文章属性
∙【制定机关】国家质量监督检验检疫总局(已撤销),国家标准化管理委员会
∙【公布日期】2012.11.05
∙【文 号】
∙【施行日期】2013.02.01
∙【效力等级】部门规范性文件
∙【时效性】现行有效
∙【主题分类】通信业
正文
信息安全技术 公共及商用服务信息系统个人信息保护指南
(GB/Z 28828-2012 国家质量监督检验检疫总局、国家标准化管理委员会2012年11月5日批准发布 2013年2月1日起实施)
随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显,滥用个人信息的现象随之出现,给社会秩序和个人切身利益带来了危害。为促进个人信息的合理利用,指导和规范利用信息系统处理个人信息的活动,制定本指导性技术文件。
1 范围
本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。
本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T20269-2006信息安全技术信息系统安全管理要求
GB/Z20986-2007信息安全技术信息安全事件分类分级指南
3 术语和定义
GB/T20269-2006和GB/Z20986-2007中界定的以及下列术语和定义适用于本技术性指导文件。
3.1信息系统 informationsystem
即计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成,能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。
3.2个人信息 personalinformation
可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。
3.3个人信息主体 subjectofpersonalinformation
个人信息指向的自然人。
3.4个人信息管理者 administratorofpersonalinformation
决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。
3.5个人信息获得者 receiverofpersonalinformation
从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。
3.6第三方测评机构 thirdpartytestingandevaluationagency
独立于个人信息管理者的专业测评机构。
3.7个人敏感信息 personalsensitiveinformation
一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。
3.8个人一般信息 personalgeneralinformation
除个人敏感信息以外的个人信息。
3.9个人信息处理 personalinformationhandling
个人敏感信息 处置个人信息的行为,包括收集、加工、转移、删除。
3.10默许同意 tacitconsent
在个人信息主体无明确反对的情况下,认为个人信息主体同意。
3.11明示同意 expressedconsent
个人信息主体明确授权同意,并保留证据。
4 个人信息保护概述
4.1角和职责
4.1.1 综述
信息系统个人信息保护实施过程中涉及的角主要有个人信息主体、个人信息管理者、个人信息获得者和独立测评机构,其职责见4.1.2至4.1.5。
4.1.2 个人信息主体
在提供个人信息前,要主动了解个人信息管理者收集的目的、用途等信息,按照个人意愿提供个人信息;发现个人信息出现泄漏、丢失、篡改后,向个人信息管理者投诉或提出质询,或向个人信息保护管理部门发起申诉。
4.1.3 个人信息管理者
负责依照国家法律、法规和本指导性技术文件,规划、设计和建立信息系统个人信息处理流程;制定个人信息管理制度、落实个人信息管理责任;指定专门机构或人员负责机构内部
的个人信息保护工作,接受个人信息主体的投诉与质询;制定个人信息保护的教育培训计划并组织落实;建立个人信息保护的内控机制,并定期对信息系统个人信息的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。
管控信息系统个人信息处理过程中的风险,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案;发现个人信息遭到泄漏、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的个人信息主体;发生重大事件的,及时向个人信息保护管理部门通报。
接受个人信息保护管理部门对个人信息保护状况的检查、监督和指导,积极参与和配合第三方测评机构对信息系统个人信息保护状况的测评。
4.1.4 个人信息获得者
当个人信息的获取是出于对方委托加工等目的,个人信息获得者要依照本指导性技术文件和委托合同,对个人信息进行加工,并在完成加工任务后,立即删除相关个人信息。
4.1.5 第三方测评机构
从维护公众利益角度出发、根据个人信息保护管理部门和行业协会的授权、或受个人信息管理者的委托,依据相关国家法律、法规和本指导性技术文件,对信息系统进行测试和评估,获取个人信息保护状况,作为个人信息管理者评价、监督和指导个人信息保护的依据。
发布评论