DB31T 756-2013 個人信息保護(hù)規(guī)范

X個人信息保護(hù)規(guī)范2013-11-14發(fā)布2014-01-01實施上海市質(zhì)量技術(shù)監(jiān)督局發(fā)布1本規(guī)范依據(jù)國際、國內(nèi)相關(guān)法律、法規(guī)及信息安全相關(guān)標(biāo)準(zhǔn)，遵循OECD(世界經(jīng)濟(jì)個人數(shù)據(jù)跨國流通的指導(dǎo)原則》以及中國工業(yè)和信息化部《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》,參考國際通行的個人信息保護(hù)相關(guān)法規(guī)和行業(yè)自律模式制本規(guī)范由上海信息化發(fā)展研究協(xié)會提出。本規(guī)范由上海市經(jīng)濟(jì)和信息化委員會歸口。本規(guī)范主要起草單位：上海信息化發(fā)展研究協(xié)會、中金數(shù)據(jù)系統(tǒng)有限公司上海分公司、上海信息安全測評認(rèn)證中心、上海市信息服務(wù)外包發(fā)展中心。本規(guī)范主要起草人：徐龍章、張克、包炎林、趙瑞穎、管尚毅。本規(guī)范發(fā)布日期：屬首次發(fā)布。1本規(guī)范規(guī)定了個人信息保護(hù)相關(guān)術(shù)語和定義、個人信息保護(hù)原則、個人信息主體權(quán)利、個人信息管理者的義務(wù)、個人信息保護(hù)體系的建立、個人信息保護(hù)實施、個人信息保護(hù)的安全機制、持續(xù)改進(jìn)、個人信息保護(hù)評價等基本規(guī)則和要求。本規(guī)范適用于信息服務(wù)外包企業(yè)，和對自動或非自動處理全部或部分個人信息的機關(guān)、企業(yè)、事業(yè)、社會團(tuán)體等組織及個人。本規(guī)范部分強制性條款由黑體字注明2.術(shù)語和定義與特定個人相關(guān)、并可識別該個人的信息，如數(shù)據(jù)、圖像、聲音等，包括不能直接確認(rèn)，但與其他信息對照、參與、分析仍可間接識別特定個人的信息。為實現(xiàn)一定的目的，按照某種規(guī)則組織的個人信息的集合體。包括：a)可以通過自動處理檢索特定的個人信息的集合體，如磁介質(zhì)、電子及網(wǎng)絡(luò)媒介等；b)可以采用非自動處理方式檢索、查閱特定的個人信息的集合體，如紙介質(zhì)，聲音，c)除前2項外，法律規(guī)定的可檢索特定個人信息的集合體。可通過個人信息識別的特定的自然人。2獲個人信息主體授權(quán)，基于特定、明確、合法目的，管理、處理、使用、利用個人信息的機關(guān)、企業(yè)、事業(yè)、社會團(tuán)體等組織及個人?；谔囟?、明確、合法的目的獲取個人信息的行為。2.6處理自動或非自動處置個人信息的過程，如錄入、加工、編輯、存儲、檢索、交換、傳輸、輸出等行為及其它處置行為。個人信息的自動處理是利用計算機及其相關(guān)和配套設(shè)備、信息網(wǎng)絡(luò)系統(tǒng)、信息資源系統(tǒng)等，按照一定的應(yīng)用目的和規(guī)則進(jìn)行信息收集、加工、存儲、傳輸、檢索、咨詢、交換等業(yè)務(wù)。個人信息的非自動處理是按照一定的應(yīng)用目的和規(guī)則，人工進(jìn)行信息收集、加工、存儲、傳輸、檢索、咨詢、交換等業(yè)務(wù)。基于特定、明確、合法的目的，運用個人信息的行為?；谔囟?、明確、合法的目的，提供、委托第三方處理，使用個人信息及其它因某種利益處理、使用個人信息的行為。社會生活中為尊重、保護(hù)個人人格權(quán)，個人信息管理者對基于特定、明確、合法目的收集、保存、管理、處理、使用、利用的個人信息采取相應(yīng)的安全管理措施，并組織、開展個人信息安全的宣傳、教育；制定個人信息保護(hù)的基本規(guī)章制度；監(jiān)督個人信息保護(hù)的實施。收集、處理、使用、利用個人信息，應(yīng)通知個人信息主體并征得個人信息主體的明確同意。通知形式包括：a)以書面形式通知個人信息主體；b)以可鑒證的、有規(guī)范記錄的、滿足書面形式要求的非書面形式通知個人信息主體。3信息服務(wù)外包企業(yè)，對自動或非自動處理全部或部分個人信息的收集、處理、使用，應(yīng)符合個人信息保護(hù)的宗旨：個人信息不得非法收集、泄露和隨意使用。對個人信息保護(hù)應(yīng)包含以下要求：a)不得公開涉及個人隱私信息；b)在當(dāng)事人或者權(quán)益相關(guān)第三方的知情和同意的情況下，可公開使用個人信息；c)個人在有效證明身份的情況下，具有查詢個人信息的權(quán)利與義務(wù)。d)個人對已知的錯誤信息或者通過查詢而獲知的錯誤信息，有權(quán)進(jìn)行更正；e)對于不公開可能對公共利益造成重大影響的個人信息可以予以公開。個人信息應(yīng)在收集、處理目的范圍內(nèi)保持準(zhǔn)確性、完整性和最新狀態(tài)。個人信息收集、處理、利用應(yīng)采用合理、合法的手段和方式，并保持公開的形式。應(yīng)采取必要、合理的管理和技術(shù)措施，防止未經(jīng)授權(quán)的個人信息檢索、使用、公開及丟失、泄露、損毀、篡改等行為。4.個人信息主體權(quán)利a)確認(rèn)個人信息數(shù)據(jù)庫中與個人信息主體相關(guān)的信息；b)確認(rèn)個人信息收集、處理、使用、利用的相關(guān)信息；c)查閱個人信息數(shù)據(jù)庫與個人信息主體相關(guān)的個人信息。a)收集、處理、使用、利用個人信息，必須經(jīng)個人信息主體以書面形式明確同意，并簽字蓋章。下述情況視為默認(rèn)的個人信息主體的意愿：4·由監(jiān)護(hù)人代表未成年的或無法做出正確判斷的成年的個人信息主體表達(dá)的意·個人信息管理者與個人信息主體簽訂合同中確認(rèn)了相關(guān)個人信息處理的規(guī)定，個人信息主體同意履行合同；b)個人信息主體有權(quán)修改、刪除、完善相關(guān)個人信息，以保證個人信息的完整、準(zhǔn)確和最新狀態(tài)；c)個人信息主體有權(quán)以其他方式利用與之相關(guān)的個人信息。b)個人信息主體有權(quán)質(zhì)疑或反對相關(guān)個人信息的使用及利用目的、處理過程等；c)個人信息主體如果認(rèn)為相關(guān)個人信息的使用及利用目的、處理過程等侵害了相關(guān)主體的權(quán)益、或其它正當(dāng)理由，有權(quán)提出撤銷該個人信息；撤銷應(yīng)經(jīng)個人信息主5.個人信息管理者義務(wù)個人信息管理者必須保障個人信息主體的權(quán)利。個人信息管理者必須保證個人信息處理、使用及利用的目的與個人信息主體的意愿一致，不能超目的、超范圍處理、利用。5.3告知個人信息管理者應(yīng)將個人信息的使用及利用目的、處理方式、不提供個人信息的后果、查詢和更正相關(guān)個人信息的權(quán)利，以及個人信息管理者本身的相關(guān)信息等告知個人信息主體。個人信息管理者應(yīng)保證收集、管理、處理、使用、利用個人信息的完整性、準(zhǔn)確性、可用性、并保持最新狀態(tài)。5個人信息管理者必須對所管理的個人信息予以保密，并對個人信息處理、使用、利用過程中的安全責(zé)任。6.個人信息保護(hù)體系應(yīng)構(gòu)建個人信息保護(hù)體系，協(xié)調(diào)保護(hù)機制和各類資源，保障個人信息主體的權(quán)利，保障業(yè)務(wù)系統(tǒng)的穩(wěn)定運行。體系應(yīng)包括：b)機構(gòu)及職責(zé)；c)目標(biāo)和基本原則；d)管理機制；e)實施過程；f)安全機制；g)跟蹤與評估；h)過程模式；i)持續(xù)改進(jìn)。7.個人信息保護(hù)方針應(yīng)是指導(dǎo)個人信息保護(hù)工作，符合個人信息管理者實際情況，遵守國家相關(guān)法律、法規(guī)的原則和措施，并應(yīng)以簡潔、明確的語言闡述，并公之于眾。內(nèi)容主要包括：a)個人信息主體的權(quán)利；b)個人信息管理者的義務(wù)；c)個人信息保護(hù)的目的和原則；d)個人信息保護(hù)的措施和方法；e)個人信息保護(hù)的改進(jìn)和完善。68.個人信息保護(hù)相關(guān)機構(gòu)及職責(zé)個人信息管理者的最高行政領(lǐng)導(dǎo)，應(yīng)重視個人信息保護(hù)工作，并選擇有能力的人員組建相應(yīng)的機構(gòu)，在資金、資源等各個方面提供完全的支持。個人信息保護(hù)管理機構(gòu)負(fù)責(zé)個人信息管理者的個人信息保護(hù)工作。機構(gòu)的主要職責(zé)a)開展個人信息保護(hù)工作的組織、實施；b)個人信息保護(hù)基本規(guī)章、制度的制定；c)個人信息保護(hù)宣傳、教育；d)個人信息保護(hù)情況的檢查、改進(jìn)、完善。宣傳教育應(yīng)指定專人負(fù)責(zé)，在個人信息保護(hù)管理機構(gòu)的指導(dǎo)下開展工作。宣傳教育的主要職責(zé)是：a)組織、實施個人信息保護(hù)宣傳教育；b)制定個人信息保護(hù)宣傳教育制度、計劃；c)個人信息保護(hù)宣傳策略和方法的制定；d)個人信息保護(hù)相關(guān)知識、技術(shù)的培訓(xùn)、教育；e)個人信息保護(hù)宣傳教育的改進(jìn)和完善。服務(wù)支持應(yīng)指定專人負(fù)責(zé)，在個人信息保護(hù)管理機構(gòu)的領(lǐng)導(dǎo)下開展工作。服務(wù)支持的主要職責(zé)應(yīng)包括：a)提供個人信息保護(hù)相關(guān)咨詢和服務(wù)；b)提供個人信息處理、使用建議和意見；c)接受有關(guān)個人信息保護(hù)的意見，并落實和反饋；d)溝通、交流；e)個人信息保護(hù)相關(guān)事項、問題處理等的發(fā)布；7f)其它應(yīng)處理的問題。應(yīng)指定專門的個人信息保護(hù)監(jiān)察負(fù)責(zé)人，可以在個人信息管理者內(nèi)部選聘，或聘請社會人士擔(dān)任。其職能是：a)獨立、公平、公正地開展個人信息保護(hù)監(jiān)督、檢查、調(diào)查工作；b)制定個人信息保護(hù)監(jiān)察制度和監(jiān)察計劃，并按計劃實施監(jiān)察；c)編制監(jiān)察報告，督促、建議個人信息保護(hù)的改進(jìn)、完善。9.個人信息保護(hù)管理機制應(yīng)制定個人信息保護(hù)的規(guī)章和制度，包括基本的個人信息保護(hù)規(guī)章和適用于各從屬機構(gòu)、部門特點的管理細(xì)則，并使每個工作人員完全理解并遵照執(zhí)行。個人信息保護(hù)基本規(guī)章是個人信息管理者及其工作人員應(yīng)遵循的行為準(zhǔn)則，應(yīng)在實施過程中不斷改進(jìn)和完善?；疽?guī)章主要包括以下各項：a)個人信息保護(hù)相關(guān)機構(gòu)職能及職責(zé)；b)個人信息收集、處理、利用等的管理；c)個人信息保護(hù)風(fēng)險和安全管理措施；d)個人信息數(shù)據(jù)庫管理；e)個人信息保護(hù)管理體系相關(guān)文檔管理；f)個人信息保護(hù)培訓(xùn)教育管理；g)個人信息保護(hù)監(jiān)察管理；h)服務(wù)支持管理；i)應(yīng)急管理；j)違反個人信息保護(hù)相關(guān)規(guī)章的處理；k)其它必要的管理。8各從屬機構(gòu)、部門應(yīng)根據(jù)實際需要制定與基本規(guī)章一致，并符合從屬機構(gòu)、部門實際、切實可行的個人信息保護(hù)細(xì)則。其它業(yè)務(wù)開展或有特殊要求的業(yè)務(wù)，涉及個人信息收集、處理，應(yīng)制定相應(yīng)的個人信息保護(hù)規(guī)定。9.2宣傳個人信息管理者應(yīng)在其內(nèi)部向全體工作人員及其它相關(guān)人員說明實施個人信息保護(hù)的重要性和管理策略，以得到工作人員及其它相關(guān)人員對個人信息保護(hù)工作的配合和重個人信息管理者處理涉及個人信息的相關(guān)業(yè)務(wù)時，應(yīng)主動說明實施個人信息保護(hù)的目的、措施、方法和規(guī)定，并做出保密承諾。個人信息管理者應(yīng)在相關(guān)媒介中增加個人信息保護(hù)的相關(guān)內(nèi)容，如宣傳資料、網(wǎng)絡(luò)媒介(如網(wǎng)站、博客、播客等)及其它相關(guān)的面向社會的電子類、紙質(zhì)等材料。9.3培訓(xùn)教育應(yīng)根據(jù)人員、機構(gòu)、業(yè)務(wù)、需求等實際情況，制定個人信息保護(hù)相應(yīng)的培訓(xùn)和教育制定，適時開展個人信息保護(hù)培訓(xùn)教育。個人信息保護(hù)培訓(xùn)教育的對象，應(yīng)包括：a)工作人員；b)臨時員工；c)其他相關(guān)人員。9個人信息保護(hù)培訓(xùn)教育的主要內(nèi)容，應(yīng)包括：a)個人信息保護(hù)相關(guān)法律、法規(guī)、規(guī)范、標(biāo)準(zhǔn)和管理制度；b)個人信息保護(hù)的重要性和必要性；c)個人信息保護(hù)培訓(xùn)教育對象的職能和責(zé)任；d)違反個人信息保護(hù)相關(guān)標(biāo)準(zhǔn)可能引起的損害和后果。公開、公示個人信息，應(yīng)征得個人信息主體同意。通知的內(nèi)容應(yīng)包括：a)個人信息管理者的相關(guān)信息；b)公示的目的、方式、范圍和內(nèi)容；c)個人信息主體的權(quán)利；d)公示和非公示的結(jié)果。個人信息主體應(yīng)明確確認(rèn)其個人信息是否以簡明、易懂的語言記載、存儲在個人信息數(shù)據(jù)庫中，并可以清楚無誤地提取、拷貝這些信息。個人信息管理者應(yīng)為個人信息的存儲、保存設(shè)定一個合理的時限，并與目的充分相個人信息管理者應(yīng)履行第5章規(guī)定的義務(wù)，建立個人信息數(shù)據(jù)庫管理機制。包括：a)個人信息數(shù)據(jù)庫管理和使用制度；b)個人信息數(shù)據(jù)庫管理者的職責(zé)；c)權(quán)限和安全管理；d)備份和恢復(fù)；e)維護(hù)和記錄；f)事故處理。應(yīng)建立備案登記制度，并有專人負(fù)責(zé)。記錄應(yīng)包括存儲、保存的目的、時限、更新時間、獲取方法、獲取途徑、位置、使用記錄、使用目的、廢棄原因和方法等。個人信息管理者應(yīng)保證個人信息數(shù)據(jù)庫存儲、保存的個人信息的準(zhǔn)確性、完整性、保密性和可用性，并隨時更新，以保證信息的最新狀態(tài)。應(yīng)在個人信息保護(hù)體系實施過程中記錄相關(guān)個人信息保護(hù)行為的目的、時間、范圍、對象、方式方法、效果、反饋等信息。如培訓(xùn)教育、監(jiān)察、宣傳等。應(yīng)建立與個人信息保護(hù)體系相關(guān)的規(guī)章、文件、記錄、合同等文檔的備案管理制度，并不斷改進(jìn)和完善。10.保護(hù)實施所有個人信息收集行為，必須具有特定、明確、合法的目的，并應(yīng)征得個人信息主體同意，限定在收集目的范圍內(nèi)。收集方式主要包括：a)主動收集：個人信息主體基于生活、工作需要主動提供。如購物(房、車等)、醫(yī)療、銀行業(yè)務(wù)、電子商務(wù)等；b)被動收集：個人信息主體不知情或不能控制情況下收集。包括：·采用各種網(wǎng)絡(luò)技術(shù)和方法；·社會交往、商業(yè)經(jīng)濟(jì)等活動。應(yīng)基于特定、明確、合法的目的，采用科學(xué)、規(guī)范、合法、適度、適當(dāng)?shù)氖占椒ê褪侄?，以保障個人信息主體的權(quán)力：a)應(yīng)將收集目的、范圍、方法和手段、處理方式等清晰無誤的告知個人信息主體，并征得個人信息主體同意；被動收集時，應(yīng)將收集目的、范圍、內(nèi)容、方法和手段、處理方式等以公告形式發(fā)布。如有疑義、反對，應(yīng)停止收集；b)個人信息主體應(yīng)采用適當(dāng)?shù)拇胧?，防止不正?dāng)收集個人信息。直接從個人信息主體收集相關(guān)個人信息時，應(yīng)征得個人信息主體同意。必須向個人信息主體提供的信息應(yīng)包括：a)個人信息管理者的相關(guān)信息；b)個人信息收集、處理、利用的目的、方法；c)接受并處理、利用該個人信息的第三方的相關(guān)信息；d)個人信息主體拒絕提供相關(guān)個人信息可能會產(chǎn)生的后果；e)個人信息主體的查詢、修正、反對等相關(guān)權(quán)利；f)個人信息安全和保密承諾。非直接地收集個人信息時，也應(yīng)征得個人信息主體同意。間接收集必須保證個人信息主體利益不受侵害。必須提供的信息參照10.1.3.1。個人信息管理者處理個人信息之前，必須征得個人信息主體同意；或為履行與個人信息主體達(dá)成的合法協(xié)議的需要。個人信息管理者應(yīng)在個人信息收集目的范圍內(nèi)處理、使用、利用個人信息，不可超出收集的處理。個人信息管理者在處理個人信息時，應(yīng)履行5.4款規(guī)定的義務(wù)，保證個人信息安全。個人信息管理者所擁有的個人信息主體的相關(guān)個人信息，應(yīng)是依特定、明確、合法的目的，經(jīng)個人信息主體同意，采取適當(dāng)、合法、有效的方法和手段獲得的，并不與收集目的相悖。個人信息管理者合法擁有的個人信息主體的相關(guān)個人信息，在向第三方提供時，應(yīng)履行第5章個人信息管理者的義務(wù)，保障個人信息主體的合法權(quán)益。個人信息管理者向第三方提供個人信息主體的相關(guān)個人信息，應(yīng)獲得個人信息主體的授權(quán)，并在允許的目的范圍內(nèi)，采用合法、適當(dāng)、適度的方法使用。第三方接受個人信息管理者提供的個人信息主體的相關(guān)個人信息，應(yīng)履行5.4款的規(guī)定。個人信息管理者向第三方提供個人信息主體的相關(guān)個人信息時，應(yīng)獲得第三方以書面形式(或以可見證的、有規(guī)范紀(jì)錄的、滿足書面形式要求的非書面形式)、保證個人信息的完整性、準(zhǔn)確性、安全性的明確承諾，避免不正確使用或泄露。委托第三方收集個人信息、或向第三方委托個人信息處理業(yè)務(wù)時，應(yīng)在個人信息主體明確同意的，或委托方以合同或其它方式要求的使用目的范圍內(nèi)處理，不可超范圍、超目的隨意處理，并將受托方相關(guān)信息提供給個人信息主體。提供的信息可參照涉及個人信息委托業(yè)務(wù)時，應(yīng)選擇已建立個人信息保護(hù)體系的個人信息管理者，以建立相應(yīng)的委托信息機制，保證不會發(fā)生個人信息泄露或個人信息濫用。在委托合同中應(yīng)包括：b)委托目的和范圍；f)個人信息相關(guān)事故的責(zé)任認(rèn)定和報告；g)合同到期后個人信息的處理方式。分析、整合、整理、挖掘、加工等個人信息二次開發(fā)，應(yīng)履行第5章個人信息管理者的義務(wù)，征得個人信息主體同意，并限定在個人信息主體同意的范圍內(nèi)，避免隨意泄露、傳播和擴散。通知的內(nèi)容應(yīng)包括：b)二次開發(fā)的目的、方式、方法和范圍；e)開發(fā)完成后的處理方式。個人信息交易應(yīng)履行第5章個人信息管理者的義務(wù)，征得個人信息主體同意，并限制在個人信息主體同意的范圍內(nèi)處理使用，避免隨意泄露、傳播和擴散。通知的內(nèi)容可參照10.3.3.1。個人信息交易的行為，包括：DB31/T756—2013任何使用個人信息的行為，應(yīng)履行第5章個人信息管理者的義務(wù)，征得個人信息主體同意，并限定在個人信息主體同意的范圍內(nèi)，避免隨意泄露、傳播和擴散。通知信息參照10.1.3.1。需要超目的范圍處理、使用、利用個人信息時，應(yīng)得到該個人信息主體同意。通知信息參照10.1.3.1。應(yīng)在個人信息收集、處理、使用、利用過程中，識別、分析、評估潛在的風(fēng)險因素，制定風(fēng)險應(yīng)對策略，采取風(fēng)險管理措施，監(jiān)控風(fēng)險變化，并將殘余風(fēng)險控制在可接受范圍內(nèi)。應(yīng)根據(jù)需要采取必要的措施，保證個人信息存儲、保存環(huán)境的安全，包括防火、防盜及其它自然災(zāi)害、意外事故、人為因素等。應(yīng)注意工作人員工作環(huán)境內(nèi)所有相關(guān)的個人信息的保護(hù)，防止未經(jīng)授權(quán)的、無意的、惡意的使用、泄露、損毀、丟失。工作環(huán)境包括：b)工作桌面；c)計算機桌面；d)計算機接口；e)計算機管理(文件、文件夾等);f)其他相關(guān)管理。應(yīng)制定網(wǎng)絡(luò)管理措施，采用相應(yīng)的技術(shù)手段，引導(dǎo)、約束通過網(wǎng)絡(luò)利用、傳播個人信息的行為，構(gòu)建規(guī)范、科學(xué)、合理、文明的網(wǎng)絡(luò)秩序。應(yīng)在整體信息安全體系建設(shè)中，充分考慮個人信息保護(hù)的特點，加強個人信息安全防護(hù)，預(yù)防安全隱患和安全威脅。如網(wǎng)絡(luò)基礎(chǔ)平臺、系統(tǒng)平臺、應(yīng)用系統(tǒng)、安全系統(tǒng)、數(shù)據(jù)等的安全，及信息交換中的安全防范、病毒預(yù)防和恢復(fù)、非傳統(tǒng)信息安全。保存?zhèn)€人信息的個人計算機系統(tǒng)、可移動存儲媒介(電子、磁、紙、網(wǎng)絡(luò)等介質(zhì)及其它非自動處理介質(zhì))應(yīng)確保個人信息存儲的準(zhǔn)確性、完整性、可靠性和安全使用。應(yīng)根據(jù)個人信息自動和非自動處理的特點，制定相應(yīng)的個人信息使用管理策略，包括訪問/調(diào)用控制、權(quán)限設(shè)置、密鑰管理等，防止個人信息的不當(dāng)使用、毀損、泄露、刪除等。應(yīng)制定個人數(shù)據(jù)資料備份和恢復(fù)機制，并保證備份和恢復(fù)個人信息的完整性、可靠性和準(zhǔn)確性。應(yīng)明確與個人信息相關(guān)人員的權(quán)限、責(zé)任，加強相關(guān)人員的監(jiān)察和管理，防止未經(jīng)授權(quán)的個人信息接觸。涉及個人信息相關(guān)資料的使用、借閱，應(yīng)建立登記備案制度。登記應(yīng)署真實姓名、部門、使用目的、使用方法及安全承諾。違反登記備案制度，應(yīng)予以處罰，并承擔(dān)賠償責(zé)