个人信息保护指南(征求意见稿)
信息安全技术 个人信息安全影响评估指南-编制说明
国家标准《信息安全技术个人信息安全影响评估指南》(征求意见稿)编制说明一、工作简况1.1任务来源GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用,其中,《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作,旨在发现、处置和持续监控个人信息处理过程中的安全风险。
2017年3月,在信安标委会议周,云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》。
本标准为自主制定标准,标准任务编号为:20180840-T-469。
1.2主要起草单位和工作组成员标准由颐信科技有限公司牵头,中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技(杭州)有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想(北京)有限公司、清华大学、阿里巴巴(北京)软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制,归口单位为全国信息安全标准化技术委员会(简称信息安全标委会,TC260)。
本标准主要起草人:洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。
1.3 主要工作过程1、2017年3月,在云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》,对个人信息安全影响评估方法、应用、政策和标准进行调研分析,确定标准化需求。
2、2017年5月初,成立正式的个人信息安全影响评估指南标准编制组,标准由颐信科技有限公司牵头,中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴(北京)软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心等组成标准编制组。
公安部、国家互联网信息办公室关于《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见的公告
公安部、国家互联网信息办公室关于《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见的公告文章属性•【公布机关】公安部,国务院研究室,公安部,公安部,国务院研究室•【公布日期】2024.07.26•【分类】征求意见稿正文公安部国家互联网信息办公室关于《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见的公告为强化公民个人信息保护,推进并规范国家网络身份认证公共服务建设应用,加快实施网络可信身份战略,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规,公安部、国家互联网信息办公室等研究起草了《国家网络身份认证公共服务管理办法(征求意见稿)》,现向社会公开征求意见。
公众可以通过以下途径和方式提出意见建议:1.登录中华人民共和国司法部中国政府法制信息网(、),进入首页主菜单的“立法意见征集”栏目提出意见建议。
2.通过电子邮件将意见建议发送至:***************或************.cn。
3.通过信函将意见建议寄至:北京市东城区东长安街14号公安部,邮编:100741,或北京市西城区车公庄大街11号国家互联网信息办公室,邮编:100044。
来信请在信封上注明“国家网络身份认证公共服务管理办法征求意见”。
意见建议反馈截止时间为2024年8月25日。
附件:1.《国家网络身份认证公共服务管理办法(征求意见稿)》2.关于起草《国家网络身份认证公共服务管理办法(征求意见稿)》的说明公安部国家互联网信息办公室2024年7月26日国家网络身份认证公共服务管理办法(征求意见稿)第一条为实施网络可信身份战略,推进国家网络身份认证公共服务建设,保护公民身份信息安全,促进数字经济发展,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规,制定本办法。
移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南说明书
II
GB/T XXXXX—XXXX
信息安全技术 移动智能终端的移动互联网应用程序(App)个人信 息处理活动管理指南
1 范围
本文件针对移动智能终端提供了App个人信息安全功能设计、管理个人信息安全风险的指南,以增 强App收集个人信息行为的明示程度,并为App用户提供更多个人信息保护方面的控制机制。
5 总则
移动智能终端对App个人信息处理活动的管理宜遵循以下原则: a) 公开透明:以合理方式记录、提示 App 处理个人信息情况,确保用户对 App 个人信息处理行为
6 移动智能终端上的 App 个人信息处理活动安全风险 ........................................ 3
7 移动智能终端管理措施 ................................................................ 4 7.1 透明化展示个人信息处理活动 ...................................................... 4 7.1.1 App 使用个人信息提示 ......................................................... 4 7.1.2 App 调用个人信息行为记录 ..................................................... 4 7.1.3 用户个人信息集中展示 ........................................................ 5 7.2 App 个人信息处理行为管理......................................................... 5 7.2.1 唯一设备识别码访问控制 ...................................................... 5 7.2.2 敏感数据访问提示和控制 ...................................................... 5 7.2.3 存储空间使用 ................................................................ 6 7.2.4 App 安装风险管理............................................................. 6 7.2.5 App 更新风险管理............................................................. 6 7.2.6 App 退出/停用及卸载风险管理 .................................................. 6 7.3 用户控制 App 收集个人信息行为 .................................................... 6 7.3.1 系统权限能力增强 ............................................................ 6 7.3.2 App 自启动与关联启动管理 ..................................................... 7 7.4 预置应用软件处理个人信息行为管理 ................................................ 7
个人信息保护指南征求意见稿
个人信息保护指南征求意见稿随着信息技术的迅猛发展和互联网的普及应用,个人信息的收集、存储和使用越来越频繁,个人信息保护成为社会各界关注的重要议题。
为了加强个人信息保护工作,保障公民的个人信息安全,我国制定了《个人信息保护法》。
为了更好地贯彻该法,制定一部全面、系统的个人信息保护指南是必要的。
下文是个人信息保护指南征求意见稿,旨在征求广大公众对于指南的宝贵意见和建议。
第一章总则第一条目的和依据(一)为了规范个人信息的收集、存储、使用和提供行为,保护公民的合法权益,制定本指南。
(二)本指南依据《个人信息保护法》制定。
第二条适用范围本指南适用于国内各类组织、个人在收集、存储、使用和提供个人信息时的行为。
第三条基本原则(一)合法、正当、必要原则:个人信息的收集、存储、使用和提供应当遵循合法、正当和必要的原则。
(二)目的明确原则:个人信息的收集、存储、使用和提供应当明确目的,并在目的范围内进行。
(三)最小必要原则:个人信息的收集、存储、使用和提供应当与实现目的密切相关,且应符合最小必要原则。
(四)主动授权原则:个人信息的收集、存储、使用和提供应当事先征得个人的同意,原则上不得违背个人意愿。
(五)安全保护原则:个人信息的收集、存储、使用和提供应当采取安全保护措施,防止未经授权的访问、泄露、篡改和销毁。
...第六章个人信息跨境传输第二十三条跨境传输原则个人信息的跨境传输应当遵循以下原则:(一)知情同意原则:个人信息的跨境传输应当事先告知个人并征得其明示同意。
(二)信息接收方可靠性原则:个人信息的跨境传输应当确保接收方有充分的能力和条件保护个人信息的安全。
(三)国家监管参与原则:个人信息的跨境传输应当受到国家监管机构的监督和管理。
第二十四条个人敏感信息跨境传输个人敏感信息的跨境传输应当遵循以下原则:(一)个人明示同意原则:个人敏感信息的跨境传输应当明示告知个人并征得其明示同意。
(二)...第七章监督管理第三十五条政府监管(一)国家对个人信息的保护工作负主要责任,建立健全个人信息保护的法规制度和政策措施。
《个人信息保护法》为我国跨境数据流动提供制度基础
在新冠肺炎疫情的催化下,全球电子信息时代加速到来,我国的跨境数据流动制度体系在这样的时代背景下也进一步完善,随着2021年8月《个人信息保护法》的颁布,我国建立起从个别行业的立法要求到搭建起个人信息跨境流动的法律框架与体系,对个人数据的跨境流动做了较为全面且系统性的规定,在跨境数据流动评估方式和监管手段上与《数据安全法》和《网络安全法》保持了整体框架上的一致。
跨境数据流动之法律制度体系(一)国内法层面不同于世界上其他主要国家采用的评估方式,比如欧盟采用充分性认定,要求第三方国家对个人信息能确保提供适当水平的保护,俄罗斯、澳大利亚则采用企业担保的模式,要求数据控制者通过与数据接收者签订合同担保其遵守数据出口国的法律,日本则通过数据主体同意模式使得数据主体全权管理,国家不直接干涉,我国在对需跨境的个人信息进行评估时强调数据安全问题,因此主要采用安全评估的方式。
《个人信息保护法》第三十八条规定,个人信息处理者在向境外提供个人信息时应当满足的条件为通过国家网信部门组织的安全评估、进行个人信息保护认证和签订网信部门制定的标准合同。
第四十条在沿用了《网络安全法》和《数据安全法》关于关键信息基础设施规定的基础上,增加了对其所处理的个人信息的数量限制,要求达到国家网信部门规定数量的个人信息处理者应当将收集和产生的个人信息存储在境内。
为完善《网络安全法》《数据安全法》《个人信息保护法》中的规定,今年8月,国家正式公布了《关键信息基础设施安全保护条例》。
在该条例中,对关键信息基础设施的认定规则及设施运营者的责任义务进行了明确。
在今年10月网信办公布了《数据出境安全评估办法(征求意见稿)》,该办法对数据出境评估的原则、评估对象、评估事项、合同要求等做了详细规定。
而在对网络的利用以及网络数据安全的监督管理上,11月出台的《网络数据安全管理条例(征求意见稿)》建立数据分类分级保护制度,同时从数据跨境的条件、数据处理者义务等方面对数据跨境的规则进行了细化。
《个人信息保护法(草案)》视角下5G数据安全的挑战及应对
《个人信息保护法(草案)》视 角下5G数据安全的挑战及应对■董宏伟苗运卫袁艺I文在科技革命和产业变革的时代背景下,5G作为信息通信技术迭代的新一代产物,对 实现万物互联和推动数字经济具有重要意义。
然而,在给经济和社会带来深刻变革的同时,5G也面临着不同场景下的数据安全挑战。
数 据是基础性、战略性资源,事关国家安全、经济发展、社会治理和人民生活。
为应对其 中的安全问题,我国立法持续跟进。
《网络 安全法》《数据安全法(草案)》等的不断 出台,构建起数据战略的法治化基础,也为 5G数据安全提供法制保障。
个人信息是数据 中反映个人特征的内容,其安全不容忽视。
作为一部保障个人信息安全的法律,《个人 信息保护法(草案 >》(以下简称《草案》)于2020年10月公布,规定了个人信息保护的行为规范、权利规范和治理规范等内容,丰富并完善了数据安全的保护体系,成为保障5G数据安全的重要依据。
场戛E分下昀5G輝瑪幸全排珙5G相较前代移动通信技术而言进步巨大,速度、功耗、时延全面提升,因此基于 5G的应用也将更为广泛。
根据应用业务和信 息交互对象等区别,可将5G划分为三大应用 场景:增强型移动宽带(e M B B)、大规模机器类通信(m M TC)、超可靠低延迟通信 (URLLC)。
不同的应用场景划分将移动通 信带入了场景定制的时代,各种不同的5G数 据安全挑战也随之出现。
增强型移动宽带(eM BB)场景下的数据安全挑战5G的e M B B场景是前代移动通信技术中个人用户业务的进一步延伸,也最先满足 商用需求,其提供大带宽高速率的移动通信服务,实现对超高清音频、视频、增强现实与虚拟现实技术(A R/V R)等应用的支持。
在此场景下,既存的通信信息和移动终端等方面的数据安全问题将继续存在,且更高通 信速率会让数据安全威胁扩散得更加快速与广泛。
同时,此应用场景的对象为个人用户,中国电傕让37对个人信息的收集更加直接,汇聚的个人信 息将经过系统快速分析发挥个性化推荐等作 用,对个人信息的依赖将令其面对更多的安 全威胁。
个人信息出境安全评估办法(征求意见稿)
个人信息出境安全评估办法(征求意见稿)第一条为保障数据跨境流动中的个人信息安全,根据《中华人民共和国网络安全法》等相关法律法规,制定本办法。
第二条网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。
经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。
国家关于个人信息出境另有规定的,从其规定。
第三条个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。
每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。
第四条网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责:(一)申报书。
(二)网络运营者与接收者签订的合同。
(三)个人信息出境安全风险及安全保障措施分析报告。
(四)国家网信部门要求提供的其他材料。
第五条省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估。
安全评估应当在15个工作日内完成,情况复杂的可以适当延长。
第六条个人信息出境安全评估重点评估以下内容:(一)是否符合国家有关法律法规和政策规定。
(二)合同条款是否能够充分保障个人信息主体合法权益。
(三)合同能否得到有效执行。
(四)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。
(五)网络运营者获得个人信息是否合法、正当。
(六)其他应当评估的内容。
第七条省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。
网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。
第八条网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:(一)向境外提供个人信息的日期时间。
个人信息和重要数据出境安全评估办法
个人信息和重要数据出境安全评估办法(征求意见稿)第一条为保障个人信息和重要数据安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法利益,根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。
第二条网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。
因业务需要,确需向境外提供的,应当按照本办法进行安全评估。
第三条数据出境安全评估应遵循公正、客观、有效的原则,保障个人信息和重要数据安全,促进网络信息依法有序自由流动。
第四条个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。
未成年人个人信息出境须经其监护人同意。
第五条国家网信部门统筹协调数据出境安全评估工作,指导行业主管或监管部门组织开展数据出境安全评估。
第六条行业主管或监管部门负责本行业数据出境安全评估工作,定期组织开展本行业数据出境安全检查。
第七条网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。
第八条数据出境安全评估应重点评估以下内容:(一)数据出境的必要性;(二)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;(三)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;(四)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;(五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;(六)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;(七)其他需要评估的重要事项。
第九条出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:(一)含有或累计含有50万人以上的个人信息;(二)数据量超过1000GB;(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(五)关键信息基础设施运营者向境外提供个人信息和重要数据;(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
个人信息保护指南(征求意见稿)发布时间:2010-04-24 00:35 来源:作者:第一章总则第一条[目的] 为提高个人信息保护意识,保护个人合法权益,促进个人信息有序利用,指导和规范利用信息系统处理个人信息的活动,制定本指南。
第二条[适用范围和方式]企事业单位部分或全部采用信息系统进行个人信息处理时,可依据本指南的原则和要求,制定个人信息保护政策、个人信息处理准则或办法,规范本单位的个人信息处理活动。
行业协会、标准化组织、第三方机构等可依据本指南的原则和要求,制定个人信息处理自律手则、标准和评估办法等,规范、指导相关单位的个人信息处理活动。
第三条[不适用范围]本指南不适用于以下情况的个人信息处理活动:(1)因统计和科学研究需要由统计机构和研究机构匿名进行的个人信息处理;(2)因家庭事务和个人交往需要由自然人进行的个人信息处理;(3)法律法规对个人信息处理有明确规定的其他情形。
第四条[术语定义]本指南中,“个人信息”是指与特定自然人相关、能够单独或与其他信息结合识别该特定自然人的任何信息。
“个人信息主体”是指可通过个人信息识别的特定自然人。
“信息处理”是指收集、储存、修改、编辑、整理、汇编、检索、标注、挖掘、转移、披露、公开、传输、交换、删除、销毁等等针对信息所进行的所有行为。
“信息系统”是指为实现信息处理目的,按照一定规则组合并运行的计算机及其配套的设备、设施(含网络)。
“收集”是指获取并记录个人信息的行为。
“加工”是指录入、整理、聚合、挖掘、恢复等除收集、转移、使用、销毁或删除之外的一切信息处理行为。
“转移”是指将保存或拥有的个人信息移交给其他自然人、法人或组织的行为。
“使用”是指运用个人信息的行为,包括向公众或特定群体披露、在决策中加以考虑、依据个人信息作出决定或决策,依据个人信息实施某种行动或行为等。
“销毁”是指从物理上毁灭记录个人信息的载体。
“删除”是指从信息系统和载体上永久清除个人信息并不可恢复。
第二章个人信息处理原则第五条【遵循原则要求】利用信息系统进行个人信息处理,应自觉遵守本指南确定的原则。
第六条【目的明确原则】处理个人信息应具有明确、合法的目的,法律法规没有明确规定或者个人信息主体没有明确授权,不应擅自处理个人信息。
第七条【公开透明原则】处理个人信息之前,应以明确、易懂的方式向个人信息主体告知处理个人信息的目的,处理个人信息的具体内容、个人信息在信息系统中的留存时限、个人信息保护的政策,个人信息主体的权利以及个人信息的使用范围和相关责任人等。
第八条【质量保证原则】应根据处理目的的需要保证个人信息准确、完整,时间敏感的个人信息应处于最新状态。
第九条【安全保障原则】应采取必要的管理措施和技术手段,保护信息系统中的个人信息安全,防止未经授权检索、公开及丢失、泄露、损毁和篡改个人信息。
第十条【合理处置原则】利用信息系统处理个人信息的方式应合理,处理个人信息的内容应与告知个人信息主体的目的相关,不超出目的范围处理个人信息,不应在既定目的实现后超期限保留个人信息。
第十一条【个人参与原则】应在个人信息处理的过程中,提供必要的途径和手段,为个人信息主体实现其权利提供便利。
第十二条【责任落实原则】应明确个人信息处理过程中的责任,对不承担相关责任的行为,应建立必要的制度予以追究。
第三章个人信息主体权利保护第十三条【权利保护要求】利用信息系统处理个人信息时,信息系统管理者应提供必要的措施和手段保护个人信息主体的权利,除非法定原因或维护公共利益、第三方重大利益的需要,不应限制个人信息主体的权利。
第十四条【知情权】个人信息主体向信息系统管理者提出申请了解:(1)是否拥有其个人信息;(2)拥有个人信息的内容;(3)获得其个人信息的来源;(4)处理其个人信息的目的;(5)保护其个人信息的政策和措施;(6)披露或向其他机构提供其个人信息的范围;(7)信息系统管理者的相关信息等时,信息系统管理者应当如实告知。
第十五条【选择权】信息系统管理者向个人信息主体收集其个人信息时,应给予个人信息主体同意或拒绝的机会。
第十六条【更正权】信息系统管理者应提供必要的方法和手段,保证个人信息主体能够检查到信息系统中其个人信息的完整性、准确性,并且在发现错误时进行修改。
第十七条【禁止权】个人信息主体发现信息系统管理者不当处理其个人信息并要求屏蔽、删除或销毁其个人信息时,信息系统管理者应当按照个人信息主体的要求屏蔽、删除或销毁有关个人信息。
第十八条【求偿权】因信息系统管理者的原因导致个人信息泄露或不当使用,给相关个人信息主体造成损害或损失,个人信息主体要求赔偿时,信息系统管理者应当赔偿。
第四章个人信息处理的前提条件第十九条【个人信息处理的前提条件】未经法律法规的明确授权或个人信息主体的明示同意,信息系统管理者不应处理个人信息,除非满足以下条件之一:(1)履行与个人信息主体签订的合同需要或是为了与个人信息主体缔结合同的需要;(2)履行信息系统管理者的法定职责,且不会对个人信息主体权益造成侵害;(3)为维护个人信息主体的利益需要,且情况紧急,获得个人信息主体同意客观上不可能或者由于时间耽搁造成的损失过于巨大;(4)维护公共利益或第三方的重大利益需要,且不会对个人信息主体权益造成侵害;(5)因传输需要,由自动设备进行的自动、瞬时完成的个人信息处理;(6)处理个人信息主体主动公开的信息,且处理目的不超出个人信息主体主动公开的目的范围。
第二十条【特定个人信息的处理】法律法规已明确规定由专门机构处理的特定个人信息,信息系统管理者在未获得行业管理部门批准前,不应擅自处理相关信息。
第二十一条【个人信息公告要求】本指南发布前,信息系统管理者已经存留个人信息的,应当采取适当方式公告其存留的个人信息类别、个人信息主体的规模和范围以及个人信息的使用目的。
第五章个人信息收集第二十二条【直接收集个人信息】信息系统管理者如需使用个人信息,应直接向个人信息主体收集。
利用信息系统收集个人信息,应满足以下条件:(1)具有特定、明确、合法的目的;(2)采用合理、适当的方法和手段;(3)获得个人信息主体的明确同意,或满足第十九条的规定;第二十三条【信息收集要求】信息系统管理者向个人信息主体收集个人信息前,应采取个人信息主体能够收悉的方式向个人信息主体明确告知如下事项:(1)收集信息的目的、使用范围和收集方式;(2)信息系统管理者的名称、地址、联系办法;(3)不提供个人信息可能出现的后果;(4)个人信息主体的权利;(5)个人信息主体的投诉渠道等。
第二十四条【间接收集个人信息】信息系统管理者一般不应在个人信息主体不知情、未参与的情况下采取技术手段间接收集个人信息,特殊情况必须间接收集个人信息时,应符合第十九条规定的条件或法律法规政策有明确的规定。
第二十五条【未成年人个人信息收集】信息系统管理者不应收集未满14周岁未成年人的个人信息,收集14-18周岁未成年人信息时,应征得未成年人家长的同意。
第六章个人信息委托加工第二十六条【信息加工委托的前提】信息系统管理者收集个人信息后需委托第三方对个人信息进行加工的,应在收集前向个人信息主体说明。
第二十七条【信息加工委托的要求】信息系统管理者委托第三方对个人信息进行加工时,应确保第三方具有不低于自身的信息安全保护水平,并且应通过合同明确第三方的个人信息保护责任。
第二十八条【加工转移过程中的安全要求】信息系统管理者在向接受委托加工的第三方转移个人信息时,应保证转移过程中的个人信息安全。
第二十九条【信息加工者的责任】接受委托的第三方应按照法律法规的规定、本指南的要求和委托者的合同要求,采取必要的技术手段和管理措施,保障个人信息在加工过程中的安全。
第三十条【加工完成后销毁】接受委托的第三方完成个人信息加工任务并移交给委托者后,应自行删除和销毁相关个人信息。
法律法规有规定或合同有约定的,从其规定或约定。
第七章个人信息转移第三十一条【个人信息转移的一般要求】信息系统管理者收集个人信息后一般不应向其他机构转移,如需转移应当在收集时向个人信息主体说明转移的目的、转移的对象,并获得个人信息主体明示同意。
法律法规或政策对个人信息的转移有明确规定的,从其规定。
第三十二条【信息转移者的责任】信息系统管理者向其他机构转移个人信息时,应确保个人信息的接收者具有不低于自身的信息安全保护水平,应保证转移过程中的个人信息安全。
第三十三条【限制向国外转移】未经个人信息主体的明示同意,信息系统管理者不应将个人信息转移到国外。
法律法规另有规定或政策另有要求的除外。
第八章个人信息披露、公开、使用、销毁或删除第三十四条【信息披露】信息系统管理者应将收集的个人信息限定在收集时告知个人信息主体的范围之内,不应向其他机构披露相关个人信息。
第三十五条【公开个人信息】未经个人信息主体明示同意,信息系统管理者不应公开其处理的个人信息。
第三十六条【使用个人信息】个人信息使用应限于收集个人信息时告知的目的,无法律法规的明确规定或个人信息主体的明确授权,不应超出目的使用个人信息。
第三十七条【网站个人信息管理】未经个人信息主体同意,信息系统管理者不应在网站上发布未公开的个人信息。
应个人信息主体要求,网络经营者或管理者应及时删除个人信息。
删除个人信息可能会影响到公安机关的调查取证时,信息系统管理者应采取适当的信息保全措施。
第三十八条【个人信息销毁或删除】个人信息使用完成后原则上应删除或销毁。
如果需要继续保留个人信息,应对相关个人信息进行匿名处理。
法律法规另有规定或个人信息主体另有授权的,从其规定或授权。
第三十九条【个人信息修改和补充】个人信息主体发现其个人信息有误并要求修改时,信息系统管理者应查验相关信息,并在核对正确后修改和补充相关信息。
第九章个人信息管理第四十条【管理的一般要求】信息系统管理者利用信息系统处理个人信息的,应制定个人信息保护政策或方针,建立个人信息管理制度,落实个人信息管理责任,加强个人信息管理,规范个人信息处理活动。
第四十一条【机构要求】信息系统管理者应指定专门机构或人员负责内部的个人信息保护工作,接受个人信息主体的投诉与质询。
第四十二条【技术手段要求】信息系统管理者应采取必要的技术手段,保护个人信息的安全,确保但不限于以下目标:(1)防止对个人信息处理场所和个人信息存储介质的未授权访问、损坏和干扰;(2)处理个人信息时,应保证信息系统持续稳定运行;(3)保证个人信息在信息系统中的保密性、真实性和完整性。
第四十三条【信息查询要求】信息系统管理者在个人信息主体提出查询请求时,应如实和免费地告知请求人有关其个人信息,除非告知信息的成本明显过于高或者请求人请求次数明显过于频繁。
第四十四条【风险管理要求】信息系统管理者应加强个人信息风险管理,识别、分析、评估潜在的风险因素,制定风险应对策略,采取风险控制措施,监控风险变化。