个人信息管理制度

文件编号WI-016**工作指导书生效日期2023.06.28修订状态A0个人信息治理制度页码第文件编号WI-016**工作指导书生效日期2023.06.28修订状态A0个人信息治理制度页码第1页共6页1.0目的敬重、保护个人隐私权。保证个人信息处理、使用及利用的目的与个人信息主体的意愿全都，不超目的、超范围处理、利用。2.0范围适用于各部门以及附属机构。定义个人信息：与特定个人相关、并可识别该个人的信息，如数据、图像、声音等，包括不能直接确认，但与其他信息比照、参考、分析仍可间接识别特定个人的信息。个人信息主体：可通过个人信息识别的特定的自然人。个人信息数据库：为实现确定的目的，依据某种规章组织的个人信息的集合体。包括：磁介质、电子及网络媒介，纸介质，声音，照片等。个人信息治理者：获个人信息主体授权，基于特定、明确、合法目的，治理、处理、使用、利用个人信息的机关、企业、事业、社会团体等组织及个人。收集：基于特定、明确、合法的目的猎取个人信息的行为。处理：处臵个人信息的过程，如录入、加工、编辑、存储、检索、交换、传输、输出等行为及其它处臵行为。使用：基于特定、明确、合法的目的，运用个人信息的行为。利用：基于特定、明确、合法的目的，供给、托付第三方处理、使用个人信息及其它因某种利好处理、使用个人信息的行为。隐私：是一种与公共利益、群体利益无关，当事人不愿他人知道或他人不便知道的个人信息，当事人不愿他人干预或他人不便干预的个人私事，以及当事人不愿他人侵入或他人不便侵入的个人领域。知悉、收集、利用和公开的一种人格权，而且权利主体对他人在何种程度上可以介入自己的私生活，对自职责信息安全小组：负责个人信息治理者的个人信息保护工作。应制定个人信息保护的规章和制度。制定个人信息保护监察制度和监察打算，并按打算实施监察。编制监察报告，催促、建议个人信息保护的改进、完善。IT：通过信息技术手段，保证个人信息数据库存储、保存的个人信息的完整性、保密性、可用性。人力资源部：宣传教育，在个人信息保护治理机构的指导下开展工作。组织、实施个人信息保护宣传教育。制定个人信息保护宣传教育策略和方法、培训打算。个人信息保护相关学问、技术的培训、教育。供给个人信息保护相关询问和效劳。供给个人信息处理、使用建议和意见。作业内容领导成立信息安全小组。建立个人信息保护系统。定期对雇员及供给商进展个人信息保护学问培训。内容包括：个人信息保护相关法律、法规、标准、标准和治理制度；个人信息保护的重要性和必要性；违反个人信息保护相关标准可能引起的损害和后果等。开展个人信息保护工作的组织、实施。个人信息保护宣传、教育。个人信息保护状况的检查、改进、完善。与接触到个人信息人员及供给商签订保密协议。收集全部个人信息收集行为，必需具有特定、明确、合法的目的。不得通过任何非法途径收集个人信息。收集个人信息，不得使用执行软件、登记平台等方式收集。全部个人信息收集行为，应征得个人信息主体同意，限定在收集目的范围内。收集、处理、使用、利用个人信息，应通知个人信息主体并征得个人信息主体的明确同意。通知形式包括：以书面形式通知个人信息主体；以可鉴证的、有标准记录的、满足书面形式要求的非书面形式通知个人信息主体。对个人信息收集进展严格限制，仅收集雇员效劳必需信息。收集个人信息，应符合供给商协议要求，符合法律法规。治理应明确与个人信息相关人员的权限、责任，加强相关人员的监察和治理，防止未经授权的个人信息接触。涉及个人信息相关资料的使用、借阅，应建立登记备案制度。登记应署真实姓名、部门、使用目的、使用方法及安全承诺。个人信息安全应实行必要、合理的治理和技术措施，防止未经授权的个人信息检索、使用、公开及丧失、泄露、损毁、篡改等行为。人员手工处理个人信息时，应依据确定的应用目的和规章进展信息收集、加工、存储、传输、检索、询问、交换等。个人信息应在收集、处理目的范围内保持准确性、完整性和最状态。其它业务开展或有特别要求的业务，涉及个人信息收集、处理，应制定相应的个人信息保护规定。所人的个人信息应保存在核心效劳器、文控中心或指定的资料存放室。个人信息治理者应为个人信息的存储、保存设定一个合理的时限，并与目的充分相关。必需建立个人信息数据库。可以通过自动处理检索、查阅特定的个人信息的集合体，如纸介质，声音，照片等。使用个人信息不得超范围处理、使用、利用。全部收集的任何个人隐私信息不得用作商业用途或任意泄漏给第三方。个人信息治理者处理个人信息之前，必需征得个人信息主体同意；或为履行与个人信息主体达成的合法协议的需要。个人信息的用途发生变化时，将征得所涉个人同意。使用个人信息，不得超过效劳期限。个人信息使用效劳期限完毕，必需对所持有的个人信息进展销毁或退还，并留有效的销毁证明。个人信息主体对相关个人信息享有权利，个人信息应向信息主体供给。任何人要取得个人信息时，信息安全治理部门将告知个人信息主体取得个人信息的途径或访问步骤。个人信息主体在通过身份验证后，均只能访问其所需的信息，并且这些个人信息无法用于识别其它人。个人信息主体均有访问的记录。利用不得让任何次承揽人收集、使用、访问、存储个人信息。将选择有良好声誉的次承揽人参与供给商打算，在转包效劳之前将获得供给商的书面同意。与全部参与供给商打算的次承揽人签订保密协议以保护供给商个人信息。全部参与供给商打算的次承揽人仅限于猎取履行与该供给商合约所需的个人信息。信息安全治理部门将对任何非法使用或揭露供给商个人信息的投诉进展审查。对于次承揽人将供给商个人信息用于非“向供给商效劳”目的时，将马上实行行动，以降低实际或潜在造成的损害。在将任何供给商个人信息供给应第三方时，将事先征得供给商的书面许可。持续进展信息安全审计，并且也将对供给商的进展年度审查，以保证遵从。对于任何疑似或已经违反隐私权或相关的安全漏洞的大事，将马上通知供给商。在公布任何与供给商个人或敏感信息之前，将通知供给商并征得同意。对于任何可以的漏洞或违规行为，马上修复。信息安全治理部门建立信息安全大事上报部门，该机制已经在信息安全治理体系文件中规定。对于承受到的投诉，信息安全治理部门将向供给商供给投诉记录文件。安全基制风险治理，在个人信息收集、处理、使用、利用过程中，识别、分析、评估潜在的风险因素，制定风险应对策略，实行风险治理措施，监控风险变化，并将剩余风险把握在可承受范围内。物理环境治理，依据需要实行必要的措施，保证个人信息存储、保存环境的安全，包括防火、防盗及其它自然灾难、意外事故、人为因素等。工作环境治理，留意工作人员工作环境内全部相关的个人信息的保护，防止未经授权的、无意的、恶意的使用、泄露、损毁、丧失。网络行为治理，制定网络治理措施，承受相应的技术手段，引导、约束通过网络利用、传播个人信息的行为，构建标准、科学、合理、文明的网络秩序。信息安全治理，在整体信息安全体系建设中，充分考虑个人信息保护的特点，加强个人信息安全防护，预防安全隐患和安全威逼。如网络根底平台、系统平台、应用系统、安全系统、数据等的安全，及信息交换中的安全防范、病毒预防和恢复、非传统信息安全等。存储治理，保存个人信息的个人计算机系统、可移动存储媒介〔电子、磁、纸、网络等介质及其它非自动处理介质〕应确保个人信息存储的准确性、完整性、牢靠性和安全使用。/调用把握、权限设臵、密钥治理等，防止个人信息的不当使用、毁损、泄露、删除等。备份和恢复，制定个人数据资料备份和恢复机制，并保证备份和恢复个人信息的完整性、牢靠性和准确性。人员治理，明确与个人信息相关人员的权限、责任，加强相关人员的监察和治理，防止未经授权的个人信息接触。备案治理，涉及个人信息相关资料的使用、借阅，应建立登记备案制度。登记应署真实姓名、部门、使用目的、使用方法及安全承诺。违反登记备案制度，应予以惩罚，并担当赔偿责任。打算。依据相关法律、标准和实际需求制定信息保护监察打算。应急治理。个人信息治理者制定应急预案，对收集、处理、使用、利用个人信息过程中可能消灭的个人信息泄露、丧失、损坏、篡改、不当使用等大事进展评估、分析，实行相应的预防措施和处理。持续改进。个人信息治理者依据相关法规、监察报告、需求变化、建议、投诉等，定期评估、分析个人信息保护体系运行状况，持续改进和完善个人信息保护系统。记录个人信息保护实施过程中记录相关个人信息保护行为的目的、时间、范围、对象、方式方法、效果、反响等信息。如培训教育、监察、宣传等。应急治理个人信息治理者应制定应急预案，对收集、处理、使用、利用个人信息过程中可能消灭的个人信息泄露、丢失、损坏、篡改、不当使用等大事进展评估、分析，实行相应的预防措施和处理。相关文件《信息安全治理体系手册》《信息资产及分级管把握程序》《人力资源把握程序》第三十八条中华人民共和国公民的人格尊严不受侵害。制止用任何方法对公民进展污辱、诽谤和诬告陷害。第三十九条中华人民共和国公民的住宅不受侵害。制止非法搜查或者非法侵入公民的住宅。第四十条中华人民共和国公民的通信自由和通信隐秘受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进展检查外，任何组织或者个人不得以任何理由侵害公民的通信自由和通信隐秘。《刑法》其次百四十五条非法搜查他人身体、住宅，或者非法侵入他人住宅的，处三年以下有期徒刑或者拘役。司法工作人员滥用职权，犯上一款罪的，从重惩罚。其次百四十六条以暴力或者其他方法公然污辱他人或者捏造事实诽谤他人，情节严峻的，处三年以下有期徒刑、拘役、管制或者剥夺政治权利。其次百五十二条隐匿、毁弃或者非法开拆他人信件，侵害公民通信自由权利，情节严峻的，处一年以下有期徒刑或者拘役。其次百五十三条邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的，处二年以下有期徒刑或者拘役。犯前款罪而窃取财物的，依照本法其次百六十四条的规定定罪从重惩罚。其次百五十三条之一国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者供给效劳过程中获得的公民个人信息，出售或者非法供给应他人，情节严峻的，处三年以下有期徒刑或者拘役，并处以罚金。窃取或者以其他方法非法猎取上述信息，情节严峻的，依照前款的规定惩罚。单位犯前两款罪的，对单位判惩罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定惩罚。《民法通则》第一百条公民享有肖像权，未经本人同意，不得以营利为目的使用公民的肖像。第一百零一条公民、法人享知名誉权，公民的人格尊严受法律保护，制止用污辱、诽谤等方式损害公民、法人的名誉。关于贯彻执行《民法通则》假设干问题的意见140．以书面、口头等形式宣扬他人的隐私，或者捏造事实公然丑化他人人格，以及用污辱、诽谤等方式损害他人名誉，造成确定影响的，应当认定为侵害公民名誉权的行为。141．盗用、假冒他人姓名、名称造成损害的，应当认定侵害姓名权、名称权的行为。《未成年人保护法》第三十一条任何组织或者个人不得披露未成年人的个人隐私。对未成年人的信件、日