互联网个人信息安全保护指南.docx

1、互联网个人信息安全保护指南互联网个人信息安全保护指南前言为有效防范侵犯公民个人信息违法行为，保障网络数据安全和公民合法权益，公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况，组织北京市网络行业协会和公安部第三研究所等单位相关专家，研究起草了互联网个人信息安全保护指南，供互联网服务单位在个人信息保护工作中参考借鉴。1范围本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作参考使用。本文件适用于通过互联网提供服务的企业，也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。2规范性引用文件下

2、列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 250692010 信息安全技术 术语GB/T 352732017 信息安全技术 个人信息安全规范GB/T 22239 信息安全技术 网络安全等级保护基本要求（信息系统安全等级保护基本要求）3术语和定义3.1个人信息以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。中华人民共和国网络安全法，第七十六条（五）注：个人信息

3、还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。3.2个人信息主体个人信息所标识的自然人。GB/T 35273-2017，定义3.33.3个人信息持有对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。3.4个人信息持有者对个人信息进行控制和处理的组织或个人。3.5个人信息收集获得对个人信息的控制权的行为，包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集，以及通过共享、转让、搜集公开信息间接获取等方式。GB/T 35273-2017，定义3.53.6个人信息使用通

4、过自动或非自动方式对个人信息进行操作，例如记录、组织、排列、存储、改编或变更、检索、咨询、披露、传播或以其他方式提供、调整或组合、限制、删除等。3.7个人信息删除在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态。GB/T 35273-2017，定义3.93.8个人信息生命周期包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程。3.9个人信息处理系统处理个人信息的计算机信息系统，涉及个人信息生命周期一个或多个阶段（收集、保存、应用、委托处理、共享、转让和公开披露、删除）。4管理机制4.1基本要求个人信息处理系统的安

5、全管理要求应满足GB/T 22239相应等级的要求。4.2管理制度4.2.1管理制度内容a)应制定个人信息保护的总体方针和安全策略等相关规章制度和文件，其中包括本机构的个人信息保护工作的目标、范围、原则和安全框架等相关说明；b)应制定工作人员对个人信息日常管理的操作规程；c)应建立个人信息管理制度体系，其中包括安全策略、管理制度、操作规程和记录表单；d)应制定个人信息安全事件应急预案。4.2.2管理制度制定发布a)应指定专门的部门或人员负责安全管理制度的制定；b)应明确安全管理制度的制定程序和发布方式，对制定的安全管理制度进行论证和审定，并形成论证和评审记录；c)应明确管理制度的发布范围，并对

6、发文及确认情况进行登记记录。4.2.3管理制度执行落实a)应对相关制度执行情况进行审批登记；b)应保存记录文件，确保实际工作流程与相关的管理制度内容相同；c)应定期汇报总结管理制度执行情况。4.2.4管理制度评审改进a)应定期对安全管理制度进行评审，存在不足或需要改进的予以修订；b)安全管理制度评审应形成记录，如果对制度做过修订，应更新所有下发的相关安全管理制度。4.3管理机构4.3.1管理机构的岗位设置a)应设置指导和管理个人信息保护的工作机构，明确定义机构的职责；b)应由最高管理者或授权专人负责个人信息保护的工作；c)应明确设置安全主管、安全管理各个方面的负责人，设立审计管理员和安全管理员

7、等岗位，清晰、明确定义其职责范围。4.3.2管理机构的人员配置a)应明确安全管理岗位人员的配备，包括数量、专职还是兼职情况等；配备负责数据保护的专门人员；b)应建立安全管理岗位人员信息表，登记机房管理员、系统管理员、数据库管理员、网络管理员、审计管理员、安全管理员等重要岗位人员的信息，审计管理员和安全管理员不应兼任网络管理员、系统管理员、数据库管理员、数据操作员等岗位。4.4管理人员4.4.1管理人员的录用a)应设立专门的部门或人员负责人员的录用工作；b)应明确人员录用时对人员的条件要求，对被录用人的身份、背景和专业资格进行审查，对技术人员的技术技能进行考核；c)录用后应签署相应的针对个人信息

8、的保密协议；d)应建立管理文档，说明录用人员应具备的条件（如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等）；e)应记录录用人身份、背景和专业资格等，记录审查内容和审查结果等；f)应记录录用人录用时的技能考核文档或记录，记录考核内容和考核结果等；g)应签订保密协议，其中包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。4.4.2管理人员的离岗a)人员离岗时应办理调离手续，签署调离后个人信息保密义务的承诺书，防范内部员工、管理员因工作原因非法持有、披露和使用个人信息；b)应对即将离岗人员具有控制方法，及时终止离岗人员的所有访问权限，取回其身份认证的

9、配件，诸如身份证件、钥匙、徽章以及机构提供的软硬件设备；采用生理特征进行访问控制的，需要及时删除生理特征录入的相关信息；c)应形成对离岗人员的安全处理记录（如交还身份证件、设备等的登记记录）；d)应具有按照离职程序办理调离手续的记录。4.4.3管理人员的考核a)应设立专人负责定期对接触个人信息数据工作的工作人员进行全面、严格的安全审查、意识考核和技能考核；b)应按照考核周期形成考核文档，被考核人员应包括各个岗位的人员；c)应对违反违背制定的安全策略和规定的人员进行惩戒；d)应定期考查安全管理员、系统管理员和网络管理员其对工作相关的信息安全基础知识、安全责任和惩戒措施、相关法律法规等的理解程度，

10、并对考核记录进行记录存档。4.4.4管理人员的教育培训a)应制定培训计划并按计划对各岗位员工进行基本的安全意识教育培训和岗位技能培训；b)应制定安全教育和培训计划文档，明确培训方式、培训对象、培训内容、培训时间和地点等，培训内容包含信息安全基础知识、岗位操作规程等；c)应形成安全教育和培训记录，记录包含培训人员、培训内容、培训结果等。4.4.5外部人员访问a)应建立关于物理环境的外部人员访问的安全措施：1)制定内部人员允许访问的设备、区域和信息的规定；2)外部人员访问前需要提出书面申请并获得批准；3)外部人员访问被批准后应有专人全程陪同或监督，并进行全程监控录像；4)外部人员访问情况应登记备案

11、。b)应建立关于网络通道的外部人员访问的安全措施：1)制定外部人员允许接入受控网络访问系统的规定；2)外部人员访问前需要提出书面申请并获得批准；3)外部人员访问时应进行身份认证；4)应根据外部访问人员的身份划分不同的访问权限和访问内容；5)应对外部访问人员的访问时间进行限制；6)对外部访问人员对个人信息的操作进行记录。5技术措施5.1基本要求个人信息处理系统其安全技术措施应满足GB/T 22239相应等级的要求，按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者XX的访问，防止网络数据泄露或者被窃取、篡改。5.2通用要求5.2.1通信网络安全5.2.1.1网络架构a)

12、应为个人信息处理系统所处网络划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；b)个人信息处理系统应作为重点区域部署，并设有边界防护措施。5.2.1.2通信传输a)应采用校验技术或密码技术保证通信过程中个人信息的完整性；b)应采用密码技术保证通信过程中个人信息字段或整个报文的保密性。5.2.2区域边界安全5.2.2.1边界防护a)应对跨越边界访问通信信息进行有效防护；b)应对非授权设备跨越边界行为进行检查或限制。5.2.2.2访问控制应在个人信息处理系统边界根据访问控制策略设置访问控制规则。5.2.2.3入侵防范应在个人信息处理系统边界部署入侵防护措施，检测、防止或限制从外部

13、、内部发起的网络攻击行为。5.2.2.4恶意代码防范应在个人信息处理系统的网络边界处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。5.2.2.5安全审计a)应在个人信息处理系统的网络边界、重要网络节点进行安全审计，审计应覆盖到每个用户、用户行为和安全事件；b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功，以及个人信息的范围、类型、操作方式、操作人、流转双方及其他与审计相关的信息；c)应对审计记录进行保护，定期备份并避免受到未预期的删除、修改或覆盖等；d)审计记录的留存时间应符合法律法规的要求；e)应能够对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计

14、和数据分析。5.2.3计算环境安全5.2.3.1身份鉴别a)应对登录个人信息处理系统的用户进行身份标识和鉴别，身份鉴别标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；b)个人信息处理系统应启用登录失败处理功能，采取诸如结束会话、限制非法登录次数和自动退出等措施；c)个人信息处理系统进行远程管理时，应采取措施防止身份鉴别信息在网络传输过程中被窃听；d)个人信息处理系统应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现，密码技术应符合国家密码主管部门规范。5.2.3.2访问控制a)应对登录个人信息处理系统的用户分配账户和

15、权限；b)个人信息处理系统应重命名或删除默认账户，修改默认账户的默认口令；c)个人信息处理系统应及时删除或停用多余的、过期的账户，避免共享账户的存在；d)个人信息处理系统应进行角色划分，并授予管理用户所需的最小权限，实现管理用户的权限分离；e)个人信息处理系统应由授权主体配置访问控制策略，访问控制策略应规定主体对客体的访问规则；f)个人信息处理系统的访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；g)个人信息处理系统应对个人信息设置安全标记，并控制主体对有安全标记资源的访问。5.2.3.3安全审计a)个人信息处理系统应启用安全审计功能，并且审计覆盖到每个用户，应对重要的用户行

16、为和重要的安全事件进行审计；b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应对审计记录进行保护，进行定期备份并避免受到未预期的删除、修改或覆盖等；d)审计记录的留存时间应符合法律法规的要求；e)应对审计进程进行保护，防止XX的中断。5.2.3.4入侵防范a)个人信息处理系统应遵循最小安装的原则，只安装需要的组件和应用程序；b)个人信息处理系统应关闭不需要的系统服务、默认共享和高危端口；c)个人信息处理系统应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；d)个人信息处理系统应能够发现存在的已知漏洞，并在经过充分测试评估后，及

17、时修补漏洞；e)个人信息处理系统应能够检测到对重要节点的入侵行为并进行防御，并在发生严重入侵事件时提供报警；5.2.3.5恶意代码防范和程序可信执行应采取免受恶意代码攻击的技术措施或可信验证机制对系统程序、应用程序和重要配置文件/参数进行可信执行验证，并在检测到其完整性受到破坏时采取恢复措施。5.2.3.6资源控制a)应限制单个用户或进程对个人信息处理和存储设备系统资源的最大使用限度；b)应提供重要节点设备的硬件冗余，保证系统的可用性；c)应对重要节点进行监视，包括监视CPU、硬盘、内存等资源的使用情况；d)应能够对重要节点的服务水平降低到预先规定的最小值进行检测和报警。5.2.4应用和数据安

18、全5.2.4.1身份鉴别a)个人信息处理系统应对登录的用户进行身份标识和鉴别，该身份标识应具有唯一性，鉴别信息应具有复杂度并要求定期更换；b)个人信息处理系统应提供并启用登录失败处理功能，并在多次登录后采取必要的保护措施；c)个人信息处理系统应强制用户首次登录时修改初始口令，当确定信息被泄露后，应提供提示全部用户强制修改密码的功能，在验证确认用户后修改密码；d)用户身份鉴别信息丢失或失效时，应采取技术措施保证鉴别信息重置过程的安全；e)应采取静态口令、动态口令、密码技术、生物技术等两种或两种以上的组合鉴别技术对用户进行身份鉴别，且其中一种鉴别技术使用密码技术来实现。5.2.4.2访问控制a)个

19、人信息处理系统应提供访问控制功能，并对登录的用户分配账户和权限；b)应重命名或删除默认账户，修改默认账户的默认口令；c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；d)应授予不同账户为完成各自承担任务所需的最小权限，在它们之间形成相互制约的关系；e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；f)访问控制的粒度应达到主体为用户级，客体为文件、数据库表级、记录或字段级；g)个人信息应设置安全标记，控制主体对有安全标记资源的访问。5.2.4.3安全审计a)个人信息处理系统应提供安全审计功能，审计应覆盖到每个用户，应对重要的用户行为和重要的安全事件进行审计；b)审

20、计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应对审计记录进行保护，定期备份，并避免受到未预期的删除、修改或覆盖等；d)审计记录的留存时间应符合法律法规的要求；e)应对审计进程进行保护，防止XX的中断。5.2.4.4软件容错a)应提供个人信息的有效性校验功能，保证通过人机接口输入或通过通信接口输入的内容符合个人信息处理系统设定要求；b)应能够发现个人信息处理系统软件组件可能存在的已知漏洞，并能够在充分测试评估后及时修补漏洞；c)应能够在故障发生时，继续提供一部分功能，并能够实施必要的措施。5.2.4.5资源控制a)在通信双方中的一方在一段时间内未做任何响

21、应时，另一方应能够自动结束会话；b)应对个人信息处理系统的最大并发会话连接数进行限制；c)应能够对单个用户的多重并发会话进行限制。5.2.4.6数据完整性a)应采取校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据和个人信息；b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据和个人信息。5.2.4.7数据保密性a)应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据和个人信息；b)应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据和个人信息。5.2.4.8数据备份恢复a)应提供个人信息的本地数据备份与恢复功

22、能，定期对备份数据进行恢复测试，保证数据可用性；b)应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；c)应提供重要数据处理系统的热冗余，保证系统的高可用性。5.2.4.9剩余信息保护a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；b)应保证存有个人信息的存储空间被释放或重新分配前得到完全清除。5.3扩展要求5.3.1云计算安全扩展要求a)应确保个人信息在云计算平台中存储于中国境内，如需出境应遵循国家相关规定；b)应使用校验技术或密码技术保证虚拟机迁移过程中，个人信息的完整性，并在检测到完整性受到破坏时采取必要的恢复措施；c)应使用密码技术保证虚拟机迁移过程中，

23、个人信息的保密性，防止在迁移过程中的个人信息泄露。5.3.2物联网安全扩展要求物联网感知节点设备采集信息回传应采用密码技术保证通信过程中个人信息的保密性。6业务流程6.1收集个人信息的收集行为应满足以下要求：a)个人信息收集前，应当遵循合法、正当、必要的原则向被收集的个人信息主体公开收集、使用规则，明示收集、使用信息的目的、方式和范围等信息；b)个人信息收集应获得个人信息主体的同意和授权，不应收集与其提供的服务无关的个人信息，不应通过捆绑产品或服务各项业务功能等方式强迫收集个人信息；c)个人信息收集应执行收集前签署的约定和协议，不应超范围收集；d)不应大规模收集或处理我国公民的种族、民族、政治

24、观点、宗教信仰等敏感数据；e)个人生物识别信息应仅收集和使用摘要信息，避免收集其原始信息；f)应确保收集个人信息过程的安全性：1）收集个人信息之前，应有对被收集人进行身份认证的机制，该身份认证机制应具有相应安全性；2）收集个人信息时，信息在传输过程中应进行加密等保护处理；3）收集个人信息的系统应落实网络安全等级保护要求；4）收集个人信息时应有对收集内容进行安全检测和过滤的机制，防止非法内容提交。6.2保存个人信息的保存行为应满足以下要求：a)在境内运营中收集和产生的个人信息应在境内存储，如需出境应遵循国家相关规定；b)收集到的个人信息应采取相应的安全加密存储等安全措施进行处理；c)应对保存的个

25、人信息根据收集、使用目的、被收集人授权设置相应的保存时限；d)应对保存的个人信息在超出设置的时限后予以删除；e)保存信息的主要设备，应对个人信息数据提供备份和恢复功能，确保数据备份的频率和时间间隔，并使用不少于以下一种备份手段：1)具有本地数据备份功能；2)将备份介质进行场外存放；3)具有异地数据备份功能。6.3应用个人信息的应用应满足以下要求：a)对个人信息的应用，应符合与个人信息主体签署的相关协议和规定，不应超范围应用个人信息；注：经过处理无法识别特定个人且不能复原的个人信息数据，可以超出与信息主体签署的相关使用协议和约定，但应提供适当的保护措施进行保护。b)个人信息主体应拥有控制本人信息

26、的权限，包括：1)允许对本人信息的访问；2)允许通过适当方法对本人信息的修改或删除，包括纠正不准确和不完整的数据，并保证修改后的本人信息具备真实性和有效性；c)完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用，可事先不经用户明确授权，但应确保用户有反对或者拒绝的权利；如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用，或跨网络运营者使用，应经用户明确授权方可使用其数据；d)应对个人信息的接触者设置相应的访问控制措施，包括：1)对被授权访问个人信息数据的工作人员按照最小授权的原则，只能访问最少够用的信息，只具有完成职责所需的最少的

27、数据操作权限；2)对个人信息的重要操作设置内部审批流程，如批量修改、拷贝、下载等；3)对特定人员超限制处理个人信息时配置相应的责任人或负责机构进行审批，并对这种行为进行记录。e)应对必须要通过界面（如显示屏幕、纸面）展示的个人信息进行去标识化的处理。6.4删除a)个人信息在超过保存时限之后应进行删除，经过处理无法识别特定个人且不能复原的除外；b)个人信息持有者如有违反法律、行政法规的规定或者双方的约定收集、使用其个人信息时，个人信息主体要求删除其个人信息的，应采取措施予以删除；c)个人信息相关存储设备，将存储的个人信息数据进行删除之后应采取措施防止通过技术手段恢复；d)对存储过个人信息的设备在

28、进行新信息的存储时，应将之前的内容全部进行删除；e)废弃存储设备，应在进行删除后再进行处理。6.5第三方委托处理a)在对个人信息委托处理时，不应超出该信息主体授权同意的范围；b)在对个人信息的相关处理进行委托时，应对委托行为进行个人信息安全影响评估；c)对个人信息进行委托处理时，应签订相关协议要求受托方符合本文件；d)应向受托方进行对个人信息数据的使用和访问的授权；e)受托方对个人信息的相关数据进行处理完成之后，应对存储的个人信息数据的内容进行删除。6.6共享和转让个人信息原则上不得共享、转让。如存在个人信息共享和转让行为时，应满足以下要求：a)共享和转让行为应经过合法性、必要性评估；b)在对

29、个人信息进行共享和转让时应进行个人信息安全影响评估，应对受让方的数据安全能力进行评估确保受让方具备足够的数据安全能力，并按照评估结果采取有效的保护个人信息主体的措施；c)在共享、转让前应向个人信息主体告知转让该信息的目的、规模、公开范围数据接收方的类型等信息；d)在共享、转让前应得到个人信息主体的授权同意，与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外；e)应记录共享、转让信息内容，将共享、转让情况中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记；f)在共享、转让后应了解接收方对个人信息的保存、使用情况和

30、个人信息主体的权利，例如访问、更正、删除、注销等；g)当个人信息持有者发生收购、兼并、重组、破产等变更时，个人信息持有者应向个人信息主体告知有关情况，并继续履行原个人信息持有者的责任和义务，如变更个人信息使用目的时，应重新取得个人信息主体的明示同意。6.7公开披露个人信息原则上不得公开披露。如经法律授权或具备合理事由确需公开披露时，应充分重视风险，遵守以下要求：a)事先开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施；b)向个人信息主体告知公开披露个人信息的目的、类型，并事先征得个人信息主体明示同意，与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉

31、、审判和判决执行等直接相关的情形除外；c)公开披露个人敏感信息前，除6.7 b）中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的内容；d)准确记录和保存个人信息的公开披露的情况，包括公开披露的日期、规模、目的、公开范围等；e)承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任；f)不得公开披露个人生物识别信息和基因、疾病等个人生理信息；g)不得公开披露我国公民的种族、民族、政治观点、宗教信仰等敏感数据分析结果。7应急处置7.1应急机制和预案a)应建立健全网络安全风险评估和应急工作机制，在个人信息处理过程中发生应急事件时具有上报有关主管部门的机制；b)应制定个人信息安全事件应急预案，包括应急处理流程、事件上报流程等内容；c)应定期（至少每半年一次）组织内部相关人员进行应急响