1、 些單獨使用時無法識別, 2.6 個人信息委托單位為了委托信息處理業務,而將自己擁有的個人信息委托給第三者。2.7 信息主體同意 a b c3.2 安全保障應采取合理的安全保護措施,避免個人信息的丟失、泄漏、篡改和破壞等現象發生。除信息主體同意外,個人信息不得提供給第三方。3.3 信息主體權利信息主體有權確認個人信息所在。信息主體有權對個人信息提出刪除、修改和完善。3.4 信息內容最新狀態個人信息應確保在目的范圍內的正確性和完整性,并保持最新狀態。4 負責人及責任為了建立和維護個人信息保護管理體制,應明確各責任人的權限及責任,形成文檔,并讓從業者周知。4.1 單位領導者單位領導者應重視個人信息

2、保護工作,選擇有能力的人作為個人信息保護負責人,并在 制度;查,負責寫出監查報告并提出改進意見。4.4 培訓教育負責人單位應任命個人信息保護培訓教育負責人,負責制定培訓教育規定和培訓教育計劃,并 單位應指定客戶窗口負責人, 4.6 其它負責人單位應指定各部門的個人信息保護負責人,負責制定和實施本部門個人信息保護工作管理細則。5 方針、風險分析與基本規章5.1 方針由個人信息保護負責人制定單位個人信息保護方針,方針應以簡潔、明確的語言闡明單位個人信息保護的政策與基本措施。方針的制定應注意以下事項:a 內容應是符合單位實際情況的個人信息保護原則和基本措施;bc 5.3 基本規章單位應根據本規范要求

3、和單位實際情況,參考風險分析流程圖的分析,建立以下個人信息保護相關基本規章,并維持及改進:a 個人信息保護組織機構與責任規定; b c d e 個人信息保護監查規定; f6 運用與實施6.1 宣傳6.1.1 對內向全體員工宣傳個人信息保護的重要性和策略,以得到員工對個人信息保護工作的配合和重視。6.1.2 對外在單位宣傳資料或網站上增加個人信息保護相關內容。在承接有個人信息的業務時,應主動向客戶和消費者宣傳單位個人信息保護的措施和規定。6.2 部門管理細則6.2.1 制定部門管理細則是單位各部門根據本部門特點而制定的具體個人信息保護措施,部門管理細則應與單位基本規章相一致,應切實可行,而且要求

4、每一個具體操作人員可以理解和執行。部門管理細則最終要得到單位個人信息保護負責人的同意。6.2.2 實施部門管理細則由部門個人信息保護責任人負責實施。6.3 個人信息取得6.3.1 范圍 a b c 如果將信息提供給第三者時,應明確下列事項:提供給第三者的目的; 6.4.2 目的范圍外使用和提供在超出使用目的范圍外使用和提供時,應事先征得信息主體的同意,并按照6.3.4的要求事項,以書面形式或代替書面形式的方式通知信息主體。但在下述情況下可以不征得信息主體的同意: e g h 合同期滿后,個人信息的返還和消除。6.6 保障信息主體權利6.6.1 信息主體權利信息主體有權知道自身信息所在位置,有權

5、對自身信息提出修改、刪除和公開的要求,有權確認、提取、拷貝自身個人信息,有權對自身個人信息的使用目的提出反對意見。6.6.2 告知義務 在信息主體對自身信息提出要求的情況下,要及時做出回應,并采取相應措施。6.6.4 個人信息公示6.6.4.1 告知公示個人信息時應得到信息主體同意。 單位由于適當原因需要公示個人信息時， 應將下 列事項以書面形式或信息主體容易得到的方式通知信息主體： a 單位名稱及管理者名稱； b 個人信息的使用目的； c 信息主體對于公示信息的權利； d 如果要求公示或者不同意公示可能產生的后果。 下列情況下可以不公示或者不一定必須通知信息主體， 但也要盡可能通知信息主體，

6、 并 說明其理由： a 危及信息主體或第三者生命、身體、財產及正當利益時； b 影響到單位業務的合理運行時； c 違反法律法規時。 6.6.4.2 信息主體對公示個人信息的權利 信息主體有權對公示的自身信息提出修改、增加、刪除、公示和停止公示的要求，個人 信息管理者應對信息主體的要求給予及時的反饋及合理的處理。 6.7 管理 6.7.1 保管 個人信息管理者應在信息主體同意的使用目的范圍內， 以信息主體同意的形式正確及時 地保管個人信息， 應對個人信息的安全負全責。 個人信息的保管應有明確的記錄和專人 負責，記錄應包括業務類型、信息存放位置、保管期限、取得方法、取得途徑、提供目 的、廢棄方法。

7、 6.7.2 完整性和可用性 個人信息管理者要保證所保管的個人信息在使用目的范圍內的完整性和可用性， 并對信 息隨時更新，以保證信息的最新狀態。 6.7.3 文檔 單位個人信息管理體系的規章、文件、計劃、記錄、合同等文檔應建立管理制度，隨時 更新及完善； 6.7.4 從業人員 為了保證個人信息安全,單位應對使用個人信息的工作人員進行必要的監督和管理。 6.7.5 技術和物理安全保護措施 單位應對本單位擁有的個人信息采取合理的安全保護措施。 個人信息安全保護措施應參 照國家有關信息安全管理標準及法規制定。安全保護措施至少應包括： 6.7.5.1 權限 明確個人信息接觸人員的權限及責任， 加強對相

8、關人員的管理， 防止無權者對個人信息 的接觸。 6.7.5.2 網絡與設備 對計算機、網絡、服務器及相關設備應采取安全防護措施，包括訪問及存取控制、密鑰 管理、權限設置等，防止對個人信息的不當存取、非法修改、破壞、泄漏和刪除等； 批注 微軟用戶37: 只有 3 種 可能：1、法律法規要求。2、 權利主體自愿。3、基于與權 利主體之間的權利義務的合 同關系。其余，均可視為法 律依據不足。 批注 微軟用戶38: 刪除！ 理 由同 6.3.5 批注 微軟用戶39: 增加： 有 可能接觸個人信息的人員、 服務外包方、顧客。 對外部網絡和電子郵件的信息交換過程， 要研究特別的預防措施， 防止非法入侵和病

9、毒 破壞等。 6.7.5.3 數據備份 對個人信息數據應采取備份和數據恢復等措施，防止個人信息的破壞和丟失。 6.7.5.4 存儲 對保存有個人信息的計算機及活動介質（包括磁帶、磁盤、筆記本、輸入和輸出介質、 程序清單、測試報告和系統文檔等）要確保安全使用、保存和處置。 6.7.5.5 緊急事態的預防及處理 單位應針對可能發生個人信息丟失、 泄漏、 損壞事件和可能造成的經濟損失和不利影響 進行分析，制定相應的預防和處理措施： a 建立處理對應流程，使其在事件發生時，把損失降到最低； b 迅速通知泄漏、丟失和破壞的個人信息的信息主體，或者讓信息主體得知事態情況； c 為了防止類似事件的再次發生，

10、 盡可能把事件的關聯、 發生原因以及責任在第一時間 公布； d 建立事件關聯、發生原因以及對策的相關機制。 6.8 培訓與教育 6.8.1 實施 單位應制定個人信息保護培訓教育計劃， 按照培訓教育計劃對全體員工進行個人信息保 護的培訓教育， 培訓對象應包括正式員工、 臨時員工、 派遣人員等。 教育的內容應包括： a 個人信息保護的重要性; b 員工在單位個人信息保護中的職能及責任; c 違反個人信息保護規章可能引起的損害和后果。 6.8.2 記錄 對每次培訓教育應有記錄，記錄應包括培訓時間、地點、教材、教師、參加人員、培訓 效果及員工反應等內容。 6.9 意見及反饋 單位對信息主體和客戶在個人

11、信息保護方面提出的意見、 建議和咨詢要及時做出反饋和 適當處理，并記錄和保存。 批注 微軟用戶40: 增加介 質廢棄、災難恢復的內容。 7 檢查 7.1 內部檢查 個人信息保護負責人應隨時檢查單位個人信息保護狀況， 并對檢查結果定期形成單位個 人信息保護制度運行狀況報告，報單位領導者。 7.2 監查 7.2.1 實施 監查負責人應制定監查計劃， 并按照監查計劃對單位個人信息保護狀況進行監查， 對監 查結果做出監查報告，提供給單位領導者。 批注 微軟用戶41: 可明確 為：最高領導層。 批注 微軟用戶42: 需要突 出檢查結果與法律法規的要 求的符合程度。 7.2.2 記錄 每次監查都應有監查記錄，監查記錄應包括：監查對象、目的、范圍、時間、結果等內 容。監查記錄和監查報告由單位保存。 8 持續改善 8.1 不符合事項的處理及預防 單位領導者要根據個人信息保護負責人和監查負責人提供的報告和業務發展情況， 對不 符合個人信息保護的事項進行改進， 建立預防措施。 對不符合事項處理和預防措施建立 如下流程： a 不符合事項的確認； b 發生不符合事項的原因分析，改進辦法和預防措施； c 限定期限進行改進及完善； d 對不符合事項改進及預防措施的記錄； e 對改進及預防措施結果的評