网络通信个人隐私信息保护管理规范

1T/XXXXXXX—XXXX网络通信个人隐私信息保护管理规范本标准规定了个人隐私信息生命周期、个人隐私信息主体权利、个人隐私信息管理者、个人隐私信息管理、个人隐私信息获取和安全及过程管理相关要求。本标准适用于在网络通信领域中产生的个人隐私信息。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。DB21/T1628.1—2016信息安全个人信息保护规范DB21/T1628.2信息安全个人信息安全管理体系实施指南3术语和定义下列术语和定义适用于本文件。3.13.2个人隐私信息personalprivacyinformation依附于个人，并可描述个人基本形态的信息，包括:a)可通过听觉、视觉、触觉等感官直接识别个人的信息，如数字、文字、图像、影像、声音等；b)可借助各种手段间接识别个人的信息，如与个人相关各种信息对照、参考、分析等。3.33.4主体subject享受民事权利并承担民事义务的个人。3.53.6个人隐私信息生命周期personalprivacyinformationlifecycle当个人隐私信息主体同意直接收集个人信息直至个人信息彻底销毁的生命历程,是个人信息管理者向个人信息主体提供服务管理的过程。3.73.8个人隐私信息主体personalprivacyinformationsubject可通过个人隐私信息识别的、拥有该个人隐私信息，享受该个人隐私信息权益的个人。4个人隐私信息生命周期个人隐私信息生命周期应包括3个环节：a)个人信息获取过程：个人信息主体同意，基于特定、明确、合法目的，直接或间接收集个人信息；b)个人信息处理过程：基于收集目的的个人信息使用、利用过程，可划分4种形式：1)包括编辑、加工、检索、存储、传输等不同的使用流程；2)包括提供、委托、交换等不同的利用过程；3)包括交易、二次开发等不同的利用过程；4)个人信息的后处理过程；c)基于生命周期的过程管理：在个人信息生命周期内，采用PDCA模式管理针对个人信息及相关资源、环境、管理体系等的活动或行为。2T/XXXXXXX—XXXX5个人隐私信息主体权利5.1知情权个人隐私信息主体知情权应当包括以下几个方面：a)个人隐私信息主体应有权知悉个人隐私信息数据库中与个人信息主体相关的信息；b)个人隐私信息主体应有权知悉个人隐私信息收集、处理、使用、利用的目的、方式、范围等相关信息；c)个人隐私信息主体应有权查询个人隐私信息收集、处理、使用、利用情况及个人信息质量等相关信息；d)个人隐私信息主体应有权知悉个人隐私信息生命周期内个人信息管理质量。5.2支配权个人隐私信息主体支配权应包括：a)收集、处理、使用、利用个人信息，应经个人隐私信息主体同意，并签字盖章；b)个人隐私信息主体应有权修改、删除、完善与之相关的个人信息，以保证个人隐私信息的完整、准确和最新状态；c)个人信息主体应有权决定如何使用与之相关的个人信息；d)在个人信息生命周期内，个人信息主体应有权提议改进、完善个人信息管理质量。5.3质疑权个人隐私信息主体质疑权应包括：a)个人隐私信息主体应有权质疑与之相关的个人信息的准确性、完整性和时效性；b)个人隐私信息主体应有权质疑或反对与之相关的个人信息管理目的、过程等；c)如果个人隐私信息管理目的、过程违背了个人隐私信息主体意愿或其它正当理由，个人隐私信息主体应有权请求停止个人隐私信息管理活动、行为或提出撤消该个人隐私信息。停止或撤销应经个人隐私信息主体确认；d)在个人信息生命周期内，个人信息主体应有权质疑个人信息管理质量的可靠性。6个人隐私信息管理者6.1规则个人隐私信息的规则应包括以下内容：a)个人隐私信息管理者获取、处理、使用、利用、管理个人隐私信息应获得个人隐私信息主体授权，并确定明确、合法的目的；b)个人信息隐私管理者应基于个人隐私信息生命周期，为个人信隐私息主体提供个人隐私信息的服务管理；c)个人隐私信息管理者不应因利益、条件等的变化降低个人隐私信息管理质量的可靠性。6.2角色个人隐私信息管理者可根据不同的需要细分不同的角色，如个人隐私信息获取、个人隐私信息消费等，但均应遵循6.1确立的规则，保障个人隐私信息主体的权益。6.3服务管理个人隐私信息管理者应满足以下内容：a)个人隐私信息管理者应具有各类资源的转换能力和相应的管理职能，以保证个人隐私信息管理的有效性；b)个人隐私信息管理者应建立有效的内部管理机制并形成管理体系，以保证个人隐私信息管理的质量可靠性；3T/XXXXXXX—XXXXc)个人隐私信息管理者应提供透明的服务管理过程，以保证第5章确立的个人隐私信息主体的权利。6.4责任和义务6.4.1管理责任个人隐私信息管理者应对所拥有的个人隐私信息负有管理责任,并征得个人隐私信息主体同意后开展与个人隐私信息相关的管理活动或行为。6.4.2权利保障个人隐私信息管理者应保障个人隐私信息主体的权利。6.4.3目的明确个人隐私信息管理者应保证个人隐私信息管理目的与个人隐私信息主体意愿-致，管理过程或行为不应超目的、超范围。6.4.4告知个人隐私信息管理者应将收集个人隐私信息的目的和方式.不提供个人隐私信息的后果、查询和更正相关个人隐私信息的权利，以及个人隐私信息管理者本身的相关信息等告知个人隐私信息主体。6.4.5质量保证个人隐私信息管理者应在管理活动或行为中保证个人隐私信息的完整性、准确性、可用性,并保持最新状态。6.4.6保密性个人隐私信息管理者应对所管理的个人隐私信息予以保密，并对个人隐私信息管理过程中的安全负7个人隐私信息管理个人隐私信息管理者应依据其责任和义务，协调、组织、转换PISMS和各类相关资源，根据收集目的，采取相应的控制策略和措施，收集、处理、使用、利用个人隐私信息。7.2原则应遵循以下原则：a)目的明确：收集个人隐私信息应有明确的目的，不应超目的范围处理、利用、使用；b)主体权利：个人隐私信息主体应对与个人相关的个人隐私信息享有权利；c)信息质量：在管理活动或行为中应保证个人隐私信息的准确性、完整性和最新状态；d)合理限制：收集、处理、使用、利用个人隐私信息，应采用合法、合理的手段和方式，并保持公开的形式；e)安全保障：应采取必要、合理的管理和技术措施，防止个人隐私信息滥用、篡改、丢失、泄露、损毁等。7.3方针7.3.1个人隐私信息管理者应制定个人隐私信息管理方针，以指导个人隐私信息管理。方针应遵循国家相关法律、法规规定的原则和措施，符合个人隐私信息管理者实际情况，并应以简洁、明确的语言阐述，公之于众。7.3.2个人隐私信息管理方针内容宜包含以下内容。a)个人隐私信息主体的权利；b)个人隐私信息管理者的义务；4T/XXXXXXX—XXXXc)个人隐私信息管理的目的和原则；d)个人隐私信息管理的措施和方法；e)个人隐私信息管理的改进和完善。7.4计划个人隐私信息管理者应根据管理、业务目标，制定基于个人隐私信息生命周期的管理计划。计划应包括:a)个人隐私信息收集目的、策略；b)个人隐私信息管理措施、策略；c)个人隐私信息管理和各类相关资源的组织、协调、转换和沟通；d)个人隐私信息安全风险评估；e)计划评估；f)其它必要的管理策略。7.5组织7.5.1要求个人隐私信息管理者应根据管理计划，建立个人隐私信息管理机构，实施个人隐私信息生命周期全过程的符合个人隐私信息相关法规、标准的管理，组织个人隐私信息管理活动或行为。7.5.2相关机构及职责7.5.2.1最高管理者个人隐私信息管理者的最高行政领导，应重视个人隐私信息管理，并选择、任命有能力的个人隐私信息管理者代表组建、负责个人隐私信息管理机构，在资金、资源等各个方面提供完全的支持。7.5.2.2管理机构个人隐私信息管理者代表应建立、落实个人隐私信息管理机构，明确责任主体和职责，制定管理计划。个人隐私信息管理机构宜包括宣传教育、安全教育、服务台等责任主体，管理机构的主要职责应符合DB21/T1628.1-2016的相关要求。7.5.2.3内审机构内审机构应符合DB21/T1628.1-2016的相关要求。7.5.3个人信息安全管理体系个人隐私信息管理者应建立基于服务管理的个人信息安全管理体系，满足个人信息管理的需要。7.6控制应符合DB21/T1628.1-2016的相关要求7.7协调应符合DB21/T1628.1-2016的相关要求。8个人隐私信息获取8.1直接收集目的明确，并征得个人信息主体同意，直接经个人信息主体收集个人信息。直接收集应向个人信息主体提供的信息包括：a)个人信息管理者的相关信息；b)个人信息收集、处理、使用的目的、方法；c)接受并管理该个人信息的第三方的相关信息；5T/XXXXXXX—XXXXd)个人信息主体拒绝提供相关个人信息可能会产生的后果；e)个人信息主体的查询、修正、反对等相关权利；f)个人信息安全和保密承诺；g)后处理方式。8.2间接收集非直接地收集个人信息时，应遵循DB21/T1628.1-2016中9.2的规定，保证个人信息主体知悉并同意。间接收集应保证个人信息主体权益不受侵害。应保证个人信息主体知悉的信息，参照8.1。8.3被动收集被动收集应符合DB21/T1628.1-2016的相关要求。9安全及过程管理9.1安全管理安全管理应符合DB21/T1628.1-2016的相关要求。9.2过程管理9.2.1过程改进过程管理分为以下几个部分。a)个人信息安全管理系统内审2)计划；3)实施。b)过程改进1)服务台管理：服务台应接受个人信息主体.各类组织和人员提出的个人信息管理活动、PISMS的相关意见、建议、咨询、投诉等，并采取相应的处理措施，及时反馈。2)跟踪和监