导图社区 信息安全技术公共及商用服务信息系统个人信息保护指南
我国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》于2013年2月1日起实施。该标准最显著的特点是规定个人敏感信息在收集和利用之前,必须首先获得个人信息主体明确授权。
社区模板帮助中心,点此进入>>
互联网9大思维
组织架构-单商户商城webAPP 思维导图。
域控上线
python思维导图
css
CSS
计算机操作系统思维导图
计算机组成原理
IMX6UL(A7)
考试学情分析系统
信息安全技术公共及商用服务信息系统个人信息保护指南
范围
通过信息系统进行个人信息处理的过程
为信息系统中个人信息处理不同阶段的个人信息保护提供指导
信息安全技术 信息安全事件分类分级指南
术语和定义
信息系统
计算机及配套设备,对信息进行 采集、加工、存储、传输、检索等处理的人机系统
个人信息
可以被信息系统处理
与自然人相关
能够单独或通过与其他信息结合识别该自然人
计算机数据
个人信息主体
人
个人信息管理者
决定个人信息处理的目的和方式
实际控制个人信息
利用信息系统处理个人信息
组织或机构
个人信息获得者
从信息系统获取个人信息
对个人信息进行处理
个人、组织、机构
第三方测评机构
独立于个人信息管理者的专业测评机构
个人敏感信息
一旦遭到泄露或修改,会对人造成不良影响的个人信息
个人一般信息
除个人敏感信息意外的个人信息
个人信息处理
处置个人信息的行为
收集、加工、转移、删除
默许同意
人无反对,认为同意
明示同意
人明确授权同意,并保留证据
个人信息保护
角色和职责
综述(涉及角色)
主动了解个人信息管理者收集的目的、用途等
按照个人意愿提供个人信息
发现个人信息泄露、丢失、篡改后
向信息管理者投诉或提出质询
想信息保护管理部门申诉
依法规划、设计、建立信息系统信息处理流程
制定信息管理制度
落实信息管理责任
指定专人(机构)负责信息保护工作
接受个人的投诉、质询
制定、落实信息保护教育培训计划
建立信息保护内控机制,定期对信息安全、保护制度、落实情况进行自测或他测
对信息系统管理风险制定预案(泄露、丢失、篡改、不当使用)
个人信息泄露、丢失、篡改后采取措施,告知个人并上报
接受管理部门的检查、监督、指导,配合测评
依据个人意愿处理信息
当因个人委托加工而获取信息,获得者要依照本指导和合同
完成加工任务后,立刻删除
对信息系统进行测试和评估,获取信息保护状况,提供评价、监督、指导
从维护公共利益角度出发
根据管理部门和行业协会的授权
接受信息管理者的委托
一句国家法律法规和本指导
基本原则
目的明确
最少够用
公开告知
个人同意
质量保证
安全保障
诚信履行
责任明确
信息处理过程中的个人信息保护
收集阶段
有特定、明确、合理的目的
明确告知和警示
目的
手段、内容、留存时限
使用范围
保护措施
信息管理者的名称、地址、联系方式等
潜在风险
不提供信息的后果
投诉渠道
如将个人信息转移或委托,需告知目的、内容、范围、委托方的联系方式
征得同意
一般信息
默许同意,明确反对则停止或删除
敏感信息
加工阶段
不违背告知的使用目的,不超出告知范围进行加工
采用已告知的方法和手段
保证加工过程中信息不被无关放获知
未经个人明示同意,不想其他方披露
保证信息系统持续稳定运行,个人信息完整可用最新
信息管理者根据个人要求检查信息正确完整性,修改补充
相信记录信息状态,个人要求查询时,管理者如实、免费告知是否拥有、内容、加工状态(除非成本或频率超出合理范围)
转移阶段
不违背、超出告知的转移目的
评估接收信息放能否按本指导要求处理信息,通过合同明确责任
转移过程中个人信息不被其他方获知
转移前后,信息完整可用,保持最新
未经个人明示同意、法律规定、主管部门同意,信息管理者不得将信息转移给境外,包括境外注册的组织和机构
删除阶段
个人有正当理由要求删除时,及时删除,删除可能会影响执法机构调查取证,采取存储和屏蔽措施
告知的信息使用目的打倒后,立即删除,如需继续处理,消除能够识别具体个人的内容,需继续处理敏感信息,需要个人明示同意
超出告知留存期限,立即删除,有规定的,按规定执行
信息管理者破产或解散,无法完成承诺的信息处理目的,要删除信息,可能影响执法调查取证是,存储或屏蔽
