服务热线 : 15150560766
新闻资讯 News

公安部等发布《互联网个人信息安全保护指南》(下)

日期: 2019-05-15
作者:

 6.业务流程

  6.1 收集

  个人信息的收集行为应满足以下要求:

  a)个人信息收集前,应当遵循合法、正当、必要的原则向被收集的个人信息主体公开收集、使用规则,明示收集、使用信息的目的、方式和范围等信息;

  b)个人信息收集应获得个人信息主体的同意和授权,不应收集与其提供的服务无关的个人信息,不应通过捆绑产品或服务各项业务功能等方式强迫收集个人信息;

  c)个人信息收集应执行收集前签署的约定和协议,不应超范围收集;

  d)不应大规模收集或处理我国公民的种族、民族、政治观点、宗教信仰等敏感数据;

  e)个人生物识别信息应仅收集和使用摘要信息,避免收集其原始信息;

  f)应确保收集个人信息过程的安全性:

  1)收集个人信息之前,应有对被收集人进行身份认证的机制,该身份认证机制应具有相应安全性;

  2)收集个人信息时,信息在传输过程中应进行加密等保护处理;

  3)收集个人信息的系统应落实网络安全等级保护要求;

  4)收集个人信息时应有对收集内容进行安全检测和过滤的机制,防止非法内容提交。

  6.2 保存

  个人信息的保存行为应满足以下要求:

  a)在境内运营中收集和产生的个人信息应在境内存储,如需出境应遵循国家相关规定;

  b)收集到的个人信息应采取相应的安全加密存储等安全措施进行处理;

  c)应对保存的个人信息根据收集、使用目的、被收集人授权设置相应的保存时限;

  d)应对保存的个人信息在超出设置的时限后予以删除;

  e)保存信息的主要设备,应对个人信息数据提供备份和恢复功能,确保数据备份的频率和时间间隔,并使用不少于以下一种备份手段:

  1)具有本地数据备份功能;

  2)将备份介质进行场外存放;

  3)具有异地数据备份功能。

  6.3 应用

  个人信息的应用应满足以下要求:

  a)对个人信息的应用,应符合与个人信息主体签署的相关协议和规定,不应超范围应用个人信息;

  注:经过处理无法识别特定个人且不能复原的个人信息数据,可以超出与信息主体签署的相关使用协议和约定,但应提供适当的保护措施进行保护。

  b)个人信息主体应拥有控制本人信息的权限,包括:

  1)允许对本人信息的访问;

  2)允许通过适当方法对本人信息的修改或删除,包括纠正不准确和不完整的数据,并保证修改后的本人信息具备真实性和有效性;

  c)完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权,但应确保用户有反对或者拒绝的权利;如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用,或跨网络运营者使用,应经用户明确授权方可使用其数据;

  d)应对个人信息的接触者设置相应的访问控制措施,包括:

  1)对被授权访问个人信息数据的工作人员按照最小授权的原则,只能访问最少够用的信息,只具有完成职责所需的最少的数据操作权限;

  2)对个人信息的重要操作设置内部审批流程,如批量修改、拷贝、下载等;

  3)对特定人员超限制处理个人信息时配置相应的责任人或负责机构进行审批,并对这种行为进行记录。

  e)应对必须要通过界面(如显示屏幕、纸面)展示的个人信息进行去标识化的处理。

  6.4 删除

  a)个人信息在超过保存时限之后应进行删除,经过处理无法识别特定个人且不能复原的除外;

  b)个人信息持有者如有违反法律、行政法规的规定或者双方的约定收集、使用其个人信息时,个人信息主体要求删除其个人信息的,应采取措施予以删除;

  c)个人信息相关存储设备,将存储的个人信息数据进行删除之后应采取措施防止通过技术手段恢复;

  d)对存储过个人信息的设备在进行新信息的存储时,应将之前的内容全部进行删除;

  e)废弃存储设备,应在进行删除后再进行处理。

  6.5 第三方委托处理

  a)在对个人信息委托处理时,不应超出该信息主体授权同意的范围;

  b)在对个人信息的相关处理进行委托时,应对委托行为进行个人信息安全影响评估;

  c)对个人信息进行委托处理时,应签订相关协议要求受托方符合本文件;

  d)应向受托方进行对个人信息数据的使用和访问的授权;

  e)受托方对个人信息的相关数据进行处理完成之后,应对存储的个人信息数据的内容进行删除。

  6.6 共享和转让

  个人信息原则上不得共享、转让。如存在个人信息共享和转让行为时,应满足以下要求:

  a)共享和转让行为应经过合法性、必要性评估;

  b)在对个人信息进行共享和转让时应进行个人信息安全影响评估,应对受让方的数据安全能力进行评估确保受让方具备足够的数据安全能力,并按照评估结果采取有效的保护个人信息主体的措施;

  c)在共享、转让前应向个人信息主体告知转让该信息的目的、规模、公开范围数据接收方的类型等信息;

  d)在共享、转让前应得到个人信息主体的授权同意,与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外;

  e)应记录共享、转让信息内容,将共享、转让情况中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记;

  f)在共享、转让后应了解接收方对个人信息的保存、使用情况和个人信息主体的权利,例如访问、更正、删除、注销等;

  g)当个人信息持有者发生收购、兼并、重组、破产等变更时,个人信息持有者应向个人信息主体告知有关情况,并继续履行原个人信息持有者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。

  6.7 公开披露

  个人信息原则上不得公开披露。如经法律授权或具备合理事由确需公开披露时,应充分重视风险,遵守以下要求:

  a)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;

  b)向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意,与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外;

  c)公开披露个人敏感信息前,除6.7b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;

  d)准确记录和保存个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;

  e)承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;

  f)不得公开披露个人生物识别信息和基因、疾病等个人生理信息;

  g)不得公开披露我国公民的种族、民族、政治观点、宗教信仰等敏感数据分析结果。

  7.应急处置

  7.1 应急机制和预案

  a)应建立健全网络安全风险评估和应急工作机制,在个人信息处理过程中发生应急事件时具有上报有关主管部门的机制;

  b)应制定个人信息安全事件应急预案,包括应急处理流程、事件上报流程等内容;

  c)应定期(至少每半年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程,留存应急培训和应急演练记录;

  d)应定期对原有的应急预案重新评估,修订完善。

  7.2 处置和响应

  a)发现网络存在较大安全风险,应采取措施,进行整改,消除隐患;发生安全事件时,应及时向公安机关报告,协助开展调查和取证工作,尽快消除隐患;

  b)发生个人信息安全事件后,应记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;

  c)应对安全事件造成的影响进行调查和评估,采取技术措施和其他必要措施,消除安全隐患,防止危害扩大;

  d)应按《国家网络安全事件应急预案》等相关规定及时上报安全事件,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;

  e)应将事件的情况告知受影响的个人信息主体,并及时向社会发布与公众有关的警示信息。

 

 


最新动态 / 更多>>
2022 . 02 . 25
点击次数: 28
律师观点分析案件情况:张先生于2021年7月与湖南某公司签订合作协议,公司将商标,软件平台提供给张先生,张先生支付费用5万元,并约定代理区域。后张先生觉得该项目无盈利空间,不想做,遂要求退款,公司方不予退款。张先生在咨询我所律师过程中,帅律师给张先生分析该公司经营合作模式都和加盟存在共性,且该公司未能符合特许经营的各项条件。为此建议可以先向公司方发解除通知,之后提起诉讼。张先生听取律师的专业建议后...
2021 . 05 . 20
点击次数: 55
由于共享单车扫码、解锁十分方便,越来越多的未成年人开始使用共享单车。如果未成年人骑行共享单车发生交通事故,应当承担怎样的赔偿责任?上海市第一中级人民法院曾审理过这样一起案件:16周岁的李某骑行共享单车在非机动车道上由西向东行进,在十字路口时想直接向北左转至马路对面,但他未停车而是在十字路口向左猛拐车把。吴某在李某身后骑行电动车在与李某同向行驶,吴某见直行方向系绿灯于是加快车速准备直行通过十字路口。...
2021 . 05 . 19
点击次数: 45
近日,湖北省武汉市中级人民法院审结一起因行人横穿篮球比赛场地致伤引发的侵权案件,法院终审判决驳回原告行人李某的全部诉请。法院审理查明,2019年11月3日17时许,大学生张某与同学在某大学篮球场自发组织篮球比赛。比赛进行时,恰逢70岁的李某横穿篮球场,张某在接球跑动过程中,后背将李某撞倒在地。李某受伤后就近送往医院治疗,住院加门诊治疗,共计支付医疗费3.3万余元,其中张某垫付6000元。李某申请对...
2021 . 05 . 18
点击次数: 22
在向保险公司投保时隐瞒实际情况,保险公司能否因此拒绝理赔?在一起保险合同纠纷案中,保险公司认为投保人丁先生隐瞒在多家保险公司投保的事实且故意带病投保,因而拒绝赔付并声明解除保险合同,且不退还保险费。丁先生诉至法院,要求保险公司支付保险金30万元。近日,北京市海淀区人民法院开庭审理了此案,判决驳回了丁先生的全部诉讼请求。法院查明,2017年1月,丁先生通过代理机构为妻子于女士购买重大疾病保险。随后,...
2021 . 05 . 17
点击次数: 9
【案情】2018年1月22日,被告某公交公司驾驶员唐某某驾驶大型普通客车在江苏省靖江市江平路某超市公交站台下客过程中,在车门没有关好时行车,致使原告吴某某从车内摔出受伤。经公安机关认定,唐某某承担事故全部责任,吴某某无责任。吴某某受伤后,经治疗共支付医疗费3.2万元。同年9月,经司法鉴定机构评定,吴某某左股骨颈骨折术后,左髋关节活动部分受限,构成人体损伤9级伤残。同年11月22日,吴某某提起诉讼,...
2021 . 05 . 14
点击次数: 10
沈某在其他地方饮酒后,来到某饭店的鱼塘中钓鱼,结果不幸溺亡,该饭店是否应为此承担赔偿责任?近日,江苏省镇江市丹徒区人民法院审理了这样一起案件,认为饭店对顾客的先行行为不具有保障义务,驳回了原告的全部诉讼请求。2019年10月,沈某在镇江某地的南乡菜馆预定了一桌晚饭。10月23日中午,沈某在朋友处吃饭并饮酒。当天下午14时许,沈某来到南乡菜馆提前安排晚饭相关事宜。等待中的沈某想去菜馆鱼塘钓鱼,便询问...
X
1

QQ设置

3

SKYPE 设置

4

阿里旺旺设置

5

电话号码管理

6

二维码管理

展开