20190702互联网个人信息安全保护指南
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布《互联网个人信息安全保护指南》(来源:全国互联网安全管理服务平台,2019-04-28)
为深入贯彻落实《网络安全法》,指导个人信息持有者建立健全
公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个
人信息违法行为,保障网络数据安全和公民合法权益,公安机关结
合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握
的情况,会同北京网络行业协会和公安部第三研究所等单位,研究
制定了《互联网个人信息安全保护指南》。
现正式发布,供互联网企业、联网单位在个人信息安全保护工
作中参考借鉴。
目次
引言.......................................................... III
1 范围 (1)
2 规范性引用文件 (1)
3 术语和定义 (1)
3.1 个人信息 (1)
3.2 个人信息主体 (2)
3.3 个人信息持有 (2)
3.4 个人信息持有者 (2)
3.5 个人信息收集 (2)
3.6 个人信息使用 (2)
3.7 个人信息删除 (2)
3.8 个人信息生命周期 (3)
3.9 个人信息处理系统 (3)
4 管理机制 (3)
4.1 基本要求 (3)
4.2 管理制度 (3)
4.3 管理机构 (4)
4.4 管理人员 (5)
5 技术措施 (8)
5.1 基本要求 (8)
5.2 通用要求 (8)
5.3 扩展要求 (15)
6 业务流程 (16)
6.1 收集 (16)
6.2 保存 (17)
6.3 应用 (17)
6.4 删除 (19)
6.5 第三方委托处理 (19)
6.6 共享和转让 (20)
6.7 公开披露 (21)
7 应急处置 (21)
7.1 应急机制和预案 (21)
7.2 处置和响应 (22)
引言
为有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,组织北京市网络行业协会和公安部第三研究所等单位相关专家,研究起草了《互联网个人信息安全保护指南》,供互联网服务单位在个人信息保护工作中参考借鉴。
互联网个人信息安全保护指南
1 范围
本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。
适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作参考使用。本文件适用于通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069—2010 信息安全技术术语
GB/T 35273—2017 信息安全技术个人信息安全规范
GB/T 22239 信息安全技术网络安全等级保护基本要求(信息系统安全等级保护基本要求)
3 术语和定义
3.1 个人信息
以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
[中华人民共和国网络安全法,第七十六条(五)]
注:个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
3.2 个人信息主体
个人信息所标识的自然人。
[GB/T 35273-2017,定义3.3]
3.3 个人信息持有
对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。
3.4 个人信息持有者
对个人信息进行控制和处理的组织或个人。
3.5 个人信息收集
获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。
[GB/T 35273-2017,定义3.5]
3.6 个人信息使用
通过自动或非自动方式对个人信息进行操作,例如记录、组织、
排列、存储、改编或变更、检索、咨询、披露、传播或以其他方式提供、调整或组合、限制、删除等。
3.7 个人信息删除
在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。
[GB/T 35273-2017,定义3.9]
3.8 个人信息生命周期
包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程。
3.9 个人信息处理系统
处理个人信息的计算机信息系统,涉及个人信息生命周期一个或多个阶段(收集、保存、应用、委托处理、共享、转让和公开披露、删除)。
4 管理机制
4.1 基本要求
个人信息处理系统的安全管理要求应满足GB/T 22239相应等级的要求。
4.2 管理制度
4.2.1 管理制度内容
a)应制定个人信息保护的总体方针和安全策略等相关规章制度
和文件,其中包括本机构的个人信息保护工作的目标、范围、原则和安全框架等相关说明;
b)应制定工作人员对个人信息日常管理的操作规程;