第一章概論信息1信息定義2個人信息保護3國際間個人信息保護狀況

4信息信息是人類生產活動、社會活動中的基本載體，承載以文字、符號、聲音、圖形、圖像等形式，通過各種渠道傳播的信號、消息、情報、資料、文檔等內容。信息普遍存在于自然界、人類社會和人的思維之中。信息在我們的社會、生產等活動中無處不在，始終伴隨著我們。信息貫穿人類社會的發展歷史，是人類社會實踐的深刻概括，并隨著人類的發展進步而不斷演變、發展。第二次五次信息相關的技術革命第一次第三次第四次第五次從猿進化到人的重要標志，信息交流的手段和工具——語言的創造和使用

信息產生、傳播、存儲跨越時間和地域限制——文字的出現擴大信息交流和傳播的范圍和容量，提高信息的可靠性——造紙和印刷術的發明現代通信技術(電報、電話、廣播、電視等)的發明、運用和普及，標志信息交流、傳遞手段的根本性變革

計算機技術的發明、應用，與現代通信技術的結合突破了人類使用大腦及感覺器官加工、利用信息的能力，徹底改變了人類加工信息的手段。

信息的定義狹義的信息定義

廣義的信息定義

可以定義為一種消息、情報、文檔資料或數據

可以定義為對各種事物的存在方式、運動狀態和相互聯系特征的表達和陳述，是自然界、人類社會和人類思維活動普遍存在的一種物質和事物的普遍屬性。信息的基本要素與傳播過程信道信源信宿

信息的主體。表示具有某種存在方式、運動狀態和相互聯系特征的源信息。信源反映了事務的客觀存在，因此，信源與信源具有不同的內涵；信源與信宿之間建立的傳遞通道。

信息的接收者。是對信源的認知和理解；信息的特征OneThreeTwoFour信息是客觀存在的。源于物質世界和人的思維、意識。信息反映了物質的特征、運動狀態和內在的規律，反映了人的意識過程。

信息是可再現的。通過識別、搜索、存儲、傳遞、變換、顯示、處理、復制等，信息可以獨立于物質和思維存在，再現信息..本體。信息是可共享的。信息是不可或缺的資源，收集、生成、壓縮、更新和共享。可以根據信息分類設定共享條件。意識過程。

信息是可以控制的。可以根據信息的使用目的，確定信息處理范疇、處理方法。四個特征個人信息保護個人信息主要體現在軟件及信息服務業、金融保險業、醫療服務業、政府機關、電信業、教育、廣告及印刷、勞動服務業、制造業等行業中，隨著現代信息服務業的深入，正逐漸向全社會展開。社會、政治、經濟等各個行業在計算機網絡系統、相關軟件及數據處理、社會生活的各個方面經常涉及個人信息的使用和處理。因此個人信息的保護尤為重要。個人信息保護其一其二產業整體表現為，信息服務業客戶對加工信息發包謹慎；軟件加工業客戶不提供真實測試數據。客戶向承接外包項目的企業提出個人信息保護的具體要求，并在合同中增加個人信息保護相關條款和違反規定的處罰。因有關個人信息保護不當所造成損失的處罰金額相當高。

從個人信息保護對大連軟件及信息服務業的影響可以窺見一般：

國際間個人信息保護狀況1頒布年代國家法規197319741984198619881995199619991999美國歐盟歐盟歐盟日本美國英國美國瑞典互聯網保護個人隱私的政策Internet個人隱私保護的一般原則

電子通訊數據保護指令個人數據保護指令個人信息保護法電子通信隱私法數據保護法隱私法數據法123456789已制定了個人信息保護相關法規和標準的國家與地區OECD于1980年頒布的《隱私保護和個人數據跨國流通指導原則》中有關個人信息保護的八項原則第二講基本概念個人隱私1網絡隱私權2個人數據與個人信息3法律名稱的使用4

Conclusion4個人信息的特征5個人信息的分類6個人信息保護范疇7個人隱私(隱私權）隱私權是關于隱私的權利，是人的基本權利。美國學者布蘭代斯和沃倫在其發表的著名的《論隱私權》中把隱私權界定為生活的權利和不受干擾的權利以保障人格的不可侵犯。現代的隱私觀，包含三種形態：個人數踞資料個人生活個人生活領域隱私權的基本權利隱私知情權隱私選擇權隱私控制權隱私維護權屬于個人隱私的、與公共利益無關的所有事情，權利人有權隱瞞。未經權利人允許，不能收集、公開和傳播；

權利人在不違反公共利益的前提下，有權根據個人的需要控制個人隱私的使用；可以利用個人隱私滿足自身或他人。的精神和物質需要；

權利人有權根據使用需求和使用目的決定公開或不允許知悉或利用個人隱私；

公民個人的隱私享有不受非法侵害的權利。在受到非法侵害時，可以尋求司法保護，或要求侵權人停止侵權、直至賠償損失。

基本權利隱私權侵權行為盜用私事的公開

侵入公共誤認

盜用原告姓名、肖像等；；

不法侵入原告的私人生活；不合理公開涉及原告私生活的事情；公開原告不實的形象侵權行為網絡隱私權網絡隱私權是個人在網絡虛擬空間中生活安寧的權利和個人信息不被非法利用、收集、公開的權利；同時，個人能夠控制和支配個人隱私的使用，決定個人生活和個人信息的現狀、目的、范圍等。網絡隱私權具有傳統隱私基本權利的特征。網絡隱私權是傳統隱私權在網絡空間中的延伸，表現形式多為個人信息的收集、使用、利用。在網絡空間中，個人信息是個人隱私的數字化形式。因此，網絡隱私權的核心是個人信息的保護。網絡隱私權主要特征包括TwoOneThree網絡隱私權的環境是互連網絡或接入網絡。個人的網絡行為和活動、個人網站、發布信息、電子商務活動、電子郵件等產生的個人信息都可以很容易的采用現代信息技術手段監控、收集、利用。

網絡隱私權的主體是雙重的。網絡是一個虛擬空間，任何人都可以以實名(現實生活中的自然人)，或匿名(現實生活中不存在，只存在于網絡虛擬世界中)方式在網上活動。

網絡隱私權的客體也是雙重的，網絡隱私權的客體同網絡隱私權的主體一樣，也包括虛擬世界中虛擬個體的個人信息和私人領域。個人數據與個人信息個人數據個人信息個人數據是已經識別或可以識別的與個人相關的所有資料，可以被計算機系統識別、存儲、加工處理。個人數據的概念比較寬泛，

個人信息是具有屬性特征的個人數據和經過加工處理的個人數據的集合。個人數據是個人信息的載體。個人信息的主體是擁有個人數據的個人。

家庭基本情況：婚姻狀況、配偶、父母、子女等；

其他：計算機儲存的個人資料等。

個人的自然情況：姓名、性別、肖像、出生日期、身高、體重、血型、生理特征、住宅、種族等。

與個人相關的社會背景：受教育程度、工作經歷、宗教及其他信仰、政治觀點和傾向、社會關系等

與個人相關的自然情況、日常生活、家庭、社交等個人數據與個人信息個人數據主要包括：

數據加工處理后的數據：

個人數據；

記錄、存儲在網站數據庫中的個人網絡行為，及其在虛擬空間中所有活動軌跡的描述等數據資料。個人數據與個人信息個人信息主要包括：法律名稱的使用個人數據個人隱私

個人信息個人隱私一詞來源于美國，在美國現行法律體系中，隱私是內涵和外延非常廣泛的概念，在與美國屬于同一法律體系、或受美國影響較大的國家中，在個人信息保護相關法律中，多采用“個人隱私”的概念。歐盟及受1995年歐盟《個人數據保護指令》影響的國家，多采用“個人數據”的概念。《個人數據保護指令》的基本原則包括：數據質量原則數據處理合法化原則告知原則特殊類型數據處理原則日本、韓國、俄羅斯等國多使用個人信息的概念。個人信息包含個人隱私，當與公共利益無關、與自然人個體相關的個人數據資料不愿公開時，則成為隱私，而個人信息并不完全涉及個人隱私。個人信息的特征可識別特征

主體特征

價值特征

個人信息為個人信息的主體擁有。個人信息主體是其所擁有的個人信息可以作為數據收集、處理的自然人。個人信息主體享有人格權和法律賦予的義務，其所擁有的個人信息是可識別的，并可依據這些信息直接定位于特定的主體。

個人信息的可識別性，是通過個人信息的內容，經過判斷可以確定個人信息的主體。可識別性是個人信息的重要特征，是明確個人信息內容和范疇的客觀標準。個人信息的屬性決定了個人信息是有價值的資源。由于個人信息具有的可識別特性，可以非常方便的了解個人信息主體的個人喜好、生活習慣、個人需求等，從而創造可能的獲得利潤的機會。個人信息具有的價值取向是個人信息的顯著特征。個人信息的類別單一信息和組合信息靜態信息和動態信息顯性信息和隱性信息真實信息與虛擬信息在個人信息構成中，單一數據元素可以稱為單一信息，如姓名；由多個數據元素構成的數據單位，可以稱為組合信息。易于識別的個人信息可以稱為顯性信息，隱性信息則是需要收集或采用某些技術手段才能獲取的個人信息。

靜態信息是個人信息主體已經存在的，或過往的、歷史的信息，動態信息則是個人信息主體當前的信息，存在于現實世界中的個人信息主體的真實的信息和存在于網絡虛擬世界中的虛擬的信息。大致分為個人信息的分類公開信息與隱秘信息

自動處理和非自動處理

敏感信息和瑣碎信息

個人信息是可以直接或間接識別個人信息主體的信息，具有法律屬性，且與人格利益密不可分。因此，個人信息具有私密性，一般不為人所知。通過特定、合法的途徑，了解、掌握、利用個人信息，是明確目標的公開獲取。以此為標準，個人信息可以分為公開的和隱秘的。

個人信息自動處理是利用計算機系統及其相關和配套設備、計算機網絡系統，按照一定的應用目的和規則進行個人信息的收集、加工、存儲、傳輸、檢索、咨詢、交換等業務。

個人信息是否涉及特殊的個人隱私，可以作為個人信息的一種分類——敏感信息。而零散的、不重要的、如散碎紙片一般的，或散見與各處的個人信息則屬于瑣碎信息。個人信息保護范疇個人情息保護的內涵豐富、外延廣泛。采用自動或非自動處理方式進行個人信息的收集、錄人、加工、編輯、存儲、管理、檢索、咨詢、交換、傳輸、輸出、使用、委托或其他利用個人信息的行為，均在提供個人信息安全保護的范疇之內。第三講PI管理機制管理職能1個人信息保護管理體系2

個人信息管理機制3個人信息管理的目標和原則

4管理職能管理的概念管理的職能

管理是由計劃、組織、領導、控制所組成的一種職能活動，是指一定組織中的管理者，通過實施計劃、組織、領導、控制等職能來協調他人的活動，使別人同自己一起實現既定目標的活動過程。

管理是由一些相互關聯的活動組成的，這些相互關聯的管理活動我們稱之為管理的職能，是管理過程中各項活動應該擔負和完成的基本任務。

計劃選擇合適的組織目標，確定切實可行的行動方案并且有效地實現這些目標。

組織建立一種能夠促使人們為實現組織目標的任務分派和領導關系控制建立準確的測評監控系統用以評價組織目標的完成情況。

領導指揮、激勵和協調下屬，使他們為實現組織目標而努力工作管理職能的內容個人信息保護管理體系建立個人信息保護管理體系的基本目的是滿足個人信息管理的需要，指導企事業單位建立健全各類管理機制，協調各類資源，充分保障個人信息主體的權利，保障個人信息管理業務的穩定運行。個人信息保護管理體系的特點唯一性系統性

有效性

預防性

動態性

與特定組織的管理目標、業務流程、管理策略、過程特點、實踐經驗等結合。因而，不同組織的體系具有不同的特點

個人信息保護管理體系是組織內各種因素相互關聯和作用的組合應全面有效，滿足個人信息保護相關法規的要求，保障個人信息主體的權益。也滿足個人信息保護認證的要求

個人信息保護管理體系的實施，可以有效預防個人信息相關安全事件的發生

進行個人信息保護內部審核和個人信息保護認證，采用預防和糾正措施，改進和完善個人信息保護管理體系

個人信息保護管理機制管理機制是一個組織內部管理機構及其運行機理。它以管理機構為載體，包括：管理機制的約束

管理機構的動因

管理機構的功能和目標

個人信息保護管理機制最高管理者的職責

明確管理者代表

明確個人信息保護的方針

責任落實資源分配領導決策持續改進個人信息保護管理機制個人信息保護負責人

個人信息保護管理機構個人信息保護的管理機構個人信息保護監察機構負責機構中宣傳教育工作負責服務支持與用戶的溝通工作獨立開展監督、檢查、調查工作

代表管理者管理各部門各項工作負責組織的個人信息保護工作

個人信息保護管理機制體系化

組織保障融合性告知各個規章制度之間是相互有機聯系的一個整體。不僅包括個人信息保護的各個方面，也包括組織內橫向、縱向的管理關系。個人信息保護管理體系不是獨立存在的，應與其他管理體系有機融合，才能有效執行，降低和控制風險

基于組織的總體利益，統一管理、制定組織的個人信息保護相關管理制度和各個部門的管理細則，以形成制度的合力。個人信息保護相關管理制度應以一定形式公示，或告知員工。

管理制度

個人信息保護管理機制業務宣傳基本宣傳社會宣傳主要是在組織的內部，宣傳個人信息保護的基本知識、個人信息保護相關法規、個人信息保護的重要性、個人信息管理的基本策略等。

在形象宣傳、業務交往中，宣傳組織的個人信息保護目的、個人信息管理措施、個人信息使用和處理方法及規定、個人信息安全措施等。

在面向社會時，應積極宣傳本組織的個人信息保護政策和措施，可以在各種媒介中增加相關的官傳內容，如宣傳資料、各種網絡媒介等。個人信息保護宣傳的三種形式個人信息管理的目標和原則個人信息保護管理的目標是維護個人信息主體的合法權益不受損害。為實現這一目的，個人信息管理應該遵循以下基本原則：P個人信息保護管理體系的確立

D個人信息保護管理體系的導入和運用A個人信息保護管理體系的改善

C個人信息保護管理體系的監察和認證

個人信息安全管理PDCA模式第四講PIP機制侵害個人信息現狀

1個人信息擁有者

2個人信息保護原則

3個人信息收集

4個人信息處理

５個人信息保護安全機制

６個人信息保護模式

７侵害個人信息現狀在現代社會經濟活動中，個人信息的無形的物質性財產權益日益重要。信息技術的迅猛發展，使得個人信息的收集、處理，愈加方便、容易，同時，對個人信息的侵害也愈加頻繁，愈加呈現多樣性。

侵害個人信息現狀網絡應用中的個人信息侵害

社會工程學與個人信息侵害現實生活中的個人信息侵害網絡應用中的個人信息侵害互聯網搜索引擎木馬和肉雞

Cookie的作用個人信息收集、利用的侵權行為

在網絡應用中所存在著對個人信息的侵害例如Google獲取的海量用戶信息，正在對用戶的個人隱私構成威脅。同時，依據不同的目的，可以通過Coode收集到大量的個人信息，威脅個人隱私和信息安全。

Cookie為網絡服務商收集和利用個人信息提供了必要的技術支持，因而存在個人信息的不當使用和泄露的危險，威脅信息主體的個人隱私權。

用戶終端被植入木馬程序后，就成為可以任意宰割的“肉雞”。

“肉雞’被隨意設置，用于各種用途；

“肉雞’’的個人數據資料被公開地、任意地買賣。

基于網絡的個人信息利用和收集，存在來自個人、網絡服務商、生產廠商為主體的侵權行為

現實生活中的個人信息侵害通過已公開的信息，或在平常的人際交往、工作關系中收集并累積個人情息

通過在公共場所進行市場調查、問卷調查等形式，獲取個人信息

采用某種方式，與具有大客戶群的單位建立聯系，獲取、累積個人信息其他方式，如竊取的個人信息資料造成個人信息泄露、濫用的危險也日益嚴重。出現在實生活中的對個人信息的侵害ABCD心理攻擊：構建陷阱攻擊的方式，如說服、友善、恭維、模仿等

社會工程學與個人信息侵害

在個人信息侵害事件中，社會工程學亦扮演著重要的角色。攻擊者通過交談、欺騙、引誘、偽裝等各種形式，套取個人信息主體的敏感信息，人是信息安全的核心，是“木桶效應”的短板

社會工程學實施的基礎是信任。利用人性的弱點進行各種形式的攻擊，嘗試與用戶建立相對穩定的相互信任關系來地獲取重要的敏感信息。通常有兩種攻擊形式

物理攻擊：實施攻擊的位置，如工作場所、網絡環境、電話等

在個人信息保護中，對社會工程學攻擊的防護尤為重要

AABB個人信息擁有者個人信息主體

個人信息管理者個人信息主體是基于自然規律出生、具有生物學意義和法理人格，并被法律賦予民事主體資格的自然人。自然人與生俱來的個人信息，包括生理的、心理的和智力的，和在社會實踐中形成的個人信息，包括社會的、經濟的、家庭的等，與自然人個體緊密相關，為個人信息主體基于其生物學意義和法理人格所唯一擁有。享有個人信息知悉、支配和控制的權利，

個人信息管理者是基于特定的目的，經個人信息主體明確同意、委托、授權，收集、占有、保存、管理、處理、利用個人信息的組織、機構或個人。個人信息管理是對個人信息資源及針對這些資源的活動和行為進行管理。個人信息資源是由個人信息主體、個人信息和針對個人信息采取的技術和手段有機構成，

個人信息主體知悉、支配和控制的權利OneThreeTwoFour確認個人信息是否以明確地、易于理解地形式記載。在個人信息收集、管理、保存、處理、利用過程中，必須以明確、易于理解的形式記載，確認個人信息的保存形式。個人信息應以文檔形式保存，信息主體可以無限制地確認個人信息文檔的存在、目的、利用情況、、安全性等o個人信息修正。如果個人信息不完整、不正確，或需要更新，個人信息主體有權適當修改、刪除、完善，以保證個人信息的最新狀態。

疑義和反對。個人信息主體對相關個人信息的利用目的、處理過程等有權提出疑義或反對意見。主要包括控制與監督

個人信息管理的職能規劃與人事次協調與溝通評估

在決策目標確定后，對個人信息管理行為的預勇設計。根據決策和邦劃，明確管理人員責任和職能。

控制是對個人信息的管理活動、行為及后果實施制衡和修正，并對過程進行監督，保障個人信息.主體的利益。管理者與個人信息主體之間的關系，需要協商、調解，使雙方和諧地配合，既保證個人信息主體的利益。

應隨時對個人信息收集、利用的目的、范圍、手段和方法、風險因素方面進行評估，提出修正或補救措施、應對策略，決策的內容主要是選擇管理的目標，確定管理行為。組織是根據個人信息收集、利用的目的，有效管理、處理個人信息的行為或活動。決策與組織

個人信息管理者的權利和義務權利保障

安全和保密

目的明確

告知義務

個人信息管理者必須保障個人信息主體的權利，維護和實現個人信息主體的人格利益。個人信息管理者必須保證個人信息處理、使用的目的與個人信息主體的意愿一致，不能超目的、超范圍處理、使用。個人信息管理者必須對個人信息處理予以保密，并對個人信息處理、使用過程中的安全負責。個人信息管理者應將個人信息的利用目的、處理方式、個人信息主體的相關權利等事項告知信息主體。權利義務個人信息保護原則個人信息保護原則知情原則

參與原則

支配原則安全保障原則

在實踐中，符合需求、可供操作的基本原則：

個人信息主體有權知悉個人信息的收集、利用和處理情況。個人信息主體有權決定如何利用個人信息。

0ECD中稱為“個人參與原則”。強調個人信息主體的權利。

個人信息管理者應從管理、技術2個方面采取相應的措施，保障個人信息的安全。

個人信息收集個人信息收集是基于自然人的人格權益，有目的、有計劃、有選擇地對特定個人采集信息的過程和行為模式。

個人信息收集是個人信息保護的核心問題。基本概念個人信息收集的特征條件性目的性

質量性必須有特定的、明確的和合法的目的，特定目的，必須是在法律允許范圍內，針對某一特定的需要設定的。

收集個人信息，必須經個人信息主體確認，必須保證個人信息主體的人格權益，限定在特定的目的范圍內，在法律允許的范圍內。必須是基于特定目的的需要

保證是足夠的，而不過度、是相關的而不多余，且不超過設定的目的范圍；保證個人信息的準確性、完整性，并適時、隨時更新、完善；在信息處理時方便識別個人信息主體，個人信息收集方法和手段主動收集

被動收集

個人信息主體主動提供的個人信息。在現實社會中，由于工作、生活中的各種需要，人們在買車、購房、保險、醫療、電話安裝、辦理各種會員卡、銀行卡、優惠卡，以及電子商務等時，往往要求用戶填寫真實、詳盡的個人信息等，

通過各種網絡技術和方法收集個人信息。隨著信息技術的發展和普及，網絡空間中，個人信息的覆蓋率愈來愈高，個人信息的收集和處理也愈來愈方便、快捷。除主動收集方式外，其他個人信息的收集，多數是在個人信息主體不知情、或不能控制的情況下實施的。

個人信息收集分類間接收集

直接收集

敏感信息收集

直接從個人信息主體收集個人信息。直接而非間接。采用主動方式，直接的而非采用任何技術或其他手段。直接收集個人信息必須目的明確，并征得個人信息主體的同意。

非直接地從個人信息主體收集自然人的個人信息。問接收集是直接收集的輔助手段和補充。必須基于明確、合法的目的，征得個人信息主體的明確同意。必須保證個人信息的淮確性、完整性和最新狀態。

敏感信息是涉及個人隱私的信息，一般禁止收集和處理。但在某些特殊情況下收集和處理時，應特別加以保護。收集與處理必須：個人情息主體明確同意。直接從個人信息主體收集。進行特殊保護。

個人信息處理個人信息處理是收集、加工、編輯、存儲、檢索，及其他利用個人信息行為，或與個人信息利用相關的自動或非自動個人信息處置過程。個人信息處理必須滿足一定的條件個人信息存儲個人信息一般以文檔的形式保存。多數個人信息的收集和處理是基于自動處理設備，因此，個人信息總是以文檔形式存儲在自動設備中。

個人信息存儲必須保證個人信息直接處理是個人信息收集、保存、處理、利用的機構、組織個人信息處理者是除個人信息主體以外的個人數據提供者個人信息提供者是利用個人信息的行為人個人信息使用者個人信息管理者

保存管理處理

利用

收集

進行個人信息直接處理工作個人信息主體

同意授權職責義務信息服務

信息服務

支付費用支付費用個人信息直接處理是個人信息管理者處理、利用所擁有的個人信息。

個人信息提供個人信息管理者向第三方提供合法擁有的個人信息主體的相關個人信息。個人信息提供必須滿足一定的條件

個人信息委托個人信息管理者在特定、明確、合法的目的范圍內，經個人信息主體同意，委托第三方收集、處理相關個人信息，或在委托業務中涉及相關個人信息。

個人信息委托包含5層含義收集目的外的處理在某些特殊情況下，需要超出收集目的范圍處理、利用個人信息主體的相關個人信息。在這些特殊情況下，處理、利用個人信息，也需要基于一個特定、明確的目的。特定、明確的目的包括二次開發和交易個人信息二次開發

個人信息交易個人信息管理者將收集到的個人信息，根據特征、類別，按照一定的文式存儲，構成綜合的個人信息數據庫。根據綜合數據庫反映出的不同的自然人群的個體特征和個人信息處理目的，對個人信息采取不同的處理方式，滿足不同的個人信息管理者的需要。

商業機構將相關的個人信息綜合數據庫，提供給其他不同的商業機構使用，是一種個人信息交易行為。個人信息交易包括個人信息管理者之間交換所掌握的個人信息、個人信息管理者出售所掌握的個人信息等。

個人信息保護安全機制信息安全管理體系(ISMS)是整體信息安全防護體系中重要的一部分，通過系統、全局的信息安全管理整體規劃，確保用戶所有信息資源和業務的安全與正常運行。ISMS是人、技術、管理的有機結合和有效實施。

信息安全管理體系

物理安全物理安全(實體安全)是為保證計算機信息系統在信息采集、傳輸、存儲、處理、顯示、利用等過程中，安全、穩定、可靠運行，避免因人為或自然因素的危害，造成信息丟失、泄露、破壞等，對計算機信息系統環境、計算機信息系統相關設備、存儲媒介及設備等所采取的安全防護技術。

物理安全(實體安全)主要包括安全管理機制安全管理機制是按照整體信息安全防護系統的設計，為實施個人信息安全的管理和控制，依據威脅個人信息安全的內部規律和環境影響的有機聯系，建構的安全防護系統。構建安全管理機制的核心是保證管理安全。

管理安全主要包括技術安全技術安全是為保障信息安全采用的知識、專業、技術等方法和手段，技術安全包括社會工程學管理社會工程學是在人與人的交往中，利用人性的弱點，運用心理學知識，以交談、欺騙、傷害等手段，獲取利益的方式，是信息安全管理，特別是個人信息安全管理的軟肋。社會工程學管理應基于社會工程學的特點，以人為本，構建社會工程學防御體系。社會工程學管理個人信息保護模式行業自律模式

法律保護模式

行業自律模式是一種民間的、保護網絡隱私權的個人信息保護模式。通過行業內部的行為規則、規范、標準和行業協會的監督，實現行業內個人信息保護的自我規范、約束和完善。美國是行業自律模式的倡導者。存在兩種形式：建議性行業指導、網絡隱私認證計劃。法律保護模式是由國家主導的立法模式。國家通過立法確定個人信息保護的各項基本原則和具體的法律規定等。具有代表性的是歐盟的模式。第五講個人信息保護應用電子政務與個人信息保護應用1政府信息公開與個人信息保護2電子商務與個人信息保護3電子政務與個人信息保護應用政府是社會信息資源的最大擁有者、使用者和提供者。在電子政務的建設、發展過程中，收集、獲得了大量公民的個人信息，儲存、建設了政府個人信息數據庫。這些個人信息，在電子政務的環境中，極易被侵犯、不當使用。因此，電子政務環境中的個人信息保護，是電子政務建設和發展的基礎。電子政務中個人信息的內涵電子政務的內容在我國的電子政務中一般包含：政府之間的、政府與企業等組織之間的以及政府與公民之間的電子政務。政府與公民之間的電子政務電子政務中個人信息的主要特征多樣化高風險

政府行政職能的多元化，型不同，呈現出多樣化。使收集、儲存、管理、利用公眾的個人信息類型不同，呈現出多樣化。

互聯網在電子政務中的廣泛應用已經打破了原有的地界、國界，個人信息一旦遭到侵犯，其傳播速度快、覆蓋面廣、隱蔽性強，危害性極大。個人信息保護的利益沖突公共利益和個人利益的沖突

公民權益與個人隱私的沖突

在政務資源建設過程中，收集、保存個人信息，構建個人信息數據庫，必然與公民的人身權益發生沖突，需要公民放棄部分人身權益。同時，政府的行為必須限定在實現社會管理目標的職權范圍內，既合理、合法，也適當、適度。當二者發生沖突時，通過溝通和協調平衡二者的利益。政府應公開個人信息的使用目的、使用方法、安全措施等信息；個人信息的保存內容，則應與個人信息主體協商，嚴格限制在政府職能部門的職權范圍內，限制政府信息公開的可測量尺度。

電子政務中的個人信息保護策略個人信息收集中的警示

個人信息的用途

收集信息的種類和內容

安全保護措施

在收集個人信息時，應當明確地告知公民收集個人信息的目的和用途、收集的依據以及收集和保證安全的方法，同時嚴格履行保護公民個人信息的義務。網站在運行過程中所收集到的技術信息和個人信息，這兩類信息的收集目的和具體內容，都應明確告知個人信息主體。當在其個人信息保護政位策中說明收集個人信息的用途，除了網絡安全外，加強政府網站管理，健全領導負責制、有明確的政策、明確的操作規程及員工對個人信息保護的意識和責任。保護策略政府信息公開與個人信息保護《中華人民共和國政府信息公開條例》關于政府信息公開的原則：應當遵循公正、公平、便民的原則，及時、準確地公開政府信息。應依照國家有關法律、法規對擬公開的政府信息進行審查。不得危及國家安全、公共安全、經濟安全和社會穩定。應主動公開符合《信息公開條例》基本要求的內容。確定政府信息公開的主體是行政機關和法律、法規授權的具有管理公共事務職能的組織。政府信息公開中涉及的個人信息管理過程中涉及的個人信息

服務過程中涉及的個人信息

國家機關在對外管理中對個人情息的收集、處理與利用。主要包括立法、司法和行政管理等機關的相關收集、處理與利用。政府機關在對內管理中對個人信息的收集、處理與利用。當前主要是指在人事管理和公務人員錄用、培養等工作中對個人工作情況、家庭情況、成績與品行等個人信息的收集、處理與利用。這些都已成為政府信息資源庫的重要組成部分。

服務過程中對個人信息的收集、處理與利用行為，主要是指提供公共服務的公法人、由國家控股的相關公司和社會非營利性組織，在其實施公共服務的過程中收集、處理、利用個人信息。提供公共服務的公法人包括三類：１．營利性的公法人，如銀行、保險等，２．公益性的社會組織，如醫院、學校等，３．中間性的社會組織，如校友會、行業協會等。政府信息公開過程中個人信息保護策略基于公共利益的個人信息優先公開基于商業利益的個人信息限制公開基于個人利益的個人信息適當公開1．為維護國家與社會公共利益的需要，要求優先向社會公開有關個人信息。2．提高國家機關行政效率和公共服務水平的需要，要求在政府系統內部公開有關個人信息。

1．政府機關可以依據公開申請，征詢個人信息主體，是否公開個人信息。2．依照有關法律法規，政府機關可以允許各類有商業利益目的的非國家機關自行收集和利用個人信息。

1．維護個人信息主體的權益。

2．對個人信息主體的權益限制。

電子商務與個人信息保護電子商務是基于互聯網而開展的商務活動，與傳統的商務活動有著內在的區別。電子商務運作的基礎是信息網絡、金融網絡和配送網絡的融合，所涉及的商業活動對象是企業、政府、消費者。其本質特征體現為:商務活動網絡化

交易空間虛擬化信用風險加劇電子商務中的個人信息信息來源個人信息表現形式1.用戶的注冊信息，2.交易的訂單信息，3.用于支付的支付信息1.消費者提供的信息，2.網站自動獲取的信息，3.搜索獲得的信息，4.其他來源獲得的信息，1.與用戶交易、聯系的基礎數據；

2.經整理、分析和二次開發，成為企業的商業資源3.將個人信息作為特殊商品交換、提供、轉讓；

4.以各種可能的方式收集、開發、加工、利用個人信息。

電子商務中個人信息面臨的威脅收集和利用個人信息造成的威脅個人信息的二次開發和交易的威脅經營者大量收集用戶個人信息對消費者的人身權益構成威脅。

1．超范圍收集個人信息2．非法收集和使用個人信息個人信息的二次開發利用，可能造成客戶個人信息或商業機密的泄露。個人信息交易是目前最為嚴重的一種侵權行為，

電子商務環境個個人信息保護策略現階段電子商務中個人信息保護應在借鑒先進國家個人信息保護經驗及ＯECD個人信息保護八項原則的基礎上，結合我國個人信息保護相關法律法規及電子商務網站個人信息保護的實際情況，應側重考慮以下的個人信息保護策略：電子商務活動中個人信息保護策略2004.00.00個人信息保護概論第六講個人信息保護評價機制評價機制的肇始1評價的基本概念2評價過程3評價機制的肇始大連是國家軟件產業基地、軟件出口基地，大量的軟件和信息處理業務來自國外，隨著國外客戶對個人信息保護的要求愈來愈細化，業務承接和擴展受到直接的影響。為了與日本等國外企業實現對接，滿足客戶對個人信息保護的要求，減少企業因個人信息保護不當可能造成的損失，大連市發布了《大連軟件及信息服務業個人信息保護規范》。而引起許多企業的重視和關注，并開始按照規范要求建立相應的個人情息保護機制。為推進規范的實施，并與國外實現互認，在規范基礎上建立了個人信息保護評價體系(PIPA)，評價的基本概念個人信息保護評價體系是大連市建立的、具有我國行業特色的個人信息保護認證計劃。評價的基本概念與認證計劃是一致的。個人信息保護評價是系統、客觀、全面地監督、判斷、評估個人信息保護行為的安全性、有效性，確定在個人信息保護中需要改進的問題的過程。評價與認證認證評價認證是由獨立、公正的第三方認證機構進行的客觀的評價；認證是依據特定的標準或規范；認證審核過程是對與標準或規范的符合性、一致性及目的的有效性進行評估個人信息保護評價是獨特的個人信息保護認證計劃，是個人情息保護開展和實施的必然。個人信息保護評價機構是獨立、公正的第三方機構，由可以充分信任的、公平、公正的第三方機構系統、客觀、全面地監督、判斷、評估個人信息保護體系的安全性、有效性，及與個人信息保護相關法律、法規的符合性的活動。

評價的特征Ｂ個人信息保護目的是個人信息保護評價的基礎Ｃ實現科學的個人信息保護評價的手段是技術和管理方法的運用

Ｄ個人信息保護評價的價值取向

Ｅ個人信息保護效果和影響的判斷和評估

Ａ個人信息保護評價是以個人信息保護體系為評價對象的第三方監督執行機制評價過程接受申請資格審查報告現場評價評價報告審批通過個人信息保護評價掛起公示期呈交申請資料完善改造合格資格審查不合格部分通過未通過有重大問題無投訴或質疑個人信息保護評價流程評價準備申請個人信息保護評價，必須建立相應的體系，在法律、規范的框架下開展個人信息保護個人信息保護評價體系建立、健全后，可以申請個人信息保護評價，通過獨立、公正的第三方評價機構，對企業內個人信息保護進行監督、判斷、評估。個人信息保護評價體系

評價過程管理

評價管理評價人員管理

過程定義

改進和完善

個人信息保護評價管理機構

需要對評價人員建立管理制度和進行專業培訓。

過程管理是質量管理的重要部分。是保證個人信息保護評價質量的重要活動。總結最佳評價實踐，信息保護評價流程。形成可重復操作、穩定、可靠的個人情息保護評價流程。

采用過程模式，通過過程管理的持續改進和完善，保證評價質量可靠、穩定的永恒目標。個人信息保護評價管理機構包括：個人信息保護工作委員會和個人信息保護評價機構。評價資格審查受理申請

資料審查

申報條件：確認評價申請是否具備個人信息保護評價資格。資料準備：提交企業開展個人信息保護，實施個人信息保護管理的所有相關文檔資料，申報評估：對評價申請企業的申請條件、提交的申報資料進行初步評估。審查條件：評價資料審查，應符合一定的條件。審查內容。申報資料是否真實、規范、完整和滿足相關法律、法規、規范的要求。審查報告。對提交的申報資料進行詳細審查后，應編制資格審查報告，現場評價現場評價是評價機構根據資格審查結果，對個人信息保護評價申請企業經營活動場所實地考察，對現場評價實施管理，是評價組根據評價管理的流程和過程模式，分析、判斷、評估企業個人信息保護現狀的使然。現場評價管理主要包括

現場評價流程TwoOneThree個人信息保護評價機構受理個人信息保護評價申請，并通過資格審查后，組建個人信息保護現場評價組；

個人信息保護現場評價組組長編制現場評價計劃。計劃包括評價組組成、評價人員分工、職責和義務、現場評價內容和方法、評價結論的提交、評價報告的編制等；

個人信息保護現場評價實施：召開評價會議、評價實施、溝通和交流、評價意見、改進和完善。現場評價調查

調查方法調查質量面談：檢查文件和記錄：隨意抽查企業的業務：與企業有關客戶接觸以了解個人信息保護情況等。

調查目的和要求。確定現場調查的任務。選擇恰當的或組合的調查方法。現場調查質量控制措施

保證調查表設計的質量控制。調查分析。問題處理。溝通與交流。現場調查所采用的方法現場評價結果

問題分類評價意見嚴重問題：1.隱瞞事實、虛報、瞞報等。2.不能滿足個人信息保護安全要求。3.出現嚴重的個人信息安全事故。一般問題：1.申報資料不規范、內容不完整等。2.改進可以的一般性安全隱患。3.不影響評價申報的其他非實質性問題。通過：企業個人信息保護工作是基本成功的，或僅存在少量一般性問題，經過簡單修正，即可基本符合相關法律、法規、規范；不通過：存在兩種情況，1.經過整改后可以通過。2.重新申請評價。得出符合事實的評價結論。

評價現場調查中發現的問題

審批和公示

個人信息保護現場評價結束后，評價意見和評價結論上報個人信息保護評價機構審批。

審批和公示現場評價調查

調查方法調查質量面談：檢查文件和記錄：隨意抽查企業的業務：與企業有關客戶接觸以了解個人信息保護情況等。

調查目的和要求。確定現場調查的任務。選擇恰當的或組合的調查方法。現場調查質量控制措施

保證調查表設計的質量控制。調查分析。問題處理。溝通與交流。現場調查所采用的方法現場評價調查

調查方法調查質量面談：檢查文件和記錄：隨意抽查企業的業務：與企業有關客戶接觸以了解個人信息保護情況等。

調查目的和要求。確定現場調查的任務。選擇恰當的或組合的調查方法。現場調查質量控制措施

保證調查表設計的質量控制。調查分析。問題處理。溝通與交流。現場調查所采用的方法資格管理

復查復審

個人信息保護評價機構定期抽查具有個人信息保護評價資格、通過個人信息保護評價的個人信息保護評價申請企業的個人信息保護工作情況。企業通過個人信息保護評價后，個人信息保護評價機構可以應企業的要求，或根據個人信息保護評價規范，對企業個人信息保護工作進行復審。

2004.00.00個人信息保護概論第七講評價體系研究評價關系研究1評價體系質量研究2評價指標研究3評價體系構成4評價關系研究在個人信息保護評價管理中，協調個人信息保護評價體系中各種相互關聯、相互作用的關系，保證評價工作的準確性、公正性，引導和激勵企業個人信息保護工作的持續發展，使評價趨近于合理。評價體系中各種相互關聯、相互作用的關系評價體系質量研究評價體系質量是個人信息保護評價質量的保證，也是個人信息保護評價的基本要求。個人信息保護是企業為個人信息主體提供的服務，個人信息保護評價也是為企業個人信息保護工作提供的一種服務，服務質量的差異，是評價體系設計質量的體現。服務質量服務服務質量服務是一種過程服務是由一系列或多或少具有無形特性的活動構成的一種過程，這種過程是在客戶與員工、有形資源的互動關系中進行的，這種有形資源(有形產品或有形系統)是作為客戶問題的解決方案提供的。服務質量是基于客戶明確或隱含的服務需求，由客戶主觀感知的滿足服務需求的程度。根據全面質量管理理論，質量并不是“最好”而是最適合用戶的需求，即在產品和服務的過程中，能夠全面滿足用戶的需求。

分結果質量和過程質量

個人信息保護質量過程質量

結果質量

個人信息保護質量是個人信息管理者為個人信息主體提供的個人信息管理服務的質量，包含兩個方面：個人信息保護是個人信息管理者向個人信息主體提供個人信息管理服務的過程，在服務過程中，個人信息主體通過與個人信息管理者的互動，感知服務質量，認知個人信息管理者在管理服務中的個人信息保護策略、管理機制、方式方法等結果質量是實施個人信息管理服務后個人信息主體所獲得的個人信息安全保障。基于相關法律、法規、規范進行個人信息保護的結果質量，主要涉及技術、管理層面有形的內容，易于比較客觀的衡量、評估。個人信息保護評價體系質量全面質量管理原則

評價體系設計原則評價體系特征評價內容設計原則評價體系質量

1.以用戶為中心。2.過程管理。3.基于事實的管理。4.持續改進。1.多元性。2.整體性。3.相關性。1.整體性原則。2.合理性原則。3.科學性原則。4.改進原則。5.易用性原則。1.全面性原則。2.準確性原則。3.權威性原則。評價指標研究個人情息保護評價指標(et)主要有五大類評價指標et是構成評價體系es的基本元素，由若干評價指標項ei

組成，ei是由若干指標子項ec構成的。表示：

ei=︱ec1,ec2,……ecn︱

es=︱et1(ei1,……ein),et2(ei1,…

…ein),……etm(ei1,……ein)︱(m、n=1，2，……。)管理機構管理機構評價指標(et)可以包含2個評價指標項(ei)、6個指標子項(ec)。管理機構管理機制管理機制評價指標(et)可以包含7個評價指標項(ei)

、27個指標子項(ec)。

管理機制結果評估交流溝通處理方案問題處理處理流程服務響應評估確認服務流程效果實施管理普及率普及性合理針對合理性策略方法完善性效果合理性普及率記錄計劃備案借閱安全性管理策略跟蹤評估改進完善分析確認持續改進應急處理服務支持文檔管理宣傳管理制度培訓教育過程管理過程管理評價指標(et)可以包含9個評價指標項(ei)

、39個指標子項(ec)。過程管理問題處理例外和限制利用管理委托策略和管理提供策略和管理處理策略和管理收集策略和管理管理者義務主體權利安全承諾廢棄策略使用策略信息質量同意方式目的范圍敏感信息安全承諾存儲保存同意通知方法手段目的范圍安全保密告知目的明確權利保障疑義反對支配權知情權安全承諾信息質量授權方式目的范圍回收方式安全承諾管理方式信息質量同意方式目的范圍安全承諾信息質量同意方式方式方法目的范圍必須提供的例外處理意見主體意見流程方法確認分析個人信息安全個人信息安全評價指標(et)可以包含8個評價指標項(ei)

、29個指標子項(ec)。個人信息安全人員行為管理病毒防洪策略訪問控制策略存儲安全策略信息交換安全策略基礎平臺信息安全工作環境管理風險管理殘余風險應對處理識別評估處理策略應用系統媒介管理安全平臺接口管理存儲系統電腦管理系統平臺桌面管理網絡平臺出入管理其他相關行為損毀后的措施加密管理措施備份恢復策略郵件管理使用策略權限責任病毒恢復措施權限管理措施信息傳輸安全外網訪問策略網絡行為病毒預防措施訪問控制措施信息存儲策略內外網交換策略個人信息保護監察個人信息保護監察評價指標(et)可以包含3個評價指標項(ei)、8個指標子項(ec)。其他相關事項監察過程管理監察職責監察報告監察周期監察管理和記錄監察計劃監察對象的義務監察公正性監察負責人的責任監察問題的處理和改進個人信息保護監察評價體系構成個人信息保護評價體系應是由個人信息保護評價指標、權重、評價規則三個要素構成的相互關聯的有機整體。三個要素的變化和相互關聯決定了個人信息保護評價體系的質量。評價指標是主導個人信息保護評價體系的基本元素，評價指標的確定、指標項的選擇、評價標準等因素的質量，決定了評價體系的質量，保護個人信息保護評價過程達到預期的目的。評價規則

評價規則可以將評價指標量化，定性、定量描述各個評價指標項，使申請評價企業能夠客觀地了解企業個人信息保護管理工作的水平、存在的問題和改進的目標。權重

權重反映了評價指標在企業個人信息保護工作中所占比重，是各個指標項相互關聯的關鍵因素，權重設置方法、權重分配的合理性直接影響評價體系的質量。

個人信息保護評價體系2004.00.00個人信息保護概論第八講個人信息保護的法律保障歐洲立法模式

1日本保護模式

2其他國家和地區立法模式

3我國的個人信息保護模式

4美國保護模式1個人信息保護標準研究

4歐洲立法模式歐盟采用立法模式保護個人信息，是基于保障基本的人格權益。《個人數據保護指令》確立了個人信息保護的基本原則。個人數據主體的權利

個人數據管理者責任和義務

保密和安全原則例外和限制原則數據主體拒絕的權利適當更正,刪除或封存的權利查詢權利特殊類型數據處理原則

數據處理合法化原則告知原則數據質量原則

個人信息保護的基本原則

歐盟制定的主要法律《關于與個人數據處理相關的個人數據保護及此類數據自由流動的指令》即《個人數據保護指令》《電子通訊領域個人數據處理和隱私保護指令》《私有數據保密法》《Intemet上個人隱私權保護的一般原則》《關于Internet上軟件、硬件進行的不可見的和自動化的個人數據處理的建議》《信息公路上個人數據收集、處理過程中個人權力保護指南》《關于與歐共體機構和組織的個人數據處理相關的個人數據保護及此類數據自由流動的規章》美國保護模式美國采取政府引導下的行業自律模式，規范行業內個人信息處理行為，同時通過分散立法，輔助行業模式的實施。美國保護個人隱私行業自律模式主要有兩種：建議性的行業指引

網絡隱私認證計劃

指引為行業內個人信息保護提供廣為接受和執行的規范，并不監督行業成員的行為。如美國在線隱私聯盟(OPA)公布的在線隱私指引，要求OPA成員采納、執行OPA的隱私政策。是各行業自我規范，實現網絡隱私保護、建立公眾信任的自律形式。加入認證計劃的商業網站，必須通過網絡隱私保護合格認證，并在網站張貼隱私認證標示，

日本保護模式日本的保護模式，參考歐盟的立法模式，更多采納了美國的保護規制，通過政府立法和行業自律實現個人信息保護。《個人信息保護法》是日本實施個人信息保護的基本法。以個人信息有效利用，同時加以保護為宗旨，確立了個人信息保護的基本方針和應采取的措施，明確了國家、地方公共團體的責任和義務，以及處理、使用個人信息的個人信息處理業者的義務等。

其他國家和地區立法模式（德國）德國個人數據保護法采取統一立法模式，以信息自決權為憲法基礎，以人格權為民法基礎，統一規范、保護所有個人數據。規范了立法原則、監督機構、損害賠償等機制，成為個人數據保護的一種立法范本。個人數據保護立法原則是個人數據保護的核心。德國個人數據保護法的個人數據保護原則體現了信息自決權的內涵，

德國個人數據保護法個人數據保護原則其他國家和地區立法模式（香港地區）我國香港地區1996年開始實施《個人資料私隱條例》。條例傾向于歐盟的《個人數據保護指令》，符合該指令關于向第三國傳送數據的規定。條例規定了保障資料的6項原則：香港地區個人資料私隱條例資料保障原則我國的個人信息保護模式我國于2003年開始啟動個人情息保護立法研究并形成《中華人民共和國個人信息保護法(專家建議稿)》。我國個人信息保護模式采用綜合立法，即《個人信息保護法》、特別立法，補充綜合立法、行業自律，以及技術保護，專家建議稿個人信息保護模式的特點：OneTwo是個人信息安全威脅的預防，即事前干預與事后干預的結合，在個人信息處理之前即加以規范，保證實現個人信息保護的同時不阻礙正常的流動。

是個人信息的不當泄露，屬于違法行為，可能承擔行政責任、民事責任和刑事責任。

大連軟件及信息服務業個人信息保護規范《大連軟件及信息服務業個人信息保護規范》是中國首部信息服務業個人信息保護行業自律規范。規范是大連市信息產業局、大連軟件行業協會在研究分析國外各類個人信息保護模式及相關法律、法規、標準，根據大連市信息服務業的特點和目前我國信息服務業的特點和方向編制的。OneTwo

規范以OECD八項基本原則為基礎，保證個人信息的有序、合法、有效利用，確立了信息服務業個人信息保護的基本原則和基本方針。

規范的框架、體例和部分內容，沿襲了日本《個人信息保護管理體系要求事項》，同時，根據國情和我國信息服務業的特點，編制了相應的條文。

遼寧省個人信息保護規范《遼寧省個人信息保護規范》是我國第一部個人信息保護地方標準。《遼寧省個人信息保護規范》規定了個人信息保護相關術語和定義、個人信息保護原則、個人情息保護體系的建立、個人信息主體權利、個人信息管理者的義務、個人情息保護實施、個人信息保護的安全機制、持續改進、個人信息保護評價等基本規則和要求。《遼寧省個人信息保護規范》的特點

標準定義標難是對重復性事物和概念所做的統一規定。它以科學、技術和實踐經驗的綜合成果為基礎，經有關方面協商一致，由主管機構批準，以特定形式發布，作為共同遵守的準則和依據。標準以科學、技術和經驗的綜合成果為基礎，以促進最佳的共同效益為目的。并將規范性文件(標準文件)描述為：為各種活動或其結果提供規則、導則或規定特性的文件。

標準定義包含了幾個方面的特點個人信息保護標準化

標準化

個人信息保護標準化是標準編制、發布和實施的活動過程。制定標準、組織實施標準和對標準的實施進行監督是標準化工作的主要任務。標準化的目標是獲得最佳秩序和社會效益。是依據國家和社會的利益，構建依法、有序的標淮環境；實現國家和社會的整體效益。

是編制、發布和實施高效、高質、統一、規范，經過實踐檢驗和綜合研究、分析的個人信息保護系列標準的活動，為個人信息保護提供可供遵循的規則的規范性文件。個人信息保護標準研究

個人信息保護標準研究是在個人信息保護標準化過程中，為“獲得最佳秩序和社會效益”實現個人信息保護標準系列化，并使相關標準間達到協調與統一所完成的工作。個人情息保護標準研究的原則：實用性與前瞻性結合

引用與發展結合

遵循經濟、社會發展的需要及信息安全的特征，制定實用、適用的標準，同時，關注科學技術的進步和經濟、社會的發展。參考和引用國外相關法規、標準、是構建我國個人信息保護標準的捷徑。但應采用發展的眼光，根據我國國情和特點，有所創新，編制符合我國經濟、社會發展需要的標準。

2004.00.00個人信息保護概論第九講個人信息保護實踐構建個人信息保護體系1個人信息保護認證案例2個人信息保護認證體系1構建個人信息保護體系構建個人信息保護體系評價管理機制

事故申報和處理機制

評價人員管理

評價機制

完善個人信息保護認證體系

PIPA與P—MARK互認

大連軟件行業協會構建個人信息保護體系個人信息保護保護認證體系大連信息產業個人信息保護評價PIPA基本流程：企業申請個人信息保護評價

評價機構接受企業個人信息保護評價申請

評價開始評價結束案例：某公司個人信息保護管理機制（1）個人信息保護方針文件編號：版本號：制定日期：修改日期：制定人：審批人：公司名稱：××公司

（第一頁）案例：某公司個人信息保護管理機制（1）（第二頁）制定與修改記錄案例：某公司個人信息保護管理機制（1）（第三頁）XX公司個人信息保護方針本公司對公司客戶信息、員工信息等所涉及的個人信息，均嚴格遵守國家個人信息保護方面的相關法律法規。同時依照《軟件及信息服務業個人信息保護規范》的要求制定本公司的個人信息保護方針，并遵照執行。方針的內容包括：

1．本公司向全體員工宣傳個人信息保護的重要性和策略，加強每位員工對個人信息保護工作的配合和重視；認真貫徹執行本公司制定的個人信息保護基本規章制度和管理規定。

2．本公司在取得、使用、提供個人信息時，均采取合法、公正的手段，并事先征得信息主體的同意，在目的范圍內使用。同時，實行相關安全保護措施。

3．本公司為了確保個人信息的安全，建立信息安全保護對策等安全措施，以防止對個人信息的非法訪問以及個人信息的遺失、破壞、篡改、泄露等。

4．本公司在與第三方共享個人信息時，須事先征得信息主體同意，并根據個人信息保護規范要求采取必要措施，防止由第三方泄露個人信息等。

5．本公司在信息主體提出對個人信息進行公開、修改、停止使用等要求時，將根據公司個人信息保護相關規定采取適當的方法實施相應的配合。

6．為了更好的實施公司個人信息保護相關規定，本公司建立個人信息保護管理系統的持續改善等相關措施。

7．將本方針文檔化，貼于公司辦公場所，讓每位員工可以方便地看到、理解和執行達到眾所周知。

8．本方針將通過公司的網站對外公布，使外界了解本公司的個人信息保護方針、政策。在工作當中涉及個人信息時，本公司也將主動向信息主體宣傳公司個人信息保護的措施和規定。

9．本公司設立個人信息保護窗口，指定專門負責人，負責接待社會各界提出的意見及建議。公司個人信息保護窗口負責人：聯系電話：制定日期：年月日電子郵箱：修改日期：年月日××公司案例：某公司個人信息保護管理機制（2）（第1頁）總經理：文件編號：某公司個人信息保護組織機構與責任規定版本號：制定日期：修改日期：審批人：制定人：企業名稱：××公司案例：某公司個人信息保護管理機制（2）（第2頁）制定與修改記錄案例：某公司個人信息保護管理機制（2）（第3頁）目錄1．個人情息保護組織機構圖2，個人信息保護相關責任人的任命3．個人信息保護相關責任人名單4．個人信息保護相關責任人職責案例：某公司個人信息保護管理機制（2）（第4頁）個人信息保護組織機構圖本公司個人信息保護的機構設置如圖1所示。2．個人信息保護相關責任人的任命2．1公司管理者由公司領導者擔當。2．2個人信息保護負責人公司領導者任命個人信息保護負責人。2．3監查負責人公司領導者指定個人信息保護監查負責人，監查負責人可以在公司內部指定，也可以在外公司聘請。2．4各部門個人信息保護負責人個人情息保護負責人任命各部門個人信息保護負責人。2．5客戶窗口負責人個人信息保護負責人任命客戶窗口負責人。2．6培訓教育負責人個人信息保護負責人任命培訓教育負責人。2．7各部門安全負責人各部門個人信息保護負責人任命各部門安全負責人。3．個人信息保護相關責任人名單3．1公司管理者、總經理：xxx3．2個人信息保護負責人：xxx3．3監查負責人；XXX3．4各部門個人信息保護負責人

a)部門甲個人信息保護負責人：b)部門乙個人信息保護負責人：3．5客戶窗口負責人：xxx3。6培訓教育負責人：xxx4，個人信息保護相關責任人職責案例：某公司個人信息保護管理機制（3）（第1頁）文件編號：某公司個人信息取得、使用、提供、委托、處理的管理規定版本號：制定日期：修改日期：審批人：制定人：企業名稱：××公司案例：某公司個人信息保護管理機制（3）（第2頁）制定與修改記錄案例：某公司個人信息保護管理機制（3）（第3頁）目錄1．個人信息的定義和取得2．個人信息的使用和提供3．個人信息的委托4．個人信息的再委托5．個人信息保管6．保障信息主體權利7．個人信息保護事故發生預防措施8．意見及反饋案例：某公司個人信息保護管理機制（3）（第4頁）個人信息的定義和取得1．1個人信息是指與存在個體相關的、并且可用于識別特定個體的信息。例如，姓名、生日、個人證件的號碼、標志或其他記號、圖像或錄音及其他相關信息(包括某些單獨使用時無法識別、但能夠方便地與其他數據進行對照參考，并由此識別特定個人的信息)。個人信息不僅包括個體識別信息，還包括顯示事實、判斷或評價等的所有情報，包括個人身體狀況、財務狀況、工作類型或職務等。1．2取得的原則與范圍1．2．1個人信息取得的原則對個人信息的取得確立以下原則：a)限制搜集原則，在信息主體不知道或不能控制的狀態下，不能進行信息的收集、存儲和披露；b)資料內容完整正確原則，收集的信息應該限于客觀的事實，即必須是真實的；c)限制利用原則，不對與信息主體不相干的第三者泄露；d)目的明確化原則，僅限于與信息主體有關的用途；

e)個人參與原則，個人有信息自主權，可參與個人信息資料制作的過程，但若取得個人書面同意，則視為同意放棄隱私權，準許他人搜集、利用；

f)公開原則，個人信用信息資料應對本人公開；

g)安全保護原則，數據庫應有加密等安全措施防止個人資料被他人不當利用、篡改或滅失；h)責任原則，給個人信用信息主體造成損害需要承擔賠償等民事責任。1．2．2個人信息取得的范圍個人信息取得之前應明確使用目的，并應征得信息主體的同意，在限定的目的范圍內取得。從被公開的資料中取得個人信息時也應明確使用目的。1．3取得的方法和手段個人信息取得應采取適當的方法和合法公正的手段。1．4取得個人信息內容案例：某公司個人信息保護管理機制（4）（第1頁）文件編號：某公司個人信息文檔管理規定版本號：制定日期：修改日期：審批人：制定人：企業名稱：××公司案例：某公司個人信息保護管理機制（4）（第2頁）制定與修改記錄案例：某公司個人信息保護管理機制（4）（第3頁）目錄1．個人信息保護管理的實施2．個人信息保護管理體系的確立3．個人信息保護管理體系的導人和運用4．個人信息保護管理體系的監護和修訂5．個人信息保護管理體系的維持及改善6．個人信息保護管理體系文檔的維持及改善7．個人信息保護管理體系文檔編號8．個人信息管理案例：某公司個人信息保護管理機制（4）（第4頁）1.個人信息保護管理的實施為使我公司的個人信息保護管理持續發揮作用，必須遵循PDCA循環改善過程，有組織地采取對策。個人信息保護管理的PDCA循環如圖所示。2．個人信息保護管理體系的確立為了確立我公司的個人信息保護管理體系，首先要實行風險評估，加以對應。3．個人信息保護管理體系的導人和運用為了導入和執行我公司的個人信息保護管理體系，還要實施個人信息保護研修。4．個人信息保護管理體系的監護和修訂為了推進我公司的個人信息保護管理體系的監護和修訂、我們要實施個人信息保護監查、風險評估的修訂。根據個人信息保護管理體系的監護和修訂的結果、如有必要，則對個人信息保護管理體系的年度運營計劃進行更新。5．個人席息保護管理體系的維持及改善承接前項、為了推進我公司的個人信息保護管理體系的維持及改善，必須定期采取改善措施和預防措施。此外，還要根據需要不定時的或定期的進行個人信息保護管理體系文書的修訂和改善。6．個人信息保護管理體系文檔的維持及改善要根據需要不定時的或定期進行個人信息保護管理體系文書的修訂。①根據每年實施一次以上風險評估的結果、有必要追加或者變更管理措施時②組織的系統環境發生變更時③生重大個人信息保護事故時7．個人信息保護管理體系文檔編號案例：某公司個人信息保護管理機制（５）（第1頁）文件編號：某公司個人信息技術物理安全管理措施版本號：制定日期：修改日期：審批人：制定人：企業名稱：××公司案例：某公司個人信息保護管理機制（５）（第2頁）制定與修改記錄案例：某公司個人信息保護管理機制（５）（第3頁）目錄1．公司員工及外來人員的出入管理及攜帶出公司的有關個人信息的管理2．防止硬件設備被盜、破損、漏水、停電等災害的安全保護措施3．數據備份制度4．存儲設備及媒介的管理、文件管理廢棄制度5．訪問權限的管理6．軟件的管理及惡意軟件的對策7．PC機及網絡管