个人信息保护规范 信息安全 个人信息保护规范 PIPA评价体.PDF

软件及信息服务业个人信息保护规 个人信息保护规范 信息安全 个人信息保护规范 PIPA评价体系对企业的要求事项 范 DB21/T 1522-2007） DB21/T 1628-2008) （DB21/T 1628.1-2012） 1 范围 1 范围 1 范围 本标准规定了个人信息保护相关术 本标准规定了个人信息保护相关术语 本标准规定了个人信息管理原则、个 语和定义，原则、负责人及责任、 和定义、个人信息保护原则、个人信 人信息主体权利、个人信息管理者的 方针、风险分 与基本规章、运行 息主体权利、个人信息管理者的义务 义务、个人信息管理、个人信息安全 与实施、检查、持续改进等单位个 、个人信息保护体系的建立、个人信 管理体系建立、个人信息管理过程、 人信息保护体系建立所应具备的基 息保护实施、个人信息保护的安全机 个人信息安全管理、个人信息安全管 本框架及要求。 制、持续改进、个人信息保护评价等 理体系 内审、过程改进等的基本规则 基本规则和要求。 和要求。 本标准适用于软件及信息服务行业 本标准适用于 自动或非 自动处理全部 本标准适用于 自动或非 自动处理全部 的企业、事业、社会 团体等单位， 或部分个人信息的机关、企业、事业 或部分个人信息的机关、企业、事业 其它相关行业可参照执行。 、社会团体等组织及个人。 、社会团体等组织及个人。 2 术语与定义 2 术语与定义 2 术语与定义和缩略语 企业基本规章中要体现标准中的定 义，也可以加上企业自己的相关定义 2.1 术语和定义 。 下列术语和定义适用于本文件。 2.1 个人信息 2.1 个人信息 2.1.1 个人信息 personal information 个人信息是指业 已存在的与个人相 与特定个人相关、并可识别该个人的 与特定个人相关、并可识别该个人的 关的，并且可用于识别特定个人的 信息，如数据、图像、声音等，包括 信息，如数据、图像、声音等，包括 信息。如：姓名、出生 日期、分派 不能直接确认，但与其他信息对照、 不能直接确认，但与其它相关信息对 给个人的号码、标志 以及其它符号 参考、分 仍可间接识别特定个人的 照、参考、分 仍可间接识别特定个 、可 以识别个人的图像或生物信息 信息。 人的信息。 等 （包括某 些单独使用 时无法识 别，但与其他信息进行对 比后，能 够由此识别特定个人的信息）。 2.2 个人信息数据库 2.1.2 个 人 信 息 数 据 库 personal information database 为实现一定的目的，按照某种规则组 为实现一定的 目的，按照某种规则组 织的个人信息的集合体。包括： 织的个人信息的集合体。包括： a）可以通过自动处理检索特定的个人 a）可以通过 自动处理检索特定的个人 信息的集合体，如磁介质、电子及网 信息的集合体，如磁介质、电子及网 络媒介等； 络媒介等； 第 1 页 软件及信息服务业个人信息保护规 个人信息保护规范