《個人信息保護指南》全文

前 言

本指南由工業和信息化部信息安全協調司提出。

本指南由全國信息安全標準化技術委員會歸口。

本指南起草單位：中國軟件評測中心、大連軟件行業協會、中國軟件行業協會、中國互聯網協會、中國通信企業協會通信網絡安全專業委員會、北京金*安全軟件有限公司、深圳市*訊計算機系統有限公司、北京奇虎科技有限*司、北京新浪互聯信息服務有*公司、北京百合在線科技有*公司、上海花千*信息科技有限公司、北*百度網訊科技有限公司等單位。

本指南主要起草人：高*揚、孫-鵬、朱-璇、嚴*鳳、朱*銘、曹-劍。

引 言

伴隨著信息技術的廣泛應用和互聯網的不斷普及，個人信息在社會、經濟活動中的地位日益凸顯。與此同時，濫用個人信息的現象隨之出現，給社會秩序和人民切身利益帶來了危害。合理利用和有效保護個人信息已成為企業、個人和社會各界廣泛關注的熱點問題。

為提高個人信息保護意識，保護個人合法權益，促進個人信息的合理利用，指導和規范利用信息系統處理個人信息的活動，制定本指南。

個人信息保護指南

1范圍

本指南明確了個人信息處理原則和個人信息主體的權利，提出了個人信息的收集、加工、轉移、使用、屏蔽和刪除等行為要求。法律、行政法規已規定了個人信息處理有關事項的，從其規定。

本指南適用于利用信息系統處理個人信息的活動。

2術語和定義

下列術語和定義適用于本指南。

2.1

個人信息 personal information

能夠被知曉和處理、與具體自然人相關、能夠單獨或與其他信息結合識別該具體自然人的任何信息。

2.2

個人信息主體 subject of personal information

個人信息指向的自然人。

2.3

個人信息管理者 administrator of personal information

對個人信息具有實際管理權的自然人或法人。

2.4

信息系統 information system

由計算機及其相關的和配套的設備、設施(含網絡)構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。

2.5

信息處理 processing of information

收集、加工、轉移、使用、屏蔽、刪除等處置信息的行為。

2.6

收集 collection

獲取并記錄個人信息的行為。

2.7

加工 alteration

錄入、存儲、修改、編輯、整理、匯編、檢索、標注、比對、挖掘等除收集、使用、轉移、屏蔽、刪除之外的一切信息處理行為。

2.8

轉移 transmission

將存儲或擁有的個人信息移交給其他自然人或法人的行為。

2.9

使用 use

運用個人信息的行為，包括向公眾或特定群體披露、依據個人信息作出決定或決策，依據個人信息實施某種行動或行為等。

2.10

屏蔽 block

將個人信息進行特殊標注，限制其繼續處理。

2.11

刪除 erasure

從信息系統和載體上永久清除個人信息并不可恢復，從而毀滅該個人信息。

3個人信息處理原則

3.1概述

利用信息系統進行個人信息處理，應自覺遵守本指南確定的原則。

3.2目的明確原則

處理個人信息具有特定、明確、合理的目的，不擴大收集和使用范圍，不改變目的處理個人信息。

3.3公開透明原則

處理個人信息之前，以明確、易懂和適宜的方式向個人信息主體告知處理個人信息的目的、處理個人信息的具體內容、個人信息的留存時限、個人信息保護的政策、個人信息主體的權利以及個人信息的使用范圍和相關責任人等。

3.4質量保證原則

根據處理目的的需要保證收集的各項個人信息準確、完整，并處于最新狀態。

3.5安全保障原則

采取必要的管理措施和技術手段，保護個人信息安全，防止未經授權檢索、公開及丟失、泄露、損毀和篡改個人信息。

3.6合理處置原則

處理個人信息的方式合理，不采用非法、隱蔽、間接等方式收集個人信息，在達到既定目標后不再繼續處理個人信息。

3.7知情同意原則

未經個人信息主體同意，不處理個人信息。在個人信息處理的過程中，為個人信息主體保障其權利提供必要的信息、途徑和手段。

3.8責任落實原則

明確個人信息處理過程中的責任，采取必要的措施落實相關責任。

4個人信息主體的權利

4.1概述

利用信息系統處理個人信息時，個人信息管理者應采取必要的措施和手段保護個人信息主體的權利，除非基于法定事由或為避免公共利益受到重大影響，不應限制個人信息主體的權利。

個人信息主體的權利包括保密權、知情權、選擇權、更正權和禁止權。

4.2保密權

個人信息主體有權利要求個人信息管理者采取必要的措施和手段，保護個人信息不為處理目的之外的任何自然人或法人所知。

4.3知情權

個人信息管理者對個人信息主體應盡到告知、說明和警示的義務。個人信息主體有權請求個人信息管理者如實告知之如下事項：

——是否擁有或正在處理其個人信息;

——擁有其個人信息的內容;

——獲得其個人信息的渠道;

——處理其個人信息的目的和使用范圍;

——保護其個人信息的政策和措施;

——披露或向其他機構提供其個人信息的范圍;

——個人信息管理者的相關信息等。

4.4選擇權

個人信息主體有權利選擇同意或拒絕，信息管理者應為個人信息主體的選擇權的行使提供條件，并履行通知、說明和警示的義務。

4.5更正權

個人信息主體有權利要求個人信息管理者維護其信息的完整性和準確性，對錯誤的信息有權利要求個人信息管理者予以及時更正。

4.6禁止權

個人信息主體有權利要求個人信息管理者停止對其個人信息當前的處理行為，有權利要求個人信息管理者屏蔽、刪除其個人信息。

5個人信息保護要求

5.1個人信息收集

5.1.1個人信息管理者如需使用個人信息，應直接向個人信息主體收集，依照法律規定，或行使法律授權的收集除外。收集個人信息，應滿足以下條件：

a) 法律法規明確授權或經個人同意;

b) 具有特定、明確、合理的目的;

c) 采用合理、適當的方法和手段。

5.1.2個人信息管理者不應在個人信息主體不知情、未參與的情況下采取隱蔽技術手段或采用間接方式收集個人信息。

5.1.3個人信息管理者收集個人信息前，應采用個人信息主體能夠收悉的方式，至少向個人信息主體明確告知如下事項：

a) 收集個人信息的目的、使用范圍和收集方式;

b) 個人信息管理者的名稱、地址、聯系辦法;

c) 不提供個人信息可能出現的后果;

d) 個人信息主體的權利;

e) 個人信息主體的投訴渠道。

5.1.4個人信息管理者不應要求未滿16周歲的未成年人提交個人信息，當發現信息提交者未滿16周歲時，應給出明確提示并停止收集行為，為提供必要服務確需收集其個人信息的，應征得其監護人的同意。

5.1.5個人信息管理者不得收集與其所告知的信息收集目的無直接關系的個人信息，特別是揭示個人種族、宗教信仰、基因、指紋的信息，或與健康狀況、性生活有關的信息。

5.2個人信息加工和委托加工

5.2.1個人信息管理者應在個人信息主體知曉的目的和范圍內加工個人信息，并采取必要的措施和手段保障個人信息在加工過程中的安全。

5.2.2個人信息管理者需委托第三方對個人信息進行加工的，應在收集前向個人信息主體說明。

5.2.3個人信息管理者委托第三方對個人信息進行加工時，應確保第三方是達到本指南要求的、合格的第三方，并且應通過合同明確第三方的個人信息保護責任。

5.2.4個人信息管理者向接受委托的第三方轉移個人信息時，應保證轉移過程中的個人信息安全。

5.2.5接受委托的第三方應按照法律法規的規定、本指南的要求和委托者的合同，采取必要的措施和手段，保障個人信息在加工過程中的安全。

5.2.6接受委托的第三方完成個人信息加工任務并移交給委托者后，應刪除相關個人信息。

5.3個人信息轉移

5.3.1個人信息管理者一般情況下不應向其他機構轉移其收集的個人信息，如需轉移應當向個人信息主體說明轉移的目的、轉移的對象，并獲得個人信息主體的明示同意。

5.3.2個人信息管理者向其他機構轉移個人信息時，應確保個人信息的接收者是達到本指南要求的、合格的接收者，應保障個人信息在轉移過程中的安全。

5.3.3個人信息管理者與其他機構合并或被其他機構收購時，應在合同中明確處理個人信息的目的不改變，并采取措施確保其個人保護水平不下降。

5.3.4個人信息管理者破產時，應采取措施確保個人信息主體的各項權利不受損害。

5.3.5如法律法規沒有明確規定，或未經行業主管部門同意，個人信息管理者不應將個人信息轉移給境外注冊的個人信息管理者。

5.4個人信息使用、屏蔽和刪除

5.4.1個人信息管理者應將收集的個人信息限定在收集時告知個人信息主體的范圍之內，不應向其他機構披露相關個人信息。

5.4.2未經個人信息主體明示同意，個人信息管理者不應公開其處理的個人信息。

5.4.3個人信息使用應限于收集個人信息時告知的目的，除非法律法規有明確規定或個人信息主體明示同意，不應超出目的使用個人信息。

5.4.4個人信息主體有正當理由要求刪除其個人信息時，個人信息管理者應及時刪除個人信息。刪除個人信息可能會影響公安機關調查取證時，個人信息管理者應采取適當的信息保全措施。

5.4.5個人信息使用完成后應刪除，需要繼續處理的，應采取匿名方式。保存期限有明確規定的，按相關規定執行。

5.4.6個人信息主體發現其個人信息有誤并要求修改時，個人信息管理者應查驗相關信息，并在核對正確后修改或補充相關信息。

5.4.7對于未滿16周歲未成年人的個人信息，應強化保護措施和手段，不得超出收集時告知的使用目的之外使用其個人信息。

5.5個人信息管理

5.5.1個人信息管理者利用信息系統處理個人信息的，應制定個人信息保護政策，建立個人信息管理制度，落實個人信息管理責任，加強個人信息安全管理，規范個人信息處理活動。

5.5.2個人信息管理者應指定專門機構或人員負責內部的個人信息保護工作，接受個人信息主體的投訴與質詢。

5.5.3個人信息管理者應采取必要的措施和手段，保護個人信息安全，確保但不限于以下目標：

a) 防止對個人信息處理場所和個人信息存儲介質的未授權訪問、損壞和干擾;

b) 處理個人信息時，應保證信息系統持續穩定運行;

c) 保證個人信息在信息系統中的保密性、真實性和完整性。

5.5.4個人信息管理者在個人信息主體提出查詢請求時，應如實并免費地告知請求人與其相關的個人信息，除非告知成本或者請求頻率超出合理的范圍。

5.5.5個人信息管理者應加強個人信息風險管理，識別、分析、評估潛在的風險因素，制定風險應對策略，采取風險控制措施，監控風險變化。

5.5.6個人信息管理者應對個人信息處理過程中可能出現的泄露、丟失、損壞、篡改、不當使用等事件制定預案，采取相應的預防和應對措施。

5.5.7個人信息管理者應制定個人信息保護的教育培訓計劃并組織落實。

5.5.8個人信息管理者應建立個人信息保護的內控機制，定期開展檢查，并形成檢查評估報告。

5.5.9個人信息管理者應建立持續完善機制，不斷改進個人信息保護狀況，提高個人信息保護的水平。