信息安的全技术 公共及商用服务信息系统个人信息保护指南.pdf

信息安全技术 公共及商用服务信息系统个人信息保护指南 随着信息技术的广泛应用和互联网的不断普及，个人信息在社会、 经济活动中的地位日益凸显，滥用个人信息的现象随之出现，给社会 秩序和个人切身利益带来了危害。为促进个人信息的合理利用，指导 和规范利用信息系统处理个人信息的活动，制定本指导性技术文件。 信息安全技术 公共及商用服务信息系统个人信息保护指南 1 范围 本指导性技术文件规范了全部或部分通过信息系统进行个人信 息处理的过程，为信息系统中个人信息处理不同阶段的个人信息保护 提供指导。 本指导性技术文件适用于指导除政府机关等行使公共管理职责 的机构以外的各类组织和机构，如电信、金融、医疗等领域的服务机 构，开展信息系统中的个人信息保护工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文 件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最 新版本（包括所有的修改单）适用于本文件。 GB/T20269-2006 信息安全技术 信息系统安全管理要求 GB/Z20986-2007 信息安全技术 信息安全事件分类分级指南 3术语和定义 GB/T20269-2006 和GB/Z20986-2007中界定的以及下列术语和 定义适用于本技术性指导文件。 3.1 信息系统 informationsystem 即计算机信息系统，由计算机（含移动通信终端）及其相关的和 配套的设备、设施（含网络）构成，能够按照一定的应用目标和规则 对信息进行采集、加工、存储、传输、检索等处理。 3.2 个人信息 personalinformation 可为信息系统所处理、与特定自然人相关、能够单独或通过与其 他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人 敏感信息和个人一般信息。 3.3 个人信息主体 subjectofpersonalinformation 个人信息指向的自然人。 3.4 个人信息管理者 administratorofpersonalinformation 决定个人信息处理的目的和方式，实际控制个人信息并利用信息 系统处理个人信息的组织和机构。 3.5 个人信息获得者 receiverofpersonalinformation 从信息系统获取个人信息的个人、组织和机构，依据个人信息主 体的意愿对获得的个人信息进行处理。 3.6 第三方测评机构 thirdpartytestingandevaluationagency 独立于个人信息管理者的专业测评机构。 3.7 个人敏感信息 personalsensitiveinformation 一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的 个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息 主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号 码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。 3.8 个人一般信息 personalgeneralinformation 除个人敏感信息以外的个人信息。 3.9 个人信息处理 personalinformationhandling 处置个人信息的行为，包括收集、加工、转移、删除。 3.10 默许同意 tacitconsent 在个人信息主体无明确反对的情况下，认为个人信息主体同意。 3.11 明示同意 expressedconsent 个人信息主体明确授权同意，并保留证据。 4个人信息保护概述 4.1角色和职责 4.1.1综述 信息系统个人信息保护实施过程中涉及的角色主要有个人信息 主体、个人信息管理者、个人信息获得者和独立测评机构，其职责见 4.1.2 4.1.5 至 。 4.1.2个人信息主体 在提供个人信息前，要主动了解个人信息管理者收集的目的、用 途等信息，按照个人意愿提供个人信息；发现个人信息出现泄漏、丢 失、篡改后，向个人信息管理者投诉或提出质询，或向个人信息保护 管理部门发起申诉。