信息安全技術(shù) 個(gè)人信息安全第2部分：實(shí)施指南

1信息安全技術(shù)個(gè)人信息安全第2部分：實(shí)施指南DB21/TXXXX信息安全技術(shù)個(gè)人信息安全術(shù)語(yǔ)DB21/T1628.1信息安全技術(shù)個(gè)人信息安全第1部分：要求3.13.23.33.4構(gòu)建、實(shí)施和運(yùn)行PISMS，應(yīng)同時(shí)使用DB21/T1622d)真實(shí)和虛擬信息：存在于現(xiàn)實(shí)世界中的真實(shí)的個(gè)人信息和存在于虛擬世界的虛擬的個(gè)人信息5.1.2形式5.2識(shí)別5.2.1形式b)個(gè)人信息主體已識(shí)別：可以確定自然人群體中某個(gè)特定的個(gè)體，獲取、識(shí)別其3信息主體，需要借助各種手段和其它信息對(duì)照、參考、判斷、分析c)部分個(gè)人信息不能直接識(shí)別個(gè)人信息主體，可與個(gè)人相關(guān)的其他信息對(duì)照、參考、分析；b)接受政府服務(wù)過(guò)程中，政府履行國(guó)家機(jī)關(guān)職責(zé)時(shí)獲取f)各類(lèi)企業(yè)、經(jīng)濟(jì)組織在生產(chǎn)、經(jīng)營(yíng)過(guò)程中5.4記錄形式c)聲音：以聲音形式感受、理解、描述個(gè)人信息，應(yīng)輔以相應(yīng)的錄制工具；6.2個(gè)人b)法律賦予民事主體資格，具有民事權(quán)利能力等。46.3主體a)法律賦予的民事主體資格，享有民事權(quán)利并承擔(dān)民事義務(wù)；b)具有獨(dú)立的人格，享有自然人應(yīng)有的人格權(quán)等。注5：人格權(quán)是包括生命健康、人格尊嚴(yán)、人身自由、個(gè)人隱私等維護(hù)人格主體的獨(dú)立的人格利益所必備的各種權(quán)b)個(gè)人維護(hù)自身人格權(quán)的同時(shí)，應(yīng)接受法律允許的監(jiān)督、審查，自覺(jué)遵守法律、6.4人格要素主體的個(gè)人信息亦應(yīng)是真實(shí)的自然人人格要素的映射，具有自然人個(gè)體的人格56.5權(quán)利a)個(gè)人信息生命周期內(nèi)；個(gè)人信息生命周期完結(jié)后，如發(fā)現(xiàn)個(gè)人信息侵權(quán)行為未予追究，個(gè)人信息主體應(yīng)主張、行使權(quán)利。a)合法、有效、獨(dú)立的機(jī)關(guān)、企業(yè)、事業(yè)、社會(huì)團(tuán)體等組織；c)具有民事權(quán)利和民事能力，享有民事義務(wù)，承擔(dān)民事責(zé)任；遵循DB21/T1628.1第7章，遵循DB21/T1628.1第6章，7.2角色6DB21/T1628.1第7章的角色細(xì)分，應(yīng)是根據(jù)不同的行為模式劃分的：b)個(gè)人信息管理者的細(xì)分角色，根據(jù)目的、動(dòng)機(jī)、方法等的不同存在行為差異；個(gè)人信息管理者可細(xì)分為不同的行為角色，如個(gè)人信息處理者、個(gè)人信息控制者等：b)間接獲取或接受提供個(gè)人信息用于處理、使用，可稱(chēng)為個(gè)人信息處理者；7.3服務(wù)管理b)已具備相應(yīng)的管理機(jī)制，包括組織、制度、人員管理、體b)組建個(gè)人信息管理相關(guān)機(jī)構(gòu)，應(yīng)是構(gòu)建PISMS的首要任務(wù)；8.2最高管理者d)為實(shí)施、運(yùn)行PISMS所需人員、資金、信息、技術(shù)、環(huán)境等資源；提供切實(shí)可行的支持；78.3管理機(jī)構(gòu)應(yīng)是最高管理者指定的個(gè)人信息管理機(jī)構(gòu)責(zé)任主體，b)代表最高管理者提出并制定個(gè)人信息管理計(jì)劃；c)代表最高管理者負(fù)責(zé)個(gè)人信息管理機(jī)構(gòu)的組建和日常工作；）；h)部署個(gè)人信息安全宣傳，指導(dǎo)個(gè)人信息安全的培訓(xùn)和教育；k)PISMS實(shí)施、運(yùn)行過(guò)程中的組織應(yīng)根據(jù)DB21/T1628.18.2.2的規(guī)定，按照個(gè)人信息管理者的實(shí)際，將個(gè)人信息管理機(jī)構(gòu)職責(zé)分解為具體、可操作的活動(dòng)，并落實(shí)到相關(guān)責(zé)a)宣傳教育：宜指定責(zé)任主體，在個(gè)人信息管理代表領(lǐng)導(dǎo)下開(kāi)展工作。其主要職責(zé)應(yīng)包括：4)改進(jìn)、完善個(gè)人信息安全管理等；82)提供個(gè)人信息處理、使用建議和意4)溝通、交流；5)個(gè)人信息管理、安全相關(guān)事項(xiàng)、問(wèn)題處理等根據(jù)DB21/T1628.18.2.2確立個(gè)人信息管理機(jī)構(gòu)的責(zé)任主體職責(zé)，a)宣傳教育應(yīng)注意協(xié)調(diào)部門(mén)、人員、管理、業(yè)務(wù)、資源及外部因素等；b)個(gè)人信息安全管理應(yīng)注意協(xié)調(diào)整體信息安全與個(gè)人信息安全的關(guān)聯(lián)；c)各責(zé)任主體具體責(zé)任人的職責(zé)，宜根據(jù)個(gè)人信息管理者需要確定等。應(yīng)明確、清晰地定義、分配所有個(gè)人信息管理相關(guān)責(zé)任主體的a)職責(zé)定義、分配應(yīng)與個(gè)人信息管理目標(biāo)、方針一致；b)職責(zé)分配應(yīng)形成相應(yīng)職責(zé)說(shuō)明的文件；d)評(píng)價(jià)管理人員、工作人員的意識(shí)、行為、活動(dòng)；a)確立個(gè)人信息管理相關(guān)機(jī)構(gòu)，明確機(jī)構(gòu)職責(zé)和機(jī)構(gòu)責(zé)任主體的責(zé)任；c)制定個(gè)人信息管理方針（隱私政策闡92)個(gè)人信息處理過(guò)程的控制、管理，并根據(jù)不同的處理類(lèi)型制定相應(yīng)的規(guī)范、措施等；9.2協(xié)調(diào)a)各個(gè)部門(mén)個(gè)人信息管理的目的同一性、實(shí)施有效性；d)個(gè)人信息管理規(guī)章的充分性、有效性和適應(yīng)性；e)個(gè)人信息安全宣傳教育的針對(duì)性、完全性、有效9.3相關(guān)團(tuán)體的聯(lián)系a)獲得關(guān)于個(gè)人信息安全的最新進(jìn)展、最佳實(shí)踐和更新知識(shí)；b)個(gè)人信息管理者應(yīng)依據(jù)DB21/T1628.1、本文件和DB21/T1628系DB21/T1628.1第10章確立了個(gè)人信息管理者應(yīng)者應(yīng)依據(jù)實(shí)際明確原則實(shí)施的細(xì)節(jié)，以延展、擴(kuò)大保護(hù)個(gè)人信息主體權(quán)益的覆10.2方針），為個(gè)人信息安全管理體系實(shí)施、運(yùn)行提供指導(dǎo)和支持的原），b)個(gè)人信息主體的權(quán)利；d)個(gè)人信息安全相關(guān)法規(guī)、規(guī)范的要e)個(gè)人信息管理采取的保護(hù)措施和方g)個(gè)人信息安全建議、意見(jiàn)的處理和反饋（應(yīng)有相應(yīng)的責(zé)任主體、聯(lián)系方式等說(shuō)明）；10.3管理邊界個(gè)人信息管理者依據(jù)DB21/T1628.1第7章履行個(gè)人信息管理責(zé)任，應(yīng)限定管理a)層級(jí)和權(quán)責(zé)：個(gè)人信息管理者內(nèi)部管理、業(yè)務(wù)層次和權(quán)限、責(zé)任等；10.4管理計(jì)劃b)確定個(gè)人信息管理形式、方法、策略及資源需要等；e)評(píng)估個(gè)人信息安全風(fēng)險(xiǎn)的方法和措f)個(gè)人信息生命周期的過(guò)程管理、控制技術(shù)及方法、措施等；10.5資源管理h)無(wú)形資產(chǎn)：姓名、榮譽(yù)、名譽(yù)、肖像等沒(méi)有實(shí)體形i)服務(wù)：資源管理、數(shù)據(jù)通信等個(gè)人信息管理者10.6管理機(jī)制基本規(guī)章是個(gè)人信息管理者及其全體工作人員實(shí)施PI2)各機(jī)構(gòu)、各責(zé)任主體責(zé)任人任命程5)個(gè)人信息存儲(chǔ)、保存規(guī)定（個(gè)人信息數(shù)）；6)個(gè)人信息收集、處理、使用、利用規(guī)則（個(gè)人信息生命周期管理）；4)業(yè)務(wù)層安全管理措施；）；6)員工工作環(huán)境安全管理措施（包括出入管理、防災(zāi)管理、桌面管理等）；4)備案管理和使用；4)培訓(xùn)教育大綱、內(nèi)容；根據(jù)DB21/T1628.110.5.2，個(gè)人信息管理者的人員類(lèi)別，a)最高管理者和各級(jí)管理者；個(gè)人信息安全的宣傳教育是實(shí)現(xiàn)個(gè)人信息管理者發(fā)展戰(zhàn)略的重要手段，應(yīng)依據(jù)DB21/T1628.13)個(gè)人信息安全相關(guān)法規(guī)、規(guī)范及規(guī)4)個(gè)人信息主體的權(quán)益；8)違反個(gè)人信息安全相關(guān)法規(guī)、規(guī)范、規(guī)章的處理等；方法和規(guī)定，并做出保密承諾（如招聘網(wǎng)站、保險(xiǎn)、銀行、業(yè)個(gè)人信息安全宣傳教育的措施和方法，主要a)基本宣傳和培訓(xùn)教育：?個(gè)人信息管理者的各級(jí)負(fù)責(zé)人；?個(gè)人信息管理機(jī)構(gòu)及相應(yīng)責(zé)任主體、內(nèi)審機(jī)構(gòu)的各負(fù)責(zé)人；2)較大型個(gè)人信息管理者宜根據(jù)實(shí)際采取分批實(shí)施、網(wǎng)上實(shí)施等多種形式；1)記錄內(nèi)容應(yīng)包括：時(shí)間、內(nèi)容、教師、對(duì)2)個(gè)人信息管理機(jī)構(gòu)、內(nèi)審機(jī)構(gòu)責(zé)任人的個(gè)人信息安全意識(shí)；4)不合格人員的補(bǔ)充培訓(xùn)等。10.7公示a)必須公開(kāi)、公示個(gè)人信息時(shí)，應(yīng)依據(jù)DB21/T1628.110.5.5，以適當(dāng)10.8文檔管理根據(jù)DB21/T1628.110.5.4，個(gè)人信息管理a)管理機(jī)構(gòu)建立的相關(guān)文檔；b)規(guī)章、制度、法規(guī)、標(biāo)準(zhǔn)及相關(guān)文件；h)管理活動(dòng)記錄和統(tǒng)計(jì)；m)其它相關(guān)文件等。個(gè)人信息管理者向個(gè)人信息主體提供服務(wù)管理的過(guò)程，即自個(gè)人信息直接收集開(kāi)始到個(gè)人信息徹底銷(xiāo)11.2服務(wù)能力在個(gè)人信息全生命周期內(nèi)，個(gè)人信息管理者應(yīng)具有內(nèi)部各類(lèi)個(gè)人信息管理所需相關(guān)資源的轉(zhuǎn)換能力和管理職能的組織能力，以保證個(gè)人信息管11.3服務(wù)質(zhì)量在個(gè)人信息生命周期內(nèi)，保證服務(wù)管理質(zhì)量應(yīng)11.4服務(wù)過(guò)程a)特定、明確、合法的目的；c)被動(dòng)收集個(gè)人信息是一種收集的特a)使用：基于收集目的的個(gè)人信息處理，包括編b)利用：因某種利益使用個(gè)人信息的處a)個(gè)人信息生命周期的全過(guò)程管理；在個(gè)人信息生命周期內(nèi)，構(gòu)建、實(shí)施、運(yùn)行、監(jiān)控、過(guò)b)實(shí)施（實(shí)施和運(yùn)行PISMS）：實(shí)施和運(yùn)根據(jù)DB21/T1628.1第12章，個(gè)人信息管理者在個(gè)人信息獲取），12.2收集類(lèi)別人賬戶(hù)信息、購(gòu)物（房、車(chē)等）、銀行業(yè)務(wù)、電子商務(wù)、智a)主動(dòng)式收集：個(gè)人信息主體基于自身利益同意收集：d)拼湊瑣碎的、假名化的、匿名化的個(gè)人信息等。12.3權(quán)利保證遵循DB21/T1628.1第12章的規(guī)則，任何類(lèi)別、方式的個(gè)人信息a)應(yīng)基于特定、明確、合法的目的；誤的通知、告知個(gè)人信息主體，并征得個(gè)人信息主體c)應(yīng)采用科學(xué)、規(guī)范、合法的收集方法和手段，收集適度、適當(dāng)：2)適當(dāng)：應(yīng)基于個(gè)人信息收集目的和個(gè)人信息管理原則使所收集的個(gè)人信息達(dá)到適用；2)向公共機(jī)構(gòu)，如銀行、保險(xiǎn)等提供個(gè)人信息e)收集個(gè)人信息的方法和措施，應(yīng)予以公f)如個(gè)人信息主體提出疑義，應(yīng)停止任何類(lèi)別、方式的個(gè)人信息收集。施，防止不正當(dāng)收集個(gè)人信息，避免個(gè)人信息12.4質(zhì)量保證個(gè)人信息管理者應(yīng)保證所擁有個(gè)人信息的準(zhǔn)確性、完整性和時(shí)12.5責(zé)任保證a)全體工作人員、其他相關(guān)人員應(yīng)了解：），2)明確各自的職責(zé)和授權(quán)及各部門(mén)間的協(xié)3)提供所需資源，以實(shí)施、運(yùn)行、監(jiān)控、改進(jìn)、完善Pc)與客戶(hù)涉及個(gè)人信息的業(yè)務(wù)交互時(shí)，應(yīng)申明PISMS的必要性、方法和措施及客戶(hù)12.6安全保證收集、處理應(yīng)基于明確、合法的目的，征得個(gè)2)擁有個(gè)人信息的第三方應(yīng)提供合法說(shuō)明，并獲得個(gè)人信息主體授權(quán)；12.7保存依據(jù)DB21/T1628.1第11章，個(gè)人信息處理過(guò)b)利用：基于特定、明確、合法的目的和某種利益關(guān)系1)提供：向第三方提交合法、有效、適6)接受第三方委托基于特定、明確、合法的目的使用個(gè)人信息等；?個(gè)人信息獲取能力和處理活動(dòng)交換；?個(gè)人信息收集方法、手段交換；?個(gè)人信息消費(fèi)結(jié)果交換等；13.2來(lái)源合法b)個(gè)人信息收集手段、方式合法，并明確告知個(gè)人信息主體；13.3權(quán)益保證個(gè)人信息處理應(yīng)基于明確、合法的目的，遵循DB21/T1c)個(gè)人信息管理者應(yīng)履行DB21/T1628.1規(guī)d)提供、委托、交換等個(gè)人信息利用行為應(yīng)獲得個(gè)人信息主體的授權(quán)；13.4質(zhì)量保證個(gè)人信息管理者應(yīng)履行DB21/T1628.1規(guī)定的13.5責(zé)任保證13.6安全保證a)處理直接收集的個(gè)人信息，應(yīng)限于收集目的范圍內(nèi)；13.7開(kāi)發(fā)和交易b)應(yīng)征得個(gè)人信息主體明確同意，獲得授權(quán)；d)未取得個(gè)人信息主體明確同意，不應(yīng)a)通過(guò)各種方式獲得個(gè)人信息主體表征信息的個(gè)人信息主體畫(huà)像；a)應(yīng)保證個(gè)人信息來(lái)源的合法、規(guī)范、有效；c)應(yīng)保證個(gè)人信息主體畫(huà)像方法、方式、手段、過(guò)程等合法、合規(guī)、規(guī)范；個(gè)人信息深度開(kāi)發(fā)是通過(guò)分析、整合、整理、挖掘、加工等獲得個(gè)人信息主體深層次的信息：b)應(yīng)明確個(gè)人信息深度開(kāi)發(fā)的目的；e)應(yīng)保證個(gè)人信息主體權(quán)益不受侵犯b)有特定需求的消費(fèi)者主動(dòng)的市場(chǎng)詢(xún)購(gòu)行為；a)基于主體權(quán)利：個(gè)人信息主體明確同意、b)基于商業(yè)利益：網(wǎng)絡(luò)、短信、社會(huì)工程（誘惑、詐騙等非法行為）；b)應(yīng)限定在法律許可范圍內(nèi)；c)應(yīng)通知個(gè)人信息主體并征得個(gè)人信息主體明確同意；d)應(yīng)保證個(gè)人信息主體權(quán)利唯一，僅僅發(fā)生個(gè)人信息使用權(quán)轉(zhuǎn)讓?zhuān)粋€(gè)人信息開(kāi)發(fā)、交易應(yīng)遵循DB21/T1628.1規(guī)在個(gè)人信息開(kāi)發(fā)、交易中，應(yīng)建立相應(yīng)的安全機(jī)制，保證個(gè)人信息安a)應(yīng)限定在個(gè)人信息主體同意的范圍內(nèi)；13.8處理例外敏感的個(gè)人信息和個(gè)人信息的敏感性應(yīng)是不同的個(gè)人信a)敏感的個(gè)人信息是個(gè)人信息主體不應(yīng)示人的私密信息，一旦泄露可對(duì)個(gè)人信息主體產(chǎn)生未知定的收集例外，但應(yīng)依據(jù)DB21/T1628.1、本文件和DB21/T1628其它標(biāo)13.9后處理d)結(jié)束個(gè)人信息生命周期，徹底銷(xiāo)毀a)應(yīng)保證提取的個(gè)人信息可識(shí)別特征清晰、真實(shí)、易于識(shí)別；個(gè)人信息處理、使用后，13.9.1d）a)準(zhǔn)確：真實(shí)、符合事實(shí)的；b