信息安全技术 个人信息安全第1部分：要求.docxVIP

1

信息安全技术个人信息安全第1部分:要求

1范围

本文件规定了个人信息主体权利、个人信息管理者、管理组织、个人信息安全管理体系、个人信息管理、个人信息生命周期、个人信息获取、个人信息处理、过程管理、安全管理和例外等的基本规则和要求。

本文件适用于自动或非自动处理全部或部分个人信息的机关、企业、事业、社会团体等组织及个人。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

DB21/TXXXX信息安全技术个人信息安全术语

3术语和定义

DB21/TXXXX界定的术语和定义适用于本文件。

4缩略语

下列缩略语适用于本文件。

PDCA：GB/T19001/ISO9001确立的全面质量管理应遵循的科学方法。本文件用于个人信息管理相关活动的质量管理（Plan-Do-Check-Act）

PISMS：个人信息安全管理体系（PersonalInformationSecurityManagementSystem）

5综述

5.1个人信息

依据DB21/TXXXX，个人应是自然人群体中的单个个体，具有多义性、多指性。个人信息基于个人的含义，是泛化、普适的概念，泛指自然人群体中单个个体拥有的信息。

个人信息具有多种存在形态。收集个人信息，可识别自然人群体中特定的个人，即个人信息主体。5.2敏感个人信息

敏感的个人信息应是自然人特殊、私密的个人隐私信息，主要应包括自然人个体生物性隐私信息、社会生活中某些特殊的私密隐私信息等。如：

a)有关思想、宗教、信仰、种族、血缘的事项；

b)有关身体障碍、精神障碍、犯罪史及相关可能造成社会歧视的事项；

c)有关政治权利的事项；

d)有关健康、医疗及性生活的相关事项；

2

e)其它涉及个人信息主体私密的隐私信息等。

5.3个人信息敏感性

自然人个体在社会、生活、工作中经常使用的、具有特定的商业价值的某些个人信息，在处理、使用过程中产生敏感性，这种敏感性，不是个人信息本身的敏感，而是个人信息处理、使用过程形成的敏感性。如：

a)个人身份信息：身份证、护照、驾驶证信息等；

b)个人生物信息：面部特征等；

c)个人财产信息：银行账号、身份鉴别信息、征信信息、社保卡、交易信息、虚拟交易等；

d)个人通讯信息：手机号、邮箱信息等。

注1：自然人面部特征信息应属于敏感的个人信息，随着智能识别的应用普及，转化为具有敏感性的个人信息，但仍具有敏感的个人信息的特征。

5.4个人信息主体

依据DB21/TXXXX，个人信息主体应是自然人群体中特定的个体，是个人具象为可通过个人信息识别的特定的自然人，具有主体唯一性，且个人信息主体权益也是唯一的。

当已识别个人信息主体时，可以基于主体唯一性获取其个人信息。5.5个人信息管理者

个人信息管理者应是基于特定的目的，合法委托、授权、收集、拥有、保存、管理、处理、控制、使用个人信息主体明确同意的个人信息的组织、机构、个人等。个人信息管理者可以拥有、控制、处理个人信息，但不应发生个人信息主体权益转移。

5.6个人信息管理

个人信息管理是以占有、控制、利用、使用个人信息为目的的管理行为、活动。个人信息管理者收集各类个人信息资源，根据收集目的，控制、处理、使用、利用个人信息，协调、组织个人信息资源与个人信息主体的符合性，采取相应的控制策略和措施。

5.7个人信息资源

个人信息资源是由个人信息主体、个人信息和相应的技术、手段、过程等及其它个人信息管理所需资源有机构成，通过个人信息管理者主体的行为、活动，实现个人信息的价值。

6个人信息主体权利

6.1要求

在个人信息收集、处理、使用、管理等过程中，个人信息管理者应首先向个人信息主体申明个人信息主体应有的权力。这些权利包括知情权、支配权、质疑权等。

6.2知情权

个人信息主体知情权应包括：

a)个人信息主体应有权知悉个人信息数据库中与自己相关的信息；

b)个人信息主体应有权知悉个人信息收集、处理、使用、利用的目的、方式、范围等相关信息；

3

c)个人信息主体应有权查询个人信息收集、处理、使用、利用及管理情况；

d)个人信息主体应有权知悉个人信息生命周期内个人信息管理和个人信息质量等相关信息等。

6.3支配权

个人信息主体支配权应包括：

a)个人信息主体应有权同意或否定收集、处理、使用、利用其个人信息；

b)个人信息主体应有权修改、删除、完善与之相关的个人信