GB-Z 28828-2012 信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南

信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南隨著信息技術(shù)的廣泛應(yīng)用和互聯(lián)網(wǎng)的不斷普及，個(gè)人信息在社會(huì)、經(jīng)濟(jì)活動(dòng)中的地位日益凸顯，濫用個(gè)人信息的現(xiàn)象隨之出現(xiàn)，給社會(huì)秩序和個(gè)人切身利益帶來(lái)了危害。為促進(jìn)個(gè)人信息的合理利用，指導(dǎo)和規(guī)范利用信息系統(tǒng)處理個(gè)人信息的活動(dòng)，制定本指導(dǎo)性技術(shù)文件。信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南1范圍本指導(dǎo)性技術(shù)文件規(guī)范了全部或部分通過(guò)信息系統(tǒng)進(jìn)行個(gè)人信息處理的過(guò)程，為信息系統(tǒng)中個(gè)人信息處理不同階段的個(gè)人信息保護(hù)提供指導(dǎo)，本指導(dǎo)性技術(shù)文件適用于指導(dǎo)除政府機(jī)關(guān)等行使公共管理職責(zé)的機(jī)構(gòu)以外的各類組織和機(jī)構(gòu)，如2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/Z20986—2007信息安全技術(shù)信息安全事件分類分級(jí)指南3術(shù)語(yǔ)和定義GB/Z20986—2007中界定的以及下列術(shù)語(yǔ)和定義適用于文件。計(jì)算機(jī)信息系統(tǒng)，由計(jì)算機(jī)(含移動(dòng)通信終端)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按可為信息系統(tǒng)所處理、與特定自然人相關(guān)、能夠單獨(dú)或通過(guò)與其他信息結(jié)合識(shí)別該特定自然人的計(jì)算機(jī)數(shù)據(jù)。個(gè)人信息指向的自然人。決定個(gè)人信息處理的目的和方式，實(shí)際控制個(gè)人信息并利用信息系統(tǒng)處理個(gè)人信息的組織和機(jī)構(gòu)。從信息系統(tǒng)獲取個(gè)人信息，并對(duì)獲得的個(gè)人信息進(jìn)行處理的個(gè)人、組織和機(jī)構(gòu)。獨(dú)立于個(gè)人信息管理者的專業(yè)測(cè)評(píng)機(jī)構(gòu)。一旦遭到泄露或修改，會(huì)對(duì)標(biāo)識(shí)的個(gè)人信息主體造成不良影響的個(gè)人信息。除個(gè)人敏感信息以外的個(gè)人信息。在個(gè)人信息主體無(wú)明確反對(duì)的情況下，認(rèn)為個(gè)人信息主體同意。個(gè)人信息主體明確授權(quán)同意，并保留證據(jù)。4個(gè)人信息保護(hù)概述4.1角色和職責(zé)信息系統(tǒng)個(gè)人信息保護(hù)實(shí)施過(guò)程中涉及的角色主要有個(gè)人信息主體、個(gè)人信息管理者、個(gè)人信息獲得者和第三方測(cè)評(píng)機(jī)構(gòu)，其職責(zé)見(jiàn)4.1.2～4.1.5。4.1.2個(gè)人信息主體在提供個(gè)人信息前，要主動(dòng)了解個(gè)人信息管理者收集的日的、用途等信息，按照個(gè)人意愿提供個(gè)人信息；發(fā)現(xiàn)個(gè)人信息出現(xiàn)泄露、丟失、篡改后，向個(gè)人信息管理者投訴或提出質(zhì)詢，或向個(gè)理部門發(fā)起申訴。4.1.3個(gè)人信息管理者負(fù)責(zé)依照國(guó)家法律、法規(guī)和本指導(dǎo)性技術(shù)文件，規(guī)劃、設(shè)計(jì)和建立信息系統(tǒng)個(gè)個(gè)人信息管理制度、落實(shí)個(gè)人信息管理責(zé)任；指定專門機(jī)構(gòu)或人員負(fù)責(zé)機(jī)構(gòu)內(nèi)部的個(gè)人信息保護(hù)工作，接受個(gè)人信息主體的投訴與質(zhì)詢；制定個(gè)人信息保護(hù)的教育培訓(xùn)計(jì)劃并組織落實(shí)；建立個(gè)人信息保護(hù)的內(nèi)控機(jī)制，并定期對(duì)信息系統(tǒng)個(gè)人信息的安全狀況、保護(hù)制度及措施的落實(shí)情況進(jìn)行自查或委托獨(dú)立測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)。管控信息系統(tǒng)個(gè)人信息處理過(guò)程中的風(fēng)險(xiǎn)，對(duì)個(gè)人信息處理過(guò)程中可能出現(xiàn)的進(jìn)一步擴(kuò)大，并及時(shí)告知受影響的個(gè)人信息主體；發(fā)生重大事件的，及時(shí)向個(gè)人信息保護(hù)管理部門通報(bào)。345[1]中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例(國(guó)務(wù)院令第147號(hào)),1994[2]中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定(國(guó)務(wù)院令第195號(hào)),1996[3]中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法，1997