個人信息保護知識總結

1、第一講 概論一、信息：信息是人類生產活動、社會活動中的基本載體，承載以文字、符號、聲音、圖形、圖像等形式，通過各種渠道傳播的信號、消息、情報、資料、文檔等內容。信息普遍存在于自然界、人類社會和人的思維之中。信息在我們的社會、生產等活動中無處不在，始終伴隨著我們。信息貫穿人類社會的發(fā)展歷史，是人類社會實踐的深刻概括，并隨著人類的發(fā)展進步而不斷演變、發(fā)展 。五次信息相關的技術革命： 1. 從猿進化到人的重要標志，信息交流的手段和工具語言的創(chuàng)造和使用 2. 信息產生、傳播、存儲跨越時間和地域限制文字的出現(xiàn) 3. 擴大信息交流和傳播的范圍和容量，提高信息的可靠性造紙和印刷術的發(fā)明 4. 現(xiàn)代通信技術(

2、電報、電話、廣播、電視等)的發(fā)明、運用和普及，標志信息交流、傳遞手段的根本性變革 5. 計算機技術的發(fā)明、應用，與現(xiàn)代通信技術的結合突破了人類使用大腦及感覺器官加工、利用信息的能力，徹底改變了人類加工信息的手段。 二、信息的定義：狹義的信息定義 、可以定義為一種消息、情報、文檔資料或數(shù)據(jù)；廣義的信息定義 、可以定義為對各種事物的存在方式、運動狀態(tài)和相互聯(lián)系特征的表達和陳述，是自然界、人類社會和人類思維活動普遍存在的一種物質和事物的普遍屬性。信息的基本要素與傳播過程：信源：信息的主體。表示具有某種存在方式、運動狀態(tài)和相互聯(lián)系特征的源信息。信源反映了事務的客觀存在，因此，信源與信源具有不同的內涵；

3、信道：信源與信宿之間建立的傳遞通道。信宿：信息的接收者。是對信源的認知和理解； 信息的特征：1.信息是客觀存在的。源于物質世界和人的思維、意識。信息反映了物質的特征、運動狀態(tài)和內在的規(guī)律，反映了人的意識過程 2.信息是可再現(xiàn)的。通過識別、搜索、存儲、傳遞、變換、顯示、處理、復制等，信息可以獨立于物質和思維存在，再現(xiàn)信息本體。3.信息是可共享的。信息是不可或缺的資源，收集、生成、壓縮、更新和共享。可以根據(jù)信息分類設定共享條件。意識過程。 4.信息是可以控制的?？梢愿鶕?jù)信息的使用目的，確定信息處理范疇、處理方法。三：個人信息保護：個人信息主要體現(xiàn)在軟件及信息服務業(yè)、金融保險業(yè)、醫(yī)療服務業(yè)、政府機關

4、、電信業(yè)、教育、廣告及印刷、勞動服務業(yè)、制造業(yè)等行業(yè)中，隨著現(xiàn)代信息服務業(yè)的深入，正逐漸向全社會展開。社會、政治、經(jīng)濟等各個行業(yè)在計算機網(wǎng)絡系統(tǒng)、相關軟件及數(shù)據(jù)處理、社會生活的各個方面經(jīng)常涉及個人信息的使用和處理。因此個人信息的保護尤為重要。 從個人信息保護對大連軟件及信息服務業(yè)的影響可以窺見一般：1.產業(yè)整體表現(xiàn)為，信息服務業(yè)客戶對加工信息發(fā)包謹慎；軟件加工業(yè)客戶不提供真實測試數(shù)據(jù)。2.客戶向承接外包項目的企業(yè)提出個人信息保護的具體要求，并在合同中增加個人信息保護相關條款和違反規(guī)定的處罰。因有關個人信息保護不當所造成損失的處罰金額相當高。 OECD于1980年頒布的隱私保護和個人數(shù)據(jù)跨國流通

5、指導原則中有關個人信息保護的八項原則：1.收集限制原則。個人信息的收集必須采取合理合法的手段，必須征得信息主體的同意； 2.信息質量原則。個人信息必須在利用目的范圍內保持正確、完整及最新狀況。3.目的明確化原則。個人信息收集目的要明確化；4.利用限制原則。對個人信息資料不得超出收集目的范圍外利用5.案例保護原則。對個人信息的丟失、不當接觸、破壞、利用、修改、公開等危險必須采取合理的案例保護措施加以保護。 6.公開原則。個人信息管理者必須用簡單易懂的方法向公眾公開個人信息保護的措施。7.個人參加原則。個人信息主體的權利：確認個人信息的來源、個人信息的保存等；收集、利用的質疑；修改、完善、補充、刪

6、除等。8.責任原則。個人信息管理者有責任遵循有效實施各項原則的措施。第二講 個人信息的基本概念一、個人隱私(隱私權）隱私權是關于隱私的權利，是人的基本權利。美國學者布蘭代斯和沃倫在其發(fā)表的著名的論隱私權中把隱私權界定為生活的權利和不受干擾的權利以保障人格的不可侵犯。現(xiàn)代的隱私觀，包含三種形態(tài)：個人數(shù)據(jù)資料、個人生活、個人生活領域隱私權的基本權利：1、隱私知情權：屬于個人隱私的、與公共利益無關的所有事情，權利人有權隱瞞。未經(jīng)權利人允許，不能收集、公開和傳播； 2、隱私控制權：權利人在不違反公共利益的前提下，有權根據(jù)個人的需要控制個人隱私的使用；可以利用個人隱私滿足自身或他人。的精神和物質需要；

7、3、隱私選擇權：權利人有權根據(jù)使用需求和使用目的決定公開或不允許知悉或利用個人隱私； 4、隱私維護權：公民個人的隱私享有不受非法侵害的權利。在受到非法侵害時，可以尋求司法保護，或要求侵權人停止侵權、直至賠償損失。 隱私權侵權行為：盜用（盜用原告姓名、肖像等）；侵入（不法侵入原告的私人生活）；私事的公開（不合理公開涉及原告私生活的事情）；公共誤認（公開原告不實的形象）。二、網(wǎng)絡隱私權網(wǎng)絡隱私權是個人在網(wǎng)絡虛擬空間中生活安寧的權利和個人信息不被非法利用、收集、公開的權利；同時，個人能夠控制和支配個人隱私的使用，決定個人生活和個人信息的現(xiàn)狀、目的、范圍等。網(wǎng)絡隱私權具有傳統(tǒng)隱私基本權利的特征。網(wǎng)絡隱

8、私權是傳統(tǒng)隱私權在網(wǎng)絡空間中的延伸，表現(xiàn)形式多為個人信息的收集、使用、利用。在網(wǎng)絡空間中，個人信息是個人隱私的數(shù)字化形式。因此，網(wǎng)絡隱私權的核心是個人信息的保護。 網(wǎng)絡隱私權主要特征包括 1、網(wǎng)絡隱私權的環(huán)境是互連網(wǎng)絡或接入網(wǎng)絡。個人的網(wǎng)絡行為和活動、個人網(wǎng)站、發(fā)布信息、電子商務活動、電子郵件等產生的個人信息都可以很容易的采用現(xiàn)代信息技術手段監(jiān)控、收集、利用。 2、網(wǎng)絡隱私權的主體是雙重的。網(wǎng)絡是一個虛擬空間，任何人都可以以實名(現(xiàn)實生活中的自然人)，或匿名(現(xiàn)實生活中不存在，只存在于網(wǎng)絡虛擬世界中)方式在網(wǎng)上活動。3、網(wǎng)絡隱私權的客體也是雙重的，網(wǎng)絡隱私權的客體同網(wǎng)絡隱私權的主體一樣，也包括

9、虛擬世界中虛擬個體的個人信息和私人領域。三、個人數(shù)據(jù)與個人信息個人數(shù)據(jù)：個人數(shù)據(jù)是已經(jīng)識別或可以識別的與個人相關的所有資料，可以被計算機系統(tǒng)識別、存儲、加工處理。個人數(shù)據(jù)的概念比較寬泛。個人信息：個人信息是具有屬性特征的個人數(shù)據(jù)和經(jīng)過加工處理的個人數(shù)據(jù)的集合。個人數(shù)據(jù)是個人信息的載體。個人信息的主體是擁有個人數(shù)據(jù)的個人。 個人數(shù)據(jù)主要包括：個人的自然情況：姓名、性別、肖像、出生日期、身高、體重、血型、生理特征、住宅、種族等；與個人相關的社會背景：受教育程度、工作經(jīng)歷、宗教及其他信仰、政治觀點和傾向、社會關系等；家庭基本情況：婚姻狀況、配偶、父母、子女等；其他：計算機儲存的個人資料等；與個人相關

10、的自然情況、日常生活、家庭、社交等。個人信息主要包括：個人數(shù)據(jù)；數(shù)據(jù)加工處理后的數(shù)據(jù)；記錄、存儲在網(wǎng)站數(shù)據(jù)庫中的個人網(wǎng)絡行為，及其在虛擬空間中所有活動軌跡的描述等數(shù)據(jù)資料。四、法律名稱的使用：個人隱私（個人隱私一詞來源于美國，在美國現(xiàn)行法律體系中，隱私是內涵和外延非常廣泛的概念，在與美國屬于同一法律體系、或受美國影響較大的國家中，在個人信息保護相關法律中，多采用“個人隱私”的概念）、個人數(shù)據(jù)（歐盟及受1995年歐盟個人數(shù)據(jù)保護指令影響的國家，多采用“個人數(shù)據(jù)”的概念。個人數(shù)據(jù)保護指令的基本原則包括：數(shù)據(jù)質量原則，數(shù)據(jù)處理合法化原則，告知原則，特殊類型數(shù)據(jù)處理原則）、個人信息（日本、韓國、俄羅斯

11、等國多使用個人信息的概念。個人信息包含個人隱私，當與公共利益無關、與自然人個體相關的個人數(shù)據(jù)資料不愿公開時，則成為隱私，而個人信息并不完全涉及個人隱私）。五、個人信息的特征：主體特征：個人信息為個人信息的主體擁有。個人信息主體是其所擁有的個人信息可以作為數(shù)據(jù)收集、處理的自然人。個人信息主體享有人格權和法律賦予的義務，其所擁有的個人信息是可識別的，并可依據(jù)這些信息直接定位于特定的主體。 可識別特征：個人信息的可識別性，是通過個人信息的內容，經(jīng)過判斷可以確定個人信息的主體?？勺R別性是個人信息的重要特征，是明確個人信息內容和范疇的客觀標準。 價值特征：個人信息的屬性決定了個人信息是有價值的資源。由于

12、個人信息具有的可識別特性，可以非常方便的了解個人信息主體的個人喜好、生活習慣、個人需求等，從而創(chuàng)造可能的獲得利潤的機會。個人信息具有的價值取向是個人信息的顯著特征。 個人信息的類別：單一信息和組合信息：在個人信息構成中，單一數(shù)據(jù)元素可以稱為單一信息，如姓名；由多個數(shù)據(jù)元素構成的數(shù)據(jù)單位，可以稱為組合信息。 顯性信息和隱性信息：易于識別的個人信息可以稱為顯性信息，隱性信息則是需要收集或采用某些技術手段才能獲取的個人信息。 靜態(tài)信息和動態(tài)信息：靜態(tài)信息是個人信息主體已經(jīng)存在的，或過往的、歷史的信息，動態(tài)信息則是個人信息主體當前的信息，真實信息和虛擬信息：存在于現(xiàn)實世界中的個人信息主體的真實的信息和

13、存在于網(wǎng)絡虛擬世界中的虛擬的信息。六、個人信息的分類公開信息與隱秘信息：個人信息是可以直接或間接識別個人信息主體的信息，具有法律屬性，且與人格利益密不可分。因此，個人信息具有私密性，一般不為人所知。通過特定、合法的途徑，了解、掌握、利用個人信息，是明確目標的公開獲取。以此為標準，個人信息可以分為公開的和隱秘的。 自動處理和非自動處理：個人信息自動處理是利用計算機系統(tǒng)及其相關和配套設備、計算機網(wǎng)絡系統(tǒng)，按照一定的應用目的和規(guī)則進行個人信息的收集、加工、存儲、傳輸、檢索、咨詢、交換等業(yè)務。 敏感信息和瑣碎信息：個人信息是否涉及特殊的個人隱私，可以作為個人信息的一種分類敏感信息。而零散的、不重要的、

14、如散碎紙片一般的，或散見與各處的個人信息則屬于瑣碎信息。七、個人信息保護范疇個人信息保護的內涵豐富、外延廣泛。采用自動或非自動處理方式進行個人信息的收集、錄人、加工、編輯、存儲、管理、檢索、咨詢、交換、傳輸、輸出、使用、委托或其他利用個人信息的行為，均在提供個人信息安全保護的范疇之內。第三講 個人信息管理機制一、管理職能管理是由計劃、組織、領導、控制所組成的一種職能活動，是指一定組織中的管理者，通過實施計劃、組織、領導、控制等職能來協(xié)調他人的活動，使別人同自己一起實現(xiàn)既定目標的活動過程。 管理的職能：管理是由一些相互關聯(lián)的活動組成的，這些相互關聯(lián)的管理活動我們稱之為管理的職能，是管理過程中各項

15、活動應該擔負和完成的基本任務。 管理職能的內容：計劃、選擇合適的組織目標，確定切實可行的行動方案并且有效地實現(xiàn)這些目標。 組織、建立一種能夠促使人們?yōu)閷崿F(xiàn)組織目標的任務分派和領導關系領導、指揮、激勵和協(xié)調下屬，使他們?yōu)閷崿F(xiàn)組織目標而努力工作控制、建立準確的測評監(jiān)控系統(tǒng)用以評價組織目標的完成情況。 二、個人信息保護管理體系建立個人信息保護管理體系的基本目的是滿足個人信息管理的需要，指導企事業(yè)單位建立健全各類管理機制，協(xié)調各類資源，充分保障個人信息主體的權利，保障個人信息管理業(yè)務的穩(wěn)定運行。個人信息保護管理體系的特點：1、唯一性：與特定組織的管理目標、業(yè)務流程、管理策略、過程特點、實踐經(jīng)驗等結合。

16、因而，不同組織的體系具有不同的特點；2、系統(tǒng)性：個人信息保護管理體系是組織內各種因素相互關聯(lián)和作用的組合；3、有效性：應全面有效，滿足個人信息保護相關法規(guī)的要求，保障個人信息主體的權益。也滿足個人信息保護認證的要求；4、防御性：個人信息保護管理體系的實施，可以有效預防個人信息相關安全事件的發(fā)生；5、動態(tài)性：進行個人信息保護內部審核和個人信息保護認證，采用預防和糾正措施，改進和完善個人信息保護管理體系。三、個人信息保護管理機制管理機制是一個組織內部管理機構及其運行機理。它以管理機構為載體，包括： 管理機構的功能和目標、管理機構的動因、管理機制的約束最高管理者的職責：明確個人信息保護的方針、明確管

17、理者代表、責任落實、資源分配、領導決策、持續(xù)改進個人信息保護的管理機構：個人信息保護負責人（代表管理者管理 各部門各項工作）、個人信息保護管理機構（負責組織的個人信息保護工作；負責機構中宣傳教育工作；負責服務支持與用戶的溝通工作）、個人信息保護監(jiān)察機構（獨立開展監(jiān)督、檢查、調查工作）管理制度：1、體系化：各個規(guī)章制度之間是相互有機聯(lián)系的一個整體。不僅包括個人信息保護的各個方面，也包括組織內橫向、縱向的管理關系；2、融合性：個人信息保護管理體系不是獨立存在的，應與其他管理體系有機融合，才能有效執(zhí)行，降低和控制風險；3、組織保障：基于組織的總體利益，統(tǒng)一管理、制定組織的個人信息保護相關管理制度和各

18、個部門的管理細則，以形成制度的合力；4、告知：個人信息保護相關管理制度應以一定形式公示，或告知員工。 個人信息保護宣傳的三種形式：1、基本宣傳：主要是在組織的內部，宣傳個人信息保護的基本知識、個人信息保護相關法規(guī)、個人信息保護的重要性、個人信息管理的基本策略等。2、業(yè)務宣傳：在形象宣傳、業(yè)務交往中，宣傳組織的個人信息保護目的、個人信息管理措施、個人信息使用和處理方法及規(guī)定、個人信息安全措施等。3、社會宣傳：在面向社會時，應積極宣傳本組織的個人信息保護政策和措施，可以在各種媒介中增加相關的宣內容，如宣傳資料、各種網(wǎng)絡媒介等。個人信息管理的目標和原則：個人信息保護管理的目標是維護個人信息主體的合法

19、權益不受損害。個人信息管理應該遵循以下基本原則：1、公平合理性原則：個人信息必須被公平合理的處理 2、合法性原則：所有的數(shù)據(jù)處理都必須具有法律依據(jù) 3、透明度原則：有助于建立信任，確保個人信息的準確性 4、安全性原則：采取必要的管理和技術措施，確保安全性5、獨立的監(jiān)管機構：獨立的監(jiān)管是有效保護個人信息的基礎四、個人信息安全管理PDCA模式：P:個人信息保護管理體系的確立D:個人信息保護管理體系的導入和運用C:個人信息保護管理體系的監(jiān)察和認證A:個人信息保護管理體系的改善第四講 個人信息保護機制一、侵害個人信息現(xiàn)狀在現(xiàn)代社會經(jīng)濟活動中，個人信息的無形的物質性財產權益日益重要。信息技術的迅猛發(fā)展

20、，使得個人信息的收集、處理，愈加方便、容易，同時，對個人信息的侵害也愈加頻繁，愈加呈現(xiàn)多樣性。網(wǎng)絡應用中的個人信息侵害（用戶終端被植入木馬程序后，就成為可以任意宰割的“肉雞”。“肉雞”被隨意設置，用于各種用途； “肉雞的個人數(shù)據(jù)資料被公開地、任意地買賣?；诰W(wǎng)絡的個人信息利用和收集，存在來自個人、網(wǎng)絡服務商、生產廠商為主體的侵權行為）社會工程學與個人信息侵害（通過已公開的信息，或在平常的人際交往、工作關系中收集并累積個人情息、通過在公共場所進行市場調查、問卷調查等形式，獲取個人信息、采用某種方式，與具有大客戶群的單位建立聯(lián)系，獲取、累積個人信息、其他方式，如竊取的個人信息資料）現(xiàn)實生活中的個人

21、信息侵害（A人是信息安全的核心，是“木桶效應”的短板，物理攻擊：實施攻擊的位置，如工作場所、網(wǎng)絡環(huán)境、電話等；B在個人信息保護中，對社會工程學攻擊的防護尤為重要，心理攻擊：構建陷阱攻擊的方式，如說服、友善、恭維、模仿等）在個人信息侵害事件中，社會工程學亦扮演著重要的角色。攻擊者通過交談、欺騙、引誘、偽裝等各種形式，套取個人信息主體的敏感信息，社會工程學實施的基礎是信任。利用人性的弱點進行各種形式的攻擊，嘗試與用戶建立相對穩(wěn)定的相互信任關系來地獲取重要的敏感信息。通常有兩種攻擊形式。二、個人信息擁有者個人信息主體：個人信息主體是基于自然規(guī)律出生、具有生物學意義和法理人格，并被法律賦予民事主體資格

22、的自然人。自然人與生俱來的個人信息，包括生理的、心理的和智力的，和在社會實踐中形成的個人信息，包括社會的、經(jīng)濟的、家庭的等，與自然人個體緊密相關，為個人信息主體基于其生物學意義和法理人格所唯一擁有。享有個人信息知悉、支配和控制的權利。個人信息管理者：個人信息管理者是基于特定的目的，經(jīng)個人信息主體明確同意、委托、授權，收集、占有、保存、管理、處理、利用個人信息的組織、機構或個人。個人信息管理是對個人信息資源及針對這些資源的活動和行為進行管理。個人信息資源是由個人信息主體、個人信息和針對個人信息采取的技術和手段有機構成。個人信息主體知悉、支配和控制的權利：1. 確認個人信息是否以明確地、易于理解地

23、形式記載。在個人信息收集、管理、保存、處理、利用過程中，必須以明確、易于理解的形式記載；2. 確認個人信息的保存形式。個人信息應以文檔形式保存，信息主體可以無限制地確認個人信息文檔的存在、目的、利用情況、安全性等；3. 個人信息修正。如果個人信息不完整、不正確，或需要更新，個人信息主體有權適當修改、刪除、完善，以保證個人信息的最新狀態(tài)。4. 疑義和反對。個人信息主體對相關個人信息的利用目的、處理過程等有權提出疑義或反對意見。個人信息管理的職能：規(guī)劃與人事次（在決策目標確定后，對個人信息管理行為的預先設計。根據(jù)決策和邦劃，明確管理人員責任和職能）；評估（應隨時對個人信息收集、利用的目的、范圍、手

24、段和方法、風險因素方面進行評估，提出修正或補救措施、應對策略）；協(xié)調與溝通（管理者與個人信息主體之間的關系，需要協(xié)商、調解，使雙方和諧地配合，既保證個人信息主體的利益）；決策與組織（決策的內容主要是選擇管理的目標，確定管理行為。組織是根據(jù)個人信息收集、利用的目的，有效管理、處理個人信息的行為或活動）；控制與監(jiān)督（控制是對個人信息的管理活動、行為及后果實施制衡和修正，并對過程進行監(jiān)督，保障個人信息主體的利益）。個人信息管理者的權利和義務：告知義務（個人信息管理者應將個人信息的利用目的處理方式、個人信息主體的相關權利等事項告知信息主體）；安全和保密（個人信息管理者必須對個人信息處理予以保密，并對個

25、人信息處理、使用過程中的安全負責）；目的明確（個人信息管理者必須保證個人信息處理、使用的目的與個人信息主體的意愿一致，不能超目的、超范圍處理、使用）；權利保障（個人信息管理者必須保障個人信息主體的權利，維護和實現(xiàn)個人信息主體的人格利益）。三、個人信息保護原則OECD個人信息保護八項原則：1.收集限制原則。個人信息的收集必須采取合理合法的手段，必須征得信息主體的同意；2.信息質量原則。個人信息必須在利用目的范圍內保持正確、完整及最新狀況。3.目的明確化原則。個人信息收集目的要明確化；4.利用限制原則。對個人信息資料不得超出收集目的范圍外利用5.案例保護原則。對個人信息的丟失、不當接觸、破壞、利用

26、、修改、公開等危險必須采取合理的案例保護措施加以保護。 6.公開原則。個人信息管理者必須用簡單易懂的方法向公眾公開個人信息保護的措施。7.個人參加原則。個人信息主體的權利：確認個人信息的來源、個人信息的保存等；收集、利用的質疑；修改、完善、補充、刪除等。8.責任原則。個人信息管理者有責任遵循有效實施各項原則的措施。個人信息保護原則：支配原則：個人信息主體有權決定如何利用個人信息。知情原則：個人信息主體有權知悉個人信息的收集、利用和處理情況。 在實踐中，符合需求、可供操作的基本原則：安全保障原則（個人信息管理者應從管理、技術2個方面采取相應的措施，保障個人信息的安全）、參與原則（0ECD中稱為“

27、個人參與原則”。強調個人信息主體的權利）。四、個人信息收集基本概念：個人信息收集是基于自然人的人格權益，有目的、有計劃、有選擇地對特定個人采集信息的過程和行為模式；個人信息收集是個人信息保護的核心問題。個人信息收集的特征：目的性（必須有特定的、明確的和合法的目的，特定目的，必須是在法律允許范圍內，針對某一特定的需要設定的）；條件性（收集個人信息，必須經(jīng)個人信息主體確認，必須保證個人信息主體的人格權益 ，限定在特定的目的范圍內，在法律允許的范圍內 。必須是基于特定目的的需要）；質量性（保證是足夠的，而不過度、是相關的而不多余，且不超過設定的目的范圍；保證個人信息的準確性、完整性，并適時、隨時更新

28、、完善；在信息處理時方便識別個人信息主體）個人信息收集方法和手段：主動收集（個人信息主體主動提供的個人信息。在現(xiàn)實社會中，由于工作、生活中的各種需要，人們在買車、購房、保險、醫(yī)療、電話安裝、辦理各種會員卡、銀行卡、優(yōu)惠卡，以及電子商務等時，往往要求用戶填寫真實、詳盡的個人信息等）；被動收集（通過各種網(wǎng)絡技術和方法收集個人信息。隨著信息技術的發(fā)展和普及，網(wǎng)絡空間中，個人信息的覆蓋率愈來愈高，個人信息的收集和處理也愈來愈方便、快捷。除主動收集方式外，其他個人信息的收集，多數(shù)是在個人信息主體不知情、或不能控制的情況下實施的）。個人信息收集分類：敏感信息收集、直接收集、間接收集 五、個人信息處理個人信

29、息處理是收集、加工、編輯、存儲、檢索，及其他利用個人信息行為，或與個人信息利用相關的自動或非自動個人信息處置過程。個人信息處理必須滿足一定的條件：必須經(jīng)個人信息主體明確同意、便于個人信息主體識別、必須基于明確、合法的目的。個人信息存儲：個人信息一般以文檔的形式保存。多數(shù)個人信息的收集和處理是基于自動處理設備，因此，個人信息總是以文檔形式存儲在自動設備中。個人信息存儲必須保證：個人信息的存儲應基于特定、明確、合法的目的；個人信息的存儲應基于特定、明確、合法的目的；個人信息存儲必須保證個人信息的質量；必須保證個人信息存儲的安全性；必須保證個人信息存儲的安全性；個人信息存儲應有明確的記錄，并有專人負

30、責。個人信息直接處理是個人信息管理者處理、利用所擁有的個人信息。 個人信息提供必須滿足一定的條件：必須合法擁有個人信息主體的相關個人信息。必須保證個人信息主體的合法權益；必須獲得個人信息主體的授權許可；必須保證個人信息的準確性、完整性和最新狀態(tài)；必須獲得第三方的書面承諾。個人信息委托：（五層含義）保證不會發(fā)生信息泄露或信息濫用；個人信息委托處理的管理；個人信息委托處理必須經(jīng)個人信息主體明確同意；委托目的必須明確、合法；個人信息管理者是委托業(yè)務中的委托方。收集目的外的處理：在某些特殊情況下，需要超出收集目的范圍處理、利用個人信息主體的相關個人信息。在這些特殊情況下，處理、利用個人信息，也需要基于

31、一個特定、明確的目的（法律特別規(guī)定，保護國家安全、公共安全、國家利益，為增進公共利益，履行政府和公共職能，保護個人信息主體或公眾的權利）二次開發(fā)和交易：個人信息二次開發(fā)（個人信息管理者將收集到的個人信息，根據(jù)特征、類別，按照一定的文式存儲，構成綜合的個人信息數(shù)據(jù)庫。根據(jù)綜合數(shù)據(jù)庫反映出的不同的自然人群的個體特征和個人信息處理目的，對個人信息采取不同的處理方式，滿足不同的個人信息管理者的需要）；個人信息交易（商業(yè)機構將相關的個人信息綜合數(shù)據(jù)庫，提供給其他不同的商業(yè)機構使用，是一種個人信息交易行為。個人信息交易包括個人信息管理者之間交換所掌握的個人信息、個人信息管理者出售所掌握的個人信息等）。六、

32、個人信息保護安全機制信息安全管理體系(ISMS)是整體信息安全防護體系中重要的一部分，通過系統(tǒng)、全局的信息安全管理整體規(guī)劃，確保用戶所有信息資源和業(yè)務的安全與正常運行。ISMS是人、技術、管理的有機結合和有效實施物理安全（媒介安全：存儲媒介本身及數(shù)據(jù)的安全等；設備安全：設備防盜、防毀、防信息泄露等；環(huán)境安全。場地,供電,空氣調節(jié)及自然環(huán)境等）安全管理機制是按照整體信息安全防護系統(tǒng)的設計，為實施個人信息安全的管理和控制，依據(jù)威脅個人信息安全的內部規(guī)律和環(huán)境影響的有機聯(lián)系，建構的安全防護系統(tǒng)。構建安全管理機制的核心是保證管理安全。技術安全是為保障信息安全采用的知識、專業(yè)、技術等方法和手段社會工程學

33、是在人與人的交往中，利用人性的弱點，運用心理學知識，以交談、欺騙、傷害等手段，獲取利益的方式，是信息安全管理，特別是個人信息安全管理的軟肋。社會工程學管理應基于社會工程學的特點，以人為本，構建社會工程學防御體系。七、個人信息保護模式行業(yè)自律模式：行業(yè)自律模式是一種民間的、保護網(wǎng)絡隱私權的個人信息保護模式。通過行業(yè)內部的行為規(guī)則、規(guī)范、標準和行業(yè)協(xié)會的監(jiān)督，實現(xiàn)行業(yè)內個人信息保護的自我規(guī)范、約束和完善。美國是行業(yè)自律模式的倡導者。存在兩種形式：建議性行業(yè)指導、網(wǎng)絡隱私認證計劃 。法律保護模式：法律保護模式是由國家主導的立法模式。國家通過立法確定個人信息保護的各項基本原則和具體的法律規(guī)定等。具有代

34、表性的是歐盟的模式。第五講 個人信息保護應用一、電子政務與個人信息保護應用電子政務中個人信息的內涵：政府是社會信息資源的最大擁有者、使用者和提供者。在電子政務的建設、發(fā)展過程中，收集、獲得了大量公民的個人信息，儲存、建設了政府個人信息數(shù)據(jù)庫。這些個人信息，在電子政務的環(huán)境中，極易被侵犯、不當使用。因此，電子政務環(huán)境中的個人信息保護，是電子政務建設和發(fā)展的基礎。在我國的電子政務中一般包含：政府之間的、政府與企業(yè)等組織之間的以及政府與公民之間的電子政務。電子政務中個人信息的主要特征：多樣化：政府行政職能的多元化，型不同，呈現(xiàn)出多樣化。使收集、儲存、管理、利用公眾的個人信息類型不同，呈現(xiàn)出多樣化。高

35、風險：互聯(lián)網(wǎng)在電子政務中的廣泛應用已經(jīng)打破了原有的地界、國界，個人信息一旦遭到侵犯，其傳播速度快、覆蓋面廣、隱蔽性強，危害性極大。個人信息保護的利益沖突：公共利益和個人利益的沖突、公民權益與個人隱私的沖突。電子政務中的個人信息保護策略個人信息收集中的警示：在收集個人信息時，應當明確地告知公民收集個人信息的目的和用途、收集的依據(jù)以及收集和保證安全的方法，同時嚴格履行保護公民個人信息的義務；收集信息的種類和內容：網(wǎng)站在運行過程中所收集到的技術信息和個人信息，這兩類信息的收集目的和具體內容，都應明確告知個人信息主體；個人信息的用途：當在其個人信息保護政位策中說明收集個人信息的用途；安全保護措施：除了網(wǎng)絡安全外，加強政府網(wǎng)站管理，健全領導負責制、有明確的政策、明確的操作規(guī)程及員工對個人信息保護的意識和責任。二、政府信息公開與個人信息保護中華人民共和國政府信息公開條例關于政府信息公開的原則：應當遵循公正、公平、便民的原則，及時、準確地公開政府信息。應依照國家有