信息安全技术 公共及商用服务信息系统个人信息保护指南
信息系统安全保护指南
信息系统安全保护指南随着信息技术的飞速发展,信息系统在各个行业中起到了举足轻重的作用。
然而,与此同时,信息系统遭受各种恶意攻击和非法行为的风险也越来越大。
为了保护信息系统的安全,确保数据的保密性、完整性和可用性,各个行业都需要制定相应的规范、规程和标准来指导安全保护工作。
本文将就信息系统安全保护指南进行探讨,以期为各个行业提供一定的参考和指导。
一、信息系统安全管理规范信息系统安全管理规范是指对信息系统进行有效的管理和保护的一系列规定和措施。
在信息系统安全管理规范中,应明确安全管理的责任制、权限和流程。
同时,各个行业也需要根据自身的特点和需求制定相应的安全管理规范,以确保信息系统的安全防护措施得以有效实施。
1. 安全管理责任制信息系统安全是一个持续的过程,需要由相关部门和人员共同负责。
在安全管理责任制中,应明确各级管理人员和系统管理员的职责和权限,并建立一套完善的安全管理机制,确保信息系统安全管理工作的顺利进行。
2. 安全应急管理在信息系统中,安全事件的发生是难以避免的。
因此,每个行业都需要建立一套完善的安全应急管理机制,以快速、有效地应对各类安全事件的发生。
其中包括安全事件的预警、响应和处置等环节,以及安全事件的调查和应急演练等活动。
3. 安全培训和教育对于信息系统安全来说,员工的安全意识和技能至关重要。
因此,各行业都需要制定相应的安全培训和教育计划,提高员工的安全意识和技能水平。
此外,还应定期进行安全意识测试和演练,以增强员工应对安全风险的能力。
二、信息系统安全技术规范信息系统安全技术规范是针对信息系统安全保护所需技术手段和方法的一系列规定。
在信息系统安全技术规范中,应包括密码学、网络安全、访问控制、数据备份和恢复等方面的具体要求和技术标准。
1. 密码学规范密码学是信息系统安全保护的基础。
在密码学规范中,应明确密码算法的选择和使用原则,以及密码存储、传输和更新等方面的要求。
此外,还应规定密码的安全管理和使用方法,确保密码的安全性和可靠性。
个人信息保护简易指南
个人信息保护简易指南在当今信息爆炸的时代,个人信息保护变得尤为重要。
随着互联网的普及和数字化科技的发展,我们的个人信息往往被泄露、滥用甚至遭到盗用的风险也越来越大。
为了保护自己的个人信息安全,我们需要采取一系列有效的措施,下面将为大家介绍个人信息保护的一些简易指南。
1.保护个人隐私意识首先,重要的是培养保护个人隐私的意识。
无论是在线还是线下,我们都应该谨慎对待自己的个人信息,不轻易泄露。
不要随意在社交网络或陌生网站上填写个人资料,避免成为信息泄霄的目标。
2.强化密码管理其次,合理设置和管理密码也是至关重要的。
密码是我们登录各种账号和平台的“钥匙”,应该使用复杂度高、包含数字、字母和特殊字符的密码,并定期更换密码,不同账号尽量使用不同的密码。
3.谨慎对待短信和电话有时候,我们会收到各种骗子发来的虚假短信和电话,声称中奖或需要验证个人信息等,这些都是常见的诈骗手段。
因此,在接到可疑电话或短信时,一定要保持警惕,不要随意泄露个人敏感信息。
4.注意公共Wi-Fi安全在使用公共Wi-Fi时,要格外小心。
公共Wi-Fi往往存在安全隐患,黑客可以通过网络监听等手段获取用户信息。
因此,在使用公共Wi-Fi时,尽量避免登录银行、支付宝等涉及财产安全的账号。
5.及时更新系统和应用程序系统和应用程序更新通常包含安全补丁和漏洞修复,能够及时堵塞潜在的安全隐患。
所以,务必保持系统、手机APP等软件的及时更新。
6.使用加密通讯工具为了保护通讯隐私,推荐使用加密通讯工具,如Signal、Telegram等。
通过这些工具发送消息可以更加安全可靠,避免第三方获取到通讯内容。
7.注意社交媒体隐私设置社交媒体是信息泄露最多的平台之一。
因此,在使用社交媒体时,一定要仔细设置隐私选项,并定期审核谁可以看到自己发布的内容,避免不必要地暴露个人信息。
结语综上所述,个人信息保护是每个人都需要重视的问题。
通过加强对个人隐私意识、强化密码管理、谨慎对待短信电话、注意公共Wi-Fi 安全、及时更新系统应用、使用加密通讯工具以及关注社交媒体隐私设置等方法,我们可以更好地保护自己的个人信息安全。
信息安全技术操作指南
信息安全技术操作指南在当今数字化的时代,信息安全已经成为了至关重要的问题。
无论是个人的隐私信息,还是企业的商业机密,都面临着各种各样的威胁。
为了保护这些重要的信息资产,我们需要掌握一些基本的信息安全技术操作方法。
接下来,我将为您详细介绍。
一、密码管理密码是保护我们信息的第一道防线,因此合理设置和管理密码至关重要。
首先,密码的强度要足够高。
避免使用简单易猜的密码,如生日、电话号码或连续的数字。
一个强密码应该包含大小写字母、数字和特殊字符,并且长度不少于 8 位。
其次,不要在多个网站或服务中使用相同的密码。
一旦其中一个密码被破解,其他账户也会面临风险。
另外,定期更换密码也是一个好习惯。
建议每 3 到 6 个月更换一次重要账户的密码。
二、网络安全在使用网络时,我们需要注意以下几点:1、谨慎连接公共无线网络。
公共无线网络往往存在安全隐患,黑客可能会通过这些网络窃取您的个人信息。
如果必须使用,避免进行敏感操作,如网上银行、购物等。
2、注意网络钓鱼攻击。
不要轻易点击来自陌生人或不可信来源的链接,特别是那些声称您中奖、需要您提供个人信息或要求您下载软件的链接。
3、及时更新您的操作系统、软件和应用程序。
这些更新通常包含了安全补丁,可以修复已知的漏洞,降低被攻击的风险。
三、数据备份与恢复数据的丢失可能会给我们带来巨大的损失,因此定期备份数据是非常必要的。
选择合适的备份方式,如外部硬盘、云存储等。
对于重要的数据,建议采用多种备份方式,以增加数据的安全性。
制定备份计划,确定备份的频率。
一般来说,对于重要的工作文件,每天备份是比较合适的。
同时,也要了解如何进行数据恢复。
定期测试恢复过程,以确保在需要时能够顺利恢复数据。
四、防病毒和恶意软件安装可靠的防病毒软件和防火墙,并保持其处于更新状态。
定期进行全盘扫描,及时发现和清除潜在的威胁。
在下载软件时,只从官方和可信的来源获取,避免下载来路不明的软件,以免感染恶意软件。
五、移动设备安全随着智能手机和平板电脑的普及,移动设备的安全也不容忽视。
网络安全必备个人数据保护指南
网络安全必备个人数据保护指南在当今数字化时代,个人数据安全愈发重要。
随着大量个人信息在互联网上的流动和存储,我们面临着越来越多的数据泄露和身份盗窃的风险。
为了保护个人隐私和数据安全,我们需要采取一系列措施来保护自己。
本指南将为您提供一些建议,帮助您确保个人数据在网络中的安全。
一、使用强密码和多因素身份验证首先,确保您使用足够强大的密码来保护您的在线账户。
强密码应包含字母、数字和特殊字符,长度至少为8个字符。
避免使用常见的密码,如生日、姓名或123456等。
另外,不要在多个网站上使用相同的密码,以防止一个账户的泄露导致其他账户的风险。
另外,在可能的情况下,启用多因素身份验证。
多因素身份验证要求除密码之外的额外验证步骤,例如短信验证码或指纹识别。
这样即使密码被盗,黑客也无法直接访问您的账户。
二、定期备份数据无论是个人电脑还是移动设备,定期备份是保护个人数据的关键。
硬盘故障、病毒感染或其他意外事件可能导致数据丢失。
通过定期备份数据,您可以确保即使发生意外,您的个人数据仍然安全。
您可以使用云存储服务、外部硬盘或其他备份解决方案来存储和保护数据。
三、保护您的网络连接在使用公共Wi-Fi网络时要格外小心。
公共网络通常不够安全,黑客可能通过这些网络窃取您的个人信息。
为了保护自己,确保您连接到的网络是受密码保护的,并尽量避免在公共网络上进行敏感信息的传输,比如银行账户信息或登录密码。
使用虚拟私人网络(VPN)可以加密您的网络连接,提供更高的安全性和隐私保护。
另外,确保您的家庭网络和路由器设置是安全的。
设置一个强密码来保护您的Wi-Fi网络,并定期更改密码。
关闭无线网络身份识别(SSID)广播功能,以减少别人发现您的网络的可能性。
四、时刻保持软件和系统的更新及时更新您的操作系统、浏览器和其他软件是保护个人数据安全的重要步骤。
这些更新通常包含修复安全漏洞和强化系统的新功能。
许多黑客利用已知漏洞来入侵系统,因此保持软件和系统的更新至关重要。
信息安全技术与数据加密保护指南
信息安全技术与数据加密保护指南第一章信息安全基础 (2)1.1 信息安全概述 (2)1.2 信息安全威胁与防护策略 (2)第二章密码学基础 (3)2.1 密码学概述 (3)2.2 常见加密算法 (4)2.3 密钥管理 (4)第三章数据加密技术 (5)3.1 对称加密技术 (5)3.1.1 概述 (5)3.1.2 常见对称加密算法 (5)3.1.3 对称加密技术的应用 (5)3.2 非对称加密技术 (5)3.2.1 概述 (5)3.2.2 常见非对称加密算法 (5)3.2.3 非对称加密技术的应用 (6)3.3 混合加密技术 (6)3.3.1 概述 (6)3.3.2 混合加密技术的实现 (6)3.3.3 混合加密技术的应用 (6)第四章数据完整性保护 (6)4.1 散列函数 (6)4.2 数字签名 (7)4.3 数字证书 (7)第五章身份认证与访问控制 (8)5.1 身份认证技术 (8)5.2 访问控制策略 (8)5.3 访问控制模型 (9)第六章数据备份与恢复 (9)6.1 数据备份策略 (9)6.2 数据恢复技术 (10)6.3 备份与恢复的最佳实践 (10)第七章网络安全防护 (11)7.1 防火墙技术 (11)7.1.1 防火墙分类 (11)7.1.2 防火墙配置 (11)7.2 入侵检测与防御 (11)7.2.1 入侵检测技术 (11)7.2.2 入侵防御策略 (12)7.3 虚拟专用网络(VPN) (12)7.3.1 VPN技术分类 (12)7.3.2 VPN配置与应用 (12)第八章信息安全法律法规 (12)8.1 信息安全法律法规概述 (12)8.2 我国信息安全法律法规 (13)8.3 国际信息安全法律法规 (13)第九章信息安全风险管理 (14)9.1 风险管理概述 (14)9.2 风险评估与识别 (14)9.2.1 风险评估 (14)9.2.2 风险识别 (14)9.3 风险应对与监控 (15)9.3.1 风险应对 (15)9.3.2 风险监控 (15)第十章信息安全教育与培训 (15)10.1 信息安全意识培训 (15)10.2 信息安全技能培训 (16)10.3 信息安全管理体系建设 (16)第一章信息安全基础1.1 信息安全概述信息技术的迅猛发展和网络应用的日益普及,信息安全已成为现代社会的重要议题。
个人信息安全保护指南
个人信息安全保护指南个人信息安全已成为当今社会相当重要的议题。
在数字化时代,我们的个人信息越来越容易受到黑客、网络犯罪分子以及其他潜在的威胁者的攻击。
因此,我们需要采取必要的措施来保护我们的个人信息。
本文将为您提供一些重要的指南,以确保您的个人信息安全得到保护。
首先,加强密码安全是保护个人信息的重要一环。
绝不要使用简单的密码,例如生日日期、电话号码或者容易被猜到的关键词。
相反,使用强大的密码组合,包括大小写字母、数字和特殊字符,并定期更改密码,将会极大地增加你的个人信息的安全性。
此外,多重身份验证是另一个重要的保护措施。
当您的账户支持多重身份验证时,务必启用此功能。
多重身份验证将要求您提供额外的验证信息,例如手机短信验证码或指纹识别,以确保只有您本人能够访问您的个人信息。
在网络上保持谨慎也是不可或缺的。
不要轻易相信陌生人发布的信息或要求您提供个人信息的请求。
谨慎地对待来自未知来源的电子邮件或短信,并避免在不明确的情况下点击陌生网页上的链接。
此外,定期检查您所使用的网站和应用程序的安全性和隐私政策,以确保它们采取了适当的保护措施来保护您的个人信息。
除了以上提到的策略,还有一些其他可以帮助您保护个人信息的措施。
定期备份您重要的数据,以便在意外数据丢失或计算机故障时能够恢复。
使用可信赖的安全软件来防止恶意软件和病毒的入侵,并及时更新操作系统和应用程序的安全补丁。
最后,定期审查您的银行和信用卡账单,以确保没有发生未经授权的交易。
尽管以上提到的措施可以增加个人信息的安全性,但也需要持续的警惕和注意。
个人信息安全保护是一项不断进行的工作,我们需要时刻关注新的安全威胁和保护措施,以确保我们的个人信息得到最大程度的保护。
总而言之,个人信息安全保护是我们每个人都应该关注的重要议题。
通过加强密码安全,使用多重身份验证,保持谨慎和警惕,并采取适当的技术措施来保护个人信息,我们可以有效地防止个人信息泄露和滥用。
让我们共同努力,确保我们的个人信息得到最大程度的安全保护。
个人信息保护简易指南
个人信息保护简易指南介绍随着互联网的发展,个人信息保护问题日益受到关注。
为了维护个人隐私和数据安全,我们需要了解一些简单的个人信息保护方法和技巧。
本文将从密码管理、网络安全、隐私保护等方面为大家提供个人信息保护的简易指南。
密码管理密码是我们日常生活中使用最频繁的信息安全要素之一。
一个复杂的密码可以有效地保护我们的个人信息不受攻击者的侵害。
以下是一些密码管理的基本原则:1. 使用强密码密码长度不少于8位;包含大写字母、小写字母、数字和特殊字符;避免使用常见的密码,如“123456”、“password”等;2. 定期更换密码建议每3-6个月更换一次重要账户的密码;避免在多个账户间共享相同的密码;3. 使用密码管理工具可以使用专门的密码管理工具,如LastPass、1Password等,帮助我们安全地存储和管理各类复杂密码。
网络安全随着互联网应用的普及,我们需要特别关注网络安全问题。
下面是一些建议:1. 公共Wi-Fi使用避免在公共Wi-Fi下进行重要账户的登录和交易;如需使用公共Wi-Fi,可以考虑使用VPN进行加密传输;2. 软件更新及时更新操作系统和相关应用程序,确保系统补丁及时安装;3. 防病毒软件安装可靠的防病毒软件,并定期进行病毒库更新和系统全盘扫描;隐私保护隐私泄露可能导致严重的后果,因此隐私保护尤为重要。
以下是一些建议:1. 合理设置个人信息权限在社交媒体、手机应用等平台上,合理设置个人信息权限,仅分享必要的信息;2. 注意隐私政策在使用各类应用或平台时,务必仔细阅读并了解隐私政策,并谨慎对待个人信息披露;3. 谨慎处理个人信息避免将个人敏感信息随意泄露给陌生人,加强对个人信息的保护意识。
总结以上是针对个人信息保护的一些简易指南。
希望通过本文所述内容,能够帮助大家更好地加强对个人信息安全与隐私保护的重视,从而有效地防范各类信息泄露和安全风险。
信息安全技术个人信息保护指南
我国首个个人信息保护国家标准将于2013年2月1日起开始实施,该标准最显著的特点,就是将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的概念,而个人敏感信息就涉及个人隐私。
《信息安全技术个人信息保护指南》本指南由工业和信息化部信息安全协调司提出。
本指南由全国信息安全标准化技术委员会归口。
本指南起草单位:中国软件评测中心、大连软件行业协会、中国软件行业协会、中国互联网协会、中国通信企业协会通信网络安全专业委员会、北京金山安全软件有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京新浪互联信息服务有限公司、北京百合在线科技有限公司、上海花千树信息科技有限公司、北京百度网讯科技有限公司等单位。
本指南主要起草人:高炽扬、孙鹏、朱璇、严霄凤、朱信铭、曹剑。
伴随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显。
与此同时,滥用个人信息的现象随之出现,给社会秩序和人民切身利益带来了危害。
合理利用和有效保护个人信息已成为企业、个人和社会各界广泛关注的热点问题。
为提高个人信息保护意识,保护个人合法权益,促进个人信息的合理利用, 指导和规范利用信息系统处理个人信息的活动,制定本指南。
个人信息保护指南1范围本指南明确了个人信息处理原则和个人信息主体的权利,提出了个人信息的收集、加工、转移、使用、屏蔽和删除等行为要求。
法律、行政法规已规定了个人信息处理有关事项的,从其规定。
本指南适用于利用信息系统处理个人信息的活动。
2术语和定义下列术语和定义适用于本指南。
2.1个人信息personal in formatio n能够被知晓和处理、与具体自然人相关、能够单独或与其他信息结合识别该具体自然人的任何信息。
2.2个人信息主体subject of personal information个人信息指向的自然人。
2.3个人信息管理者adm ini strator of personal in formatio n对个人信息具有实际管理权的自然人或法人。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全技术公共及商用服务信息系统个人信息保护指南随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显,滥用个人信息的现象随之出现,给社会秩序和个人切身利益带来了危害。
为促进个人信息的合理利用,指导和规范利用信息系统处理个人信息的活动,制定本指导性技术文件。
信息安全技术公共及商用服务信息系统个人信息保护指南1 范围本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。
本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20269-2006 信息安全技术信息系统安全管理要求GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南3术语和定义GB/T 20269-2006 和GB/Z 20986-2007中界定的以及下列术语和定义适用于本技术性指导文件。
3.1信息系统information system即计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成,能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。
3.2个人信息personal information可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。
个人信息可以分为个人敏感信息和个人一般信息。
3.3个人信息主体subject of personal information个人信息指向的自然人。
3.4个人信息管理者administrator of personal information决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。
3.5个人信息获得者receiver of personal information从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。
3.6第三方测评机构third party testing and evaluation agency独立于个人信息管理者的专业测评机构。
3.7个人敏感信息personal sensitive information一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。
各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。
例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。
3.8个人一般信息personal general information除个人敏感信息以外的个人信息。
3.9个人信息处理personal information handling处置个人信息的行为,包括收集、加工、转移、删除。
3.10默许同意tacit consent在个人信息主体无明确反对的情况下,认为个人信息主体同意。
3.11明示同意expressed consent个人信息主体明确授权同意,并保留证据。
4个人信息保护概述4.1角色和职责4.1.1综述信息系统个人信息保护实施过程中涉及的角色主要有个人信息主体、个人信息管理者、个人信息获得者和独立测评机构,其职责见4.1.2至4.1.5。
4.1.2个人信息主体在提供个人信息前,要主动了解个人信息管理者收集的目的、用途等信息,按照个人意愿提供个人信息;发现个人信息出现泄漏、丢失、篡改后,向个人信息管理者投诉或提出质询,或向个人信息保护管理部门发起申诉。
4.1.3个人信息管理者负责依照国家法律、法规和本指导性技术文件,规划、设计和建立信息系统个人信息处理流程;制定个人信息管理制度、落实个人信息管理责任;指定专门机构或人员负责机构内部的个人信息保护工作,接受个人信息主体的投诉与质询;制定个人信息保护的教育培训计划并组织落实;建立个人信息保护的内控机制,并定期对信息系统个人信息的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。
管控信息系统个人信息处理过程中的风险,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案;发现个人信息遭到泄漏、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的个人信息主体;发生重大事件的,及时向个人信息保护管理部门通报。
接受个人信息保护管理部门对个人信息保护状况的检查、监督和指导,积极参与和配合第三方测评机构对信息系统个人信息保护状况的测评。
4.1.4个人信息获得者当个人信息的获取是出于对方委托加工等目的,个人信息获得者要依照本指导性技术文件和委托合同,对个人信息进行加工,并在完成加工任务后,立即删除相关个人信息。
4.1.5第三方测评机构从维护公众利益角度出发、根据个人信息保护管理部门和行业协会的授权、或受个人信息管理者的委托,依据相关国家法律、法规和本指导性技术文件,对信息系统进行测试和评估,获取个人信息保护状况,作为个人信息管理者评价、监督和指导个人信息保护的依据。
4.2基本原则个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循以下基本原则:a)目的明确原则——处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。
b)最少够用原则——只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。
c)公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。
以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。
d)个人同意原则——处理个人信息前要征得个人信息主体的同意。
e)质量保证原则——保证处理过程中的个人信息保密、完整、可用,并处于最新状态。
f)安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。
g)诚信履行原则——按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。
h)责任明确原则——明确个人信息处理过程中的责任,采取相应的措施落实相关责任,并对个人信息处理过程进行记录以便于追溯。
5个人信息保护5.1概述信息系统中个人信息的处理过程可分为收集、加工、转移、删除4个主要环节。
对个人信息的保护贯穿于4个环节中:a)收集指对个人信息进行获取并记录。
b)加工指对个人信息进行的操作,如录入、存储、修改、标注、比对、挖掘、屏蔽等。
c)转移指将个人信息提供给个人信息获得者的行为,如向公众公开、向特定群体披露、由于委托他人加工而将个人信息复制到其他信息系统等。
d)删除指使个人信息在信息系统中不再可用。
5.2收集阶段5.2.1要具有特定、明确、合法的目的。
5.2.2收集前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下事项:a)处理个人信息的目的;b)个人信息的收集方式和手段、收集的具体内容和留存时限;c)个人信息的使用范围,包括披露或向其他组织和机构提供其个人信息的范围;d)个人信息的保护措施;e)个人信息管理者的名称、地址、联系方式等相关信息;f)个人信息主体提供个人信息后可能存在的风险;g)个人信息主体不提供个人信息可能出现的后果;h)个人信息主体的投诉渠道;i)如需将个人信息转移或委托于其他组织和机构,要向个人信息主体明确告知包括但不限于以下信息:转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。
5.2.3处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。
收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意。
5.2.4只收集能够达到已告知目的的最少信息。
5.2.5要采用已告知的手段和方式直接向个人信息主体收集,不采取隐蔽手段或以间接方式收集个人信息。
5.2.6持续收集个人信息时提供相关功能,允许个人信息主体配置、调整、关闭个人信息收集功能。
5.2.7不直接向未满16周岁的未成年人等限制民事行为能力或无行为能力人收集个人敏感信息,确需收集其个人敏感信息的,要征得其法定监护人的明示同意。
5.3加工阶段5.3.1不违背收集阶段已告知的使用目的,或超出告知范围对个人信息进行加工。
5.3.2采用已告知的方法和手段。
5.3.3保证加工过程中个人信息不被任何与处理目的无关的个人、组织和机构获知。
5.3.4未经个人信息主体明示同意,不向其他个人、组织和机构披露其处理的个人信息。
5.3.5保证加工过程中信息系统持续稳定运行,个人信息处于完整、可用状态,且保持最新。
5.3.6个人信息主体发现其个人信息存在缺陷并要求修改时,个人信息管理者要根据个人信息主体的要求进行查验核对,在保证个人信息完整性的前提下,修改或补充相关信息。
5.3.7详细记录对个人信息的状态,个人信息主体要求对其个人信息进行查询时,个人信息管理者要如实并免费告知是否拥有其个人信息、拥有其个人信息的内容、个人信息的加工状态等内容,除非告知成本或者请求频率超出合理的范围。
5.4转移阶段5.4.1不违背收集阶段告知的转移目的,或超出告知的转移范围转移个人信息。
5.4.2向其他组织和机构转移个人信息前,评估其是否能够按照本指导性技术文件的要求处理个人信息,并通过合同明确该组织和机构的个人信息保护责任。
5.4.3保证转移过程中,个人信息不被个人信息获得者之外的任何个人、组织和机构所获知。
5.4.4保证转移前后,个人信息的完整性和可用性,且保持最新。
5.4.5未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构。
5.5删除阶段5.5.1个人信息主体有正当理由要求删除其个人信息时,及时删除个人信息。
删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。
5.5.2收集阶段告知的个人信息使用目的达到后,立即删除个人信息;如需继续处理,要消除其中能够识别具体个人的内容;如需继续处理个人敏感信息,要获得个人信息主体的明示同意。
5.5.3超出收集阶段告知的个人信息留存期限,要立即删除相关信息;对留存期限有明确规定的,按相关规定执行。