个人信息保护指南(征求意见稿).docx

发布时间：2010-04-24 00:35 来源：作者：
第一章总则
第一条 ［目的］ 为提高个人信息保护意识，保护个人合法权 益，促进个人信息有序利用，指导和规范利用信息系统处理 个人信息的活动，制定本指南。
第二条 ［适用范围和方要求赔偿时，信息系统管理者应当赔偿。
第四章个人信息处理的前提条件
第十九条【个人信息处理的前提条件】未经法律法规的明确 授权或个人信息主体的明示同意，信息系统管理者不应处理 个人信息，除非满足以下条件之一：
（1）履行与个人信息主体签订的合同需要或是为了与个人 信息主体缔结合同的需要；
（2）履行信息系统管理者的法定职责，且不会对个人信息 主体权益造成侵害；
（3）为维护个人信息主体的利益需要，且情况紧急，获得 个人信息主体同意客观上不可能或者由于时间耽搁造成的 损失过于巨大；
（4）维护公共利益或第三方的重大利益需要，且不会对个 人信息主体权益造成侵害；
（5）因传输需要，由自动设备进行的自动、瞬时完成的个 人信息处理；
（6）处理个人信息主体主动公开的信息，且处理目的不超 出个人信息主体主动公开的目的范围。
第二十条【特定个人信息的处理】法律法规已明确规定由专 门机构处理的特定个人信息，信息系统管理者在未获得行业 管理部门批准前，不应擅自处理相关信息。
第二十一条【个人信息公告要求】本指南发布前，信息系统 管理者已经存留个人信息的，应当采取适当方式公告其存留 的个人信息类别、个人信息主体的规模和范围以及个人信息 的使用目的。
第五章个人信息收集 第二十二条【直接收集个人信息】信息系统管理者如需使用 个人信息，应直接向个人信息主体收集。利用信息系统收集 个人信息，应满足以下条件：
（1）具有特定、明确、合法的目的；
（2）采用合理、适当的方法和手段；
（3）获得个人信息主体的明确同意，或满足第十九条的规 定； 第二十三条【信息收集要求】信息系统管理者向个人信息主 体收集个人信息前，应采取个人信息主体能够收悉的方式向 个人信息主体明确告知如下事项：
（1）收集信息的目的、使用范围和收集方式；
（2）信息系统管理者的名称、地址、联系办法；
（3）不提供个人信息可能出现的后果；
（4）个人信息主体的权利；
（5）个人信息主体的投诉渠道等。
第二十四条【间接收集个人信息】信息系统管理者一般不应 在个人信息主体不知情、未参与的情况下采取技术手段间接 收集个人信息，特殊情况必须间接收集个人信息时，应符合 第十九条规定的条件或法律法规政策有明确的规定。
第二十五条【未成年人个人信息收集】信息系统管理者不应 收集未满 14 周岁未成年人的个人信息，收集 14-18 周岁未 成年人信息时，应征得未成年人家长的同意。
第六章个人信息委托加工
第二十六条【信息加工委托的前提】信息系统管理者收集个 人信息后需委托第三方对个人信息进行加工的，应在收集前 向个人信息主体说明。
第二十七条【信息加工委托的要求】信息系统管理者委托第 三方对个人信息进行加工时，应确保第三方具有不低于自身 的信息安全保护水平，并且应通过合同明确第三方的个人信 息保护责任。
第二十八条【加工转移过程中的安全要求】信息系统管理者 在向接受委托加工的第三方转移个人信息时，应保证转移过 程中的个人信息安全。
第二十九条【信息加工者的责任】接受委托的第三方应按照 法律法规的规定、本指南的要求和委托者的合同要求，采取 必要的技术手段和管理措施，保障个人信息在加工过程中的 安全。
第三十条【加工完成后销毁】接受委托的第三方完成个人信 息加工任务并移交给委托者后，应自行删除和销毁相关个人 信息。法律法规有规定或合同有约定的，从其规定或约定。
第七章个人信息转移
第三十一条【个人信息转移的一般要求】信息系统管理者收 集个人信息后一般不应向其他机构转移，如需转移应当在收 集时向个人信息主体说明转移的目的、转移的对象，并获得 个人信息主体明示同意。
法律法规或政策对个人信息的转移有明确规定的，从其规定 第三十二条【信息转移者的责任】信息系统管理者向其他机 构转移个人信息时，应确保个人信息的接收者具有不低于自 身的信息安全保护水平，应保证转移过程中的个人信息安全 第三十三条【限制向国外转移】未经个人信息主体的明示同 意，信息系统管理者不应将个人信息转移到国外。法律法规 另有规定或政策另有要求的除外。
第八章个人信息披露、公开、使用、销毁或删除 第三十四条【信息披露】信息系统管理者应将收集的个人信 息限定在收集时告知个人信息主体的范围之内，不应向其他 机构披露相关个人信息。
第三十五条【公开个人信息】未经个人信息主体明示同意， 信息系统管理者不应公开其处理的个人信息。
第三十六条【使用个人信息】个人