个人信息保护指南(征求意见稿)

个人信息保护指南（征求意见稿）

发布时间：2010-04-24 00:35 来源：作者：

第一章总则

第一条[目的] 为提高个人信息保护意识，保护个人合法权益，促进个人信息有序利用，指导和规范利用信息系统处理个人信息的活动，制定本指南。

第二条[适用范围和方式]企事业单位部分或全部采用信息系统进行个人信息处理时，可依据本指南的原则和要求，制定个人信息保护政策、个人信息处理准则或办法，规范本单位的个人信息处理活动。

行业协会、标准化组织、第三方机构等可依据本指南的原则和要求，制定个人信息处理自律手则、标准和评估办法等，规范、指导相关单位的个人信息处理活动。

第三条[不适用范围]本指南不适用于以下情况的个人信息处理活动：

（1）因统计和科学研究需要由统计机构和研究机构匿名进行的个人信息处理；

（2）因家庭事务和个人交往需要由自然人进行的个人信息处理；

（3）法律法规对个人信息处理有明确规定的其他情形。

第四条[术语定义]本指南中，

“个人信息”是指与特定自然人相关、能够单独或与其他信息结合识别该特定自然人的任何信息。

“个人信息主体”是指可通过个人信息识别的特定自然人。“信息处理”是指收集、储存、修改、编辑、整理、汇编、检索、标注、挖掘、转移、披露、公开、传输、交换、删除、销毁等等针对信息所进行的所有行为。

“信息系统”是指为实现信息处理目的，按照一定规则组合并运行的计算机及其配套的设备、设施（含网络）。

“收集”是指获取并记录个人信息的行为。

“加工”是指录入、整理、聚合、挖掘、恢复等除收集、转移、使用、销毁或删除之外的一切信息处理行为。

“转移”是指将保存或拥有的个人信息移交给其他自然人、法人或组织的行为。

“使用”是指运用个人信息的行为，包括向公众或特定群体披露、在决策中加以考虑、依据个人信息作出决定或决策，依据个人信息实施某种行动或行为等。

“销毁”是指从物理上毁灭记录个人信息的载体。

“删除”是指从信息系统和载体上永久清除个人信息并不可恢复。

第二章个人信息处理原则

第五条【遵循原则要求】利用信息系统进行个人信息处理，

应自觉遵守本指南确定的原则。

第六条【目的明确原则】处理个人信息应具有明确、合法的目的，法律法规没有明确规定或者个人信息主体没有明确授权，不应擅自处理个人信息。

第七条【公开透明原则】处理个人信息之前，应以明确、易懂的方式向个人信息主体告知处理个人信息的目的，处理个人信息的具体内容、个人信息在信息系统中的留存时限、个人信息保护的政策，个人信息主体的权利以及个人信息的使用范围和相关责任人等。

第八条【质量保证原则】应根据处理目的的需要保证个人信息准确、完整，时间敏感的个人信息应处于最新状态。

第九条【安全保障原则】应采取必要的管理措施和技术手段，保护信息系统中的个人信息安全，防止未经授权检索、公开及丢失、泄露、损毁和篡改个人信息。

第十条【合理处置原则】利用信息系统处理个人信息的方式应合理，处理个人信息的内容应与告知个人信息主体的目的相关，不超出目的范围处理个人信息，不应在既定目的实现后超期限保留个人信息。

第十一条【个人参与原则】应在个人信息处理的过程中，提供必要的途径和手段，为个人信息主体实现其权利提供便利。第十二条【责任落实原则】应明确个人信息处理过程中的责任，对不承担相关责任的行为，应建立必要的制度予以追究。

第三章个人信息主体权利保护

第十三条【权利保护要求】利用信息系统处理个人信息时，信息系统管理者应提供必要的措施和手段保护个人信息主体的权利，除非法定原因或维护公共利益、第三方重大利益的需要，不应限制个人信息主体的权利。

第十四条【知情权】个人信息主体向信息系统管理者提出申请了解：（1）是否拥有其个人信息；（2）拥有个人信息的内容；（3）获得其个人信息的来源；（4）处理其个人信息的目的；（5）保护其个人信息的政策和措施；（6）披露或向其他机构提供其个人信息的范围；（7）信息系统管理者的相关信息等时，信息系统管理者应当如实告知。

第十五条【选择权】信息系统管理者向个人信息主体收集其个人信息时，应给予个人信息主体同意或拒绝的机会。

第十六条【更正权】信息系统管理者应提供必要的方法和手段，保证个人信息主体能够检查到信息系统中其个人信息的完整性、准确性，并且在发现错误时进行修改。

第十七条【禁止权】个人信息主体发现信息系统管理者不当处理其个人信息并要求屏蔽、删除或销毁其个人信息时，信息系统管理者应当按照个人信息主体的要求屏蔽、删除或销毁有关个人信息。

第十八条【求偿权】因信息系统管理者的原因导致个人信息

泄露或不当使用，给相关个人信息主体造成损害或损失，个人信息主体要求赔偿时，信息系统管理者应当赔偿。

第四章个人信息处理的前提条件

第十九条【个人信息处理的前提条件】未经法律法规的明确授权或个人信息主体的明示同意，信息系统管理者不应处理个人信息，除非满足以下条件之一：

（1）履行与个人信息主体签订的合同需要或是为了与个人信息主体缔结合同的需要；

（2）履行信息系统管理者的法定职责，且不会对个人信息主体权益造成侵害；

（3）为维护个人信息主体的利益需要，且情况紧急，获得个人信息主体同意客观上不可能或者由于时间耽搁造成的损失过于巨大；

（4）维护公共利益或第三方的重大利益需要，且不会对个人信息主体权益造成侵害；

（5）因传输需要，由自动设备进行的自动、瞬时完成的个人信息处理；

（6）处理个人信息主体主动公开的信息，且处理目的不超出个人信息主体主动公开的目的范围。

第二十条【特定个人信息的处理】法律法规已明确规定由专门机构处理的特定个人信息，信息系统管理者在未获得行业管理部门批准前，不应擅自处理相关信息。