個人信息保護指南(征求意見稿)

1、 · 確認測試服務· 單項測試服務· 鑒定測試服務· 其他測試服務 個人信息保護指南（征求意見稿）發(fā)布時間：2010-04-24 00:35 來源： 作者： 第一章 總 則第一條 目的 為提高個人信息保護意識，保護個人合法權益，促進個人信息有序利用，指導和規(guī)范利用信息系統(tǒng)處理個人信息的活動，制定本指南。第二條 適用范圍和方式企事業(yè)單位部分或全部采用信息系統(tǒng)進行個人信息處理時，可依據(jù)本指南的原則和要求，制定個人信息保護政策、個人信息處理準則或辦法，規(guī)范本單位的個人信息處理活動。行業(yè)協(xié)會、標準化組織、第三方機構等可依據(jù)本指南的原則和要求，制定個人信息處理自律

2、手則、標準和評估辦法等，規(guī)范、指導相關單位的個人信息處理活動。第三條 不適用范圍本指南不適用于以下情況的個人信息處理活動：（1）因統(tǒng)計和科學研究需要由統(tǒng)計機構和研究機構匿名進行的個人信息處理；（2）因家庭事務和個人交往需要由自然人進行的個人信息處理；（3）法律法規(guī)對個人信息處理有明確規(guī)定的其他情形。第四條 術語定義本指南中，“個人信息”是指與特定自然人相關、能夠單獨或與其他信息結合識別該特定自然人的任何信息。“個人信息主體”是指可通過個人信息識別的特定自然人。“信息處理”是指收集、儲存、修改、編輯、整理、匯編、檢索、標注、挖掘、轉移、披露、公開、傳輸、交換、刪除、銷毀等等針對信息所進行的所有行

3、為?！靶畔⑾到y(tǒng)”是指為實現(xiàn)信息處理目的，按照一定規(guī)則組合并運行的計算機及其配套的設備、設施（含網(wǎng)絡）?！笆占笔侵斧@取并記錄個人信息的行為?！凹庸ぁ笔侵镐浫?、整理、聚合、挖掘、恢復等除收集、轉移、使用、銷毀或刪除之外的一切信息處理行為。“轉移”是指將保存或擁有的個人信息移交給其他自然人、法人或組織的行為。“使用”是指運用個人信息的行為，包括向公眾或特定群體披露、在決策中加以考慮、依據(jù)個人信息作出決定或決策，依據(jù)個人信息實施某種行動或行為等。“銷毀”是指從物理上毀滅記錄個人信息的載體。“刪除”是指從信息系統(tǒng)和載體上永久清除個人信息并不可恢復。第二章 個人信息處理原則第五條 【遵循原則要求】 利用

4、信息系統(tǒng)進行個人信息處理，應自覺遵守本指南確定的原則。第六條 【目的明確原則】處理個人信息應具有明確、合法的目的，法律法規(guī)沒有明確規(guī)定或者個人信息主體沒有明確授權，不應擅自處理個人信息。第七條 【公開透明原則】處理個人信息之前，應以明確、易懂的方式向個人信息主體告知處理個人信息的目的，處理個人信息的具體內(nèi)容、個人信息在信息系統(tǒng)中的留存時限、個人信息保護的政策，個人信息主體的權利以及個人信息的使用范圍和相關責任人等。第八條 【質(zhì)量保證原則】 應根據(jù)處理目的的需要保證個人信息準確、完整，時間敏感的個人信息應處于最新狀態(tài)。第九條 【安全保障原則】 應采取必要的管理措施和技術手段，保護信息系統(tǒng)中的個人

5、信息安全，防止未經(jīng)授權檢索、公開及丟失、泄露、損毀和篡改個人信息。第十條 【合理處置原則】 利用信息系統(tǒng)處理個人信息的方式應合理，處理個人信息的內(nèi)容應與告知個人信息主體的目的相關，不超出目的范圍處理個人信息，不應在既定目的實現(xiàn)后超期限保留個人信息。第十一條 【個人參與原則】 應在個人信息處理的過程中，提供必要的途徑和手段，為個人信息主體實現(xiàn)其權利提供便利。第十二條 【責任落實原則】 應明確個人信息處理過程中的責任，對不承擔相關責任的行為，應建立必要的制度予以追究。第三章 個人信息主體權利保護第十三條 【權利保護要求】利用信息系統(tǒng)處理個人信息時，信息系統(tǒng)管理者應提供必要的措施和手段保護個人信息主

6、體的權利，除非法定原因或維護公共利益、第三方重大利益的需要，不應限制個人信息主體的權利。第十四條 【知情權】 個人信息主體向信息系統(tǒng)管理者提出申請了解：（1）是否擁有其個人信息；（2）擁有個人信息的內(nèi)容；（3）獲得其個人信息的來源；（4）處理其個人信息的目的；（5）保護其個人信息的政策和措施；（6）披露或向其他機構提供其個人信息的范圍；（7）信息系統(tǒng)管理者的相關信息等時，信息系統(tǒng)管理者應當如實告知。第十五條 【選擇權】 信息系統(tǒng)管理者向個人信息主體收集其個人信息時，應給予個人信息主體同意或拒絕的機會。第十六條 【更正權】 信息系統(tǒng)管理者應提供必要的方法和手段，保證個人信息主體能夠檢查到信息系統(tǒng)

7、中其個人信息的完整性、準確性，并且在發(fā)現(xiàn)錯誤時進行修改。第十七條 【禁止權】 個人信息主體發(fā)現(xiàn)信息系統(tǒng)管理者不當處理其個人信息并要求屏蔽、刪除或銷毀其個人信息時，信息系統(tǒng)管理者應當按照個人信息主體的要求屏蔽、刪除或銷毀有關個人信息。第十八條 【求償權】 因信息系統(tǒng)管理者的原因?qū)е聜€人信息泄露或不當使用，給相關個人信息主體造成損害或損失，個人信息主體要求賠償時，信息系統(tǒng)管理者應當賠償。第四章 個人信息處理的前提條件第十九條 【個人信息處理的前提條件】未經(jīng)法律法規(guī)的明確授權或個人信息主體的明示同意，信息系統(tǒng)管理者不應處理個人信息，除非滿足以下條件之一：（1） 履行與個人信息主體簽訂的合同需要或是為

8、了與個人信息主體締結合同的需要；（2） 履行信息系統(tǒng)管理者的法定職責，且不會對個人信息主體權益造成侵害；（3） 為維護個人信息主體的利益需要，且情況緊急，獲得個人信息主體同意客觀上不可能或者由于時間耽擱造成的損失過于巨大；（4） 維護公共利益或第三方的重大利益需要，且不會對個人信息主體權益造成侵害；（5） 因傳輸需要，由自動設備進行的自動、瞬時完成的個人信息處理；（6） 處理個人信息主體主動公開的信息，且處理目的不超出個人信息主體主動公開的目的范圍。第二十條 【特定個人信息的處理】法律法規(guī)已明確規(guī)定由專門機構處理的特定個人信息，信息系統(tǒng)管理者在未獲得行業(yè)管理部門批準前，不應擅自處理相關信息。第

9、二十一條 【個人信息公告要求】本指南發(fā)布前，信息系統(tǒng)管理者已經(jīng)存留個人信息的，應當采取適當方式公告其存留的個人信息類別、個人信息主體的規(guī)模和范圍以及個人信息的使用目的。第五章 個人信息收集第二十二條 【直接收集個人信息】信息系統(tǒng)管理者如需使用個人信息，應直接向個人信息主體收集。利用信息系統(tǒng)收集個人信息，應滿足以下條件： （1）具有特定、明確、合法的目的；（2）采用合理、適當?shù)姆椒ê褪侄?；?）獲得個人信息主體的明確同意，或滿足第十九條的規(guī)定；第二十三條 【信息收集要求】信息系統(tǒng)管理者向個人信息主體收集個人信息前，應采取個人信息主體能夠收悉的方式向個人信息主體明確告知如下事項：（1）收集信息的目

10、的、使用范圍和收集方式；（2）信息系統(tǒng)管理者的名稱、地址、聯(lián)系辦法；（3）不提供個人信息可能出現(xiàn)的后果；（4）個人信息主體的權利；（5）個人信息主體的投訴渠道等。第二十四條 【間接收集個人信息】信息系統(tǒng)管理者一般不應在個人信息主體不知情、未參與的情況下采取技術手段間接收集個人信息，特殊情況必須間接收集個人信息時，應符合第十九條規(guī)定的條件或法律法規(guī)政策有明確的規(guī)定。第二十五條 【未成年人個人信息收集】信息系統(tǒng)管理者不應收集未滿14周歲未成年人的個人信息，收集14-18周歲未成年人信息時，應征得未成年人家長的同意。第六章 個人信息委托加工第二十六條 【信息加工委托的前提】信息系統(tǒng)管理者收集個人信息

11、后需委托第三方對個人信息進行加工的，應在收集前向個人信息主體說明。第二十七條 【信息加工委托的要求】信息系統(tǒng)管理者委托第三方對個人信息進行加工時，應確保第三方具有不低于自身的信息安全保護水平，并且應通過合同明確第三方的個人信息保護責任。第二十八條 【加工轉移過程中的安全要求】信息系統(tǒng)管理者在向接受委托加工的第三方轉移個人信息時，應保證轉移過程中的個人信息安全。第二十九條 【信息加工者的責任】接受委托的第三方應按照法律法規(guī)的規(guī)定、本指南的要求和委托者的合同要求，采取必要的技術手段和管理措施，保障個人信息在加工過程中的安全。第三十條 【加工完成后銷毀】接受委托的第三方完成個人信息加工任務并移交給委

12、托者后，應自行刪除和銷毀相關個人信息。法律法規(guī)有規(guī)定或合同有約定的，從其規(guī)定或約定。第七章 個人信息轉移第三十一條 【個人信息轉移的一般要求】信息系統(tǒng)管理者收集個人信息后一般不應向其他機構轉移，如需轉移應當在收集時向個人信息主體說明轉移的目的、轉移的對象，并獲得個人信息主體明示同意。法律法規(guī)或政策對個人信息的轉移有明確規(guī)定的，從其規(guī)定。第三十二條 【信息轉移者的責任】信息系統(tǒng)管理者向其他機構轉移個人信息時，應確保個人信息的接收者具有不低于自身的信息安全保護水平，應保證轉移過程中的個人信息安全。第三十三條 【限制向國外轉移】未經(jīng)個人信息主體的明示同意，信息系統(tǒng)管理者不應將個人信息轉移到國外。法律

13、法規(guī)另有規(guī)定或政策另有要求的除外。第八章 個人信息披露、公開、使用、銷毀或刪除第三十四條 【信息披露】信息系統(tǒng)管理者應將收集的個人信息限定在收集時告知個人信息主體的范圍之內(nèi)，不應向其他機構披露相關個人信息。第三十五條 【公開個人信息】未經(jīng)個人信息主體明示同意，信息系統(tǒng)管理者不應公開其處理的個人信息。第三十六條 【使用個人信息】個人信息使用應限于收集個人信息時告知的目的，無法律法規(guī)的明確規(guī)定或個人信息主體的明確授權，不應超出目的使用個人信息。第三十七條 【網(wǎng)站個人信息管理】未經(jīng)個人信息主體同意，信息系統(tǒng)管理者不應在網(wǎng)站上發(fā)布未公開的個人信息。應個人信息主體要求，網(wǎng)絡經(jīng)營者或管理者應及時刪除個人信

14、息。刪除個人信息可能會影響到公安機關的調(diào)查取證時，信息系統(tǒng)管理者應采取適當?shù)男畔⒈Ｈ胧５谌藯l 【個人信息銷毀或刪除】個人信息使用完成后原則上應刪除或銷毀。如果需要繼續(xù)保留個人信息，應對相關個人信息進行匿名處理。法律法規(guī)另有規(guī)定或個人信息主體另有授權的，從其規(guī)定或授權。第三十九條 【個人信息修改和補充】個人信息主體發(fā)現(xiàn)其個人信息有誤并要求修改時，信息系統(tǒng)管理者應查驗相關信息，并在核對正確后修改和補充相關信息。第九章 個人信息管理第四十條 【管理的一般要求】信息系統(tǒng)管理者利用信息系統(tǒng)處理個人信息的，應制定個人信息保護政策或方針，建立個人信息管理制度，落實個人信息管理責任，加強個人信息管理，

15、規(guī)范個人信息處理活動。第四十一條 【機構要求】 信息系統(tǒng)管理者應指定專門機構或人員負責內(nèi)部的個人信息保護工作，接受個人信息主體的投訴與質(zhì)詢。第四十二條 【技術手段要求】信息系統(tǒng)管理者應采取必要的技術手段，保護個人信息的安全，確保但不限于以下目標：（1）防止對個人信息處理場所和個人信息存儲介質(zhì)的未授權訪問、損壞和干擾；（2）處理個人信息時，應保證信息系統(tǒng)持續(xù)穩(wěn)定運行；（3）保證個人信息在信息系統(tǒng)中的保密性、真實性和完整性。第四十三條 【信息查詢要求】信息系統(tǒng)管理者在個人信息主體提出查詢請求時，應如實和免費地告知請求人有關其個人信息，除非告知信息的成本明顯過于高或者請求人請求次數(shù)明顯過于頻繁。第四

16、十四條 【風險管理要求】信息系統(tǒng)管理者應加強個人信息風險管理，識別、分析、評估潛在的風險因素，制定風險應對策略，采取風險控制措施，監(jiān)控風險變化。第四十五條 【應急處理要求】 信息系統(tǒng)管理者應對個人信息處理過程中可能出現(xiàn)的泄露、丟失、損壞、篡改、不當使用等事件制定預案，采取相應的預防和應對措施。第四十六條 【教育培訓要求】 信息系統(tǒng)管理者應制定個人信息保護的教育培訓計劃并組織落實。第四十七條 【內(nèi)控機制要求】 信息系統(tǒng)管理者應建立個人信息保護的內(nèi)控機制，定期開展檢查，并形成檢查評價報告。第四十八條 【持續(xù)改善要求】信息系統(tǒng)管理者應建立持續(xù)完善機制，不斷改進信息保護狀況，提高信息保護的水平。第十章 附則第四十九條 【實施日期】本指南自發(fā)布之日起實施。第五十條 【本指南的解釋】本指南由工業(yè)和信息化部負責解釋。相關鏈接· 部 委· 相關機構· 合作媒體中華人民共和國中央人民政府市住房城鄉(xiāng)建設委工業(yè)和信息化部國家發(fā)展和改革委員會公安部建設部國家工商行政管理總局教育部交通部國家稅務總局國家廣播電影電視總局國家統(tǒng)計局體育總局海關總署新聞出版總署煙草局中國軟件行業(yè)協(xié)會中國雙軟認定網(wǎng)北京軟件行業(yè)協(xié)會國脈電子政務網(wǎng)中國電子政務資訊網(wǎng)中國計算機行業(yè)網(wǎng)中國賽迪實驗室賽迪培訓51testin