版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、大连软件及信息服务业个人信息保护规范大连软件行业协会Regulation for Privacy Protection of Dalian Software and Information Service Industry前 言 为了增强大连软件行业个人信息保护理念,提高管理水平,加强与国内外的合作,促进大连市软件及信息服务业的规范发展,大连软件行业协会特制定大连软件及信息服务业个人信息保护规范。大连软件及信息服务业个人信息保护规范是依据我国信息管理及信息安全相关法规和标准,并参照 OECD 关于保护隐私和个人数据跨国流通指导原则和日本JIS Q15001制定。 本规范由大连软件行业协会个人信
2、息保护工作委员会制定。首次发布。 1 适 用 范 围 大连软件及信息服务业个人信息保护规范主要适用于利用计算机及其相关和配套设备(含网络),按照一定的应用目的和规则对信息进行收集、加工、存储、传输、检索等处理业务的企业、事业、社会团体等独立法人单位。2 定 义软件业包括软件咨询、设计、开发、集成、测试、外包、维护等业务;信息服务业包括系统集成、数据加工和处理、呼叫中心、信息与数据中心、电子商务、互联网内容及增值服务、IT教育与培训等业务。软件及信息服务业OECD世界经济合作发展组织(Organization for Economic Co-operation and Development)。
3、个人信息个人信息是指存在的与个人相关的、并且可用于识别特定个人的信息。包括姓名、出生日期、分派给个人的号码、标志以及其它符号,可以识别个人的图像或声音等(包括某些单独使用时无法识别、但能够方便地与其他数据进行对照参考,并由此识别特定个人的信息)。根据特定信息进行识别或者能够识别的对象。这里指拥有该个人信息的本人。信息主体 个人信息的收集是指为建立个人信息资料而取得个人信息的行为。个人信息的处理是指利用计算机或软件对个人信息进行录入、存储、编辑、修改、检索、删除、输出、传输、或其它处理的过程。个人信息的利用指单位将自己拥有的个人信息在单位内部使用或提供给第三者。个人信息的委托单位为了委托信息处理
4、业务,而将自己拥有的个人信息委托给第三者。原则上以信息主体的签名盖章和口头承诺为准,下述情况也可以包括在默认范围内:a 未成年人和无法对事情做出正确判断的成年人可以由家长或监护人代表;b 信息主体已经确切得到了通知,而且没有表示反对;c 在信息收集时,信息管理者与信息主体签定的合同中规定了个人信息的使用,而且信息主体同意履行合同。信息主体的同意个人信息管理者 被委托保存和管理个人信息的企业、单位、团体和个人。3 个人信息保护原则收集和利用原则安全保障原则信息主体权利原则信息内容最新状态原则个人信息保护应遵循以下原则加以保护3.1 收集和利用原则个人信息收集应采用合理合法手段,并应征得信息主体的
5、同意;个人信息收集应有明确目的,不得超范围利用。3.2 安全保障原则应采取合理的安全保护措施,避免个人信息的丢失、泄漏、篡改和破坏等现象发生;除信息主体的同意外,个人信息不得提供给第三方。3.3 信息主体权利原则信息主体有权确认个人信息所在;信息主体有权对个人信息提出删除、修改和完善的要求。3.4 信息内容最新状态原则个人信息应确保在目的范围内的正确性和完全性,并保持最新状态。4 组织机构及责任单位领导者个人信息保护负责人监查负责人部门个人信息保护责任人客户窗口责任人培训教育负责人管理和操作人员4.1 管理层负责人及责任4.1.1 单位领导者单位领导者应重视个人信息保护工作,并在资金和资源上给
6、予支持。4.1.2 单位个人信息保护负责人单位应任命个人信息保护负责人,负责单位个人信息保护工作的开展、组织基本规章制度的制定与实施;组织各部门个人信息保护责任人共同制定部门管理细则;指导培训教育工作的开展。4.2 监查负责人4.2.1 监查负责人的指定单位应设置专门的个人信息保护监查负责人,监查负责人可以在单位内部指定,也可以从外面聘请。监查负责人应在单位领导者的直接领导下;监查负责人应具有独立性,并站在公平、公正的立场上。4.2.3 监查负责人的责任监查负责人负责制定监查规定和监查计划,按照计划对单位个人信息保护情况进行监查,负责写出监查报告并提出改进意见。4.3 部门和其它责任人及责任4
7、.3.1 部门责任人单位应指定各部门的个人信息保护责任人,负责本部门个人信息保护工作的开展和配合单位个人信息保护负责人制定本部门个人信息保护管理细则,负责本部门个人信息保护管理细则的实施。4.3 部门和其它责任人及责任4.3.2 培训教育负责人单位应任命个人信息保护培训与教育工作负责人,配合单位个人信息保护负责人制定培训教育规定和培训教育计划,并负责培训教育计划的实施。 4.3 部门和其它责任人及责任4.3.3 客户窗口责任人单位应指定客户窗口责任人,负责接受客户或消费者的意见和建议;提出处理意见和促进意见的落实和反馈;在出现问题时负责与客户或消费者沟通和讨论补偿办法。5 基本规章 单位基本规
8、章由单位个人信息保护负责人组织相关管理人员共同制定。主要包括如下规定:个人信息保护组织机构与责任的规定个人信息收集、利用、提供、委托、处理等管理规定个人信息保护培训教育的规定个人信息保护监查规定违反个人信息保护规章制度的处罚规定6 运行与实施6.1 个人信息保护的宣传6.1.1 对内宣传向全体员工宣传个人信息保护的重要性和策略,以得到员工对个人信息保护工作的配合和重视。6.1.2 对外宣传在单位宣传资料或网站上增加个人信息保护相关内容。在承接有个人信息的业务时,应主动向客户和消费者宣传单位个人信息保护的措施和规定。6 运行与实施6.2 部门管理细则 6.2.1部门管理细则的制定部门管理细则由个
9、人信息保护单位负责人组织各部门个人信息保护责任人共同制定,分别适用于单位各部门,部门管理细则应与单位基本规章相一致,应切实可行,而且要求每一个具体操作人员可以理解和执行。部门管理细则最终要得到单位个人信息保护负责人的同意。6.2.2部门管理细则的实施部门管理细则由部门个人信息保护责任人负责实施。6.3 个人信息的收集收集目的收集方法和手段不允许收集的个人信息直接从信息主体收集个人信息间接收集个人信息6.3.1 收集目的个人信息收集之前就应明确收集的目的,并应征得信息主体的同意,在收集目的范围内进行收集。从被公开的资料中收集个人信息时也应设定收集目的。6.3.2收集方法和手段个人信息收集应采取适
10、当的方法和合法的手段。6.3.3不允许收集的个人信息不允许收集、利用和提供下列内容的个人信息(不包括信息主体明确同意或法律有特别规定的情况下)。a 有关思想、信仰、宗教的事项;b 有关人权、身体障碍、精神障碍、犯罪史及相关能造成社会岐视的事项;c 有关政治权利的事项;d 有关保健医疗及性生活的事项。6.3.4 直接从信息主体收集个人信息直接从信息主体收集个人信息时,应以书面或能代替书面的形式通知信息主体,并征得信息主体的同意,通知信息主体的内容应包括:a 企业名称、信息管理者名称、职务、部门、联系电话;b 收集目的;c 委托保管个人信息时的信息接受者及个人信息保管合同;d 信息主体对信息如果拒
11、绝提供可能会产生的后果。6.3.5 间接收集个人信息间接收集个人信息时,也应以书面和能代替书面的形式通知信息主体,并征得信息主体的同意,但以下情况除外;a 在信息主体同意的前提下通过信息提供者来收集个人信息;b 为了对外委托业务而委托保管的个人信息;c 在不可能侵害到信息主体利益的情况下。6.4 个人信息提供和利用6.4.1提供和利用目的范围限定个人信息的提供和利用应在收集目的范围之内,不可超出收集目的以外的利用,除非得到信息主体的同意,但在下述情况下可以不征得信息主体的同意:a 在法律规定的情况下;b 在信息主体或公众的生命、健康、财产的重大利益需要保护的情况下。6.4.2收集目的外的利用与
12、提供在信息主体同意的收集目的范围外利用与提供个人信息,应事先征得信息主体的同意,并以书面形式或代替书面形式的方式通知信息主体。6.5 个人信息的委托6.5.1委托的范围限制对于委托业务中委托保管的个人信息,应在信息主体同意的目的范围内或委托方要求的目的和合同要求的范围内对信息进行处理,不可随意利用和提供。6.5.2委托条件对于委托信息处理业务而需要寄存的个人信息,应制定统一的标准,选择个人信息保护能力较强的公司,并在合同中规定如下内容:a 保守个人信息秘密;b 再委托时的相关事项;c 事故发生时的责任;d 合同期满后,个人信息的返还和消除。6.6 个人信息保管6.6.1 个人信息正确保管个人信
13、息管理者应在信息主体同意的目的范围内,以信息主体同意的形式正确及时地保管个人信息,应对个人信息的安全负全责。个人信息的保管应有明确的记录和专人负责,记录应包括业务类型、信息存放位置、保管期限、获取方法、获取途径、提供目的、废弃方法。6.6.2 确保个人信息的完整性和可用性个人信息管理者要保证所保管的个人信息在目的范围内的完整性和可用性,并对信息随时更新,以保证信息的最新状态。6.7 保障信息主体权利6.7.1 信息主体权利信息主体有权知道自身信息所在位置,有权对自身信息提出修改、删除、完善和公开的要求,有权确认、提取、拷贝自身个人信息,有权对自身个人信息的利用目的提出反对意见。6.7.2 告知
14、义务个人信息管理者应将信息的利用目的、不提供信息的后果、查询和更正自身个人信息的权利告诉信息主体。6.7.3 信息主体意见及反馈在信息主体对自身信息提出要求的情况下,要及时做出回应,并采取相应措施。6.8 个人信息安全技术和物理措施单位应对本单位拥有的个人信息采取合理的安全保护措施。个人信息安全保护措施应参考国家有关信息安全管理标准及法规制定。安全保护措施应包括:权限管理网络与设备管理数据备份存储管理6.8.1 权限管理 明确个人信息接触人员的权限及责任,加强对相关人员的管理,防止无权者对个人信息的接触6.8.2 网络与设备管理对计算机、网络、服务器及相关设备应采取安全防护措施,包括访问及存取
15、控制、密钥管理、权限设置等,防止对个人信息的不当存取、非法修改、破坏、泄漏和删除等;对外部网络和电子邮件的信息交换过程,要研究特别的预防措施,防止非法入侵和病毒破坏等。6.8.3 数据备份对个人信息数据应采取备份和数据恢复等措施,防止个人信息的破坏和丢失。6.8.4 存储管理对保存有个人信息的计算机及活动介质(包括磁带、磁盘(各类)、笔记本、输入和输出介质、程序清单、测试报告和系统文档等)要确保安全使用、保存和处置。6.9培训与教育6.9.1培训教育实施单位应按照培训教育计划对全体员工进行个人信息保护的培训教育,培训对象应包括正式员工、临时员工、派遣人员等;教育的内容应包括:个人信息保护的重要性、员工在单位个人信息保护中的职能用责任,以及违反个人信息保护规章可能引起的损害和后果等。6.9.2培训教育记录对每次培训教育应有记录,记录应包括培训时间、地点、教材、教师、参加人员、培训效果及员工反应等内容。6.10 意见及反馈单位
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 二零二四年度互联网医疗产品代理协议
- 2024年度光伏产品生产与销售合同
- 2024训练经费赞助合同范文
- 二零二四年成品油供应链优化合同:物流成本降低方案
- 2024年度文化活动策划合同
- 2024年金刚石喷雾研磨剂项目可行性研究报告
- 肥料促销合同范本
- 2024年次高分子标准蛋白项目可行性研究报告
- 2024至2030年中国辣味浸渍粉数据监测研究报告
- 订货合同范本欠款
- 上海市虹口中学2025届高三压轴卷数学试卷含解析
- 长春工程学院《西方文明史》2023-2024学年第一学期期末试卷
- 8.1 国家好 大家才会好(教学课件)-八年级道德与法治上册同步备课系列(统编版)
- 2024-2030年中国燃气发电行业发展前景预测规划分析报告
- 2024年辅警招考时事政治考题及答案(168题)
- 2024年“国际档案日”档案知识竞赛题目和答案
- 工程机械租赁服务方案及保障措施
- 手机综合症小品台词
- 部编版小学语文六年级上册《童年》阅读测试题及答案(全册)
- 2023年基层卫生岗位练兵和技能竞赛试题及答案全科医疗组
- GB/T 10095.1-2022圆柱齿轮ISO齿面公差分级制第1部分:齿面偏差的定义和允许值
评论
0/150
提交评论