服务热线 : 15150560766
新闻资讯 News

公安部等发布《互联网个人信息安全保护指南》(下)

日期: 2019-05-15
作者:

 6.业务流程

  6.1 收集

  个人信息的收集行为应满足以下要求:

  a)个人信息收集前,应当遵循合法、正当、必要的原则向被收集的个人信息主体公开收集、使用规则,明示收集、使用信息的目的、方式和范围等信息;

  b)个人信息收集应获得个人信息主体的同意和授权,不应收集与其提供的服务无关的个人信息,不应通过捆绑产品或服务各项业务功能等方式强迫收集个人信息;

  c)个人信息收集应执行收集前签署的约定和协议,不应超范围收集;

  d)不应大规模收集或处理我国公民的种族、民族、政治观点、宗教信仰等敏感数据;

  e)个人生物识别信息应仅收集和使用摘要信息,避免收集其原始信息;

  f)应确保收集个人信息过程的安全性:

  1)收集个人信息之前,应有对被收集人进行身份认证的机制,该身份认证机制应具有相应安全性;

  2)收集个人信息时,信息在传输过程中应进行加密等保护处理;

  3)收集个人信息的系统应落实网络安全等级保护要求;

  4)收集个人信息时应有对收集内容进行安全检测和过滤的机制,防止非法内容提交。

  6.2 保存

  个人信息的保存行为应满足以下要求:

  a)在境内运营中收集和产生的个人信息应在境内存储,如需出境应遵循国家相关规定;

  b)收集到的个人信息应采取相应的安全加密存储等安全措施进行处理;

  c)应对保存的个人信息根据收集、使用目的、被收集人授权设置相应的保存时限;

  d)应对保存的个人信息在超出设置的时限后予以删除;

  e)保存信息的主要设备,应对个人信息数据提供备份和恢复功能,确保数据备份的频率和时间间隔,并使用不少于以下一种备份手段:

  1)具有本地数据备份功能;

  2)将备份介质进行场外存放;

  3)具有异地数据备份功能。

  6.3 应用

  个人信息的应用应满足以下要求:

  a)对个人信息的应用,应符合与个人信息主体签署的相关协议和规定,不应超范围应用个人信息;

  注:经过处理无法识别特定个人且不能复原的个人信息数据,可以超出与信息主体签署的相关使用协议和约定,但应提供适当的保护措施进行保护。

  b)个人信息主体应拥有控制本人信息的权限,包括:

  1)允许对本人信息的访问;

  2)允许通过适当方法对本人信息的修改或删除,包括纠正不准确和不完整的数据,并保证修改后的本人信息具备真实性和有效性;

  c)完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权,但应确保用户有反对或者拒绝的权利;如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用,或跨网络运营者使用,应经用户明确授权方可使用其数据;

  d)应对个人信息的接触者设置相应的访问控制措施,包括:

  1)对被授权访问个人信息数据的工作人员按照最小授权的原则,只能访问最少够用的信息,只具有完成职责所需的最少的数据操作权限;

  2)对个人信息的重要操作设置内部审批流程,如批量修改、拷贝、下载等;

  3)对特定人员超限制处理个人信息时配置相应的责任人或负责机构进行审批,并对这种行为进行记录。

  e)应对必须要通过界面(如显示屏幕、纸面)展示的个人信息进行去标识化的处理。

  6.4 删除

  a)个人信息在超过保存时限之后应进行删除,经过处理无法识别特定个人且不能复原的除外;

  b)个人信息持有者如有违反法律、行政法规的规定或者双方的约定收集、使用其个人信息时,个人信息主体要求删除其个人信息的,应采取措施予以删除;

  c)个人信息相关存储设备,将存储的个人信息数据进行删除之后应采取措施防止通过技术手段恢复;

  d)对存储过个人信息的设备在进行新信息的存储时,应将之前的内容全部进行删除;

  e)废弃存储设备,应在进行删除后再进行处理。

  6.5 第三方委托处理

  a)在对个人信息委托处理时,不应超出该信息主体授权同意的范围;

  b)在对个人信息的相关处理进行委托时,应对委托行为进行个人信息安全影响评估;

  c)对个人信息进行委托处理时,应签订相关协议要求受托方符合本文件;

  d)应向受托方进行对个人信息数据的使用和访问的授权;

  e)受托方对个人信息的相关数据进行处理完成之后,应对存储的个人信息数据的内容进行删除。

  6.6 共享和转让

  个人信息原则上不得共享、转让。如存在个人信息共享和转让行为时,应满足以下要求:

  a)共享和转让行为应经过合法性、必要性评估;

  b)在对个人信息进行共享和转让时应进行个人信息安全影响评估,应对受让方的数据安全能力进行评估确保受让方具备足够的数据安全能力,并按照评估结果采取有效的保护个人信息主体的措施;

  c)在共享、转让前应向个人信息主体告知转让该信息的目的、规模、公开范围数据接收方的类型等信息;

  d)在共享、转让前应得到个人信息主体的授权同意,与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外;

  e)应记录共享、转让信息内容,将共享、转让情况中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记;

  f)在共享、转让后应了解接收方对个人信息的保存、使用情况和个人信息主体的权利,例如访问、更正、删除、注销等;

  g)当个人信息持有者发生收购、兼并、重组、破产等变更时,个人信息持有者应向个人信息主体告知有关情况,并继续履行原个人信息持有者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。

  6.7 公开披露

  个人信息原则上不得公开披露。如经法律授权或具备合理事由确需公开披露时,应充分重视风险,遵守以下要求:

  a)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;

  b)向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意,与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外;

  c)公开披露个人敏感信息前,除6.7b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;

  d)准确记录和保存个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;

  e)承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;

  f)不得公开披露个人生物识别信息和基因、疾病等个人生理信息;

  g)不得公开披露我国公民的种族、民族、政治观点、宗教信仰等敏感数据分析结果。

  7.应急处置

  7.1 应急机制和预案

  a)应建立健全网络安全风险评估和应急工作机制,在个人信息处理过程中发生应急事件时具有上报有关主管部门的机制;

  b)应制定个人信息安全事件应急预案,包括应急处理流程、事件上报流程等内容;

  c)应定期(至少每半年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程,留存应急培训和应急演练记录;

  d)应定期对原有的应急预案重新评估,修订完善。

  7.2 处置和响应

  a)发现网络存在较大安全风险,应采取措施,进行整改,消除隐患;发生安全事件时,应及时向公安机关报告,协助开展调查和取证工作,尽快消除隐患;

  b)发生个人信息安全事件后,应记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;

  c)应对安全事件造成的影响进行调查和评估,采取技术措施和其他必要措施,消除安全隐患,防止危害扩大;

  d)应按《国家网络安全事件应急预案》等相关规定及时上报安全事件,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;

  e)应将事件的情况告知受影响的个人信息主体,并及时向社会发布与公众有关的警示信息。

 

 


最新动态 / 更多>>
2020 . 09 . 30
点击次数: 3
2020年9月16日星期三,多云转阴。今年是侵华日军南京大屠杀遇难同胞纪念馆35周年,在世界反法西斯胜利75周年之际,我所党支部成员参观了侵华日军南京大屠杀遇难同胞纪念馆。南京大屠杀是一场中华民族的灾难,是一段刻骨铭心的国耻。沉沉乌云下,侵华日军南京大屠杀遇难同胞纪念馆的灰墙和巨大的雕塑显得萧杀肃穆。走进侵华日军南京大屠杀遇难同胞纪念馆,栩栩如生的雕像、详实的资料和大量的物件,让参观的党员深刻体会...
2020 . 09 . 29
点击次数: 9
个人破产法规征求意见稿全文目录第一章 总则第二章 申请与受理第三章 管理人第四章 债务人财产第五章 破产费用与共益债务第六章 债权申报第七章 债权人会议第八章 重整第九章 和解第十章 破产清算第十一章 简易程序第十二章 法律责任第十三章 附则第一章  总则第一条 【立法宗旨】为了规范个人破产程序,合理调整债务人、债权人以及其他利害关系人的权利义务关系,促进诚信债务人经济再生,完善社会主义...
2020 . 09 . 28
点击次数: 4
《最高人民法院关于审理涉船员纠纷案件若干问题的规定》已于2020年6月8日由最高人民法院审判委员会第1803次会议通过,现予公布,自2020年9月29日起施行。   为正确审理涉船员纠纷案件,根据《中华人民共和国劳动合同法》《中华人民共和国海商法》《中华人民共和国劳动争议调解仲裁法》《中华人民共和国海事诉讼特别程序法》等法律的规定,结合审判实践,制定本规定。  第一条  船员与船舶所有人...
2020 . 09 . 27
点击次数: 6
【发布单位】全国人民代表大会常务委员会  【发布文号】  【发布日期】2020-08-11  【生效日期】2021-09-01  【失效日期】  【所属类别】国家法律法规  【文件来源】新华网中华人民共和国契税法(2020年8月11日第十三届全国人民代表大会常务委员会第二十一次会...
2020 . 09 . 25
点击次数: 9
案例导引总有人问,交通违规了可以找人买分代扣吗?还有人问出了事故可以让别人顶替自己吗?这些当然都是不允许的,不论是买分代扣还是推卸责任都是违法行为。一旦被查实,卖分顶替的人和买分逃避的人都要受到行政处罚,严重的要受到刑事处罚。2016年5月22日3时45分许,被告人李某饮酒后驾驶小型普通客车搭载朋友潘某沿广州市越秀区大通路由东往西行驶至057号灯杆对出路段时,因醉酒(经鉴定血液中乙醇含量为145....
2020 . 09 . 24
点击次数: 9
今年一开年,可能有很多人接到了out offer!如果你被公司的HR告知,你违反了公司的某某某项规章制度的第几章第几节第几条第几款——so,你被开除了。你会发现原来感觉属于有情理之中的正常行为,终有一天成为了公司解雇你的理由。你孩子生病了,你请假了,领导说忙。孩子生病不等人,你没去上班。从医院回来,补了请假条。人事没说什么,你以为这事就这么过去了。可是后来辞退你的时候说你无故旷工没请假……原本说好...
Copyright © 2018 - 2021 江苏致祥律师事务所
犀牛云提供企业云服务
微信二维码
亲,扫一扫
关注微信公众号
X
1

QQ设置

3

SKYPE 设置

4

阿里旺旺设置

5

电话号码管理

  • 025-85845117
6

二维码管理

展开