个人信息保护指南

个人信息保护指南00:35来源：第一章总则第一条[目的]为提高个人信息保护意识，保护个人合法权益，促进个人信息有序利用，指导和标准利用信息系统处理个人信息的活动，制定本指南。其次条[适用范围和方式]企事业单位局部或全部承受信息系统进展个人信息处理时，可依据本指南的原则和要求，制定个人信息保护政策、个人信息处理准则或方法，标准本单位的个人信息处理活动。行业协会、标准化组织、第三方机构等可依据本指南的原则和要求，制定个人信息处理自律手则、标准和评估方法等，标准、指导相关单位的个人信息处理活动。第三条[不适用范围]本指南不适用于以下状况的个人信息处理活动：因统计和科学争论需要由统计机构和争论机构匿名进行的个人信息处理；因家庭事务和个人交往需要由自然人进展的个人信息处理；法律法规对个人信息处理有明确规定的其他情形。[术语定义]本指南中，“个人信息”是指与特定自然人相关、能够单独或与其他信息结合识别该特定自然人的任何信息。“个人信息主体”是指可通过个人信息识别的特定自然人。“信息处理”是指收集、储存、修改、编辑、整理、汇编、检索、标注、挖掘、转移、披露、公开、传输、交换、删除、销毁等等针对信息所进展的全部行为。“信息系统”是指为实现信息处理目的，依据确定规章组合并运行的计算机及其配套的设备、设施〔含网络〕。“收集”是指猎取并记录个人信息的行为。“加工”使用、销毁或删除之外的一切信息处理行为。“转移”是指将保存或拥有的个人信息移交给其他自然人、法人或组织的行为。“使用”是指运用个人信息的行为，包括向公众或特定群体披露、在决策中加以考虑、依据个人信息作出打算或决策，依据个人信息实施某种行动或行为等。“销毁”是指从物理上消灭记录个人信息的载体。“删除”是指从信息系统和载体上永久去除个人信息并不行恢复。其次章个人信息处理原则第五条【遵循原则要求】利用信息系统进展个人信息处理，应自觉遵守本指南确定的原则。第六条【目的明确原则】处理个人信息应具有明确、合法的目的，法律法规没有明确规定或者个人信息主体没有明确授权，不应擅自处理个人信息。第七条【公开透亮原则】处理个人信息之前，应以明确、易懂的方式向个人信息主体告知处理个人信息的目的，处理个人信息的具体内容、个人信息在信息系统中的留存时限、个人信息保护的政策，个人信息主体的权利以及个人信息的使用范围和相关责任人等。第八条【质量保证原则】应依据处理目的的需要保证个人信息准确、完整，时间敏感的个人信息应处于最状态。保护信息系统中的个人信息安全，防止未经授权检索、公开及丧失、泄露、损毁和篡改个人信息。第十条【合理处置原则】利用信息系统处理个人信息的方式应合理，处理个人信息的内容应与告知个人信息主体的目的相关，不超出目的范围处理个人信息，不应在既定目的实现后超期限保存个人信息。第十一条【个人参与原则】应在个人信息处理的过程中，供给必要的途径和手段，为个人信息主体实现其权利供给便利。第十二条【责任落实原则】应明确个人信息处理过程中的责第三章个人信息主体权利保护第十三条【权利保护要求】利用信息系统处理个人信息时，信息系统治理者应供给必要的措施和手段保护个人信息主体的权利，除非法定缘由或维护公共利益、第三方重大利益的需要，不应限制个人信息主体的权利。第十四条【知情权】个人信息主体向信息系统治理者提出申请了解：〔1〕是否拥有其个人信息；〔2〕拥有个人信息的内容；〔3〕获得其个人信息的来源；〔4〕处理其个人信息的目的；〔5〕保护其个人信息的政策和措施；〔6〕披露或向其他机构供给其个人信息的范围；〔7〕信息系统治理者的相关信息等时，信息系统治理者应当照实告知。第十五条【选择权】信息系统治理者向个人信息主体收集其个人信息时，应赐予个人信息主体同意或拒绝的时机。第十六条【更正权】信息系统治理者应供给必要的方法和手段，保证个人信息主体能够检查到信息系统中其个人信息的完整性、准确性，并且在觉察错误时进展修改。第十七条【制止权】个人信息主体觉察信息系统治理者不当处理其个人信息并要求屏蔽、删除或销毁其个人信息时，信息系统治理者应当依据个人信息主体的要求屏蔽、删除或销毁有关个人信息。第十八条【求偿权】因信息系统治理者的缘由导致个人信息泄露或不当使用，给相关个人信息主体造成损害或损失，个人信息主体要求赔偿时，信息系统治理者应当赔偿。第四章个人信息处理的前提条件第十九条【个人信息处理的前提条件】未经法律法规的明确授权或个人信息主体的明示同意，信息系统治理者不应处理个人信息，除非满足以下条件之一：履行与个人信息主体签订的合同需要或是为了与个人信息主体缔结合同的需要；履行信息系统治理者的法定职责，且不会对个人信息主体权益造成侵害；为维护个人信息主体的利益需要，且状况紧急，获得个人信息主体同意客观上不行能或者由于时间耽误造成的损失过于巨大；维护公共利益或第三方的重大利益需要，且不会对个人信息主体权益造成侵害；因传输需要，由自动设备进展的自动、瞬时完成的个人信息处理；处理个人信息主体主动公开的信息，且处理目的不超出个人信息主体主动公开的目的范围。其次十条【特定个人信息的处理】法律法规已明确规定由专门机构处理的特定个人信息，信息系统治理者在未获得行业治理部门批准前，不应擅自处理相关信息。其次十一条【个人信息公告要求】本指南公布前，信息系统治理者已经存留个人信息的，应当实行适当方式公告其存留的个人信息类别、个人信息主体的规模和范围以及个人信息的使用目的。第五章个人信息收集其次十二条【直接收集个人信息】信息系统治理者如需使用个人信息，应直接向个人信息主体收集。利用信息系统收集个人信息，应满足以下条件：具有特定、明确、合法的目的；承受合理、适当的方法和手段；获得个人信息主体的明确同意，或满足第十九条的规定；其次十三条【信息收集要求】信息系统治理者向个人信息主体收集个人信息前，应实行个人信息主体能够收悉的方式向个人信息主体明确告知如下事项：收集信息的目的、使用范围和收集方式；信息系统治理者的名称、地址、联系方法；不供给个人信息可能消灭的后果；个人信息主体的权利；个人信息主体的投诉渠道等。其次十四条【间接收集个人信息】信息系统治理者一般不应在个人信息主体不知情、未参与的状况下实行技术手段间接收集个人信息，特别状况必需间接收集个人信息时，应符合第十九条规定的条件或法律法规政策有明确的规定。其次十五条【未成年人个人信息收集】信息系统治理者不应14周岁未成年人的个人信息，收集14-18周岁未成年人信息时，应征得未成年人家长的同意。第六章个人信息托付加工其次十六条【信息加工托付的前提】信息系统治理者收集个人信息后需托付第三方对个人信息进展加工的，应在收集前向个人信息主体说明。其次十七条【信息加工托付的要求】信息系统治理者托付第三方对个人信息进展加工时，应确保第三方具有不低于自身的信息安全保护水平，并且应通过合同明确第三方的个人信息保护责任。其次十八条【加工转移过程中的安全要求】信息系统治理者在向承受托付加工的第三方转移个人信息时，应保证转移过程中的个人信息安全。其次十九条【信息加工者的责任】承受托付的第三方应依据法律法规的规定、本指南的要求和托付者的合同要求，实行必要的技术手段和治理措施，保障个人信息在加工过程中的安全。第三十条【加工完成后销毁】承受托付的第三方完成个人信息加工任务并移交给托付者后，应自行删除和销毁相关个人信息。法律法规有规定或合同有商定的，从其规定或商定。第七章个人信息转移第三十一条【个人信息转移的一般要求】信息系统治理者收集个人信息后一般不应向其他机构转移，如需转移应当在收集时向个人信息主体说明转移的目的、转移的对象，并获得个人信息主体明示同意。法律法规或政策对个人信息的转移有明确规定的，从其规定。第三十二条【信息转移者的责任】信息系统治理者向其他机构转移个人信息时，应确保个人信息的接收者具有不低于自身的信息安全保护水平，应保证转移过程中的个人信息安全。第三十三条【限制向国外转移】未经个人信息主体的明示同意，信息系统治理者不应将个人信息转移到国外。法律法规另有规定或政策另有要求的除外。第八章个人信息披露、公开、使用、销毁或删除第三十四条【信息披露】信息系统治理者应将收集的个人信息限定在收集时告知个人信息主体的范围之内，不应向其他机构披露相关个人信息。第三十五条【公开个人信息】未经个人信息主体明示同意，信息系统治理者不应公开其处理的个人信息。第三十六条【使用个人信息】个人信息使用应限于收集个人信息时告知的目的，无法律法规的明确规定或个人信息主体的明确授权，不应超出目的使用个人信息。第三十七条【网站个人信息治理】未经个人信息主体同意，信息系统治理者不应在网站上公布未公开的个人信息。应个人信息主体要求，网络经营者或治理者应准时删除个人信息。删除个人信息可能会影响到公安机关的调查取证时，信息系统治理者应实行适当的信息保全措施。第三十八条【个人信息销毁或删除】个人信息使用完成后原则上应删除或销毁。假设需要连续保存个人信息，应对相关个人信息进展匿名处理。法律法规另有规定或个人信息主体另有授权的，从其规定或授权。第三十九条【个人信息修改和补充】个人信息主体觉察其个人信息有误并要求修改时，信息系统治理者应查验相关信息，并在核对正确后修改和补充相关信息。第九章个人信息治理第四十条【治理的一般要求】信息系统治理者利用信息系统处理个人信息的，应制定个人信息保护政策或方针，建立个人信息治理制度，落实个人信息治理责任，加强个人信息管理，标准个人信息处理活动。第四十一条【机构要求】信息系统治理者应指定特地机构或人员负责内部的个人信息保护工作，承受个人信息主体的投诉与质询。第四十二条【技术手段要求】信息系统治理者应实行必要的技术手段，保护个人信息的安全，确保但不限于以下目标：防止对个人信息处理场所和个人信息存储介质的未授权访问、损坏和干扰；处理个人信息时，应保证信息系统持续稳定运行；保证个人信息在信息系统中的保密性、真实性和完整性。第四十三条【信息查询要求】信息系统治理者在个人信息主体提出查询恳求时，应照实和免费地告知恳求人有关其个人信息，除非告知信息的本钱明显过于高或者恳求人恳求次数明显过于频繁。第四十四条【风险治理要求】信息系统治理者应加强个人信息风险治理，识别、分析、评估潜在的风险因素，制定风险应对策略，实行风险把握措施，监控风险变化。第四十五条【应急处理要求】信息系统治理者应对个人信息处理过程中可能消灭的泄露、丧失、损坏、篡改、不当使用等大事制定预案，实行相应的预防和应对措施。第四十六条【教育培训要求】信息系统治理者应制定个人信息保护的教育培训打算并组织落实。第四十七条【内控机制要求】信息系统治理者应建立个人信息保护的内控机制，定期开展检查，并形成检查评价报告。第四十八条【持续改善要求】信息系统治理者应建立持续完善机制，不断改进信息保护状况，提高信息保护的水平。第十章附则第四十九条【实施日期】本指南自公布之日起实施。第五十条【本指南的解释】本指南由工业和信息化部负责解释。相关