資源的活動和行為進行管理。個人信息資源是由個人信息主體、個人信息和針對個人信息采取的技術(shù)和手段有機構(gòu)成，

個人信息主體知悉、支配和控制的權(quán)利OneThreeTwoFour確認個人信息是否以明確地、易于理解地形式記載。在個人信息收集、管理、保存、處理、利用過程中，必須以明確、易于理解的形式記載，確認個人信息的保存形式。個人信息應以文檔形式保存，信息主體可以無限制地確認個人信息文檔的存在、目的、利用情況、、安全性等o個人信息修正。如果個人信息不完整、不正確，或需要更新，個人信息主體有權(quán)適當修改、刪除、完善，以保證個人信息的最新狀態(tài)。

疑義和反對。個人信息主體對相關(guān)個人信息的利用目的、處理過程等有權(quán)提出疑義或反對意見。主要包括控制與監(jiān)督

個人信息管理的職能規(guī)劃與人事次協(xié)調(diào)與溝通評估

在決策目標確定后，對個人信息管理行為的預勇設計。根據(jù)決策和邦劃，明確管理人員責任和職能。

控制是對個人信息的管理活動、行為及后果實施制衡和修正，并對過程進行監(jiān)督，保障個人信息.主體的利益。管理者與個人信息主體之間的關(guān)系，需要協(xié)商、調(diào)解，使雙方和諧地配合，既保證個人信息主體的利益。

應隨時對個人信息收集、利用的目的、范圍、手段和方法、風險因素方面進行評估，提出修正或補救措施、應對策略，決策的內(nèi)容主要是選擇管理的目標，確定管理行為。組織是根據(jù)個人信息收集、利用的目的，有效管理、處理個人信息的行為或活動。決策與組織

個人信息管理者的權(quán)利和義務權(quán)利保障

安全和保密

目的明確

告知義務

個人信息管理者必須保障個人信息主體的權(quán)利，維護和實現(xiàn)個人信息主體的人格利益。個人信息管理者必須保證個人信息處理、使用的目的與個人信息主體的意愿一致，不能超目的、超范圍處理、使用。個人信息管理者必須對個人信息處理予以保密，并對個人信息處理、使用過程中的安全負責。個人信息管理者應將個人信息的利用目的、處理方式、個人信息主體的相關(guān)權(quán)利等事項告知信息主體。權(quán)利義務個人信息保護原則個人信息保護原則知情原則

參與原則

支配原則安全保障原則

在實踐中，符合需求、可供操作的基本原則：

個人信息主體有權(quán)知悉個人信息的收集、利用和處理情況。個人信息主體有權(quán)決定如何利用個人信息。

0ECD中稱為“個人參與原則”。強調(diào)個人信息主體的權(quán)利。

個人信息管理者應從管理、技術(shù)2個方面采取相應的措施，保障個人信息的安全。

個人信息收集個人信息收集是基于自然人的人格權(quán)益，有目的、有計劃、有選擇地對特定個人采集信息的過程和行為模式。

個人信息收集是個人信息保護的核心問題。基本概念個人信息收集的特征條件性目的性

質(zhì)量性必須有特定的、明確的和合法的目的，特定目的，必須是在法律允許范圍內(nèi)，針對某一特定的需要設定的。

收集個人信息，必須經(jīng)個人信息主體確認，必須保證個人信息主體的人格權(quán)益，限定在特定的目的范圍內(nèi)，在法律允許的范圍內(nèi)。必須是基于特定目的的需要

保證是足夠的，而不過度、是相關(guān)的而不多余，且不超過設定的目的范圍；保證個人信息的準確性、完整性，并適時、隨時更新、完善；在信息處理時方便識別個人信息主體，個人信息收集方法和手段主動收集

被動收集

個人信息主體主動提供的個人信息。在現(xiàn)實社會中，由于工作、生活中的各種需要，人們在買車、購房、保險、醫(yī)療、電話安裝、辦理各種會員卡、銀行卡、優(yōu)惠卡，以及電子商務等時，往往要求用戶填寫真實、詳盡的個人信息等，

通過各種網(wǎng)絡技術(shù)和方法收集個人信息。隨著信息技術(shù)的發(fā)展和普及，網(wǎng)絡空間中，個人信息的覆蓋率愈來愈高，個人信息的收集和處理也愈來愈方便、快捷。除主動收集方式外，其他個人信息的收集，多數(shù)是在個人信息主體不知情、或不能控制的情況下實施的。

個人信息收集分類間接收集

直接收集

敏感信息收集

直接從個人信息主體收集個人信息。直接而非間接。采用主動方式，直接的而非采用任何技術(shù)或其他手段。直接收集個人信息必須目的明確，并征得個人信息主體的同意。

非直接地從個人信息主體收集自然人的個人信息。問接收集是直接收集的輔助手段和補充。必須基于明確、合法的目的，征得個人信息主體的明確同意。必須保證個人信息的淮確性、完整性和最新狀態(tài)。

敏感信息是涉及個人隱私的信息，一般禁止收集和處理。但在某些特殊情況下收集和處理時，應特別加以保護。收集與處理必須：個人情息主體明確同意。直接從個人信息主體收集。進行特殊保護。

個人信息處理個人信息處理是收集、加工、編輯、存儲、檢索，及其他利用個人信息行為，或與個人信息利用相關(guān)的自動或非自動個人信息處置過程。個人信息處理必須滿足一定的條件個人信息存儲個人信息一般以文檔的形式保存。多數(shù)個人信息的收集和處理是基于自動處理設備，因此，個人信息總是以文檔形式存儲在自動設備中。

個人信息存儲必須保證個人信息直接處理是個人信息收集、保存、處理、利用的機構(gòu)、組織個人信息處理者是除個人信息主體以外的個人數(shù)據(jù)提供者個人信息提供者是利用個人信息的行為人個人信息使用者個人信息管理者

保存管理處理

利用

收集

進行個人信息直接處理工作個人信息主體

同意授權(quán)職責義務信息服務

信息服務

支付費用支付費用個人信息直接處理是個人信息管理者處理、利用所擁有的個人信息。

個人信息提供個人信息管理者向第三方提供合法擁有的個人信息主體的相關(guān)個人信息。個人信息提供必須滿足一定的條件

個人信息委托個人信息管理者在特定、明確、合法的目的范圍內(nèi)，經(jīng)個人信息主體同意，委托第三方收集、處理相關(guān)個人信息，或在委托業(yè)務中涉及相關(guān)個人信息。

個人信息委托包含5層含義收集目的外的處理在某些特殊情況下，需要超出收集目的范圍處理、利用個人信息主體的相關(guān)個人信息。在這些特殊情況下，處理、利用個人信息，也需要基于一個特定、明確的目的。特定、明確的目的包括二次開發(fā)和交易個人信息二次開發(fā)

個人信息交易個人信息管理者將收集到的個人信息，根據(jù)特征、類別，按照一定的文式存儲，構(gòu)成綜合的個人信息數(shù)據(jù)庫。根據(jù)綜合數(shù)據(jù)庫反映出的不同的自然人群的個體特征和個人信息處理目的，對個人信息采取不同的處理方式，滿足不同的個人信息管理者的需要。

商業(yè)機構(gòu)將相關(guān)的個人信息綜合數(shù)據(jù)庫，提供給其他不同的商業(yè)機構(gòu)使用，是一種個人信息交易行為。個人信息交易包括個人信息管理者之間交換所掌握的個人信息、個人信息管理者出售所掌握的個人信息等。

個人信息保護安全機制信息安全管理體系(ISMS)是整體信息安全防護體系中重要的一部分，通過系統(tǒng)、全局的信息安全管理整體規(guī)劃，確保用戶所有信息資源和業(yè)務的安全與正常運行。ISMS是人、技術(shù)、管理的有機結(jié)合和有效實施。

信息安全管理體系

物理安全物理安全(實體安全)是為保證計算機信息系統(tǒng)在信息采集、傳輸、存儲、處理、顯示、利用等過程中，安全、穩(wěn)定、可靠運行，避免因人為或自然因素的危害，造成信息丟失、泄露、破壞等，對計算機信息系統(tǒng)環(huán)境、計算機信息系統(tǒng)相關(guān)設備、存儲媒介及設備等所采取的安全防護技術(shù)。

物理安全(實體安全)主要包括安全管理機制安全管理機制是按照整體信息安全防護系統(tǒng)的設計，為實施個人信息安全的管理和控制，依據(jù)威脅個人信息安全的內(nèi)部規(guī)律和環(huán)境影響的有機聯(lián)系，建構(gòu)的安全防護系統(tǒng)。構(gòu)建安全管理機制的核心是保證管理安全。

管理安全主要包括技術(shù)安全技術(shù)安全是為保障信息安全采用的知識、專業(yè)、技術(shù)等方法和手段，技術(shù)安全包括社會工程學管理社會工程學是在人與人的交往中，利用人性的弱點，運用心理學知識，以交談、欺騙、傷害等手段，獲取利益的方式，是信息安全管理，特別是個人信息安全管理的軟肋。社會工程學管理應基于社會工程學的特點，以人為本，構(gòu)建社會工程學防御體系。社會工程學管理個人信息保護模式行業(yè)自律模式

法律保護模式

行業(yè)自律模式是一種民間的、保護網(wǎng)絡隱私權(quán)的個人信息保護模式。通過行業(yè)內(nèi)部的行為規(guī)則、規(guī)范、標準和行業(yè)協(xié)會的監(jiān)督，實現(xiàn)行業(yè)內(nèi)個人信息保護的自我規(guī)范、約束和完善。美國是行業(yè)自律模式的倡導者。存在兩種形式：建議性行業(yè)指導、網(wǎng)絡隱私認證計劃。法律保護模式是由國家主導的立法模式。國家通過立法確定個人信息保護的各項基本原則和具體的法律規(guī)定等。具有代表性的是歐盟的模式。第五講個人信息保護應用電子政務與個人信息保護應用1政府信息公開與個人信息保護2電子商務與個人信息保護3電子政務與個人信息保護應用政府是社會信息資源的最大擁有者、使用者和提供者。在電子政務的建設、發(fā)展過程中，收集、獲得了大量公民的個人信息，儲存、建設了政府個人信息數(shù)據(jù)庫。這些個人信息，在電子政務的環(huán)境中，極易被侵犯、不當使用。因此，電子政務環(huán)境中的個人信息保護，是電子政務建設和發(fā)展的基礎。電子政務中個人信息的內(nèi)涵電子政務的內(nèi)容在我國的電子政務中一般包含：政府之間的、政府與企業(yè)等組織之間的以及政府與公民之間的電子政務。政府與公民之間的電子政務電子政務中個人信息的主要特征多樣化高風險

政府行政職能的多元化，型不同，呈現(xiàn)出多樣化。使收集、儲存、管理、利用公眾的個人信息類型不同，呈現(xiàn)出多樣化。

互聯(lián)網(wǎng)在電子政務中的廣泛應用已經(jīng)打破了原有的地界、國界，個人信息一旦遭到侵犯，其傳播速度快、覆蓋面廣、隱蔽性強，危害性極大。個人信息保護的利益沖突公共利益和個人利益的沖突

公民權(quán)益與個人隱私的沖突

在政務資源建設過程中，收集、保存?zhèn)€人信息，構(gòu)建個人信息數(shù)據(jù)庫，必然與公民的人身權(quán)益發(fā)生沖突，需要公民放棄部分人身權(quán)益。同時，政府的行為必須限定在實現(xiàn)社會管理目標的職權(quán)范圍內(nèi)，既合理、合法，也適當、適度。當二者發(fā)生沖突時，通過溝通和協(xié)調(diào)平衡二者的利益。政府應公開個人信息的使用目的、使用方法、安全措施等信息；個人信息的保存內(nèi)容，則應與個人信息主體協(xié)商，嚴格限制在政府職能部門的職權(quán)范圍內(nèi)，限制政府信息公開的可測量尺度。

電子政務中的個人信息保護策略個人信息收集中的警示

個人信息的用途

收集信息的種類和內(nèi)容

安全保護措施

在收集個人信息時，應當明確地告知公民收集個人信息的目的和用途、收集的依據(jù)以及收集和保證安全的方法，同時嚴格履行保護公民個人信息的義務。網(wǎng)站在運行過程中所收集到的技術(shù)信息和個人信息，這兩類信息的收集目的和具體內(nèi)容，都應明確告知個人信息主體。當在其個人信息保護政位策中說明收集個人信息的用途，除了網(wǎng)絡安全外，加強政府網(wǎng)站管理，健全領導負責制、有明確的政策、明確的操作規(guī)程及員工對個人信息保護的意識和責任。保護策略政府信息公開與個人信息保護《中華人民共和國政府信息公開條例》關(guān)于政府信息公開的原則：應當遵循公正、公平、便民的原則，及時、準確地公開政府信息。應依照國家有關(guān)法律、法規(guī)對擬公開的政府信息進行審查。不得危及國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定。應主動公開符合《信息公開條例》基本要求的內(nèi)容。確定政府信息公開的主體是行政機關(guān)和法律、法規(guī)授權(quán)的具有管理公共事務職能的組織。政府信息公開中涉及的個人信息管理過程中涉及的個人信息

服務過程中涉及的個人信息

國家機關(guān)在對外管理中對個人情息的收集、處理與利用。主要包括立法、司法和行政管理等機關(guān)的相關(guān)收集、處理與利用。政府機關(guān)在對內(nèi)管理中對個人信息的收集、處理與利用。當前主要是指在人事管理和公務人員錄用、培養(yǎng)等工作中對個人工作情況、家庭情況、成績與品行等個人信息的收集、處理與利用。這些都已成為政府信息資源庫的重要組成部分。

服務過程中對個人信息的收集、處理與利用行為，主要是指提供公共服務的公法人、由國家控股的相關(guān)公司和社會非營利性組織，在其實施公共服務的過程中收集、處理、利用個人信息。提供公共服務的公法人包括三類：１．營利性的公法人，如銀行、保險等，２．公益性的社會組織，如醫(yī)院、學校等，３．中間性的社會組織，如校友會、行業(yè)協(xié)會等。政府信息公開過程中個人信息保護策略基于公共利益的個人信息優(yōu)先公開基于商業(yè)利益的個人信息限制公開基于個人利益的個人信息適當公開1．為維護國家與社會公共利益的需要，要求優(yōu)先向社會公開有關(guān)個人信息。2．提高國家機關(guān)行政效率和公共服務水平的需要，要求在政府系統(tǒng)內(nèi)部公開有關(guān)個人信息。

1．政府機關(guān)可以依據(jù)公開申請，征詢個人信息主體，是否公開個人信息。2．依照有關(guān)法律法規(guī)，政府機關(guān)可以允許各類有商業(yè)利益目的的非國家機關(guān)自行收集和利用個人信息。

1．維護個人信息主體的權(quán)益。

2．對個人信息主體的權(quán)益限制。

電子商務與個人信息保護電子商務是基于互聯(lián)網(wǎng)而開展的商務活動，與傳統(tǒng)的商務活動有著內(nèi)在的區(qū)別。電子商務運作的基礎是信息網(wǎng)絡、金融網(wǎng)絡和配送網(wǎng)絡的融合，所涉及的商業(yè)活動對象是企業(yè)、政府、消費者。其本質(zhì)特征體現(xiàn)為:商務活動網(wǎng)絡化

交易空間虛擬化信用風險加劇電子商務中的個人信息信息來源個人信息表現(xiàn)形式1.用戶的注冊信息，2.交易的訂單信息，3.用于支付的支付信息1.消費者提供的信息，2.網(wǎng)站自動獲取的信息，3.搜索獲得的信息，4.其他來源獲得的信息，1.與用戶交易、聯(lián)系的基礎數(shù)據(jù)；

2.經(jīng)整理、分析和二次開發(fā)，成為企業(yè)的商業(yè)資源3.將個人信息作為特殊商品交換、提供、轉(zhuǎn)讓；

4.以各種可能的方式收集、開發(fā)、加工、利用個人信息。

電子商務中個人信息面臨的威脅收集和利用個人信息造成的威脅個人信息的二次開發(fā)和交易的威脅經(jīng)營者大量收集用戶個人信息對消費者的人身權(quán)益構(gòu)成威脅。

1．超范圍收集個人信息2．非法收集和使用個人信息個人信息的二次開發(fā)利用，可能造成客戶個人信息或商業(yè)機密的泄露。個人信息交易是目前最為嚴重的一種侵權(quán)行為，

電子商務環(huán)境個個人信息保護策略現(xiàn)階段電子商務中個人信息保護應在借鑒先進國家個人信息保護經(jīng)驗及ＯECD個人信息保護八項原則的基礎上，結(jié)合我國個人信息保護相關(guān)法律法規(guī)及電子商務網(wǎng)站個人信息保護的實際情況，應側(cè)重考慮以下的個人信息保護策略：電子商務活動中個人信息保護策略2004.00.00個人信息保護概論第六講個人信息保護評價機制評價機制的肇始1評價的基本概念2評價過程3評價機制的肇始大連是國家軟件產(chǎn)業(yè)基地、軟件出口基地，大量的軟件和信息處理業(yè)務來自國外，隨著國外客戶對個人信息保護的要求愈來愈細化，業(yè)務承接和擴展受到直接的影響。為了與日本等國外企業(yè)實現(xiàn)對接，滿足客戶對個人信息保護的要求，減少企業(yè)因個人信息保護不當可能造成的損失，大連市發(fā)布了《大連軟件及信息服務業(yè)個人信息保護規(guī)范》。而引起許多企業(yè)的重視和關(guān)注，并開始按照規(guī)范要求建立相應的個人情息保護機制。為推進規(guī)范的實施，并與國外實現(xiàn)互認，在規(guī)范基礎上建立了個人信息保護評價體系(PIPA)，評價的基本概念個人信息保護評價體系是大連市建立的、具有我國行業(yè)特色的個人信息保護認證計劃。評價的基本概念與認證計劃是一致的。個人信息保護評價是系統(tǒng)、客觀、全面地監(jiān)督、判斷、評估個人信息保護行為的安全性、有效性，確定在個人信息保護中需要改進的問題的過程。評價與認證認證評價認證是由獨立、公正的第三方認證機構(gòu)進行的客觀的評價；認證是依據(jù)特定的標準或規(guī)范；認證審核過程是對與標準或規(guī)范的符合性、一致性及目的的有效性進行評估個人信息保護評價是獨特的個人信息保護認證計劃，是個人情息保護開展和實施的必然。個人信息保護評價機構(gòu)是獨立、公正的第三方機構(gòu)，由可以充分信任的、公平、公正的第三方機構(gòu)系統(tǒng)、客觀、全面地監(jiān)督、判斷、評估個人信息保護體系的安全性、有效性，及與個人信息保護相關(guān)法律、法規(guī)的符合性的活動。

評價的特征Ｂ個人信息保護目的是個人信息保護評價的基礎Ｃ實現(xiàn)科學的個人信息保護評價的手段是技術(shù)和管理方法的運用

Ｄ個人信息保護評價的價值取向

Ｅ個人信息保護效果和影響的判斷和評估

Ａ個人信息保護評價是以個人信息保護體系為評價對象的第三方監(jiān)督執(zhí)行機制評價過程接受申請資格審查報告現(xiàn)場評價評價報告審批通過個人信息保護評價掛起公示期呈交申請資料完善改造合格資格審查不合格部分通過未通過有重大問題無投訴或質(zhì)疑個人信息保護評價流程評價準備申請個人信息保護評價，必須建立相應的體系，在法律、規(guī)范的框架下開展個人信息保護個人信息保護評價體系建立、健全后，可以申請個人信息保護評價，通過獨立、公正的第三方評價機構(gòu)，對企業(yè)內(nèi)個人信息保護進行監(jiān)督、判斷、評估。個人信息保護評價體系

評價過程管理

評價管理評價人員管理

過程定義

改進和完善

個人信息保護評價管理機構(gòu)

需要對評價人員建立管理制度和進行專業(yè)培訓。

過程管理是質(zhì)量管理的重要部分。是保證個人信息保護評價質(zhì)量的重要活動?？偨Y(jié)最佳評價實踐，信息保護評價流程。形成可重復操作、穩(wěn)定、可靠的個人情息保護評價流程。

采用過程模式，通過過程管理的持續(xù)改進和完善，保證評價質(zhì)量可靠、穩(wěn)定的永恒目標。個人信息保護評價管理機構(gòu)包括：個人信息保護工作委員會和個人信息保護評價機構(gòu)。評價資格審查受理申請

資料審查

申報條件：確認評價申請是否具備個人信息保護評價資格。資料準備：提交企業(yè)開展個人信息保護，實施個人信息保護管理的所有相關(guān)文檔資料，申報評估：對評價申請企業(yè)的申請條件、提交的申報資料進行初步評估。審查條件：評價資料審查，應符合一定的條件。審查內(nèi)容。申報資料是否真實、規(guī)范、完整和滿足相關(guān)法律、法規(guī)、規(guī)范的要求。審查報告。對提交的申報資料進行詳細審查后，應編制資格審查報告，現(xiàn)場評價現(xiàn)場評價是評價機構(gòu)根據(jù)資格審查結(jié)果，對個人信息保護評價申請企業(yè)經(jīng)營活動場所實地考察，對現(xiàn)場評價實施管理，是評價組根據(jù)評價管理的流程和過程模式，分析、判斷、評估企業(yè)個人信息保護現(xiàn)狀的使然?，F(xiàn)場評價管理主要包括

現(xiàn)場評價流程TwoOneThree個人信息保護評價機構(gòu)受理個人信息保護評價申請，并通過資格審查后，組建個人信息保護現(xiàn)場評價組；

個人信息保護現(xiàn)場評價組組長編制現(xiàn)場評價計劃。計劃包括評價組組成、評價人員分工、職責和義務、現(xiàn)場評價內(nèi)容和方法、評價結(jié)論的提交、評價報告的編制等；

個人信息保護現(xiàn)場評價實施：召開評價會議、評價實施、溝通和交流、評價意見、改進和完善?，F(xiàn)場評價調(diào)查

調(diào)查方法調(diào)查質(zhì)量面談：檢查文件和記錄：隨意抽查企業(yè)的業(yè)務：與企業(yè)有關(guān)客戶接觸以了解個人信息保護情況等。

調(diào)查目的和要求。確定現(xiàn)場調(diào)查的任務。選擇恰當?shù)幕蚪M合的調(diào)查方法?，F(xiàn)場調(diào)查質(zhì)量控制措施

保證調(diào)查表設計的質(zhì)量控制。調(diào)查分析。問題處理。溝通與交流?，F(xiàn)場調(diào)查所采用的方法現(xiàn)場評價結(jié)果

問題分類評價意見嚴重問題：1.隱瞞事實、虛報、瞞報等。2.不能滿足個人信息保護安全要求。3.出現(xiàn)嚴重的個人信息安全事故。一般問題：1.申報資料不規(guī)范、內(nèi)容不完整等。2.改進可以的一般性安全隱患。3.不影響評價申報的其他非實質(zhì)性問題。通過：企業(yè)個人信息保護工作是基本成功的，或僅存在少量一般性問題，經(jīng)過簡單修正，即可基本符合相關(guān)法律、法規(guī)、規(guī)范；不通過：存在兩種情況，1.經(jīng)過整改后可以通過。2.重新申請評價。得出符合事實的評價結(jié)論。

評價現(xiàn)場調(diào)查中發(fā)現(xiàn)的問題

審批和公示

個人信息保護現(xiàn)場評價結(jié)束后，評價意見和評價結(jié)論上報個人信息保護評價機構(gòu)審批。

審批和公示現(xiàn)場評價調(diào)查

調(diào)查方法調(diào)查質(zhì)量面談：檢查文件和記錄：隨意抽查企業(yè)的業(yè)務：與企業(yè)有關(guān)客戶接觸以了解個人信息保護情況等。

調(diào)查目的和要求。確定現(xiàn)場調(diào)查的任務。選擇恰當?shù)幕蚪M合的調(diào)查方法。現(xiàn)場調(diào)查質(zhì)量控制措施

保證調(diào)查表設計的質(zhì)量控制。調(diào)查分析。問題處理。溝通與交流?，F(xiàn)場調(diào)查所采用的方法現(xiàn)場評價調(diào)查

調(diào)查方法調(diào)查質(zhì)量面談：檢查文件和記錄：隨意抽查企業(yè)的業(yè)務：與企業(yè)有關(guān)客戶接觸以了解個人信息保護情況等。

調(diào)查目的和要求。確定現(xiàn)場調(diào)查的任務。選擇恰當?shù)幕蚪M合的調(diào)查方法?，F(xiàn)場調(diào)查質(zhì)量控制措施

保證調(diào)查表設計的質(zhì)量控制。調(diào)查分析。問題處理。溝通與交流?，F(xiàn)場調(diào)查所采用的方法資格管理

復查復審

個人信息保護評價機構(gòu)定期抽查具有個人信息保護評價資格、通過個人信息保護評價的個人信息保護評價申請企業(yè)的個人信息保護工作情況。企業(yè)通過個人信息保護評價后，個人信息保護評價機構(gòu)可以應企業(yè)的要求，或根據(jù)個人信息保護評價規(guī)范，對企業(yè)個人信息保護工作進行復審。

2004.00.00個人信息保護概論第七講評價體系研究評價關(guān)系研究1評價體系質(zhì)量研究2評價指標研究3評價體系構(gòu)成4評價關(guān)系研究在個人信息保護評價管理中，協(xié)調(diào)個人信息保護評價體系中各種相互關(guān)聯(lián)、相互作用的關(guān)系，保證評價工作的準確性、公正性，引導和激勵企業(yè)個人信息保護工作的持續(xù)發(fā)展，使評價趨近于合理。評價體系中各種相互關(guān)聯(lián)、相互作用的關(guān)系評價體系質(zhì)量研究評價體系質(zhì)量是個人信息保護評價質(zhì)量的保證，也是個人信息保護評價的基本要求。個人信息保護是企業(yè)為個人信息主體提供的服務，個人信息保護評價也是為企業(yè)個人信息保護工作提供的一種服務，服務質(zhì)量的差異，是評價體系設計質(zhì)量的體現(xiàn)。服務質(zhì)量服務服務質(zhì)量服務是一種過程服務是由一系列或多或少具有無形特性的活動構(gòu)成的一種過程，這種過程是在客戶與員工、有形資源的互動關(guān)系中進行的，這種有形資源(有形產(chǎn)品或有形系統(tǒng))是作為客戶問題的解決方案提供的。服務質(zhì)量是基于客戶明確或隱含的服務需求，由客戶主觀感知的滿足服務需求的程度。根據(jù)全面質(zhì)量管理理論，質(zhì)量并不是“最好”而是最適合用戶的需求，即在產(chǎn)品和服務的過程中，能夠全面滿足用戶的需求。

分結(jié)果質(zhì)量和過程質(zhì)量

個人信息保護質(zhì)量過程質(zhì)量

結(jié)果質(zhì)量

個人信息保護質(zhì)量是個人信息管理者為個人信息主體提供的個人信息管理服務的質(zhì)量，包含兩個方面：個人信息保護是個人信息管理者向個人信息主體提供個人信息管理服務的過程，在服務過程中，個人信息主體通過與個人信息管理者的互動，感知服務質(zhì)量，認知個人信息管理者在管理服務中的個人信息保護策略、管理機制、方式方法等結(jié)果質(zhì)量是實施個人信息管理服務后個人信息主體所獲得的個人信息安全保障?；谙嚓P(guān)法律、法規(guī)、規(guī)范進行個人信息保護的結(jié)果質(zhì)量，主要涉及技術(shù)、管理層面有形的內(nèi)容，易于比較客觀的衡量、評估。個人信息保護評價體系質(zhì)量全面質(zhì)量管理原則

評價體系設計原則評價體系特征評價內(nèi)容設計原則評價體系質(zhì)量

1.以用戶為中心。2.過程管理。3.基于事實的管理。4.持續(xù)改進。1.多元性。2.整體性。3.相關(guān)性。1.整體性原則。2.合理性原則。3.科學性原則。4.改進原則。5.易用性原則。1.全面性原則。2.準確性原則。3.權(quán)威性原則。評價指標研究個人情息保護評價指標(et)主要有五大類評價指標et是構(gòu)成評價體系es的基本元素，由若干評價指標項ei

組成，ei是由若干指標子項ec構(gòu)成的。表示：

ei=︱ec1,ec2,……ecn︱

es=︱et1(ei1,……ein),et2(ei1,…

…ein),……etm(ei1,……ein)︱(m、n=1，2，……。)管理機構(gòu)管理機構(gòu)評價指標(et)可以包含2個評價指標項(ei)、6個指標子項(ec)。管理機構(gòu)管理機制管理機制評價指標(et)可以包含7個評價指標項(ei)

、27個指標子項(ec)。

管理機制結(jié)果評估交流溝通處理方案問題處理處理流程服務響應評估確認服務流程效果實施管理普及率普及性合理針對合理性策略方法完善性效果合理性普及率記錄計劃備案借閱安全性管理策略跟蹤評估改進完善分析確認持續(xù)改進應急處理服務支持文檔管理宣傳管理制度培訓教育過程管理過程管理評價指標(et)可以包含9個評價指標項(ei)

、39個指標子項(ec)。過程管理問題處理例外和限制利用管理委托策略和管理提供策略和管理處理策略和管理收集策略和管理管理者義務主體權(quán)利安全承諾廢棄策略使用策略信息質(zhì)量同意方式目的范圍敏感信息安全承諾存儲保存同意通知方法手段目的范圍安全保密告知目的明確權(quán)利保障疑義反對支配權(quán)知情權(quán)安全承諾信息質(zhì)量授權(quán)方式目的范圍回收方式安全承諾管理方式信息質(zhì)量同意方式目的范圍安全承諾信息質(zhì)量同意方式方式方法目的范圍必須提供的例外處理意見主體意見流程方法確認分析個人信息安全個人信息安全評價指標(et)可以包含8個評價指標項(ei)

、29個指標子項(ec)。個人信息安全人員行為管理病毒防洪策略訪問控制策略存儲安全策略信息交換安全策略基礎平臺信息安全工作環(huán)境管理風險管理殘余風險應對處理識別評估處理策略應用系統(tǒng)媒介管理安全平臺接口管理存儲系統(tǒng)電腦管理系統(tǒng)平臺桌面管理網(wǎng)絡平臺出入管理其他相關(guān)行為損毀后的措施加密管理措施備份恢復策略郵件管理使用策略權(quán)限責任病毒恢復措施權(quán)限管理措施信息傳輸安全外網(wǎng)訪問策略網(wǎng)絡行為病毒預防措施訪問控制措施信息存儲策略內(nèi)外網(wǎng)交換策略個人信息保護監(jiān)察個人信息保護監(jiān)察評價指標(et)可以包含3個評價指標項(ei)、8個指標子項(ec)。其他相關(guān)事項監(jiān)察過程管理監(jiān)察職責監(jiān)察報告監(jiān)察周期監(jiān)察管理和記錄監(jiān)察計劃監(jiān)察對象的義務監(jiān)察公正性監(jiān)察負責人的責任監(jiān)察問題的處理和改進個人信息保護監(jiān)察評價體系構(gòu)成個人信息保護評價體系應是由個人信息保護評價指標、權(quán)重、評價規(guī)則三個要素構(gòu)成的相互關(guān)聯(lián)的有機整體。三個要素的變化和相互關(guān)聯(lián)決定了個人信息保護評價體系的質(zhì)量。評價指標是主導個人信息保護評價體系的基本元素，評價指標的確定、指標項的選擇、評價標準等因素的質(zhì)量，決定了評價體系的質(zhì)量，保護個人信息保護評價過程達到預期的目的。評價規(guī)則

評價規(guī)則可以將評價指標量化，定性、定量描述各個評價指標項，使申請評價企業(yè)能夠客觀地了解企業(yè)個人信息保護管理工作的水平、存在的問題和改進的目標。權(quán)重

權(quán)重反映了評價指標在企業(yè)個人信息保護工作中所占比重，是各個指標項相互關(guān)聯(lián)的關(guān)鍵因素，權(quán)重設置方法、權(quán)重分配的合理性直接影響評價體系的質(zhì)量。

個人信息保護評價體系2004.00.00個人信息保護概論第八講個人信息保護的法律保障歐洲立法模式

1日本保護模式

2其他國家和地區(qū)立法模式

3我國的個人信息保護模式

4美國保護模式1個人信息保護標準研究

4歐洲立法模式歐盟采用立法模式保護個人信息，是基于保障基本的人格權(quán)益。《個人數(shù)據(jù)保護指令》確立了個人信息保護的基本原則。個人數(shù)據(jù)主體的權(quán)利

個人數(shù)據(jù)管理者責任和義務

保密和安全原則例外和限制原則數(shù)據(jù)主體拒絕的權(quán)利適當更正,刪除或封存的權(quán)利查詢權(quán)利特殊類型數(shù)據(jù)處理原則

數(shù)據(jù)處理合法化原則告知原則數(shù)據(jù)質(zhì)量原則

個人信息保護的基本原則

歐盟制定的主要法律《關(guān)于與個人數(shù)據(jù)處理相關(guān)的個人數(shù)據(jù)保護及此類數(shù)據(jù)自由流動的指令》即《個人數(shù)據(jù)保護指令》《電子通訊領域個人數(shù)據(jù)處理和隱私保護指令》《私有數(shù)據(jù)保密法》《Intemet上個人隱私權(quán)保護的一般原則》《關(guān)于Internet上軟件、硬件進行的不可見的和自動化的個人數(shù)據(jù)處理的建議》《信息公路上個人數(shù)據(jù)收集、處理過程中個人權(quán)力保護指南》《關(guān)于與歐共體機構(gòu)和組織的個人數(shù)據(jù)處理相關(guān)的個人數(shù)據(jù)保護及此類數(shù)據(jù)自由流動的規(guī)章》美國保護模式美國采取政府引導下的行業(yè)自律模式，規(guī)范行業(yè)內(nèi)個人信息處理行為，同時通過分散立法，輔助行業(yè)模式的實施。美國保護個人隱私行業(yè)自律模式主要有兩種：建議性的行業(yè)指引

網(wǎng)絡隱私認證計劃

指引為行業(yè)內(nèi)個人信息保護提供廣為接受和執(zhí)行的規(guī)范，并不監(jiān)督行業(yè)成員的行為。如美國在線隱私聯(lián)盟(OPA)公布的在線隱私指引，要求OPA成員采納、執(zhí)行OPA的隱私政策。是各行業(yè)自我規(guī)范，實現(xiàn)網(wǎng)絡隱私保護、建立公眾信任的自律形式。加入認證計劃的商業(yè)網(wǎng)站，必須通過網(wǎng)絡隱私保護合格認證，并在網(wǎng)站張貼隱私認證標示，

日本保護模式日本的保護模式，參考歐盟的立法模式，更多采納了美國的保護規(guī)制，通過政府立法和行業(yè)自律實現(xiàn)個人信息保護?！秱€人信息保護法》是日本實施個人信息保護的基本法。以個人信息有效利用，同時加以保護為宗旨，確立了個人信息保護的基本方針和應采取的措施，明確了國家、地方公共團體的責任和義務，以及處理、使用個人信息的個人信息處理業(yè)者的義務等。

其他國家和地區(qū)立法模式（德國）德國個人數(shù)據(jù)保護法采取統(tǒng)一立法模式，以信息自決權(quán)為憲法基礎，以人格權(quán)為民法基礎，統(tǒng)一規(guī)范、保護所有個人數(shù)據(jù)。規(guī)范了立法原則、監(jiān)督機構(gòu)、損害賠償?shù)葯C制，成為個人數(shù)據(jù)保護的一種立法范本。個人數(shù)據(jù)保護立法原則是個人數(shù)據(jù)保護的核心。德國個人數(shù)據(jù)保護法的個人數(shù)據(jù)保護原則體現(xiàn)了信息自決權(quán)的內(nèi)涵，

德國個人數(shù)據(jù)保護法個人數(shù)據(jù)保護原則其他國家和地區(qū)立法模式（香港地區(qū)）我國香港地區(qū)1996年開始實施《個人資料私隱條例》。條例傾向于歐盟的《個人數(shù)據(jù)保護指令》，符合該指令關(guān)于向第三國傳送數(shù)據(jù)的規(guī)定。條例規(guī)定了保障資料的6項原則：香港地區(qū)個人資料私隱條例資料保障原則我國的個人信息保護模式我國于2003年開始啟動個人情息保護立法研究并形成《中華人民共和國個人信息保護法(專家建議稿)》。我國個人信息保護模式采用綜合立法，即《個人信息保護法》、特別立法，補充綜合立法、行業(yè)自律，以及技術(shù)保護，專家建議稿個人信息保護模式的特點：OneTwo是個人信息安全威脅的預防，即事前干預與事后干預的結(jié)合，在個人信息處理之前即加以規(guī)范，保證實現(xiàn)個人信息保護的同時不阻礙正常的流動。

是個人信息的不當泄露，屬于違法行為，可能承擔行政責任、民事責任和刑事責任。

大連軟件及信息服務業(yè)個人信息保護規(guī)范《大連軟件及信息服務業(yè)個人信息保護規(guī)范》是中國首部信息服務業(yè)個人信息保護行業(yè)自律規(guī)范。規(guī)范是大連市信息產(chǎn)業(yè)局、大連軟件行業(yè)協(xié)會在研究分析國外各類個人信息保護模式及相關(guān)法律、法規(guī)、標準，根據(jù)大連市信息服務業(yè)的特點和目前我國信息服務業(yè)的特點和方向編制的。OneTwo

規(guī)范以OECD八項基本原則為基礎，保證個人信息的有序、合法、有效利用，確立了信息服務業(yè)個人信息保護的基本原則和基本方針。

規(guī)范的框架、體例和部分內(nèi)容，沿襲了日本《個人信息保護管理體系要求事項》，同時，根據(jù)國情和我國信息服務業(yè)的特點，編制了相應的條文。

遼寧省個人信息保護規(guī)范《遼寧省個人信息保護規(guī)范》是我國第一部個人信息保護地方標準?！哆|寧省個人信息保護規(guī)范》規(guī)定了個人信息保護相關(guān)術(shù)語和定義、個人信息保護原則、個人情息保護體系的建立、個人信息主體權(quán)利、個人信息管理者的義務、個人情息保護實施、個人信息保護的安全機制、持續(xù)改進、個人信息保護評價等基本規(guī)則和要求?！哆|寧省個人信息保護規(guī)范》的特點

標準定義標難是對重復性事物和概念所做的統(tǒng)一規(guī)定。它以科學、技術(shù)和實踐經(jīng)驗的綜合成果為基礎，經(jīng)有關(guān)方面協(xié)商一致，由主管機構(gòu)批準，以特定形式發(fā)布，作為共同遵守的準則和依據(jù)。標準以科學、技術(shù)和經(jīng)驗的綜合成果為基礎，以促進最佳的共同效益為目的。并將規(guī)范性文件(標準文件)描述為：為各種活動或其結(jié)果提供規(guī)則、導則或規(guī)定特性的文件。

標準定義包含了幾個方面的特點個人信息保護標準化

標準化

個人信息保護標準化是標準編制、發(fā)布和實施的活動過程。制定標準、組織實施標準和對標準的實施進行監(jiān)督是標準化工作的主要任務。標準化的目標是獲得最佳秩序和社會效益。是依據(jù)國家和社會的利益，構(gòu)建依法、有序的標淮環(huán)境；實現(xiàn)國家和社會的整體效益。

是編制、發(fā)布和實施高效、高質(zhì)、統(tǒng)一、規(guī)范，經(jīng)過實踐檢驗和綜合研究、分析的個人信息保護系列標準的活動，為個人信息保護提供可供遵循的規(guī)則的規(guī)范性文件。個人信息保護標準研究

個人信息保護標準研究是在個人信息保護標準化過程中，為“獲得最佳秩序和社會效益”實現(xiàn)個人信息保護標準系列化，并使相關(guān)標準間達到協(xié)調(diào)與統(tǒng)一所完成的工作。個人情息保護標準研究的原則：實用性與前瞻性結(jié)合

引用與發(fā)展結(jié)合

遵循經(jīng)濟、社會發(fā)展的需要及信息安全的特征，制定實用、適用的標準，同時，關(guān)注科學技術(shù)的進步和經(jīng)濟、社會的發(fā)展。參考和引用國外相關(guān)法規(guī)、標準、是構(gòu)建我國個人信息保護標準的捷徑。但應采用發(fā)展的眼光，根據(jù)我國國情和特點，有所創(chuàng)新，編制符合我國經(jīng)濟、社會發(fā)展需要的標準。

2004.00.00個人信息保護概論第九講個人信息保護實踐構(gòu)建個人信息保護體系1個人信息保護認證案例2個人信息保護認證體系1構(gòu)建個人信息保護體系構(gòu)建個人信息保護體系評價管理機制

事故申報和處理機制

評價人員管理

評價機制

完善個人信息保護認證體系

PIPA與P—MARK互認

大連軟件行業(yè)協(xié)會構(gòu)建個人信息保護體系個人信息保護保護認證體系大連信息產(chǎn)業(yè)個人信息保護評價PIPA基本流程：企業(yè)申請個人信息保護評價

評價機構(gòu)接受企業(yè)個人信息保護評價申請

評價開始評價結(jié)束案例：某公司個人信息保護管理機制（1）個人信息保護方針文件編號：版本號：制定日期：修改日期：制定人：審批人：公司名稱：××公司

（第一頁）案例：某公司個人信息保護管理機制（1）（第二頁）制定與修改記錄案例：某公司個人信息保護管理機制（1）（第三頁）XX公司個人信息保護方針本公司對公司客戶信息、員工信息等所涉及的個人信息，均嚴格遵守國家個人信息保護方面的相關(guān)法律法規(guī)。同時依照《軟件及信息服務業(yè)個人信息保護規(guī)范》的要求制定本公司的個人信息保護方針，并遵照執(zhí)行。方針的內(nèi)容包括：

1．本公司向全體員工宣傳個人信息保護的重要性和策略，加強每位員工對個人信息保護工作的配合和重視；認真貫徹執(zhí)行本公司制定的個人信息保護基本規(guī)章制度和管理規(guī)定。

2．本公司在取得、使用、提供個人信息時，均采取合法、公正的手段，并事先征得信息主體的同意，在目的范圍內(nèi)使用。同時，實行相關(guān)安全保護措施。

3．本公司為了確保個人信息的安全，建立信息安全保護對策等安全措施，以防止對個人信息的非法訪問以及個人信息的遺失、破壞、篡改、泄露等。

4．本公司在與第三方共享個人信息時，須事先征得信息主體同意，并根據(jù)個人信息保護規(guī)范要求采取必要措施，防止由第三方泄露個人信息等。

5．本公司在信息主體提出對個人信息進行公開、修改、停止使用等要求時，將根據(jù)公司個人信息保護相關(guān)規(guī)定采取適當?shù)姆椒▽嵤┫鄳呐浜稀?/p>

6．為了更好的實施公司個人信息保護相關(guān)規(guī)定，本公司建立個人信息保護管理系統(tǒng)的持續(xù)改善等相關(guān)措施。

7．將本方針文檔化，貼于公司辦公場所，讓每位員工可以方便地看到、理解和執(zhí)行達到眾所周知。

8．本方針將通過公司的網(wǎng)站對外公布，使外界了解本公司的個人信息保護方針、政策。在工作當中涉及個人信息時，本公司也將主動向信息主體宣傳公司個人信息保護的措施和規(guī)定。

9．本公司設立個人信息保護窗口，指定專門負責人，負責接待社會各界提出的意見及建議。公司個人信息保護窗口負責人：聯(lián)系電話：制定日期：年月日電子郵箱：修改日期：年月日××公司案例：某公司個人信息保護管理機制（2）（第1頁）總經(jīng)理：文件編號：某公司個人信息保護組織機構(gòu)與責任規(guī)定版本號：制定日期：修改日期：審批人：制定人：企業(yè)名稱：××公司案例：某公司個人信息保護管理機制（2）（第2頁）制定與修改記錄案例：某公司個人信息保護管理機制（2）（第3頁）目錄1．個人情息保護組織機構(gòu)圖2，個人信息保護相關(guān)責任人的任命3．個人信息保護相關(guān)責任人名單4．個人信息保護相關(guān)責任人職責案例：某公司個人信息保護管理機制（2）（第4頁）個人信息保護組織機構(gòu)圖本公司個人信息保護的機構(gòu)設置如圖1所示。2．個人信息保護相關(guān)責任人的任命2．1公司管理者由公司領導者擔當。2．2個人信息保護負責人公司領導者任命個人信息保護負責人。2．3監(jiān)查負責人公司領導者指定個人信息保護監(jiān)查負責人，監(jiān)查負責人可以在公司內(nèi)部指定，也可以在外公司聘請。2．4各部門個人信息保護負責人個人情息保護負責人任命各部門個人信息保護負責人。2．5客戶窗口負責人個人信息保護負責人任命客戶窗口負責人。2．6培訓教育負責人個人信息保護負責人任命培訓教育負責人。2．7各部門安全負責人各部門個人信息保護負責人任命各部門安全負責人。3．個人信息保護相關(guān)責任人名單3．1公司管理者、總經(jīng)理：xxx3．2個人信息保護負責人：xxx3．3監(jiān)查負責人；XXX3．4各部門個人信息保護負責人

a)部門甲個人信息保護負責人：b)部門乙個人信息保護負責人：3．5客戶窗口負責人：xxx3。6培訓教育負責人：xxx4，個人信息保護相關(guān)責任人職責案例：某公司個人信息保護管理機制（3）（第1頁）文件編號：某公司個人信息取得、使用、提供、委托、處理的管理規(guī)定版本號：制定日期：修改日期：審批人：制定人：企業(yè)名稱：××公司案例：某公司個人信息保護管理機制（3）（第2頁）制定與修改記錄案例：某公司個人信息保護管理機制（3）（第3頁）目錄1．個人信息的定義和取得2．個人信息的使用和提供3．個人信息的委托4．個人信息的再委托5．個人信息保管6．保障信息主體權(quán)利7．個人信息保護事故發(fā)生預防措施8．意見及反饋案例：某公司個人信息保護管理機制（3）（第4頁）個人信息的定義和取得1．1個人信息是指與存在個體相關(guān)的、并且可用于識別特定個體的信息。例如，姓名、生日、個人證件的號碼、標志或其他記號、圖像或錄音及其他相關(guān)信息(包括某些單獨使用時無法識別、但能夠方便地與其他數(shù)據(jù)進行對照參考，并由此識別特定個人的信息)。個人信息不僅包括個體識別信息，還包括顯示事實、判斷或評價等的所有情報，包括個人身體狀況、財務狀況、工作類型或職務等。1．2取得的原則與范圍1．2．1個人信息取得的原則對個人信息的取得確立以下原則：a)限制搜集原則，在信息主體不知道或不能控制的狀態(tài)下，不能進行信息的收集、存儲和披露；b)資料內(nèi)容完整正確原則，收集的信息應該限于客觀的事實，即必須是真實的；c)限制利用原則，不對與信息主體不相干的第三者泄露；d)目的明確化原則，僅限于與信息主體有關(guān)的用途；

e)個人參與原則，個人有信息自主權(quán)，可參與個人信息資料制作的過程，但若取得個人書面同意，則視為同意放棄隱私權(quán)，準許他人搜集、利用；

f)公開原則，個人信用信息資料應對本人公開；

g)安全保護原則，數(shù)據(jù)庫應有加密等安全措施防止個人資料被他人不當利用、篡改或滅失；h)責任原則，給個人信用信息主體造成損害需要承擔賠償?shù)让袷仑熑巍?．2．2個人信息取得的范圍個人信息取得之前應明確使用目的，并應征得信息主體的同意，在限定的目的范圍內(nèi)取得。從被公開的資料中取得個人信息時也應明確使用目的。1．3取得的方法和手段個人信息取得應采取適當?shù)姆椒ê秃戏ü氖侄巍?．4取得個人信息內(nèi)容案例：某公司個人信息保護管理機制（4）（第1頁）文件編號：某公司個人信息文檔管理規(guī)定版本號：制定日期：修改日期：審批人：制定人：企業(yè)名稱：××公司案例：某公司個人信息保護管理機制（4）（第2頁）制定與修改記錄案例：某公司個人信息保護管理機制（4）（第3頁）目錄1．個人信息保護管理的實施2．個人信息保護管理體系的確立3．個人信息保護管理體系的導人和運用4．個人信息保護管理體系的監(jiān)護和修訂5．個人信息保護管理體系的維持及改善6．個人信息保護管理體系文檔的維持及改善7．個人信息保護管理體系文檔編號8．個人信息管理案例：某公司個人信息保護管理機制（4）（第4頁）1.個人信息保護管理的實施為使我公司的個人信息保護管理持續(xù)發(fā)揮作用，必須遵循PDCA循環(huán)改善過程，有組織地采取對策。個人信息保護管理的PDCA循環(huán)如圖所示。2．個人信息保護管理體系的確立為了確立我公司的個人信息保護管理體系，首先要實行風險評估，加以對應。3．個人信息保護管理體系的導人和運用為了導入和執(zhí)行我公司的個人信息保護管理體系，還要實施個人信息保護研修。4．個人信息保護管理體系的監(jiān)護和修訂為了推進我公司的個人信息保護管理體系的監(jiān)護和修訂、我們要實施個人信息保護監(jiān)查、風險評估的修訂。根據(jù)個人信息保護管理體系的監(jiān)護和修訂的結(jié)果、如有必要，則對個人信息保護管理體系的年度運營計劃進行更新。5．個人席息保護管理體系的維持及改善承接前項、為了推進我公司的個人信息保護管理體系的維持及改善，必須定期采取改善措施和預防措施。此外，還要根據(jù)需要不定時的或定期的進行個人信息保護管理體系文書的修訂和改善。6．個人信息保護管理體系文檔的維持及改善要根據(jù)需要不定時的或定期進行個人信息保護管理體系文書的修訂。①根據(jù)每年實施一次以上風險評估的結(jié)果、有必要追加或者變更管理措施時②組織的系統(tǒng)環(huán)境發(fā)生變更時③生重大個人信息保護事故時7．個人信息保護管理體系文檔編號案例：某公司個人信息保護管理機制（５）（第1頁）文件編號：某公司個人信息技術(shù)物理安全管理措施版本號：制定日期：修改日期：審批人：制定人：企業(yè)名稱：××公司案例：某公司個人信息保護管理機制（５）（第2頁）制定與修改記錄案例：某公司個人信息保護管理機制（５）（第3頁）目錄1．公司員工及外來人員的出入管理及攜帶出公司的有關(guān)個人信息的管理2．防止硬件設備被盜、破損、漏水、停電等災害的安全保護措施3．數(shù)據(jù)備份制度4．存儲設備及媒介的管理、文件管理廢棄制度5．訪問權(quán)限的管理6．軟件的管理及惡意軟件的對策7．PC機及網(wǎng)絡管