GB-Zxxxx-xxxx信息安全技术个人信息保护指南.doc

发布
中国国家标准化管理委员会
GB
中华人民共和国国家质量监督检验检疫总局
××××-××-××实施
××××-××-××发布
信息安全技术
个人信息保护指南
Information Security Technology – Guide of Personal Information Protection
(草案,2011-1-30)
GB/Z××××—××××
中华人民共和国国家标准
ICS
L80
beijing
目次
前言 III
引言 IV
1 范围 1
2 术语和定义 1
3 个人信息处理原则 2
概述 2
目的明确原则 2
公开透明原则 2
质量保证原则 2
安全保障原则 2
合理处置原则 2
知情同意原则 2
责任落实原则 2
4 个人信息主体的权利 2
概述 2
保密权 2
知情权 2
选择权 3
更正权 3
禁止权 3
5 个人信息保护要求 3
个人信息收集 3
个人信息加工和委托加工 4
个人信息转移 4
个人信息使用、屏蔽和删除 4
个人信息管理 4
前言
本指南由工业和信息化部信息安全协调司提出。
本指南由全国信息安全标准化技术委员会归口。
本指南起草单位:中国软件评测中心、大连软件行业协会、中国软件行业协会、中国互联网协会、中国通信企业协会通信网络安全专业委员会、北京金山安全软件有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京新浪互联信息服务有限公司、北京百合在线科技有限公司、上海花千树信息科技有限公司、北京百度网讯科技有限公司等单位。
本指南主要起草人:高炽扬、孙鹏、朱璇、严霄凤、朱信铭、曹剑。
引言
伴随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显。与此同时,滥用个人信息的现象随之出现,给社会秩序和人民切身利益带来了危害。合理利用和有效保护个人信息已成为企业、个人和社会各界广泛关注的热点问题。
为提高个人信息保护意识,保护个人合法权益,促进个人信息的合理利用,指导和规范利用信息系统处理个人信息的活动,制定本指南。
个人信息保护指南
范围
本指南明确了个人信息处理原则和个人信息主体的权利,提出了个人信息的收集、加工、转移、使用、屏蔽和删除等行为要求。法律、行政法规已规定了个人信息处理有关事项的,从其规定。
本指南适用于利用信息系统处理个人信息的活动。
术语和定义
下列术语和定义适用于本指南。
个人信息 personal information
能够被知晓和处理、与具体自然人相关、能够单独或与其他信息结合识别该具体自然人的任何信息。
个人信息主体 subject of personal information
个人信息指向的自然人。
个人信息管理者 administrator of personal information
对个人信息具有实际管理权的自然人或法人。
信息系统 information system
由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
信息处理 processing of information
收集、加工、转移、使用、屏蔽、删除等处置信息的行为。
收集 collection
获取并记录个人信息的行为。
加工 alteration
录入、存储、修改、编辑、整理、汇编、检索、标注、比对、挖掘等除收集、使用、转移、屏蔽、删除之外的一切信息处理行为。
转移 transmission
将存储或拥有的个人信息移交给其他自然人或法人的行为。
使用 use
运用个人信息的行为,包括向公众或特定群体披露、依据个人信息作出决定或决策,依据个人信息实施某种行动或行为等。
屏蔽 block
将个人信息进行特殊标注,限制其继续处理。
删除 erasure
从信息系统和载体上永久清除个人信息并不可恢复,从而毁灭该个人信息。
个人信息处理原则
概述
利用信息系统进行个人信息处理,应自觉遵守本指南确定的原则。
目的明确原则
处理个人信息具有特定、明确、合理的目的,不扩大收集和使用范围,不改变目的处理个人信息。
公开透明原则
处理个人信息之前,以明确、易懂和适宜的方式向个人信息主体告知处理个人信息的目的、处理个人信息的具体内容、个人信息的留存时限、个人信息保护的政策、个人信息主体的权利以及个人信息的使用范围和相关责任人等。
质量保证原