术语解读：公安部 – 互联网个人信息安全保护指南

主要内容

1. 范围和规范性引用文件：
   • 范围：制定了个人信息安全保护的管理机制、安全技术措施和业务流程，适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作参考使用，既适用于通过互联网提供服务的企业，也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。
   • 规范性引用文件：列出了如《信息安全技术术语》（GB/T 25069—2010）、《信息安全技术 个人信息安全规范》（GB/T 35273—2017）、《信息安全技术 网络安全等级保护基本要求》（GB/T 22239）等对本文件应用必不可少的文件。
2. 术语和定义：
   • 个人信息：以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等，还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
   • 个人信息主体：个人信息所标识的自然人。
   • 个人信息持有：对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。
   • 个人信息持有者：对个人信息进行控制和处理的组织或个人。
   • 还包括个人信息收集、使用、删除、个人信息生命周期、个人信息处理系统等术语的定义。
3. 管理机制：
   • 基本要求：个人信息处理系统的安全管理要求应满足 GB/T 22239 相应等级的要求。
   • 管理制度1：
     • 内容：制定个人信息保护的总体方针和安全策略等规章制度和文件，包括工作目标、范围、原则和安全框架等说明；制定工作人员对个人信息日常管理的操作规程；建立个人信息管理制度体系，包括安全策略、管理制度、操作规程和记录表单；制定个人信息安全事件应急预案。
     • 制定发布：指定专门部门或人员负责安全管理制度制定，明确制定程序和发布方式，对制度进行论证和审定并形成记录，明确发布范围并登记发文及确认情况。
     • 执行落实：对制度执行情况审批登记，保存记录文件确保实际工作流程与制度内容相同，定期汇报总结执行情况。
     • 评审改进：定期评审安全管理制度，对不足或需改进的予以修订，评审应形成记录，修订后更新相关制度。
   • 管理机构1：
     • 岗位设置：设置指导和管理个人信息保护的工作机构，明确职责；由最高管理者或授权专人负责；明确设置安全主管、各方面负责人，设立审计管理员和安全管理员等岗位，明确职责范围。
     • 人员配置：明确安全管理岗位人员配备，包括数量、专职或兼职情况，配备数据保护专门人员；建立安全管理岗位人员信息表，登记重要岗位人员信息，审计管理员和安全管理员不应兼任其他岗位。
   • 管理人员：
     • 录用：设立专门部门或人员负责人员录用，明确录用条件，审查被录用人身份、背景和专业资格，考核技术人员技能，录用后签署保密协议，建立管理文档记录录用人员条件、审查及考核结果等。
     • 离岗：人员离岗时办理调离手续，签署保密承诺书，终止离岗人员访问权限，取回身份认证配件，删除生理特征录入信息，形成安全处理记录。
     • 考核：专人定期对接触个人信息数据的工作人员进行安全审查、意识考核和技能考核，形成考核文档，对违反规定的人员进行惩戒，定期考查相关人员对安全知识、法律法规的理解程度并记录。
     • 教育培训：制定培训计划，对各岗位员工进行安全意识和岗位技能培训，明确培训方式、对象、内容、时间和地点等，培训内容包含基础知识和操作规程。
4. 技术措施：
   • 基本要求：个人信息处理系统的安全技术措施应满足 GB/T 22239 相应等级的要求，按照网络安全等级保护制度履行安全保护义务。
   • 通用要求：规定通信网络安全、区域边界安全、计算环境安全、应用和数据安全等方面的要求。
   • 扩展要求：提出云计算安全扩展要求和物联网安全扩展要求。
5. 业务流程：
   • 收集：遵循合法、正当、必要原则，公开收集、使用规则，获得个人信息主体同意和授权，不收集无关信息，不强迫收集，执行约定和协议，不超范围收集。
   • 保存：采取安全加密存储措施，设置保存时限，超时限后删除。
   • 应用：符合与个人信息主体的协议和规定，不超范围应用，个人信息主体有控制本人信息的权限，自动化处理的用户画像技术应用于增值应用时应确保用户有反对或拒绝的权利。
   • 删除：超保存时限后删除，或应个人信息主体要求删除违法违规收集的个人信息。
   • 第三方委托处理：不超信息主体授权范围，进行安全影响评估，签订协议要求受托方符合本文件，向受托方授权使用和访问个人信息数据。
   • 共享和转让：原则上不得共享、转让个人信息。
   • 公开披露：原则上不得公开披露个人信息，确需披露时应充分重视风险。
6. 应急处置：
   • 应急机制和预案：建立健全网络安全风险评估和应急工作机制，制定个人信息安全事件应急预案。
   • 处置和响应：定期组织内部人员进行应急响应培训和演练，掌握岗位职责和处置策略规程，留存记录；发现安全风险应整改消除隐患。

术语和定义

1 个人信息

以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

[中华人民共和国网络安全法，第七十六条（五）]

注：个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

2 个人信息主体

个人信息所标识的自然人。

3 个人信息持有

对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。

4 个人信息持有者

对个人信息进行控制和处理的组织或个人。

5 个人信息收集

获得对个人信息的控制权的行为，包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集，以及通过共享、转让、搜集公开信息间接获取等方式。

6 个人信息使用

通过自动或非自动方式对个人信息进行操作，例如记录、组织、排列、存储、改编或变更、检索、咨询、披露、传播或以其他方式提供、调整或组合、限制、删除等。

7 个人信息删除

在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态。

8 个人信息生命周期

包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程。

9 个人信息处理系统

处理个人信息的计算机信息系统，涉及个人信息生命周期一个或多个阶段（收集、保存、应用、委托处理、共享、转让和公开披露、删除）。