还剩6页未读,继续阅读
文本内容:
用户个人信息保护管理办法单位XXX二二二年月O X历史版本编写、批准、发布信息记录表版本号创建人/创建日期批准人/批准日期生效日期V
1.0//////////文档修改记录序号修改章节文件更改通知单编号修改日期修改人批准人1/////用户个人信息保护管理办法第一章总则第一条本文档用于指导单位在提供服务的过程中收集和使用用户个XXX人信息,应当遵循合法、正当和必要的原则第二条用户个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于用户姓名、出生日期、身份证件号码、住址、电话号码、账号、密码、通讯通信联系方式、财产状况、住址、行踪轨迹、用户使用服务的时间、地点等信息第二章个人信息收集第三条个人信息管理者如需使用个人信息,应直接向个人信息主体收集,依照法律规定,或行使法律授权的收集除外收集个人信息,应满足以下条件
(一)法律法规明确授权或经个人同意;
(二)具有特定、明确、合理的目的;
(三)采用合理、适当的方法和手段第四条个人信息管理者不应在个人信息主体不知情、未参与的情况下采取隐蔽技术手段或采用间接方式收集个人信息第五条个人信息管理者收集个人信息前,应采用个人信息主体能够收悉的方式,至少向个人信息主体明确告知如下事项:)收集个人信息的目的、使用范围和收集方式;
(二)个人信息主体的权利;
(三)个人信息主体的投诉渠道第三章个人信息管理第六条收集个人信息后,应进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人第七条应采取必要的措施和手段,保护个人信息安全,确保但不限于以下目标
(一)防止对个人信息处理场所和个人信息存储介质的未授权访问、损坏和干扰;
(二)处理个人信息时,应保证信息系统持续稳定运行;
(三)保证个人信息在信息系统中的保密性、真实性和完整性第八条个人信息管理者应加强个人信息风险管理,识别、分析、评估潜在的风险因素,制定风险应对策略,采取风险控制措施,监控风险变化第九条个人信息管理者应对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案,采取相应的预防和应对措施第四章个人信息使用第十条涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险例如,在个人信息展示时,防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息第十一条个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制者应为其提供请求更正或补充信息的方法第十二条个人信息管理者应将收集的个人信息限定在收集时告知个人信息主体的范围之内,不应向其他机构披露相关个人信息第十三条未经个人信息主体明示同意,个人信息管理者不应公开其处理的个人信息第十四条个人信息使用应限于收集个人信息时告知的目的,除非法律法规有明确规定或个人信息主体明示同意,不应超出目的使用个人信息第十五条个人信息主体有正当理由要求删除其个人信息时,个人信息管理者应及时删除个人信息删除个人信息可能会影响公安机关调查取证时,个人信息管理者应采取适当的信息保全措施第十六条个人信息使用完成后应删除,需要继续处理的,应采取匿名方式保存期限有明确规定的,按相关规定执行第十七条个人信息主体发现其个人信息有误并要求修改时,个人信息管第五章个人信息转移理者应查验相关信息,并在核对正确后修改或补充相关信息第十八条个人信息原则上不得共享、转让,如需转移应当事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施,向个人信息主体说明转移的目的、转移的对象,并获得个人信息主体的明示同意第十九条个人信息原则上不得公开披露个人信息控制者经法律授权或具备合理事由确需公开披露时,应充分重视风险,向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意,准确记录和保存个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;第二十条如法律法规没有明确规定,或未经行业主管部门同意,个人信息管理者不应将个人信息转移给境外注册的个人信息管理者第六章个人信息安全事件处理第二十一条应制定个人信息安全事件应急预案,定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;第二十二条发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置
(一)记录事件内容,包括但不限于发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
(二)评估事件可能造成的影响,并采取必要措施控制事态,消除隐患第七章附则第二十三条本办法由躇门负责解释XX B第二十四条本办法自发布之日起执行。