ImageVerifierCode 换一换
格式:DOCX , 页数:9 ,大小:23.26KB ,
资源ID:6386222      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/6386222.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(信息安全技术 个人信息保护指南草案.docx)为本站会员(b****6)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

信息安全技术 个人信息保护指南草案.docx

1、信息安全技术 个人信息保护指南草案发布中国国家标准化管理委员会GB中华人民共和国国家质量监督检验检疫总局-实施-发布信息安全技术个人信息保护指南Information Security Technology Guide of Personal Information Protection (草案,2011-1-30)GB/Z中华人民共和国国家标准ICS 35.040L80beijing目 次前 言 III引 言 IV1 范围 12 术语和定义 13 个人信息处理原则 23.1 概述 23.2 目的明确原则 23.3 公开透明原则 23.4 质量保证原则 23.5 安全保障原则 23.6 合理处

2、置原则 23.7 知情同意原则 23.8 责任落实原则 24 个人信息主体的权利 24.1 概述 24.2 保密权 24.3 知情权 24.4 选择权 34.5 更正权 34.6 禁止权 35 个人信息保护要求 35.1 个人信息收集 35.2 个人信息加工和委托加工 45.3 个人信息转移 45.4 个人信息使用、屏蔽和删除 45.5 个人信息管理 41前 言本指南由工业和信息化部信息安全协调司提出。本指南由全国信息安全标准化技术委员会归口。本指南起草单位:中国软件评测中心、大连软件行业协会、中国软件行业协会、中国互联网协会、中国通信企业协会通信网络安全专业委员会、北京金山安全软件有限公司、

3、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京新浪互联信息服务有限公司、北京百合在线科技有限公司、上海花千树信息科技有限公司、北京XX网讯科技有限公司等单位。本指南主要起草人:高炽扬、孙鹏、朱璇、严霄凤、朱信铭、曹剑。2引 言伴随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显。与此同时,滥用个人信息的现象随之出现,给社会秩序和人民切身利益带来了危害。合理利用和有效保护个人信息已成为企业、个人和社会各界广泛关注的热点问题。为提高个人信息保护意识,保护个人合法权益,促进个人信息的合理利用,指导和规范利用信息系统处理个人信息的活动,制定本指南。个人信息保护

4、指南1范围本指南明确了个人信息处理原则和个人信息主体的权利,提出了个人信息的收集、加工、转移、使用、屏蔽和删除等行为要求。法律、行政法规已规定了个人信息处理有关事项的,从其规定。本指南适用于利用信息系统处理个人信息的活动。2术语和定义下列术语和定义适用于本指南。12.1个人信息 personal information能够被知晓和处理、与具体自然人相关、能够单独或与其他信息结合识别该具体自然人的任何信息。12.2个人信息主体 subject of personal information个人信息指向的自然人。12.3个人信息管理者 administrator of personal infor

5、mation对个人信息具有实际管理权的自然人或法人。12.4信息系统 information system由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。12.5信息处理 processing of information收集、加工、转移、使用、屏蔽、删除等处置信息的行为。12.6收集 collection获取并记录个人信息的行为。12.7加工 alteration录入、存储、修改、编辑、整理、汇编、检索、标注、比对、挖掘等除收集、使用、转移、屏蔽、删除之外的一切信息处理行为。12.8转移 transmiss

6、ion将存储或拥有的个人信息移交给其他自然人或法人的行为。12.9使用 use运用个人信息的行为,包括向公众或特定群体披露、依据个人信息作出决定或决策,依据个人信息实施某种行动或行为等。12.10屏蔽 block将个人信息进行特殊标注,限制其继续处理。12.11删除 erasure从信息系统和载体上永久清除个人信息并不可恢复,从而毁灭该个人信息。3个人信息处理原则13.1概述利用信息系统进行个人信息处理,应自觉遵守本指南确定的原则。13.2目的明确原则处理个人信息具有特定、明确、合理的目的,不扩大收集和使用范围,不改变目的处理个人信息。13.3公开透明原则处理个人信息之前,以明确、易懂和适宜的

7、方式向个人信息主体告知处理个人信息的目的、处理个人信息的具体内容、个人信息的留存时限、个人信息保护的政策、个人信息主体的权利以及个人信息的使用范围和相关责任人等。13.4质量保证原则根据处理目的的需要保证收集的各项个人信息准确、完整,并处于最新状态。13.5安全保障原则采取必要的管理措施和技术手段,保护个人信息安全,防止XX检索、公开及丢失、泄露、损毁和篡改个人信息。13.6合理处置原则处理个人信息的方式合理,不采用非法、隐蔽、间接等方式收集个人信息,在达到既定目标后不再继续处理个人信息。13.7知情同意原则未经个人信息主体同意,不处理个人信息。在个人信息处理的过程中,为个人信息主体保障其权利

8、提供必要的信息、途径和手段。13.8责任落实原则明确个人信息处理过程中的责任,采取必要的措施落实相关责任。4个人信息主体的权利14.1概述利用信息系统处理个人信息时,个人信息管理者应采取必要的措施和手段保护个人信息主体的权利,除非基于法定事由或为避免公共利益受到重大影响,不应限制个人信息主体的权利。个人信息主体的权利包括保密权、知情权、选择权、更正权和禁止权。14.2保密权个人信息主体有权利要求个人信息管理者采取必要的措施和手段,保护个人信息不为处理目的之外的任何自然人或法人所知。14.3知情权个人信息管理者对个人信息主体应尽到告知、说明和警示的义务。个人信息主体有权请求个人信息管理者如实告知

9、之如下事项:是否拥有或正在处理其个人信息;拥有其个人信息的内容;获得其个人信息的渠道;处理其个人信息的目的和使用范围;保护其个人信息的政策和措施;披露或向其他机构提供其个人信息的范围;个人信息管理者的相关信息等。14.4选择权个人信息主体有权利选择同意或拒绝,信息管理者应为个人信息主体的选择权的行使提供条件,并履行通知、说明和警示的义务。14.5更正权个人信息主体有权利要求个人信息管理者维护其信息的完整性和准确性,对错误的信息有权利要求个人信息管理者予以及时更正。14.6禁止权个人信息主体有权利要求个人信息管理者停止对其个人信息当前的处理行为,有权利要求个人信息管理者屏蔽、删除其个人信息。5个

10、人信息保护要求15.1个人信息收集个人信息管理者如需使用个人信息,应直接向个人信息主体收集,依照法律规定,或行使法律授权的收集除外。收集个人信息,应满足以下条件: a) 法律法规明确授权或经个人同意;b) 具有特定、明确、合理的目的;c) 采用合理、适当的方法和手段。个人信息管理者不应在个人信息主体不知情、未参与的情况下采取隐蔽技术手段或采用间接方式收集个人信息。个人信息管理者收集个人信息前,应采用个人信息主体能够收悉的方式,至少向个人信息主体明确告知如下事项:a) 收集个人信息的目的、使用范围和收集方式;b) 个人信息管理者的名称、地址、联系办法;c) 不提供个人信息可能出现的后果;d) 个

11、人信息主体的权利;e) 个人信息主体的投诉渠道。个人信息管理者不应要求未满16周岁的未成年人提交个人信息,当发现信息提交者未满16周岁时,应给出明确提示并停止收集行为,为提供必要服务确需收集其个人信息的,应征得其监护人的同意。个人信息管理者不得收集与其所告知的信息收集目的无直接关系的个人信息,特别是揭示个人种族、宗教信仰、基因、指纹的信息,或与健康状况、性生活有关的信息。61.1个人信息加工和委托加工个人信息管理者应在个人信息主体知晓的目的和范围内加工个人信息,并采取必要的措施和手段保障个人信息在加工过程中的安全。个人信息管理者需委托第三方对个人信息进行加工的,应在收集前向个人信息主体说明。个

12、人信息管理者委托第三方对个人信息进行加工时,应确保第三方是达到本指南要求的、合格的第三方,并且应通过合同明确第三方的个人信息保护责任。个人信息管理者向接受委托的第三方转移个人信息时,应保证转移过程中的个人信息安全。接受委托的第三方应按照法律法规的规定、本指南的要求和委托者的合同,采取必要的措施和手段,保障个人信息在加工过程中的安全。接受委托的第三方完成个人信息加工任务并移交给委托者后,应删除相关个人信息。121.1个人信息转移个人信息管理者一般情况下不应向其他机构转移其收集的个人信息,如需转移应当向个人信息主体说明转移的目的、转移的对象,并获得个人信息主体的明示同意。个人信息管理者向其他机构转

13、移个人信息时,应确保个人信息的接收者是达到本指南要求的、合格的接收者,应保障个人信息在转移过程中的安全。个人信息管理者与其他机构合并或被其他机构收购时,应在合同中明确处理个人信息的目的不改变,并采取措施确保其个人保护水平不下降。个人信息管理者破产时,应采取措施确保个人信息主体的各项权利不受损害。如法律法规没有明确规定,或未经行业主管部门同意,个人信息管理者不应将个人信息转移给境外注册的个人信息管理者。171.1个人信息使用、屏蔽和删除个人信息管理者应将收集的个人信息限定在收集时告知个人信息主体的范围之内,不应向其他机构披露相关个人信息。未经个人信息主体明示同意,个人信息管理者不应公开其处理的个

14、人信息。个人信息使用应限于收集个人信息时告知的目的,除非法律法规有明确规定或个人信息主体明示同意,不应超出目的使用个人信息。个人信息主体有正当理由要求删除其个人信息时,个人信息管理者应及时删除个人信息。删除个人信息可能会影响公安机关调查取证时,个人信息管理者应采取适当的信息保全措施。个人信息使用完成后应删除,需要继续处理的,应采取匿名方式。保存期限有明确规定的,按相关规定执行。个人信息主体发现其个人信息有误并要求修改时,个人信息管理者应查验相关信息,并在核对正确后修改或补充相关信息。对于未满16周岁未成年人的个人信息,应强化保护措施和手段,不得超出收集时告知的使用目的之外使用其个人信息。241

15、.1个人信息管理个人信息管理者利用信息系统处理个人信息的,应制定个人信息保护政策,建立个人信息管理制度,落实个人信息管理责任,加强个人信息安全管理,规范个人信息处理活动。个人信息管理者应指定专门机构或人员负责内部的个人信息保护工作,接受个人信息主体的投诉与质询。个人信息管理者应采取必要的措施和手段,保护个人信息安全,确保但不限于以下目标:a) 防止对个人信息处理场所和个人信息存储介质的未授权访问、损坏和干扰;b) 处理个人信息时,应保证信息系统持续稳定运行;c) 保证个人信息在信息系统中的保密性、真实性和完整性。个人信息管理者在个人信息主体提出查询请求时,应如实并免费地告知请求人与其相关的个人信息,除非告知成本或者请求频率超出合理的范围。个人信息管理者应加强个人信息风险管理,识别、分析、评估潜在的风险因素,制定风险应对策略,采取风险控制措施,监控风险变化。个人信息管理者应对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案,采取相应的预防和应对措施。个人信息管理者应制定个人信息保护的教育培训计划并组织落实。个人信息管理者应建立个人信息保护的内控机制,定期开展检查,并形成检查评估报告。个人信息管理者应建立持续完善机制,不断改进个人信息保护状况,提高个人信息保护的水平。

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1