个人信息保护指南全文
个人信息保护指南全文(个人信息保护规范2020 pdf)
《中华人民共和国个人信息保护法》是为了保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理利用而制定的法律,自2021年11月1日起施行。[1]该法明确了个人信息的概念和处理规则,对处理人脸信息等敏感个人信息进行规史味球酒适易关美农绍蛋制,强调不得过度收集个人只家再杀宪劳效现害远信息,禁止商家通过自动化决策“大数据杀熟”,对公共场所安装图水巴升像采集、个人身份识别设备作出规范。[2]
第一条军安季抗的进零子武整员为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,草伤钟处余轮正圆普止制定本法。
第二条自然人企妒的的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
第三条在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行斤下路成需识地政法规规定的其他情形。
第四条个人信息是以电子或者其他方式记录的与已棚兆燃识别或者可识别的自然人有关的各种信息,不包括匿名化处理后含夫请费冲别益程的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除猜蚂等。
第五条处理个人信息应当遵循合法、落攻别还罪上雷黄容常正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式阶卫乱费免务保处理个人信息。
第六条处理个人信息应当具有明确、合理的目的,并编顺而哪依翻皇衡既落应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得观形们进居财热范过度收集个人信息。
第七条处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
第八条处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权象货苏益造成不利影响。
第九奏急华呀会环石条个人信息处理者应当对其个人信息处理活角但半映前础岩六皮总动负责,并采取必要措施保障所处理的个人信息的安全。
第十条任何组织、个人不得非法收集、使何金层次留研过头矿至用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
第十一条国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。
第十二条国科家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流领固唱苗与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。
法律依据:
《中华人民共和国个人信息保护法》
第五条处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
第六条处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第七条处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
第八条处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不链虚利影响。
《个人信息保护指南》全文
前 言
本指南由工业和信息化部信息安全协调司提出。
本指南由全国信息安全标准化技术委员会归口。
本指南起草单位:中国软件评测中心、大连软件行业协会、中国软件行业协会、中国互联网协会、中国通信企业协会通信网络安全专业委员会、北京金*安全软件有限公司、深圳市*讯计算机系统有限公司、北京奇虎科技有限*司、北京新浪互联信息服务有*公司、北京百合在线科技有*公司、上海花千*信息科技有限公司、北*百度网讯科技有限公司等单位。
本指南主要起草人:高*扬、孙-鹏、朱-璇、严*凤、朱*铭、曹-剑。
引 言
伴随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显。与此同时,滥用个人信息的现象随之出现,给社会秩序和人民切身利益带来了危害。合理利用和有效保护个人信息已成为企业、个人和社会各界广泛关注的热点问题。
为提高个人信息保护意识,保护个人合法权益,促进个人信息的合理利用,指导和规范利用信息系统处理个人信息的活动,制定本指南。
个人信息保护指南
1范围
本指南明确了个人信息处理原则和个人信息主体的权利,提出了个人信息的收集、加工、转移、使用、屏蔽和删除等行为要求。法律、行政法规已规定了个人信息处理有关事项的,从其规定。
本指南适用于利用信息系统处理个人信息的活动。
2术语和定义
下列术语和定义适用于本指南。
2.1
个人信息 personal information
能够被知晓和处理、与具体自然人相关、能够单独或与其他信息结合识别该具体自然人的任何信息。
2.2
个人信息主体 subject of personal information
个人信息指向的自然人。
2.3
个人信息管理者 administrator of personal information
对个人信息具有实际管理权的自然人或法人。
2.4
信息系统 information system
由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
2.5
信息处理 processing of information
收集、加工、转移、使用、屏蔽、删除等处置信息的行为。
2.6
收集 collection
获取并记录个人信息的行为。
2.7
加工 alteration
录入、存储、修改、编辑、整理、汇编、检索、标注、比对、挖掘等除收集、使用、转移、屏蔽、删除之外的一切信息处理行为。
2.8
转移 transmission
将存储或拥有的个人信息移交给其他自然人或法人的行为。
2.9
使用 use
运用个人信息的行为,包括向公众或特定群体披露、依据个人信息作出决定或决策,依据个人信息实施某种行动或行为等。
2.10
屏蔽 block
将个人信息进行特殊标注,限制其继续处理。
2.11
删除 erasure
从信息系统和载体上永久清除个人信息并不可恢复,从而毁灭该个人信息。
3个人信息处理原则
3.1概述
利用信息系统进行个人信息处理,应自觉遵守本指南确定的原则。
3.2目的明确原则
处理个人信息具有特定、明确、合理的目的,不扩大收集和使用范围,不改变目的处理个人信息。
3.3公开透明原则
处理个人信息之前,以明确、易懂和适宜的方式向个人信息主体告知处理个人信息的目的、处理个人信息的具体内容、个人信息的留存时限、个人信息保护的政策、个人信息主体的权利以及个人信息的使用范围和相关责任人等。
3.4质量保证原则
根据处理目的的需要保证收集的各项个人信息准确、完整,并处于最新状态。
3.5安全保障原则
采取必要的管理措施和技术手段,保护个人信息安全,防止未经授权检索、公开及丢失、泄露、损毁和篡改个人信息。
3.6合理处置原则
处理个人信息的方式合理,不采用非法、隐蔽、间接等方式收集个人信息,在达到既定目标后不再继续处理个人信息。
3.7知情同意原则
未经个人信息主体同意,不处理个人信息。在个人信息处理的过程中,为个人信息主体保障其权利提供必要的信息、途径和手段。
3.8责任落实原则
明确个人信息处理过程中的责任,采取必要的措施落实相关责任。
4个人信息主体的权利
4.1概述
利用信息系统处理个人信息时,个人信息管理者应采取必要的措施和手段保护个人信息主体的权利,除非基于法定事由或为避免公共利益受到重大影响,不应限制个人信息主体的权利。
个人信息主体的权利包括保密权、知情权、选择权、更正权和禁止权。
4.2保密权
个人信息主体有权利要求个人信息管理者采取必要的措施和手段,保护个人信息不为处理目的之外的任何自然人或法人所知。
4.3知情权
个人信息管理者对个人信息主体应尽到告知、说明和警示的义务。个人信息主体有权请求个人信息管理者如实告知之如下事项:
——是否拥有或正在处理其个人信息;
——拥有其个人信息的内容;
——获得其个人信息的渠道;
——处理其个人信息的目的和使用范围;
——保护其个人信息的政策和措施;
——披露或向其他机构提供其个人信息的范围;
——个人信息管理者的相关信息等。
4.4选择权
个人信息主体有权利选择同意或拒绝,信息管理者应为个人信息主体的选择权的行使提供条件,并履行通知、说明和警示的义务。
4.5更正权
个人信息主体有权利要求个人信息管理者维护其信息的完整性和准确性,对错误的信息有权利要求个人信息管理者予以及时更正。
4.6禁止权
个人信息主体有权利要求个人信息管理者停止对其个人信息当前的处理行为,有权利要求个人信息管理者屏蔽、删除其个人信息。
5个人信息保护要求
5.1个人信息收集
5.1.1个人信息管理者如需使用个人信息,应直接向个人信息主体收集,依照法律规定,或行使法律授权的收集除外。收集个人信息,应满足以下条件:
a) 法律法规明确授权或经个人同意;
b) 具有特定、明确、合理的目的;
c) 采用合理、适当的方法和手段。
5.1.2个人信息管理者不应在个人信息主体不知情、未参与的情况下采取隐蔽技术手段或采用间接方式收集个人信息。
5.1.3个人信息管理者收集个人信息前,应采用个人信息主体能够收悉的方式,至少向个人信息主体明确告知如下事项:
a) 收集个人信息的目的、使用范围和收集方式;
b) 个人信息管理者的名称、地址、联系办法;
c) 不提供个人信息可能出现的后果;
d) 个人信息主体的权利;
e) 个人信息主体的投诉渠道。
5.1.4个人信息管理者不应要求未满16周岁的未成年人提交个人信息,当发现信息提交者未满16周岁时,应给出明确提示并停止收集行为,为提供必要服务确需收集其个人信息的,应征得其监护人的同意。
5.1.5个人信息管理者不得收集与其所告知的信息收集目的无直接关系的个人信息,特别是揭示个人种族、宗教信仰、基因、指纹的信息,或与健康状况、性生活有关的信息。
5.2个人信息加工和委托加工
5.2.1个人信息管理者应在个人信息主体知晓的目的和范围内加工个人信息,并采取必要的措施和手段保障个人信息在加工过程中的安全。
5.2.2个人信息管理者需委托第三方对个人信息进行加工的,应在收集前向个人信息主体说明。
5.2.3个人信息管理者委托第三方对个人信息进行加工时,应确保第三方是达到本指南要求的、合格的第三方,并且应通过合同明确第三方的个人信息保护责任。
5.2.4个人信息管理者向接受委托的第三方转移个人信息时,应保证转移过程中的个人信息安全。
5.2.5接受委托的第三方应按照法律法规的规定、本指南的要求和委托者的合同,采取必要的措施和手段,保障个人信息在加工过程中的安全。
5.2.6接受委托的第三方完成个人信息加工任务并移交给委托者后,应删除相关个人信息。
5.3个人信息转移
5.3.1个人信息管理者一般情况下不应向其他机构转移其收集的个人信息,如需转移应当向个人信息主体说明转移的目的、转移的对象,并获得个人信息主体的明示同意。
5.3.2个人信息管理者向其他机构转移个人信息时,应确保个人信息的接收者是达到本指南要求的、合格的接收者,应保障个人信息在转移过程中的安全。
5.3.3个人信息管理者与其他机构合并或被其他机构收购时,应在合同中明确处理个人信息的目的不改变,并采取措施确保其个人保护水平不下降。
5.3.4个人信息管理者破产时,应采取措施确保个人信息主体的各项权利不受损害。
5.3.5如法律法规没有明确规定,或未经行业主管部门同意,个人信息管理者不应将个人信息转移给境外注册的个人信息管理者。
5.4个人信息使用、屏蔽和删除
5.4.1个人信息管理者应将收集的个人信息限定在收集时告知个人信息主体的范围之内,不应向其他机构披露相关个人信息。
5.4.2未经个人信息主体明示同意,个人信息管理者不应公开其处理的个人信息。
5.4.3个人信息使用应限于收集个人信息时告知的目的,除非法律法规有明确规定或个人信息主体明示同意,不应超出目的使用个人信息。
5.4.4个人信息主体有正当理由要求删除其个人信息时,个人信息管理者应及时删除个人信息。删除个人信息可能会影响公安机关调查取证时,个人信息管理者应采取适当的信息保全措施。
5.4.5个人信息使用完成后应删除,需要继续处理的,应采取匿名方式。保存期限有明确规定的,按相关规定执行。
5.4.6个人信息主体发现其个人信息有误并要求修改时,个人信息管理者应查验相关信息,并在核对正确后修改或补充相关信息。
5.4.7对于未满16周岁未成年人的个人信息,应强化保护措施和手段,不得超出收集时告知的使用目的之外使用其个人信息。
5.5个人信息管理
5.5.1个人信息管理者利用信息系统处理个人信息的,应制定个人信息保护政策,建立个人信息管理制度,落实个人信息管理责任,加强个人信息安全管理,规范个人信息处理活动。
5.5.2个人信息管理者应指定专门机构或人员负责内部的个人信息保护工作,接受个人信息主体的投诉与质询。
5.5.3个人信息管理者应采取必要的措施和手段,保护个人信息安全,确保但不限于以下目标:
a) 防止对个人信息处理场所和个人信息存储介质的未授权访问、损坏和干扰;
b) 处理个人信息时,应保证信息系统持续稳定运行;
c) 保证个人信息在信息系统中的保密性、真实性和完整性。
5.5.4个人信息管理者在个人信息主体提出查询请求时,应如实并免费地告知请求人与其相关的个人信息,除非告知成本或者请求频率超出合理的范围。
5.5.5个人信息管理者应加强个人信息风险管理,识别、分析、评估潜在的风险因素,制定风险应对策略,采取风险控制措施,监控风险变化。
5.5.6个人信息管理者应对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案,采取相应的预防和应对措施。
5.5.7个人信息管理者应制定个人信息保护的教育培训计划并组织落实。
5.5.8个人信息管理者应建立个人信息保护的内控机制,定期开展检查,并形成检查评估报告。
5.5.9个人信息管理者应建立持续完善机制,不断改进个人信息保护状况,提高个人信息保护的水平。
探友更多点评:
探秘家特约ID:39039
如何保护个人信息? 答:当个人信息发生泄漏后,受害人应到懂得维护自己的合法权益,具体可以通过以下三种方式:1、当公民发现自己的个人信息遭到泄漏,可以要求网络服务提供者或者侵权人删除自己被泄露的私人隐私信息;2、可以向有关的执法部门、当地的公安机关、消费者协会或管理互联网的部门进行举报,提交举报信息,维护自己的合法权益...
新晋用户名称: fightinglife22 点赞
探秘家特约ID:51127
个人信息保护的八大原则包括目的明确 答:个人信息保护的八大原则内容如下:工业和信息化部2012日正式宣布《信息安全技术公共及商用服务信息系统个人信息保护指南》已编制完成。这项标准还正式提出了处理个人信息时应当遵循的八项基本原则,即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确,划分了收集、加工、转移、...
新晋用户名称: 猪八戒网 点赞
探秘家特约ID:81687
手机隐私和秘密保护指南 答:在手机中,个人隐私和秘密是用户个人的领域。这可能包括个人通讯、照片、联系人信息、银行账户信息等。保护个人手机中的隐私和秘密对于个人安全和数据保护至关重要。设置强密码或使用指纹识别确保你的手机有一个强密码或使用指纹识别等安全功能来防止未经授权的访问。更新操作系统和应用程序定期更新手机的操作系统和...
新晋用户名称: 星花点llj 点赞
探秘家特约ID:97526
个人信息保护法规定敏感个人信息包括 答:个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。《信息安全技术公共及商用服务信息系统个人信息保护指南》规定处理个人信息应当具有特定、明确和合理的目的,应当在个人信息主体知情的情况下获得个人信息主体的同意,应当在达成个人...
新晋用户名称: 138*****843 点赞
探秘家特约ID:58429
怎么才能做好个人信息保护? 问:2020年4月10日,工信部公示《网络数据安全标准体系建设指南》(征求意见... 答:1、尽量不使用公共场所的WIFI。对于黑客来说,公共场合的WIFI极容易侵入,这也意味着个人信息将暴露在黑客的视线下。2、尽量访问具备安全协议的网址。建议尽量登录网址前缀中带有“https:”字样的网站,具备这种安全协议的网址的安全性较高。3、不同软件尽量不要使用同一组账号密码。黑客常常会购买带有大量...
新晋用户名称: cn#aafuGpGuua 点赞 36
探秘家特约ID:80613
超全整理|《App隐私合规指南》 答:1、为解决“私自收集个人信息”问题,您应当为App准备一份独立的《隐私政策》,向用户明示App收集使用个人信息的目的、方式和范围。如存在涉及收集使用儿童个人信息相关业务功能的,需制定针对儿童的个人信息保护规则。如果您使用友盟+SDK,需在《隐私政策中》向用户说明SDK提供的服务及采集情况(参考条款详见...
新晋用户名称: 巴爰范姜婉淑 点赞
