網(wǎng)絡(luò)通信個(gè)人隱私信息保護(hù)管理規(guī)范

1T/XXXXXXX—XXXX網(wǎng)絡(luò)通信個(gè)人隱私信息保護(hù)管理規(guī)范本標(biāo)準(zhǔn)規(guī)定了個(gè)人隱私信息生命周期、個(gè)人隱私信息主體權(quán)利、個(gè)人隱私信息管理者、個(gè)人隱私信息管理、個(gè)人隱私信息獲取和安全及過(guò)程管理相關(guān)要求。本標(biāo)準(zhǔn)適用于在網(wǎng)絡(luò)通信領(lǐng)域中產(chǎn)生的個(gè)人隱私信息。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。DB21/T1628.1—2016信息安全個(gè)人信息保護(hù)規(guī)范DB21/T1628.2信息安全個(gè)人信息安全管理體系實(shí)施指南3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.13.2個(gè)人隱私信息personalprivacyinformation依附于個(gè)人，并可描述個(gè)人基本形態(tài)的信息，包括:a)可通過(guò)聽(tīng)覺(jué)、視覺(jué)、觸覺(jué)等感官直接識(shí)別個(gè)人的信息，如數(shù)字、文字、圖像、影像、聲音等；b)可借助各種手段間接識(shí)別個(gè)人的信息，如與個(gè)人相關(guān)各種信息對(duì)照、參考、分析等。3.33.4主體subject享受民事權(quán)利并承擔(dān)民事義務(wù)的個(gè)人。3.53.6個(gè)人隱私信息生命周期personalprivacyinformationlifecycle當(dāng)個(gè)人隱私信息主體同意直接收集個(gè)人信息直至個(gè)人信息徹底銷(xiāo)毀的生命歷程,是個(gè)人信息管理者向個(gè)人信息主體提供服務(wù)管理的過(guò)程。3.73.8個(gè)人隱私信息主體personalprivacyinformationsubject可通過(guò)個(gè)人隱私信息識(shí)別的、擁有該個(gè)人隱私信息，享受該個(gè)人隱私信息權(quán)益的個(gè)人。4個(gè)人隱私信息生命周期個(gè)人隱私信息生命周期應(yīng)包括3個(gè)環(huán)節(jié)：a)個(gè)人信息獲取過(guò)程：個(gè)人信息主體同意，基于特定、明確、合法目的，直接或間接收集個(gè)人信息；b)個(gè)人信息處理過(guò)程：基于收集目的的個(gè)人信息使用、利用過(guò)程，可劃分4種形式：1)包括編輯、加工、檢索、存儲(chǔ)、傳輸?shù)炔煌氖褂昧鞒蹋?)包括提供、委托、交換等不同的利用過(guò)程；3)包括交易、二次開(kāi)發(fā)等不同的利用過(guò)程；4)個(gè)人信息的后處理過(guò)程；c)基于生命周期的過(guò)程管理：在個(gè)人信息生命周期內(nèi)，采用PDCA模式管理針對(duì)個(gè)人信息及相關(guān)資源、環(huán)境、管理體系等的活動(dòng)或行為。2T/XXXXXXX—XXXX5個(gè)人隱私信息主體權(quán)利5.1知情權(quán)個(gè)人隱私信息主體知情權(quán)應(yīng)當(dāng)包括以下幾個(gè)方面：a)個(gè)人隱私信息主體應(yīng)有權(quán)知悉個(gè)人隱私信息數(shù)據(jù)庫(kù)中與個(gè)人信息主體相關(guān)的信息；b)個(gè)人隱私信息主體應(yīng)有權(quán)知悉個(gè)人隱私信息收集、處理、使用、利用的目的、方式、范圍等相關(guān)信息；c)個(gè)人隱私信息主體應(yīng)有權(quán)查詢(xún)個(gè)人隱私信息收集、處理、使用、利用情況及個(gè)人信息質(zhì)量等相關(guān)信息；d)個(gè)人隱私信息主體應(yīng)有權(quán)知悉個(gè)人隱私信息生命周期內(nèi)個(gè)人信息管理質(zhì)量。5.2支配權(quán)個(gè)人隱私信息主體支配權(quán)應(yīng)包括：a)收集、處理、使用、利用個(gè)人信息，應(yīng)經(jīng)個(gè)人隱私信息主體同意，并簽字蓋章；b)個(gè)人隱私信息主體應(yīng)有權(quán)修改、刪除、完善與之相關(guān)的個(gè)人信息，以保證個(gè)人隱私信息的完整、準(zhǔn)確和最新?tīng)顟B(tài)；c)個(gè)人信息主體應(yīng)有權(quán)決定如何使用與之相關(guān)的個(gè)人信息；d)在個(gè)人信息生命周期內(nèi)，個(gè)人信息主體應(yīng)有權(quán)提議改進(jìn)、完善個(gè)人信息管理質(zhì)量。5.3質(zhì)疑權(quán)個(gè)人隱私信息主體質(zhì)疑權(quán)應(yīng)包括：a)個(gè)人隱私信息主體應(yīng)有權(quán)質(zhì)疑與之相關(guān)的個(gè)人信息的準(zhǔn)確性、完整性和時(shí)效性；b)個(gè)人隱私信息主體應(yīng)有權(quán)質(zhì)疑或反對(duì)與之相關(guān)的個(gè)人信息管理目的、過(guò)程等；c)如果個(gè)人隱私信息管理目的、過(guò)程違背了個(gè)人隱私信息主體意愿或其它正當(dāng)理由，個(gè)人隱私信息主體應(yīng)有權(quán)請(qǐng)求停止個(gè)人隱私信息管理活動(dòng)、行為或提出撤消該個(gè)人隱私信息。停止或撤銷(xiāo)應(yīng)經(jīng)個(gè)人隱私信息主體確認(rèn)；d)在個(gè)人信息生命周期內(nèi)，個(gè)人信息主體應(yīng)有權(quán)質(zhì)疑個(gè)人信息管理質(zhì)量的可靠性。6個(gè)人隱私信息管理者6.1規(guī)則個(gè)人隱私信息的規(guī)則應(yīng)包括以下內(nèi)容：a)個(gè)人隱私信息管理者獲取、處理、使用、利用、管理個(gè)人隱私信息應(yīng)獲得個(gè)人隱私信息主體授權(quán)，并確定明確、合法的目的；b)個(gè)人信息隱私管理者應(yīng)基于個(gè)人隱私信息生命周期，為個(gè)人信隱私息主體提供個(gè)人隱私信息的服務(wù)管理；c)個(gè)人隱私信息管理者不應(yīng)因利益、條件等的變化降低個(gè)人隱私信息管理質(zhì)量的可靠性。6.2角色個(gè)人隱私信息管理者可根據(jù)不同的需要細(xì)分不同的角色，如個(gè)人隱私信息獲取、個(gè)人隱私信息消費(fèi)等，但均應(yīng)遵循6.1確立的規(guī)則，保障個(gè)人隱私信息主體的權(quán)益。6.3服務(wù)管理個(gè)人隱私信息管理者應(yīng)滿(mǎn)足以下內(nèi)容：a)個(gè)人隱私信息管理者應(yīng)具有各類(lèi)資源的轉(zhuǎn)換能力和相應(yīng)的管理職能，以保證個(gè)人隱私信息管理的有效性；b)個(gè)人隱私信息管理者應(yīng)建立有效的內(nèi)部管理機(jī)制并形成管理體系，以保證個(gè)人隱私信息管理的質(zhì)量可靠性；3T/XXXXXXX—XXXXc)個(gè)人隱私信息管理者應(yīng)提供透明的服務(wù)管理過(guò)程，以保證第5章確立的個(gè)人隱私信息主體的權(quán)利。6.4責(zé)任和義務(wù)6.4.1管理責(zé)任個(gè)人隱私信息管理者應(yīng)對(duì)所擁有的個(gè)人隱私信息負(fù)有管理責(zé)任,并征得個(gè)人隱私信息主體同意后開(kāi)展與個(gè)人隱私信息相關(guān)的管理活動(dòng)或行為。6.4.2權(quán)利保障個(gè)人隱私信息管理者應(yīng)保障個(gè)人隱私信息主體的權(quán)利。6.4.3目的明確個(gè)人隱私信息管理者應(yīng)保證個(gè)人隱私信息管理目的與個(gè)人隱私信息主體意愿-致，管理過(guò)程或行為不應(yīng)超目的、超范圍。6.4.4告知個(gè)人隱私信息管理者應(yīng)將收集個(gè)人隱私信息的目的和方式.不提供個(gè)人隱私信息的后果、查詢(xún)和更正相關(guān)個(gè)人隱私信息的權(quán)利，以及個(gè)人隱私信息管理者本身的相關(guān)信息等告知個(gè)人隱私信息主體。6.4.5質(zhì)量保證個(gè)人隱私信息管理者應(yīng)在管理活動(dòng)或行為中保證個(gè)人隱私信息的完整性、準(zhǔn)確性、可用性,并保持最新?tīng)顟B(tài)。6.4.6保密性個(gè)人隱私信息管理者應(yīng)對(duì)所管理的個(gè)人隱私信息予以保密，并對(duì)個(gè)人隱私信息管理過(guò)程中的安全負(fù)7個(gè)人隱私信息管理個(gè)人隱私信息管理者應(yīng)依據(jù)其責(zé)任和義務(wù)，協(xié)調(diào)、組織、轉(zhuǎn)換PISMS和各類(lèi)相關(guān)資源，根據(jù)收集目的，采取相應(yīng)的控制策略和措施，收集、處理、使用、利用個(gè)人隱私信息。7.2原則應(yīng)遵循以下原則：a)目的明確：收集個(gè)人隱私信息應(yīng)有明確的目的，不應(yīng)超目的范圍處理、利用、使用；b)主體權(quán)利：個(gè)人隱私信息主體應(yīng)對(duì)與個(gè)人相關(guān)的個(gè)人隱私信息享有權(quán)利；c)信息質(zhì)量：在管理活動(dòng)或行為中應(yīng)保證個(gè)人隱私信息的準(zhǔn)確性、完整性和最新?tīng)顟B(tài)；d)合理限制：收集、處理、使用、利用個(gè)人隱私信息，應(yīng)采用合法、合理的手段和方式，并保持公開(kāi)的形式；e)安全保障：應(yīng)采取必要、合理的管理和技術(shù)措施，防止個(gè)人隱私信息濫用、篡改、丟失、泄露、損毀等。7.3方針7.3.1個(gè)人隱私信息管理者應(yīng)制定個(gè)人隱私信息管理方針，以指導(dǎo)個(gè)人隱私信息管理。方針應(yīng)遵循國(guó)家相關(guān)法律、法規(guī)規(guī)定的原則和措施，符合個(gè)人隱私信息管理者實(shí)際情況，并應(yīng)以簡(jiǎn)潔、明確的語(yǔ)言闡述，公之于眾。7.3.2個(gè)人隱私信息管理方針內(nèi)容宜包含以下內(nèi)容。a)個(gè)人隱私信息主體的權(quán)利；b)個(gè)人隱私信息管理者的義務(wù)；4T/XXXXXXX—XXXXc)個(gè)人隱私信息管理的目的和原則；d)個(gè)人隱私信息管理的措施和方法；e)個(gè)人隱私信息管理的改進(jìn)和完善。7.4計(jì)劃個(gè)人隱私信息管理者應(yīng)根據(jù)管理、業(yè)務(wù)目標(biāo)，制定基于個(gè)人隱私信息生命周期的管理計(jì)劃。計(jì)劃應(yīng)包括:a)個(gè)人隱私信息收集目的、策略；b)個(gè)人隱私信息管理措施、策略；c)個(gè)人隱私信息管理和各類(lèi)相關(guān)資源的組織、協(xié)調(diào)、轉(zhuǎn)換和溝通；d)個(gè)人隱私信息安全風(fēng)險(xiǎn)評(píng)估；e)計(jì)劃評(píng)估；f)其它必要的管理策略。7.5組織7.5.1要求個(gè)人隱私信息管理者應(yīng)根據(jù)管理計(jì)劃，建立個(gè)人隱私信息管理機(jī)構(gòu)，實(shí)施個(gè)人隱私信息生命周期全過(guò)程的符合個(gè)人隱私信息相關(guān)法規(guī)、標(biāo)準(zhǔn)的管理，組織個(gè)人隱私信息管理活動(dòng)或行為。7.5.2相關(guān)機(jī)構(gòu)及職責(zé)7.5.2.1最高管理者個(gè)人隱私信息管理者的最高行政領(lǐng)導(dǎo)，應(yīng)重視個(gè)人隱私信息管理，并選擇、任命有能力的個(gè)人隱私信息管理者代表組建、負(fù)責(zé)個(gè)人隱私信息管理機(jī)構(gòu)，在資金、資源等各個(gè)方面提供完全的支持。7.5.2.2管理機(jī)構(gòu)個(gè)人隱私信息管理者代表應(yīng)建立、落實(shí)個(gè)人隱私信息管理機(jī)構(gòu)，明確責(zé)任主體和職責(zé)，制定管理計(jì)劃。個(gè)人隱私信息管理機(jī)構(gòu)宜包括宣傳教育、安全教育、服務(wù)臺(tái)等責(zé)任主體，管理機(jī)構(gòu)的主要職責(zé)應(yīng)符合DB21/T1628.1-2016的相關(guān)要求。7.5.2.3內(nèi)審機(jī)構(gòu)內(nèi)審機(jī)構(gòu)應(yīng)符合DB21/T1628.1-2016的相關(guān)要求。7.5.3個(gè)人信息安全管理體系個(gè)人隱私信息管理者應(yīng)建立基于服務(wù)管理的個(gè)人信息安全管理體系，滿(mǎn)足個(gè)人信息管理的需要。7.6控制應(yīng)符合DB21/T1628.1-2016的相關(guān)要求7.7協(xié)調(diào)應(yīng)符合DB21/T1628.1-2016的相關(guān)要求。8個(gè)人隱私信息獲取8.1直接收集目的明確，并征得個(gè)人信息主體同意，直接經(jīng)個(gè)人信息主體收集個(gè)人信息。直接收集應(yīng)向個(gè)人信息主體提供的信息包括：a)個(gè)人信息管理者的相關(guān)信息；b)個(gè)人信息收集、處理、使用的目的、方法；c)接受并管理該個(gè)人信息的第三方的相關(guān)信息；5T/XXXXXXX—XXXXd)個(gè)人信息主體拒絕提供相關(guān)個(gè)人信息可能會(huì)產(chǎn)生的后果；e)個(gè)人信息主體的查詢(xún)、修正、反對(duì)等相關(guān)權(quán)利；f)個(gè)人信息安全和保密承諾；g)后處理方式。8.2間接收集非直接地收集個(gè)人信息時(shí)，應(yīng)遵循DB21/T1628.1-2016中9.2的規(guī)定，保證個(gè)人信息主體知悉并同意。間接收集應(yīng)保證個(gè)人信息主體權(quán)益不受侵害。應(yīng)保證個(gè)人信息主體知悉的信息，參照8.1。8.3被動(dòng)收集被動(dòng)收集應(yīng)符合DB21/T1628.1-2016的相關(guān)要求。9安全及過(guò)程管理9.1安全管理安全管理應(yīng)符合DB21/T1628.1-2016的相關(guān)要求。9.2過(guò)程管理9.2.1過(guò)程改進(jìn)過(guò)程管理分為以下幾個(gè)部分。a)個(gè)人信息安全管理系統(tǒng)內(nèi)審2)計(jì)劃；3)實(shí)施。b)過(guò)程改進(jìn)1)服務(wù)臺(tái)管理：服務(wù)臺(tái)應(yīng)接受個(gè)人信息主體.各類(lèi)組織和人員提出的個(gè)人信息管理活動(dòng)、PISMS的相關(guān)意見(jiàn)、建議、咨詢(xún)、投訴等，并采取相應(yīng)的處理措施，及時(shí)反饋。2)跟蹤和監(jiān)