1T/XXXXXXX—XXXX網絡通信個人隱私信息保護管理規范本標準規定了個人隱私信息生命周期、個人隱私信息主體權利、個人隱私信息管理者、個人隱私信息管理、個人隱私信息獲取和安全及過程管理相關要求。本標準適用于在網絡通信領域中產生的個人隱私信息。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。DB21/T1628.1—2016信息安全個人信息保護規范DB21/T1628.2信息安全個人信息安全管理體系實施指南3術語和定義下列術語和定義適用于本文件。3.13.2個人隱私信息personalprivacyinformation依附于個人，并可描述個人基本形態的信息，包括:a)可通過聽覺、視覺、觸覺等感官直接識別個人的信息，如數字、文字、圖像、影像、聲音等；b)可借助各種手段間接識別個人的信息，如與個人相關各種信息對照、參考、分析等。3.33.4主體subject享受民事權利并承擔民事義務的個人。3.53.6個人隱私信息生命周期personalprivacyinformationlifecycle當個人隱私信息主體同意直接收集個人信息直至個人信息徹底銷毀的生命歷程,是個人信息管理者向個人信息主體提供服務管理的過程。3.73.8個人隱私信息主體personalprivacyinformationsubject可通過個人隱私信息識別的、擁有該個人隱私信息，享受該個人隱私信息權益的個人。4個人隱私信息生命周期個人隱私信息生命周期應包括3個環節：a)個人信息獲取過程：個人信息主體同意，基于特定、明確、合法目的，直接或間接收集個人信息；b)個人信息處理過程：基于收集目的的個人信息使用、利用過程，可劃分4種形式：1)包括編輯、加工、檢索、存儲、傳輸等不同的使用流程；2)包括提供、委托、交換等不同的利用過程；3)包括交易、二次開發等不同的利用過程；4)個人信息的后處理過程；c)基于生命周期的過程管理：在個人信息生命周期內，采用PDCA模式管理針對個人信息及相關資源、環境、管理體系等的活動或行為。2T/XXXXXXX—XXXX5個人隱私信息主體權利5.1知情權個人隱私信息主體知情權應當包括以下幾個方面：a)個人隱私信息主體應有權知悉個人隱私信息數據庫中與個人信息主體相關的信息；b)個人隱私信息主體應有權知悉個人隱私信息收集、處理、使用、利用的目的、方式、范圍等相關信息；c)個人隱私信息主體應有權查詢個人隱私信息收集、處理、使用、利用情況及個人信息質量等相關信息；d)個人隱私信息主體應有權知悉個人隱私信息生命周期內個人信息管理質量。5.2支配權個人隱私信息主體支配權應包括：a)收集、處理、使用、利用個人信息，應經個人隱私信息主體同意，并簽字蓋章；b)個人隱私信息主體應有權修改、刪除、完善與之相關的個人信息，以保證個人隱私信息的完整、準確和最新狀態；c)個人信息主體應有權決定如何使用與之相關的個人信息；d)在個人信息生命周期內，個人信息主體應有權提議改進、完善個人信息管理質量。5.3質疑權個人隱私信息主體質疑權應包括：a)個人隱私信息主體應有權質疑與之相關的個人信息的準確性、完整性和時效性；b)個人隱私信息主體應有權質疑或反對與之相關的個人信息管理目的、過程等；c)如果個人隱私信息管理目的、過程違背了個人隱私信息主體意愿或其它正當理由，個人隱私信息主體應有權請求停止個人隱私信息管理活動、行為或提出撤消該個人隱私信息。停止或撤銷應經個人隱私信息主體確認；d)在個人信息生命周期內，個人信息主體應有權質疑個人信息管理質量的可靠性。6個人隱私信息管理者6.1規則個人隱私信息的規則應包括以下內容：a)個人隱私信息管理者獲取、處理、使用、利用、管理個人隱私信息應獲得個人隱私信息主體授權，并確定明確、合法的目的；b)個人信息隱私管理者應基于個人隱私信息生命周期，為個人信隱私息主體提供個人隱私信息的服務管理；c)個人隱私信息管理者不應因利益、條件等的變化降低個人隱私信息管理質量的可靠性。6.2角色個人隱私信息管理者可根據不同的需要細分不同的角色，如個人隱私信息獲取、個人隱私信息消費等，但均應遵循6.1確立的規則，保障個人隱私信息主體的權益。6.3服務管理個人隱私信息管理者應滿足以下內容：a)個人隱私信息管理者應具有各類資源的轉換能力和相應的管理職能，以保證個人隱私信息管理的有效性；b)個人隱私信息管理者應建立有效的內部管理機制并形成管理體系，以保證個人隱私信息管理的質量可靠性；3T/XXXXXXX—XXXXc)個人隱私信息管理者應提供透明的服務管理過程，以保證第5章確立的個人隱私信息主體的權利。6.4責任和義務6.4.1管理責任個人隱私信息管理者應對所擁有的個人隱私信息負有管理責任,并征得個人隱私信息主體同意后開展與個人隱私信息相關的管理活動或行為。6.4.2權利保障個人隱私信息管理者應保障個人隱私信息主體的權利。6.4.3目的明確個人隱私信息管理者應保證個人隱私信息管理目的與個人隱私信息主體意愿-致，管理過程或行為不應超目的、超范圍。6.4.4告知個人隱私信息管理者應將收集個人隱私信息的目的和方式.不提供個人隱私信息的后果、查詢和更正相關個人隱私信息的權利，以及個人隱私信息管理者本身的相關信息等告知個人隱私信息主體。6.4.5質量保證個人隱私信息管理者應在管理活動或行為中保證個人隱私信息的完整性、準確性、可用性,并保持最新狀態。6.4.6保密性個人隱私信息管理者應對所管理的個人隱私信息予以保密，并對個人隱私信息管理過程中的安全負7個人隱私信息管理個人隱私信息管理者應依據其責任和義務，協調、組織、轉換PISMS和各類相關資源，根據收集目的，采取相應的控制策略和措施，收集、處理、使用、利用個人隱私信息。7.2原則應遵循以下原則：a)目的明確：收集個人隱私信息應有明確的目的，不應超目的范圍處理、利用、使用；b)主體權利：個人隱私信息主體應對與個人相關的個人隱私信息享有權利；c)信息質量：在管理活動或行為中應保證個人隱私信息的準確性、完整性和最新狀態；d)合理限制：收集、處理、使用、利用個人隱私信息，應采用合法、合理的手段和方式，并保持公開的形式；e)安全保障：應采取必要、合理的管理和技術措施，防止個人隱私信息濫用、篡改、丟失、泄露、損毀等。7.3方針7.3.1個人隱私信息管理者應制定個人隱私信息管理方針，以指導個人隱私信息管理。方針應遵循國家相關法律、法規規定的原則和措施，符合個人隱私信息管理者實際情況，并應以簡潔、明確的語言闡述，公之于眾。7.3.2個人隱私信息管理方針內容宜包含以下內容。a)個人隱私信息主體的權利；b)個人隱私信息管理者的義務；4T/XXXXXXX—XXXXc)個人隱私信息管理的目的和原則；d)個人隱私信息管理的措施和方法；e)個人隱私信息管理的改進和完善。7.4計劃個人隱私信息管理者應根據管理、業務目標，制定基于個人隱私信息生命周期的管理計劃。計劃應包括:a)個人隱私信息收集目的、策略；b)個人隱私信息管理措施、策略；c)個人隱私信息管理和各類相關資源的組織、協調、轉換和溝通；d)個人隱私信息安全風險評估；e)計劃評估；f)其它必要的管理策略。7.5組織7.5.1要求個人隱私信息管理者應根據管理計劃，建立個人隱私信息管理機構，實施個人隱私信息生命周期全過程的符合個人隱私信息相關法規、標準的管理，組織個人隱私信息管理活動或行為。7.5.2相關機構及職責7.5.2.1最高管理者個人隱私信息管理者的最高行政領導，應重視個人隱私信息管理，并選擇、任命有能力的個人隱私信息管理者代表組建、負責個人隱私信息管理機構，在資金、資源等各個方面提供完全的支持。7.5.2.2管理機構個人隱私信息管理者代表應建立、落實個人隱私信息管理機構，明確責任主體和職責，制定管理計劃。個人隱私信息管理機構宜包括宣傳教育、安全教育、服務臺等責任主體，管理機構的主要職責應符合DB21/T1628.1-2016的相關要求。7.5.2.3內審機構內審機構應符合DB21/T1628.1-2016的相關要求。7.5.3個人信息安全管理體系個人隱私信息管理者應建立基于服務管理的個人信息安全管理體系，滿足個人信息管理的需要。7.6控制應符合DB21/T1628.1-2016的相關要求7.7協調應符合DB21/T1628.1-2016的相關要求。8個人隱私信息獲取8.1直接收集目的明確，并征得個人信息主體同意，直接經個人信息主體收集個人信息。直接收集應向個人信息主體提供的信息包括：a)個人信息管理者的相關信息；b)個人信息收集、處理、使用的目的、方法；c)接受并管理該個人信息的第三方的相關信息；5T/XXXXXXX—XXXXd)個人信息主體拒絕提供相關個人信息可能會產生的后果；e)個人信息主體的查詢、修正、反對等相關權利；f)個人信息安全和保密承諾；g)后處理方式。8.2間接收集非直接地收集個人信息時，應遵循DB21/T1628.1-2016中9.2的規定，保證個人信息主體知悉并同意。間接收集應保證個人信息主體權益不受侵害。應保證個人信息主體知悉的信息，參照8.1。8.3被動收集被動收集應符合DB21/T1628.1-2016的相關要求。9安全及過程管理9.1安全管理安全管理應符合DB21/T1628.1-2016的相關要求。9.2過程管理9.2.1過程改進過程管理分為以下幾個部分。a)個人信息安全管理系統內審2)計劃；3)實施。b)過程改進1)服務臺管理：服務臺應接受個人信息主體.各類組織和人員提出的個人信息管理活動、PISMS的相關意見、建議、咨詢、投訴等，并采取相應的處理措施，及時反饋。2)跟蹤和監