個人信息管理制度

**有限公司工作指導書文件編號WI-016生效日期2019.06.28個人信息管理制度修訂狀態(tài)A0頁碼第1頁共6頁1.0目的尊重、保護個人隱私權。保證個人信息處理、使用及利用的目的與個人信息主體的意愿一致，不超目的、超范圍處理、利用。2.0范圍適用于各部門以及從屬機構。3.0定義個人信息：與特定個人相關、并可識別該個人的信息，如數(shù)據(jù)、圖像、聲音等，包括不能直接確認，但與其他信息對照、參考、分析仍可間接識別特定個人的信息。個人信息主體：可通過個人信息識別的特定的自然人。個人信息數(shù)據(jù)庫：為實現(xiàn)一定的目的，按照某種規(guī)則組織的個人信息的集合體。包括：磁介質(zhì)、電子及網(wǎng)絡媒介，紙介質(zhì)，聲音，照片等。個人信息管理者：獲個人信息主體授權，基于特定、明確、合法目的，管理、處理、使用、利用個人信息的機關、企業(yè)、事業(yè)、社會團體等組織及個人。收集：基于特定、明確、合法的目的獲取個人信息的行為。處理：處谿個人信息的過程，如錄入、加工、編輯、存儲、檢索、交換、傳輸、輸出等行為及其它處谿行為。使用：基于特定、明確、合法的目的，運用個人信息的行為。利用：基于特定、明確、合法的目的，提供、委托第三方處理、使用個人信息及其它因某種利益處理、使用個人信息的行為。隱私：是一種與公共利益、群體利益無關，當事人不愿他人知道或他人不便知道的個人信息，當事人不愿他人干涉或他人不便干涉的個人私事，以及當事人不愿他人侵入或他人不便侵入的個人領域。隱私權：隱私權是指自然人享有的私人生活安寧與私人信息秘密依法受到保護，不被他人非法侵擾、知悉、收集、利用和公開的一種人格權，而且權利主體對他人在何種程度上可以介入自己的私生活，對自己是否向他人公開隱私以及公開的范圍和程度等具有決定權。隱私權作為一種基本人格權利，是指公民享有的私人生活安寧與私人信息依法受到保護，不被他人非法侵擾、知悉、搜集、利用和公開的一種人格權。4.0職責信息安全小組：負責個人信息管理者的個人信息保護工作。應制定個人信息保護的規(guī)章和制度。制定個人信息保護監(jiān)察制度和監(jiān)察計劃，并按計劃實施監(jiān)察。編制監(jiān)察報告，督促、建議個人信息保護的改進、完善。IT：通過信息技術手段，保證個人信息數(shù)據(jù)庫存儲、保存的個人信息的完整性、保密性、可用性。人力資源部：宣傳教育，在個人信息保護管理機構的指導下開展工作。**有限公司工作指導書文件編號WI-016生效日期2019.06.28個人信息管理制度修訂狀態(tài)A0頁碼第2頁共6頁組織、實施個人信息保護宣傳教育。制定個人信息保護宣傳教育策略和方法、培訓計劃。個人信息保護相關知識、技術的培訓、教育。提供個人信息保護相關咨詢和服務。提供個人信息處理、使用建議和意見。5.0作業(yè)內(nèi)容領導成立信息安全小組。建立個人信息保護系統(tǒng)。定期對雇員及供應商進行個人信息保護知識培訓。內(nèi)容包括：個人信息保護相關法律、法規(guī)、規(guī)范、標準和管理制度；個人信息保護的重要性和必要性;違反個人信息保護相關標準可能引起的損害和后果等。開展個人信息保護工作的組織、實施。個人信息保護宣傳、教育。個人信息保護情況的檢查、改進、完善。與接觸到個人信息人員及供應商簽訂保密協(xié)議。收集所有個人信息收集行為，必須具有特定、明確、合法的目的。不得通過任何非法途徑收集個人信息。收集個人信息，不得使用執(zhí)行軟件、登記平臺等方式收集。所有個人信息收集行為，應征得個人信息主體同意，限定在收集目的范圍內(nèi)。收集、處理、使用、利用個人信息，應通知個人信息主體并征得個人信息主體的明確同意。通知形式包括：以書面形式通知個人信息主體；以可鑒證的、有規(guī)范記錄的、滿足書面形式要求的非書面形式通知個人信息主體。對個人信息收集進行嚴格限制，僅收集雇員服務必須信息。收集個人信息，應符合供應商協(xié)議要求，符合法律法規(guī)。管理應明確與個人信息相關人員的權限、責任，加強相關人員的監(jiān)察和管理，防止未經(jīng)授權的個人信息接觸。涉及個人信息相關資料的使用、借閱，應建立登記備案制度。登記應署真實姓名、部門、使用目的、使用方法及安全承諾。個人信息安全應采取必要、合理的管理和技術措施，防止未經(jīng)授權的個人信息檢索、使用、公開及丟失、泄露、損毀、篡改等行為。**有限公司工作指導書文件編號WI-016生效日期2019.06.28個人信息管理制度修訂狀態(tài)A0頁碼第3頁共6頁人員手工處理個人信息時，應按照一定的應用目的和規(guī)則進行信息收集、加工、存儲、傳輸、檢索、咨詢、交換等。個人信息應在收集、處理目的范圍內(nèi)保持準確性、完整性和最新狀態(tài)。其它業(yè)務開展或有特殊要求的業(yè)務，涉及個人信息收集、處理，應制定相應的個人信息保護規(guī)定。所人的個人信息應保存在核心服務器、文控中心或指定的資料存放室。個人信息管理者應為個人信息的存儲、保存設定一個合理的時限，并與目的充分相關。必須建立個人信息數(shù)據(jù)庫?？梢酝ㄟ^自動處理檢索、查閱特定的個人信息的集合體，如紙介質(zhì)，聲音，照片等。使用個人信息不得超范圍處理、使用、利用。所有收集的任何個人隱私信息不得用作商業(yè)用途或任意泄漏給第三方。個人信息管理者處理個人信息之前，必須征得個人信息主體同意；或為履行與個人信息主體達成的合法協(xié)議的需要。個人信息的用途發(fā)生變化時，將征得所涉?zhèn)€人同意。使用個人信息，不得超過服務期限。個人信息使用服務期限結束，必須對所持有的個人信息進行銷毀或退還，并留有效的銷毀證明。個人信息主體對相關個人信息享有權利，個人信息應向信息主體提供。任何人要取得個人信息時，信息安全管理部門將告知個人信息主體取得個人信息的途徑或訪問步驟。個人信息主體在通過身份驗證后，均只能訪問其所需的信息，并且這些個人信息無法用于識別其它人。個人信息主體均有訪問的記錄。利用不得讓任何次承攬人收集、使用、訪問、存儲個人信息。將選擇有良好聲譽的次承攬人參與供應商計劃，在轉(zhuǎn)包服務之前將獲得供應商的書面同意。與所有參與供應商計劃的次承攬人簽訂保密協(xié)議以保護供應商個人信息。所有參與供應商計劃的次承攬人僅限于獲取履行與該供應商合約所需的個人信息。信息安全管理部門將對任何非法使用或揭露供應商個人信息的投訴進行審查。對于次承攬人將供應商個人信息用于非“向供應商服務”目的時，將立即采取行動，以降低實際或潛在造成的損害。在將任何供應商個人信息提供給第三方時，將事先征得供應商的書面許可。持續(xù)進行信息安全審計，并且也將對供應商的進行年度審查，以保證遵從。對于任何疑似或已經(jīng)違反隱私權或相關的安全漏洞的事件，將立即通知供應商。在發(fā)布任何與供應商個人或敏感信息之前，將通知供應商并征得同意。對于任何可以的漏洞或違規(guī)行為，立即修復。**有限公司工作指導書文件編號WI-016生效日期2019.06.28個人信息管理制度修訂狀態(tài)A0頁碼第4頁共6頁信息安全管理部門建立信息安全事件上報、投訴機制，信息安全事件可在第一時間反饋到信息安全管理部門，該機制已經(jīng)在信息安全管理體系文件中規(guī)定。對于接受到的投訴，信息安全管理部門將向供應商提供投訴記錄文件。安全基制風險管理，在個人信息收集、處理、使用、利用過程中，識別、分析、評估潛在的風險因素，制定風險應對策略，采取風險管理措施，監(jiān)控風險變化，并將殘余風險控制在可接受范圍內(nèi)。物理環(huán)境管理，根據(jù)需要采取必要的措施，保證個人信息存儲、保存環(huán)境的安全，包括防火、防盜及其它自然災害、意外事故、人為因素等。工作環(huán)境管理，注意工作人員工作環(huán)境內(nèi)所有相關的個人信息的保護，防止未經(jīng)授權的、無意的、惡意的使用、泄露、損毀、丟失。網(wǎng)絡行為管理，制定網(wǎng)絡管理措施，采用相應的技術手段，引導、約束通過網(wǎng)絡利用、傳播個人信息的行為，構建規(guī)范、科學、合理、文明的網(wǎng)絡秩序。信息安全管理，在整體信息安全體系建設中，充分考慮個人信息保護的特點，加強個人信息安全防護，預防安全隱患和安全威脅。如網(wǎng)絡基礎平臺、系統(tǒng)平臺、應用系統(tǒng)、安全系統(tǒng)、數(shù)據(jù)等的安全，及信息交換中的安全防范、病毒預防和恢復、非傳統(tǒng)信息安全等。存儲管理，保存?zhèn)€人信息的個人計算機系統(tǒng)、可移動存儲媒介（電子、磁、紙、網(wǎng)絡等介質(zhì)及其它非自動處理介質(zhì)）應確保個人信息存儲的準確性、完整性、可靠性和安全使用。使用管理，根據(jù)個人信息自動和非自動處理的特點，制定相應的個人信息使用管理策略，包括訪問/調(diào)用控制、權限設谿、密鑰管理等，防止個人信息的不當使用、毀損、泄露、刪除等。備份和恢復，制定個人數(shù)據(jù)資料備份和恢復機制，并保證備份和恢復個人信息的完整性、可靠性和準確性。人員管理，明確與個人信息相關人員的權限、責任，加強相關人員的監(jiān)察和管理，防止未經(jīng)授權的個人信息接觸。備案管理，涉及個人信息相關資料的使用、借閱，應建立登記備案制度。登記應署真實姓名、部門、使用目的、使用方法及安全承諾。違反登記備案制度，應予以處罰，并承擔賠償責任。計劃。根據(jù)相關法律、規(guī)范和實際需求制定信息保護監(jiān)察計劃。應急管理。個人信息管理者制定應急預案，對收集、處理、使用、利用個人信息過程中可能出現(xiàn)的個人信息泄露、丟失、損壞、篡改、不當使用等事件進行評估、分析，采取相應的預防措施和處理。持續(xù)改進。個人信息管理者依據(jù)相關法規(guī)、監(jiān)察報告、需求變化、建議、投訴等，定期評估、分析個人信息保護體系運行狀況，持續(xù)改進和完善個人信息保護系統(tǒng)。記錄個人信息保護實施過程中記錄相關個人信息保護行為的目的、時間、范圍、對象、方式方法、效果、反饋等信息。如培訓教育、監(jiān)察、宣傳等。應急管理個人信息管理者應制定應急預案，對收集、處理、使用、利用個人信息過程中可能出現(xiàn)的個人信息泄露、丟失、損壞、篡改、不當使用等事件進行評估、分析，采取相應的預防措施和處理。**有限公司工作指導書文件編號WI-016生效日期2019.06.28個人信息管理制度修訂狀態(tài)A0頁碼第5頁共6頁6.0相關文件《信息安全管理體系手冊》《信息資產(chǎn)及分級管控制程序》《人力資源控制程序》《憲法》。第三十八條中華人民共和國公民的人格尊嚴不受侵犯。禁止用任何方法對公民進行侮辱、誹謗和誣告陷害。第三十九條中華人民共和國公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。第四十條中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要，由公安機關或者檢察機關依照法律規(guī)定的程序?qū)νㄐ胚M行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密?！缎谭ā返诙偎氖鍡l非法搜查他人身體、住宅，或者非法侵入他人住宅的，處三年以下有期徒刑或者拘役。司法工作人員濫用職權，犯上一款罪的，從重處罰。第二百四十六條以暴力或者其他方法公然侮辱他人或者捏造事實誹謗他人，情節(jié)嚴重的，處三年以下有期徒刑、拘役、管制或者剝奪政治權利。第二百五十二條隱匿、毀棄或者非法開拆他人信件，侵犯公民通信自由權利，情節(jié)嚴重的，處一年以下有期徒刑或者拘役。第二百五十三條郵政工作人員私自開拆或者隱匿、毀棄郵件、電報的，處二年以下有期徒刑或者拘役。犯前款罪而竊取財物的，依照本法第二百六十四條的規(guī)定定罪從重處罰。第二百五十三條之一國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處以罰金。竊取或者以其他方法非法獲取上述信息，情節(jié)嚴重的，依照前款的規(guī)定處罰。單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰?！睹穹ㄍ▌t》第一百條公民享有肖像權，未經(jīng)本人同意，不得以營利為目的使用公民的肖像。第一百零一條公民、法人享有名譽權，公民的人格尊嚴受法律保護，禁止用侮辱、誹謗等方式損害公民、法人的名譽。關于貫徹執(zhí)行《民法通則》若干問題的意見140.以書面、口頭等形式宣揚他人的隱私，或者捏造事實公然丑化他人人格，以及用侮辱、誹謗等方式損害他人名譽，造成一定影響的，應當認定為侵害公民名譽權的行為。以書面、口頭等形式詆毀、誹謗法人名譽，給法人造成損害的，應當認定為侵害法人名譽權的行為。**有限公司工作指導書文件編號WI-016生效日期2019.06.28個人信息管理制度修訂狀態(tài)A0頁碼第6頁共6頁141.盜用、假冒他人姓名、名稱造成損害的，應當認定侵犯姓名權、名稱權的行為?！段闯赡耆吮Ｗo法》第三十一條任何組織或者個人不得披露未成年人的個人隱私。對未成年人的信件、日記、電子郵件，任何組織或者個人不得