信息安全技術(shù) 個人信息安全第2部分：實施指南

1信息安全技術(shù)個人信息安全第2部分：實施指南DB21/TXXXX信息安全技術(shù)個人信息安全術(shù)語DB21/T1628.1信息安全技術(shù)個人信息安全第1部分：要求3.13.23.33.4構(gòu)建、實施和運行PISMS，應(yīng)同時使用DB21/T1622d)真實和虛擬信息：存在于現(xiàn)實世界中的真實的個人信息和存在于虛擬世界的虛擬的個人信息5.1.2形式5.2識別5.2.1形式b)個人信息主體已識別：可以確定自然人群體中某個特定的個體，獲取、識別其3信息主體，需要借助各種手段和其它信息對照、參考、判斷、分析c)部分個人信息不能直接識別個人信息主體，可與個人相關(guān)的其他信息對照、參考、分析；b)接受政府服務(wù)過程中，政府履行國家機關(guān)職責時獲取f)各類企業(yè)、經(jīng)濟組織在生產(chǎn)、經(jīng)營過程中5.4記錄形式c)聲音：以聲音形式感受、理解、描述個人信息，應(yīng)輔以相應(yīng)的錄制工具；6.2個人b)法律賦予民事主體資格，具有民事權(quán)利能力等。46.3主體a)法律賦予的民事主體資格，享有民事權(quán)利并承擔民事義務(wù)；b)具有獨立的人格，享有自然人應(yīng)有的人格權(quán)等。注5：人格權(quán)是包括生命健康、人格尊嚴、人身自由、個人隱私等維護人格主體的獨立的人格利益所必備的各種權(quán)b)個人維護自身人格權(quán)的同時，應(yīng)接受法律允許的監(jiān)督、審查，自覺遵守法律、6.4人格要素主體的個人信息亦應(yīng)是真實的自然人人格要素的映射，具有自然人個體的人格56.5權(quán)利a)個人信息生命周期內(nèi)；個人信息生命周期完結(jié)后，如發(fā)現(xiàn)個人信息侵權(quán)行為未予追究，個人信息主體應(yīng)主張、行使權(quán)利。a)合法、有效、獨立的機關(guān)、企業(yè)、事業(yè)、社會團體等組織；c)具有民事權(quán)利和民事能力，享有民事義務(wù)，承擔民事責任；遵循DB21/T1628.1第7章，遵循DB21/T1628.1第6章，7.2角色6DB21/T1628.1第7章的角色細分，應(yīng)是根據(jù)不同的行為模式劃分的：b)個人信息管理者的細分角色，根據(jù)目的、動機、方法等的不同存在行為差異；個人信息管理者可細分為不同的行為角色，如個人信息處理者、個人信息控制者等：b)間接獲取或接受提供個人信息用于處理、使用，可稱為個人信息處理者；7.3服務(wù)管理b)已具備相應(yīng)的管理機制，包括組織、制度、人員管理、體b)組建個人信息管理相關(guān)機構(gòu)，應(yīng)是構(gòu)建PISMS的首要任務(wù)；8.2最高管理者d)為實施、運行PISMS所需人員、資金、信息、技術(shù)、環(huán)境等資源；提供切實可行的支持；78.3管理機構(gòu)應(yīng)是最高管理者指定的個人信息管理機構(gòu)責任主體，b)代表最高管理者提出并制定個人信息管理計劃；c)代表最高管理者負責個人信息管理機構(gòu)的組建和日常工作；）；h)部署個人信息安全宣傳，指導個人信息安全的培訓和教育；k)PISMS實施、運行過程中的組織應(yīng)根據(jù)DB21/T1628.18.2.2的規(guī)定，按照個人信息管理者的實際，將個人信息管理機構(gòu)職責分解為具體、可操作的活動，并落實到相關(guān)責a)宣傳教育：宜指定責任主體，在個人信息管理代表領(lǐng)導下開展工作。其主要職責應(yīng)包括：4)改進、完善個人信息安全管理等；82)提供個人信息處理、使用建議和意4)溝通、交流；5)個人信息管理、安全相關(guān)事項、問題處理等根據(jù)DB21/T1628.18.2.2確立個人信息管理機構(gòu)的責任主體職責，a)宣傳教育應(yīng)注意協(xié)調(diào)部門、人員、管理、業(yè)務(wù)、資源及外部因素等；b)個人信息安全管理應(yīng)注意協(xié)調(diào)整體信息安全與個人信息安全的關(guān)聯(lián)；c)各責任主體具體責任人的職責，宜根據(jù)個人信息管理者需要確定等。應(yīng)明確、清晰地定義、分配所有個人信息管理相關(guān)責任主體的a)職責定義、分配應(yīng)與個人信息管理目標、方針一致；b)職責分配應(yīng)形成相應(yīng)職責說明的文件；d)評價管理人員、工作人員的意識、行為、活動；a)確立個人信息管理相關(guān)機構(gòu)，明確機構(gòu)職責和機構(gòu)責任主體的責任；c)制定個人信息管理方針（隱私政策闡92)個人信息處理過程的控制、管理，并根據(jù)不同的處理類型制定相應(yīng)的規(guī)范、措施等；9.2協(xié)調(diào)a)各個部門個人信息管理的目的同一性、實施有效性；d)個人信息管理規(guī)章的充分性、有效性和適應(yīng)性；e)個人信息安全宣傳教育的針對性、完全性、有效9.3相關(guān)團體的聯(lián)系a)獲得關(guān)于個人信息安全的最新進展、最佳實踐和更新知識；b)個人信息管理者應(yīng)依據(jù)DB21/T1628.1、本文件和DB21/T1628系DB21/T1628.1第10章確立了個人信息管理者應(yīng)者應(yīng)依據(jù)實際明確原則實施的細節(jié)，以延展、擴大保護個人信息主體權(quán)益的覆10.2方針），為個人信息安全管理體系實施、運行提供指導和支持的原），b)個人信息主體的權(quán)利；d)個人信息安全相關(guān)法規(guī)、規(guī)范的要e)個人信息管理采取的保護措施和方g)個人信息安全建議、意見的處理和反饋（應(yīng)有相應(yīng)的責任主體、聯(lián)系方式等說明）；10.3管理邊界個人信息管理者依據(jù)DB21/T1628.1第7章履行個人信息管理責任，應(yīng)限定管理a)層級和權(quán)責：個人信息管理者內(nèi)部管理、業(yè)務(wù)層次和權(quán)限、責任等；10.4管理計劃b)確定個人信息管理形式、方法、策略及資源需要等；e)評估個人信息安全風險的方法和措f)個人信息生命周期的過程管理、控制技術(shù)及方法、措施等；10.5資源管理h)無形資產(chǎn)：姓名、榮譽、名譽、肖像等沒有實體形i)服務(wù)：資源管理、數(shù)據(jù)通信等個人信息管理者10.6管理機制基本規(guī)章是個人信息管理者及其全體工作人員實施PI2)各機構(gòu)、各責任主體責任人任命程5)個人信息存儲、保存規(guī)定（個人信息數(shù)）；6)個人信息收集、處理、使用、利用規(guī)則（個人信息生命周期管理）；4)業(yè)務(wù)層安全管理措施；）；6)員工工作環(huán)境安全管理措施（包括出入管理、防災(zāi)管理、桌面管理等）；4)備案管理和使用；4)培訓教育大綱、內(nèi)容；根據(jù)DB21/T1628.110.5.2，個人信息管理者的人員類別，a)最高管理者和各級管理者；個人信息安全的宣傳教育是實現(xiàn)個人信息管理者發(fā)展戰(zhàn)略的重要手段，應(yīng)依據(jù)DB21/T1628.13)個人信息安全相關(guān)法規(guī)、規(guī)范及規(guī)4)個人信息主體的權(quán)益；8)違反個人信息安全相關(guān)法規(guī)、規(guī)范、規(guī)章的處理等；方法和規(guī)定，并做出保密承諾（如招聘網(wǎng)站、保險、銀行、業(yè)個人信息安全宣傳教育的措施和方法，主要a)基本宣傳和培訓教育：?個人信息管理者的各級負責人；?個人信息管理機構(gòu)及相應(yīng)責任主體、內(nèi)審機構(gòu)的各負責人；2)較大型個人信息管理者宜根據(jù)實際采取分批實施、網(wǎng)上實施等多種形式；1)記錄內(nèi)容應(yīng)包括：時間、內(nèi)容、教師、對2)個人信息管理機構(gòu)、內(nèi)審機構(gòu)責任人的個人信息安全意識；4)不合格人員的補充培訓等。10.7公示a)必須公開、公示個人信息時，應(yīng)依據(jù)DB21/T1628.110.5.5，以適當10.8文檔管理根據(jù)DB21/T1628.110.5.4，個人信息管理a)管理機構(gòu)建立的相關(guān)文檔；b)規(guī)章、制度、法規(guī)、標準及相關(guān)文件；h)管理活動記錄和統(tǒng)計；m)其它相關(guān)文件等。個人信息管理者向個人信息主體提供服務(wù)管理的過程，即自個人信息直接收集開始到個人信息徹底銷11.2服務(wù)能力在個人信息全生命周期內(nèi)，個人信息管理者應(yīng)具有內(nèi)部各類個人信息管理所需相關(guān)資源的轉(zhuǎn)換能力和管理職能的組織能力，以保證個人信息管11.3服務(wù)質(zhì)量在個人信息生命周期內(nèi)，保證服務(wù)管理質(zhì)量應(yīng)11.4服務(wù)過程a)特定、明確、合法的目的；c)被動收集個人信息是一種收集的特a)使用：基于收集目的的個人信息處理，包括編b)利用：因某種利益使用個人信息的處a)個人信息生命周期的全過程管理；在個人信息生命周期內(nèi)，構(gòu)建、實施、運行、監(jiān)控、過b)實施（實施和運行PISMS）：實施和運根據(jù)DB21/T1628.1第12章，個人信息管理者在個人信息獲?。?2.2收集類別人賬戶信息、購物（房、車等）、銀行業(yè)務(wù)、電子商務(wù)、智a)主動式收集：個人信息主體基于自身利益同意收集：d)拼湊瑣碎的、假名化的、匿名化的個人信息等。12.3權(quán)利保證遵循DB21/T1628.1第12章的規(guī)則，任何類別、方式的個人信息a)應(yīng)基于特定、明確、合法的目的；誤的通知、告知個人信息主體，并征得個人信息主體c)應(yīng)采用科學、規(guī)范、合法的收集方法和手段，收集適度、適當：2)適當：應(yīng)基于個人信息收集目的和個人信息管理原則使所收集的個人信息達到適用；2)向公共機構(gòu)，如銀行、保險等提供個人信息e)收集個人信息的方法和措施，應(yīng)予以公f)如個人信息主體提出疑義，應(yīng)停止任何類別、方式的個人信息收集。施，防止不正當收集個人信息，避免個人信息12.4質(zhì)量保證個人信息管理者應(yīng)保證所擁有個人信息的準確性、完整性和時12.5責任保證a)全體工作人員、其他相關(guān)人員應(yīng)了解：），2)明確各自的職責和授權(quán)及各部門間的協(xié)3)提供所需資源，以實施、運行、監(jiān)控、改進、完善Pc)與客戶涉及個人信息的業(yè)務(wù)交互時，應(yīng)申明PISMS的必要性、方法和措施及客戶12.6安全保證收集、處理應(yīng)基于明確、合法的目的，征得個2)擁有個人信息的第三方應(yīng)提供合法說明，并獲得個人信息主體授權(quán)；12.7保存依據(jù)DB21/T1628.1第11章，個人信息處理過b)利用：基于特定、明確、合法的目的和某種利益關(guān)系1)提供：向第三方提交合法、有效、適6)接受第三方委托基于特定、明確、合法的目的使用個人信息等；?個人信息獲取能力和處理活動交換；?個人信息收集方法、手段交換；?個人信息消費結(jié)果交換等；13.2來源合法b)個人信息收集手段、方式合法，并明確告知個人信息主體；13.3權(quán)益保證個人信息處理應(yīng)基于明確、合法的目的，遵循DB21/T1c)個人信息管理者應(yīng)履行DB21/T1628.1規(guī)d)提供、委托、交換等個人信息利用行為應(yīng)獲得個人信息主體的授權(quán)；13.4質(zhì)量保證個人信息管理者應(yīng)履行DB21/T1628.1規(guī)定的13.5責任保證13.6安全保證a)處理直接收集的個人信息，應(yīng)限于收集目的范圍內(nèi)；13.7開發(fā)和交易b)應(yīng)征得個人信息主體明確同意，獲得授權(quán)；d)未取得個人信息主體明確同意，不應(yīng)a)通過各種方式獲得個人信息主體表征信息的個人信息主體畫像；a)應(yīng)保證個人信息來源的合法、規(guī)范、有效；c)應(yīng)保證個人信息主體畫像方法、方式、手段、過程等合法、合規(guī)、規(guī)范；個人信息深度開發(fā)是通過分析、整合、整理、挖掘、加工等獲得個人信息主體深層次的信息：b)應(yīng)明確個人信息深度開發(fā)的目的；e)應(yīng)保證個人信息主體權(quán)益不受侵犯b)有特定需求的消費者主動的市場詢購行為；a)基于主體權(quán)利：個人信息主體明確同意、b)基于商業(yè)利益：網(wǎng)絡(luò)、短信、社會工程（誘惑、詐騙等非法行為）；b)應(yīng)限定在法律許可范圍內(nèi)；c)應(yīng)通知個人信息主體并征得個人信息主體明確同意；d)應(yīng)保證個人信息主體權(quán)利唯一，僅僅發(fā)生個人信息使用權(quán)轉(zhuǎn)讓；個人信息開發(fā)、交易應(yīng)遵循DB21/T1628.1規(guī)在個人信息開發(fā)、交易中，應(yīng)建立相應(yīng)的安全機制，保證個人信息安a)應(yīng)限定在個人信息主體同意的范圍內(nèi)；13.8處理例外敏感的個人信息和個人信息的敏感性應(yīng)是不同的個人信a)敏感的個人信息是個人信息主體不應(yīng)示人的私密信息，一旦泄露可對個人信息主體產(chǎn)生未知定的收集例外，但應(yīng)依據(jù)DB21/T1628.1、本文件和DB21/T1628其它標13.9后處理d)結(jié)束個人信息生命周期，徹底銷毀a)應(yīng)保證提取的個人信息可識別特征清晰、真實、易于識別；個人信息處理、使用后，13.9.1d）a)準確：真實、符合事實的；b