立即注册找回密码

QQ登录

只需一步,快速开始

《信息安全技术公共及商用服务信息系统个人信息保护指南》

2013-4-26 00:19| 发布者: aqfw| 查看: 4569| 评论: 0

  摘要: 标准明确要求,处理个人信息应当具有特定、明确和合理的目的,应当在个人信息主体知情的情况下获得个人信息主体的同意,应当在达成个人信息使用目的之后删除个人信息。 这项标准最显著的特点是将个人信息分为 ...

4.1.4 个人信息获得者
当个人信息的获取是出于对方委托加工等目的,个人信息获得者要依照本指导性技术文件和委托合同,对个人信息进行加工,并在完成加工任务后,立即删除相关个人信息。
4.1.5 第三方测评机构
从维护公众利益角度出发、根据个人信息保护管理部门和行业协会的授权、或受个人信息管理者的委托,依据相关国家法律、法规和本指导性技术文件,对信息系统进行测试和评估,获取个人信息保护状况,作为个人信息管理者评价、监督和指导个人信息保护的依据。
4.2 基本原则
个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循以下基本原则:
a)目的明确原则——处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。
b)最少够用原则——只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。
c)公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。
d)个人同意原则——处理个人信息前要征得个人信息主体的同意。
e)质量保证原则——保证处理过程中的个人信息保密、完整、可用,并处于最新状态。
f)安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。
g)诚信履行原则——按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。
h)责任明确原则——明确个人信息处理过程中的责任,采取相应的措施落实相关责任,并对个人信息处理过程进行记录以便于追溯。
5 个人信息保护
5.1 概述
信息系统中个人信息的处理过程可分为收集、加工、转移、删除4个主要环节。对个人信息的保护贯穿于4个环节中:
a)收集指对个人信息进行获取并记录。
b)加工指对个人信息进行的操作,如录入、存储、修改、标注、比对、挖掘、屏蔽等。
c)转移指将个人信息提供给个人信息获得者的行为,如向公众公开、向特定群体披露、由于委托他人加工而将个人信息复制到其他信息系统等。
d)删除指使个人信息在信息系统中不再可用。
5.2 收集阶段
5.2.1 要具有特定、明确、合法的目的。
5.2.2 收集前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下事项:
a)处理个人信息的目的;
b)个人信息的收集方式和手段、收集的具体内容和留存时限;
c)个人信息的使用范围,包括披露或向其他组织和机构提供其个人信息的范围;
d)个人信息的保护措施;
e)个人信息管理者的名称、地址、联系方式等相关信息;
f)个人信息主体提供个人信息后可能存在的风险;
g)个人信息主体不提供个人信息可能出现的后果;
h)个人信息主体的投诉渠道;
i)如需将个人信息转移或委托于其他组织和机构,要向个人信息主体明确告知包括但不限于以下信息:转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。
5.2.3 处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意。
5.2.4 只收集能够达到已告知目的的最少信息。
5.2.5 要采用已告知的手段和方式直接向个人信息主体收集,不采取隐蔽手段或以间接方式收集个人信息。
5.2.6 持续收集个人信息时提供相关功能,允许个人信息主体配置、调整、关闭个人信息收集功能。
5.2.7 不直接向未满16周岁的未成年人等限制民事行为能力或无行为能力人收集个人敏感信息,确需收集其个人敏感信息的,要征得其法定监护人的明示同意。
5.3 加工阶段
5.3.1 不违背收集阶段已告知的使用目的,或超出告知范围对个人信息进行加工。
5.3.2 采用已告知的方法和手段。
5.3.3 保证加工过程中个人信息不被任何与处理目的无关的个人、组织和机构获知。
5.3.4 未经个人信息主体明示同意,不向其他个人、组织和机构披露其处理的个人信息。
5.3.5 保证加工过程中信息系统持续稳定运行,个人信息处于完整、可用状态,且保持最新。
5.3.6 个人信息主体发现其个人信息存在缺陷并要求修改时,个人信息管理者要根据个人信息主体的要求进行查验核对,在保证个人信息完整性的前提下,修改或补充相关信息。
5.3.7 详细记录对个人信息的状态,个人信息主体要求对其个人信息进行查询时,个人信息管理者要如实并免费告知是否拥有其个人信息、拥有其个人信息的内容、个人信息的加工状态等内容,除非告知成本或者请求频率超出合理的范围。
5.4 转移阶段
5.4.1 不违背收集阶段告知的转移目的,或超出告知的转移范围转移个人信息。
5.4.2 向其他组织和机构转移个人信息前,评估其是否能够按照本指导性技术文件的要求处理个人信息,并通过合同明确该组织和机构的个人信息保护责任。
5.4.3 保证转移过程中,个人信息不被个人信息获得者之外的任何个人、组织和机构所获知。
5.4.4 保证转移前后,个人信息的完整性和可用性,且保持最新。
5.4.5 未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构。
5.5 删除阶段
5.5.1 个人信息主体有正当理由要求删除其个人信息时,及时删除个人信息。删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。
5.5.2 收集阶段告知的个人信息使用目的达到后,立即删除个人信息;如需继续处理,要消除其中能够识别具体个人的内容;如需继续处理个人敏感信息,要获得个人信息主体的明示同意。
5.5.3 超出收集阶段告知的个人信息留存期限,要立即删除相关信息;对留存期限有明确规定的,按相关规定执行。
5.5.4 个人信息管理者破产或解散时,若无法继续完成承诺的个人信息处理目的,要删除个人信息。删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。
12

加油

鼓掌

感动

思考

闭嘴

怒了

痛哭

相关阅读

回顶部