信息安全技术公共及商用服务信息系统个人信息保护指南.docx

信息安全技术 公共及商用服务信息系统个人信息保护指南
随着信息技术的广泛应用和互联网的不断普及，个人信息在社会、经济活动中的地位日 益凸显，滥用个人信息的现象随之出现，给社会秩序和个人切身利益带来了危害。为促进个 人信息的合理利用，指导和人信息保护管理部门对个人信息保护状况的检查、监督和指导，积极参与和配合 第三方测评机构对信息系统个人信息保护状况的测评。

当个人信息的获取是出于对方委托加工等目的，个人信息获得者要依照本指导性技术文 件和委托合同，对个人信息进行加工，并在完成加工任务后，立即删除相关个人信息。

从维护公众利益角度出发、根据个人信息保护管理部门和行业协会的授权、或受个人信
息管理者的委托，依据相关国家法律、法规和本指导性技术文件，对信息系统进行测试和评
估，获取个人信息保护状况，作为个人信息管理者评价、监督和指导个人信息保护的依据。 基本原则
个人信息管理者在使用信息系统对个人信息进行处理时，宜遵循以下基本原则：
a） 目的明确原则一一处理个人信息具有特定、明确、合理的目的，不扩大使用范围，不 在个人信息主体不知情的情况下改变处理个人信息的目的。
b） 最少够用原贝y—一只处理与处理目的有关的最少信息，达到处理目的后，在最短时间 内删除个人信息。
C）公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和 适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个 人信息保护措施等信息。
d） 个人同意原则一一处理个人信息前要征得个人信息主体的同意。
e） 质量保证原则——保证处理过程中的个人信息保密、完整、可用，并处于最新状态。
f） 安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理 措施和技术手段，保护个人信息安全，防止未经个人信息管理者授权的检索、披露及丢失、 泄露、损毁和篡改个人信息。
g） 诚信履行原则一一按照收集时的承诺，或基于法定事由处理个人信息，在达到既定目 的后不再继续处理个人信息。
h） 责任明确原则一一明确个人信息处理过程中的责任，采取相应的措施落实相关责任， 并对个人信息处理过程进行记录以便于追溯。
5个人信息保护
概述
信息系统中个人信息的处理过程可分为收集、加工、转移、删除4个主要环节。对个人 信息的保护贯穿于4个环节中：
a） 收集指对个人信息进行获取并记录。
b） 加工指对个人信息进行的操作，如录入、存储、修改、标注、比对、挖掘、屏蔽等。
c） 转移指将个人信息提供给个人信息获得者的行为，如向公众公开、向特定群体披露、 由于委托他人加工而将个人信息复制到其他信息系统等。
d） 删除指使个人信息在信息系统中不再可用。
收集阶段
、明确、合法的目的。
，向个人信息主体明确告知和警示如下 事项：
a） 处理个人信息的目的；
b） 个人信息的收集方式和手段、收集的具体内容和留存时限；
c） 个人信息的使用范围，包括披露或向其他组织和机构提供其个人信息的范围；
d） 个人信息的保护措施；
e） 个人信息管理者的名称、地址、联系方式等相关信息；
f） 个人信息主体提供个人