簡介
這項標準明確要求,處理個人信息應有特定、明確和合理的目的,並在個人信息主體知情的情況下獲得個人信息主體的同意,在達成個人
信息使用目的之後刪除個人信息。
其中,標準最顯著的特點是將個人信息分為個人一般信息和個人敏感信息,並提出默許同意和明示同意的概念。對於個人一般信息的處理可以建立在默許同意的基礎上,只要個人信息主體沒有明確表示反對,便可收集和利用。對於個人敏感信息,則需要建立在明示同意的基礎上,在收集和利用之前,必須首先獲得個人信息主體明確的授權。
這項標準還提出了處理個人信息時應當遵循的八項基本原則,即目的明確、最少夠用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確。
中國軟體評測中心副主任朱璇說,標準的出台意味著我國個人信息保護工作正式進入“有標可依”階段。中國軟體評測中心還將牽頭組建個人信息保護推進聯盟,建立企業自律模式,彌補我國個人信息保護相關組織機構的缺失。
信息安全技術 公共及商用服務信息系統個人信息保護指南
範圍
本指導性技術檔案規範了全部或部分通過信息系統進行個人信息處理的
過程,為信息系統中個人信息處理不同階段的個人信息保護提供指導。
本指導性技術檔案適用於
指導除政府機關等行使公共管理職責的機構以外的各類組織和機構,如電信、金融、醫療等領域的服務機構,開展信息系統中的個人信息保護工作。
規範性引用檔案
下列檔案對於本檔案的套用是必不可少的。凡是注日期的引用檔案,僅注日期的版本適用於本檔案。凡是不注日期的引用檔案,其最新版本(包括所有的修改單)適用於本檔案。
GB/T 20269-2006 信息安全技術 信息系統安全管理要求
GB/Z 20986-2007 信息安全技術 信息安全事件分類分級指南
術語和定義
GB/T 20269-2006 和GB/Z 20986-2007中界定的以及下列術語和定義適用於本技術性指導檔案。
3.1
信息系統 information system
即計算機信息系統,由計算機(含移動通信終端)及其相關的和配套的設備、設施(含網路)構成,能夠按照一定的套用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理。
3.2
個人信息 personal information
可為信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定
自然人的計算機數據。個人信息可以分為個人敏感信息和個人一般信息。
3.3
個人信息主體 subject of personal information
個人信息指向的自然人。
3.4
個人信息管理者 administrator of personal information
決定個人信息處理的目的和方式,實際控制個人信息並利用信息系統處理個人信息的組織和機構。
3.5
個人信息獲得者 receiver of personal information
從信息系統獲取個人信息的個人、組織和機構,依據個人信息主體的意願對獲得的個人信息進行處理。
3.6
第三方測評機構 third party testing and evaluation agency
獨立於個人信息管理者的專業測評機構。
3.7
個人敏感信息 personal sensitive information
一旦遭到泄露或修改,會對標識的個人信息主體造成不良影響的個人信息。各行業個人敏感信息的具體內容根據接受服務的個人信息主體意願和各自業務特點確定。例如個人
敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等。
3.8
個人一般信息 personal general information
除個人敏感信息以外的個人信息。
3.9
個人信息處理 personal information handling
處置個人信息的行為,包括收集、加工、轉移、刪除。
3.10
默許同意 tacit consent
在個人信息主體無明確反對的情況下,認為個人信息主體同意。
3.11
明示同意 expressed consent
個人信息主體明確授權同意,並保留證據。
個人信息保護概述
4.1 角色和職責
4.1.1 綜述
信息系統個人信息保護實施過程中涉及的角色主要有個人信息主體、個人信息管理者、個人信息獲得者和獨立測評機構,其職責見4.1.2至4.1.5。
4.1.2 個人信息主體
在提供個人信息前,要主動了解個人信息管理者收集的目的、用途等信息,按照個人意願提供個人信息;發現個人信息出現泄漏、丟失、篡改後,向個人信息管理者投訴或提出質詢,或向個人信息保護管理部門發起申訴。
負責依照國家法律、法規和本指導性技術檔案,規劃、設計和建立信息系統個人信息處理流程;制定個人信息管理制度、落實個人信息管理責任;指定專門機構或人員負責機構內部的個人信息保護工作,接受個人信息主體的投訴與質詢;制定個人信息保護的教育培訓計畫並組織落實;建立個人信息保護的內控機制,並定期對信息系統個人信息的安全狀況、保護制度及措施的落實情況進行自查或委託獨立測評機構進行測評。
管控信息系統個人信息處理過程中的風險,對個人信息處理過程中可能出現的泄露、丟失、損壞、篡改、不當使用等事件制定預案;發現個人信息遭到泄漏、丟失、篡改後,及時採取應對措施,防止事件影響進一步擴大,並及時告知受影響的個人信息主體;發生重大事件的,及時向個人信息保護管理部門通報。
接受個人信息保護管理部門對個人信息保護狀況的檢查、監督和指導,積極參與和配合第三方測評機構對信息系統個人信息保護狀況的測評。
4.1.4 個人信息獲得者
當個人信息的獲取是出於對方
委託加工等目的,個人信息獲得者要依照本指導性技術檔案和
委託契約,對個人信息進行加工,並在完成加工任務後,立即刪除相關個人信息。
4.1.5 第三方測評機構
從維護公眾利益角度出發、根據個人信息保護管理部門和行業協會的授權、或受個人
信息管理者的委託,依據相關國家法律、法規和本指導性技術檔案,對信息系統進行測試和評估,獲取個人信息保護狀況,作為個人信息管理者評價、監督和指導個人信息保護的依據。
4.2 基本原則
個人信息管理者在使用信息系統對個人信息進行處理時,宜遵循以下基本原則:
a)目的明確原則——處理個人信息具有特定、明確、合理的目的,不擴大使用範圍,不在個人信息主體不知情的情況下改變處理個人信息的目的。
b)最少夠用原則——只處理與處理目的有關的最少信息,達到處理目的後,在最短時間內刪除個人信息。
c)公開告知原則——對個人信息主體要盡到告知、說明和警示的義務。以明確、易懂和適宜的方式如實向個人信息主體告知處理個人信息的目的、個人信息的收集和使用範圍、個人信息保護措施等信息。
d)個人同意原則——處理個人信息前要徵得個人信息主體的同意。
e)
質量保證原則——保證處理過程中的個人信息保密、完整、可用,並處於最新狀態。
f)安全保障原則——採取適當的、與個人信息遭受損害的可能性和嚴重性相適應的管理措施和技術手段,保護個人信息安全,防止未經個人
信息管理者授權的檢索、披露及丟失、泄露、損毀和篡改個人信息。
g)誠信履行原則——按照收集時的承諾,或基於法定事由處理個人信息,在達到既定目的後不再繼續處理個人信息。
h)責任明確原則——明確個人信息處理過程中的責任,採取相應的措施落實相關責任,並對個人信息處理過程進行記錄以便於追溯。
個人信息保護
5.1 概述
信息系統中個人信息的處理過程可分為收集、加工、轉移、刪除4個主要環節。對個人信息的保護貫穿於4個環節中:
a)收集指對個人信息進行獲取並記錄。
b)加工指對個人信息進行的操作,如錄入、存儲、修改、標註、比對、挖掘、禁止等。
c)轉移指將個人信息提供給個人信息獲得者的行為,如向公眾公開、向特定群體披露、由於委託他人加工而將個人信息複製到其他信息系統等。
d)刪除指使個人信息在信息系統中不再可用。
5.2 收集階段
5.2.1 要具有特定、明確、合法的目的。
5.2.2 收集前要採用個人信息主體易知悉的方式,向個人信息主體明確告知和警示如下事項:
a)處理個人信息的目的;
b)個人信息的收集方式和手段、收集的具體內容和留存時限;
c)個人信息的使用範圍,包括披露或向其他組織和機構提供其個人信息的範圍;
d)個人信息的保護措施;
e)個人信息管理者的名稱、地址、聯繫方式等相關信息;
f)個人信息主體提供個人信息後可能存在的風險;
g)個人信息主體不提供個人信息可能出現的後果;
h)個人信息主體的投訴渠道;
i)如需將個人信息轉移或委託於其他組織和機構,要向個人信息主體明確告知包括但不限於以下信息:轉移或委託的目的、轉移或委託個人信息的具體內容和使用範圍、接受委託的個人信息獲得者的名稱、地址、聯繫方式等。
5.2.3 處理個人信息前要徵得個人信息主體的同意,包括默許同意或明示同意。收集個人一般信息時,可認為個人信息主體默許同意,如果個人信息主體明確反對,要停止收集或刪除個人信息;收集個人敏感信息時,要得到個人信息主體的明示同意。
5.2.4 只收集能夠達到已告知目的的最少信息。
5.2.5 要採用已告知的手段和方式直接向個人信息主體收集,不採取隱蔽手段或以間接方式收集個人信息。
5.2.6 持續收集個人信息時提供相關功能,允許個人信息主體配置、調整、關閉個人信息收集功能。
5.3 加工階段
5.3.1 不違背收集階段已告知的使用目的,或超出告知範圍對個人信息進行加工。
5.3.2 採用已告知的方法和手段。
5.3.3 保證加工過程中個人信息不被任何與處理目的無關的個人、組織和機構獲知。
5.3.4 未經個人信息主體明示同意,不向其他個人、組織和機構披露其處理的個人信息。
5.3.5 保證加工過程中信息系統持續穩定運行,個人信息處於完整、可用狀態,且保持最新。
5.3.6 個人信息主體發現其個人信息存在缺陷並要求修改時,個人
信息管理者要根據個人信息主體的要求進行查驗核對,在保證個人
信息完整性的前提下,修改或補充相關信息。
5.3.7 詳細記錄對個人信息的狀態,個人信息主體要求對其個人信息進行查詢時,個人信息管理者要如實並免費告知是否擁有其個人信息、擁有其個人信息的內容、個人信息的加工狀態等內容,除非告知成本或者請求頻率超出合理的範圍。
5.4 轉移階段
5.4.1 不違背收集階段告知的轉移目的,或超出告知的轉移範圍轉移個人信息。
5.4.2 向其他組織和機構轉移個人信息前,評估其是否能夠按照本指導性技術檔案的要求處理個人信息,並通過契約明確該組織和機構的個人信息保護責任。
5.4.3 保證轉移過程中,個人信息不被個人信息獲得者之外的任何個人、組織和機構所獲知。
5.4.4 保證轉移前後,個人信息的完整性和可用性,且保持最新。
5.4.5 未經個人信息主體的明示同意,或法律法規明確規定,或未經主管部門同意,個人信息管理者不得將個人信息轉移給境外個人信息獲得者,包括位於境外的個人或境外註冊的組織和機構。
5.5 刪除階段
5.5.1 個人信息主體有正當理由要求刪除其個人信息時,及時刪除個人信息。刪除個人信息可能會影響
執法機構
調查取證時,採取適當的存儲和禁止措施。
5.5.2 收集階段告知的個人
信息使用目的達到後,立即刪除個人信息;如需繼續處理,要消除其中能夠識別具體個人的內容;如需繼續處理個人敏感信息,要獲得個人信息主體的明示同意。
5.5.3 超出收集階段告知的個人信息留存期限,要立即刪除相關信息;對留存期限有明確規定的,按相關規定執行。
5.5.4 個人信息管理者破產或解散時,若無法繼續完成承諾的個人信息處理目的,要刪除個人信息。刪除個人信息可能會影響執法機構
調查取證時,採取適當的存儲和禁止措施。