個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐

個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐第九講

個人信息保護(hù)實(shí)踐構(gòu)建個人信息保護(hù)體系1個人信息保護(hù)認(rèn)證案例2個人信息保護(hù)認(rèn)證體系1個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐第2頁構(gòu)建個人信息保護(hù)體系行業(yè)自律制定《大連軟件及信息服務(wù)業(yè)個人信息保護(hù)規(guī)范》地方標(biāo)淮制定遼寧省《個人信息保護(hù)規(guī)范》評價管理機(jī)制事故申報和處理機(jī)制評價人員管理評價機(jī)制構(gòu)建個人信息保護(hù)體系完系完善個人信息保護(hù)認(rèn)PIPA與P—MARK互認(rèn)大連軟件行業(yè)協(xié)會構(gòu)建個人信息保護(hù)體系個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐第3頁個人信息保護(hù)保護(hù)認(rèn)證體系組建有關(guān)機(jī)構(gòu)制定理規(guī)章制度開展宣傳和教育實(shí)行個人信息保護(hù)通過要求時間試運(yùn)行標(biāo)準(zhǔn)進(jìn)行自查根據(jù)有個人關(guān)信法息規(guī)保履護(hù)行管評價申請程理自查

序申大連信息產(chǎn)業(yè)個人信息保護(hù)評價PIPA基本流程：公司申請個人信息保護(hù)評價資格審查申報材料審查其他需公司情況環(huán)境

確認(rèn)已實(shí)行個

無有關(guān)重大事

無有關(guān)重大投審查 人信息保護(hù)

故

訴評價機(jī)構(gòu)接收公司個人信息保護(hù)評價申請個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐第4頁評價開始評價申請評價結(jié)束案例：某公司個人信息保護(hù)管理機(jī)制（1）文獻(xiàn)編號：個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐第5頁個人信息保護(hù)方針版本號：制定日期：修改日期：制定人：

審批人：公司名稱：××公司（第一頁）案例：某公司個人信息保護(hù)管理機(jī)制（1）版本號制定/修改日期理由制作人審批人1.01.11.2（第二頁）第6頁個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐制定與修改統(tǒng)計案例：某公司個人信息保護(hù)管理機(jī)制（1）XX公司個人信息保護(hù)方針我司對公司客戶信息、員工信息等所包括個人信息，均嚴(yán)格遵守國家個人信息保護(hù)方面有關(guān)法律法規(guī)。同步根據(jù)《軟件及信息服務(wù)業(yè)個人信息保護(hù)規(guī)范》要求制定我司個人信息保護(hù)方針，并遵循執(zhí)行。方針內(nèi)容包括：我司向全體員工宣傳個人信息保護(hù)主要性和策略，加強(qiáng)每位員工對個人信息保護(hù)工作配合和重視；認(rèn)真落實(shí)執(zhí)行我司制定個人信息保護(hù)基本規(guī)章制度和管理要求。我司在取得、使用、提供個人信息時，均采取合法、公正伎倆，并事先征得信息主體同意，在目標(biāo)范圍內(nèi)使用。同步，實(shí)行有關(guān)安全保護(hù)措施。我司為了確保個人信息安全，建立信息安全保護(hù)對策等安全措施，以避免對個人信息非法訪問以及個人信息遺失、破壞、篡改、泄露等。我司在與第三方共享個人信息時，須事先征得信息主體同意，并根據(jù)個人信息保護(hù)規(guī)范要求采取必要措施，避免由第三方泄露個人信息等。我司在信息主體提出對個人信息進(jìn)行公開、修改、停頓使用等要求時，將根據(jù)公司個人信息保護(hù)有關(guān)要求采取合適辦法實(shí)行對應(yīng)配合。為了更加好實(shí)行公司個人信息保護(hù)有關(guān)要求，我司建立個人信息保護(hù)管理系統(tǒng)連續(xù)改善等有關(guān)措施。將本方針文檔化，貼于公司辦公場所，讓每位員工能夠方便地看到、理解和執(zhí)行達(dá)成眾所周知。本方針將通過公司網(wǎng)站對外公布，使外界理解我司個人信息保護(hù)方針、政策。在工作當(dāng)中包括個人信息時，我司也將積極向信息主體宣傳公司個人信息保護(hù)措施和要求。我司設(shè)置個人信息保護(hù)窗口，指定專門責(zé)任人，負(fù)責(zé)接待社會各界提出意見及提議。公司個人信息保護(hù)窗口責(zé)任人：××公司（第三頁）第7頁個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐聯(lián)系電話：電子郵箱：制定日期：年月日修改日期：年月日案例：某公司個人信息保護(hù)管理機(jī)制（2）總經(jīng)理：（第1頁）第8頁公司名稱：××公司個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐文獻(xiàn)編號：某公司個人信息保護(hù)組織機(jī)構(gòu)與責(zé)任要求版本號：制定日期：修改日期：審批人：

制定人：案例：某公司個人信息保護(hù)管理機(jī)制（2）版本號制定/修改日期理由制作人審批人1.01.1PIPA認(rèn)證提交1.21.2.11.2.21.3（第2頁）第9頁個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐制定與修改統(tǒng)計案例：某公司個人信息保護(hù)管理機(jī)制（2）（第3頁）個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐第10頁目錄1．個人情息保護(hù)組織機(jī)構(gòu)圖2，個人信息保護(hù)有關(guān)責(zé)任人任命3．個人信息保護(hù)有關(guān)責(zé)任人名單4．個人信息保護(hù)有關(guān)責(zé)任人職責(zé)案例：某公司個人信息保護(hù)管理機(jī)制（2）（第4頁）1. 個人信息保護(hù)組織機(jī)構(gòu)圖我司個人信息保護(hù)機(jī)構(gòu)設(shè)置如圖1所示。個人信息保護(hù)有關(guān)責(zé)任人任命公司管理者由公司領(lǐng)導(dǎo)者擔(dān)當(dāng)。2．2個人信息保護(hù)責(zé)任人公司領(lǐng)導(dǎo)者任命個人信息保護(hù)責(zé)任人。監(jiān)查責(zé)任人公司領(lǐng)導(dǎo)者指定個人信息保護(hù)監(jiān)查責(zé)任人，監(jiān)查責(zé)任人能夠在公司內(nèi)部指定，也能夠在外公司聘任。各部門個人信息保護(hù)責(zé)任人個人情息保護(hù)責(zé)任人任命各部門個人信息保護(hù)責(zé)任人。2．5客戶窗口責(zé)任人個人信息保護(hù)責(zé)任人任命客戶窗口責(zé)任人。2．6培訓(xùn)教育責(zé)任人個人信息保護(hù)責(zé)任人任命培訓(xùn)教育責(zé)任人。2．7各部門安全責(zé)任人各部門個人信息保護(hù)責(zé)任人任命各部門安全責(zé)任人。個人信息保護(hù)有關(guān)責(zé)任人名單公司管理者、總經(jīng)理：x

x

x個人信息保護(hù)責(zé)任人：x

x

x監(jiān)查責(zé)任人；XXX各部門個人信息保護(hù)責(zé)任人a)部門甲個人信息保護(hù)責(zé)任人：b)部門乙個人信息保護(hù)責(zé)任人：3．5客戶窗口責(zé)任人：x

x

x3。6培訓(xùn)教育責(zé)任人：x

x

x4，個人信息保護(hù)有關(guān)責(zé)任人職責(zé)個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐第11頁案例：某公司個人信息保護(hù)管理機(jī)制（3）（第1頁）個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐第12頁文獻(xiàn)編號：某公司個人信息取得、使用、提供、委托、處理管理要求版本號：制定日期：修改日期：審批人：

制定人：公司名稱：××公司案例：某公司個人信息保護(hù)管理機(jī)制（3）版本號制定/修改日期理由制作人審批人1.01.1PIPA認(rèn)證提交1.21.2.11.2.21.3（第2頁）第13頁個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐制定與修改統(tǒng)計案例：某公司個人信息保護(hù)管理機(jī)制（3）目錄

1．個人信息定義和取得個人信息使用和提供個人信息委托個人信息再委托個人信息保管保障信息主體權(quán)利個人信息保護(hù)事故發(fā)生預(yù)防措施意見及反饋（第3頁）第14頁個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐案例：某公司個人信息保護(hù)管理機(jī)制（3）個人信息定義和取得個人信息是指與存在個體有關(guān)、并且可用于識別特定個體信息。例如，姓名、生日、個人證件號碼、標(biāo)志或其他記號、圖像或錄音及其他有關(guān)信息(包括某些單獨(dú)使用時無法識別、但能夠方便地與其他數(shù)據(jù)進(jìn)行對照參照，并由此識別特定個人信息)。個人信息不但包括個體識別信息，還包括顯示事實(shí)、判斷或評價等所有情報，包括個人身體情況、財務(wù)情況、工作類型或職務(wù)等。取得標(biāo)準(zhǔn)與范圍個人信息取得標(biāo)準(zhǔn)對個人信息取得確立下列標(biāo)準(zhǔn)：限制搜集標(biāo)準(zhǔn)，在信息主體不懂得或不能控制狀態(tài)下，不能進(jìn)行信息搜集、存放和披露；資料內(nèi)容完整正確標(biāo)準(zhǔn)，搜集信息應(yīng)當(dāng)限于客觀事實(shí)，即必須是真實(shí)；c)限制利用標(biāo)準(zhǔn)，不對與信息主體不相干第三者泄露；目標(biāo)明確化標(biāo)準(zhǔn)，僅限于與信息主體有關(guān)用途；個人參與標(biāo)準(zhǔn)，個人有信息自主權(quán)，可參與個人信息資料制作過程，但若取得個人書面同意，則視為同意放棄隱私權(quán)，準(zhǔn)許他人搜集、利用；公開標(biāo)準(zhǔn)，個人信用信息資料應(yīng)對本人公開；安全保護(hù)標(biāo)準(zhǔn)，數(shù)據(jù)庫應(yīng)有加密等安全措施避免個人資料被他人不當(dāng)利用、篡改或滅失；責(zé)任標(biāo)準(zhǔn)，給個人信用信息主體造成損害需要承當(dāng)賠償?shù)让袷仑?zé)任。1．2．2個人信息取得范圍個人信息取得之前應(yīng)明確使用目標(biāo)，并應(yīng)征得信息主體同意，在限定目標(biāo)范圍內(nèi)取得。從被公開資料中取得個人信息時也應(yīng)明確使用目標(biāo)。1．3取得辦法和伎倆個人信息取得應(yīng)采取合適辦法和合法公正伎倆。1．4取得個人信息內(nèi)容（第4頁）第4頁個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐案例：某公司個人信息保護(hù)管理機(jī)制（4）文獻(xiàn)編號：（第1頁）第16頁公司名稱：××公司個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐某公司個人信息文檔管理要求版本號：制定日期：修改日期：審批人：

制定人：案例：某公司個人信息保護(hù)管理機(jī)制（4）版本號制定/修改日期理由制作人審批人1.01.1PIPA認(rèn)證提交1.21.2.11.2.21.3（第2頁）第17頁個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐制定與修改統(tǒng)計案例：某公司個人信息保護(hù)管理機(jī)制（4）目錄

1．個人信息保護(hù)管理實(shí)行個人信息保護(hù)管理體系確實(shí)立個人信息保護(hù)管理體系導(dǎo)人和利用個人信息保護(hù)管理體系監(jiān)護(hù)和修訂個人信息保護(hù)管理體系維持及改善個人信息保護(hù)管理體系文檔維持及改善個人信息保護(hù)管理體系文檔編號個人信息管理（第3頁）第18頁個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐案例：某公司個人信息保護(hù)管理機(jī)制（4）1.個人信息保護(hù)管理實(shí)行為使我公司個人信息保護(hù)管理連續(xù)發(fā)揮作用，必須遵循PDCA循環(huán)改善過程，有組織地采取對策。個人信息保護(hù)管理PDCA循環(huán)如圖所示。2．個人信息保護(hù)管理體系確實(shí)立為了確立我公司個人信息保護(hù)管理體系，首先要實(shí)行風(fēng)險評定，加以對應(yīng)。3．個人信息保護(hù)管理體系導(dǎo)人和利用為了導(dǎo)入和執(zhí)行我公司個人信息保護(hù)管理體系，還要實(shí)行個人信息保護(hù)研修。4．個人信息保護(hù)管理體系監(jiān)護(hù)和修訂為了推進(jìn)我公司個人信息保護(hù)管理體系監(jiān)護(hù)和修訂、我們要實(shí)行個人信息保護(hù)監(jiān)查、風(fēng)險評定修訂。根據(jù)個人信息保護(hù)管理體系監(jiān)護(hù)和修訂成果、如有必要，則對個人信息保護(hù)管理體系年度運(yùn)行計劃進(jìn)行更新。5．個人席息保護(hù)管理體系維持及改善承接前項(xiàng)、為了推進(jìn)我公司個人信息保護(hù)管理體系維持及改善，必須定期采取改善措施和預(yù)防措施。另外，還要根據(jù)需要不定期或定期進(jìn)行個人信息保護(hù)管理體系文書修訂和改善。6．個人信息保護(hù)管理體系文檔維持及改善要根據(jù)需要不定期或定期進(jìn)行個人信息保護(hù)管理體系文書修訂。①根據(jù)每年實(shí)行一次以上風(fēng)險評定成果、有必要追加或者變更管理措施時②組織系統(tǒng)環(huán)境發(fā)生變更時③生重大個人信息保護(hù)事故時個人信息保護(hù)概論第九7．講個人個信息人保護(hù)信管息理體保系文護(hù)檔編實(shí)號踐（第4頁）第19頁案例：某公司個人信息保護(hù)管理機(jī)制（５）（第1頁）個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐第20頁文獻(xiàn)編號：某公司個人信息技術(shù)物理安全管理措施版本號：制定日期：修改日期：審批人：

制定人：公司名稱：××公司案例：某公司個人信息保護(hù)管理機(jī)制（５）版本號制定/修改日期理由制作人審批人1.01.1PIPA認(rèn)證提交1.21.2.11.2.21.3（第2頁）第21頁個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐制定與修改統(tǒng)計案例：某公司個人信息保護(hù)管理機(jī)制（５）目

錄公司員工及外來人員出入管理及攜帶出公司有關(guān)個人信息管理避免硬件設(shè)備被盜、破損、漏水、停電等災(zāi)害安全保護(hù)措施3．?dāng)?shù)據(jù)備份制度存放設(shè)備及媒介管理、文獻(xiàn)管理廢棄制度訪問權(quán)限管理軟件管理及歹意軟件對策PC機(jī)及網(wǎng)絡(luò)管理緊急事態(tài)預(yù)防與處理（第3頁）第22頁個人信息保護(hù)概論第九講個人信息保護(hù)實(shí)踐案例：某公司個人信息保護(hù)管理機(jī)制（５）公司員工及外來人員出入管理及攜帶出公司有關(guān)個人信息管理要求安全區(qū)域辨別為妥善管理公司個人信息，辦公場所從機(jī)密性觀點(diǎn)出發(fā)分為下列3種信息安全區(qū)域?！藍(lán)色區(qū)域J玄關(guān)、大會議室、小會議室·

r黃色區(qū)域J辦公區(qū)域、休息室(進(jìn)入休息室需通過辦公區(qū)域)·r紅色區(qū)域J辦公區(qū)域、機(jī)房1．2出入辦公室管理r黃色區(qū)域J對個人每次出入進(jìn)行認(rèn)證方可進(jìn)人。(每個人各自刷卡)r紅色區(qū)域J出入都需對個人每次登錄情況進(jìn)行管理，并定期實(shí)行檢查。同步實(shí)行攝像頭監(jiān)控。(每個人各自刷卡)識別工具應(yīng)用為了更容易分別外部人員，件吊帶等)。來訪者對應(yīng)平時員工需使用識別工具(員工證件、①進(jìn)入公司內(nèi)時，需要借給客人客戶用識別卡，并作好來訪統(tǒng)計。(有員工陪同情況下，只有進(jìn)入藍(lán)色區(qū)域時，不需要。)②黃色區(qū)域以上地方標(biāo)準(zhǔn)上不得進(jìn)入(不得已需要進(jìn)入時，必須要有員工陪同)。③外來人員不得白公司帶出個人信息，如需帶出需經(jīng)公司ICT委員會確認(rèn)使用目標(biāo)在使用范圍