个人信息保护概论第九讲个人信息保护实践幻灯片课件.ppt

个人信息保护概论 第九讲　个人信息保护实践 构建个人信息保护体系 1 个人信息保护认证案例 2 个人信息保护认证体系 1 构建个人信息保护体系 构建个人信息保护体系 评价管理机制 事故申报和处理机制 评价人员管理 评价机制 完善个人信息保护认证体系 PIPA与P—MARK互认 大连软件行业协会构建个人信息保护体系 个人信息保护保护认证体系 大连信息产业个人信息保护评价PIPA基本流程： 企业申请个人信息保护评价 评价机构接受企业个人信息保护评价申请 评价开始 评价结束 案例：某公司个人信息保护管理机制（1） 个人信息保护方针 文件编号： 版本号： 制定日期： 修改日期： 制定人： 审批人： 公司名称：××公司 （第一页） 案例：某公司个人信息保护管理机制（2） （第1页） 总经理： 文件编号： 某公司个人信息保护组织机构与责任规定 版本号： 制定日期： 修改日期： 审批人： 制定人： 企业名称：××公司 案例：某公司个人信息保护管理机制（2） （第2页） 制定与修改记录 案例：某公司个人信息保护管理机制（2） （第3页） 目 录 1．个人情息保护组织机构图 2，个人信息保护相关责任人的任命 3．个人信息保护相关责任人名单 4．个人信息保护相关责任人职责 案例：某公司个人信息保护管理机制（2） （第4页） 个人信息保护组织机构图 本公司个人信息保护的机构设置如图1所示。 2．个人信息保护相关责任人的任命 2．1公司管理者 由公司领导者担当。 2．2个人信息保护负责人 公司领导者任命个人信息保护负责人。 2．3监查负责人 公司领导者指定个人信息保护监查负责人，监查负责人可以在公司内部指定，也可以在外公司聘请。 2．4各部门个人信息保护负责人 个人情息保护负责人任命各部门个人信息保护负责人。 2．5客户窗口负责人 个人信息保护负责人任命客户窗口负责人。 2．6培训教育负责人 个人信息保护负责人任命培训教育负责人。 2．7各部门安全负责人 各部门个人信息保护负责人任命各部门安全负责人。 3．个人信息保护相关责任人名单 3．1 公司管理者、总经理：x x x 3．2 个人信息保护负责人：x x x 3．3 监查负责人； XXX 3．4各部门个人信息保护负责人 a)部门甲个人信息保护负责人： b)部门乙个人信息保护负责人： 3．5客户窗口负责人：x x x 3。6培训教育负责人：x x x 4，个人信息保护相关责任人职责 案例：某公司个人信息保护管理机制（3） （第1页） 文件编号： 某公司个人信息取得、使用、提供、委托、处理的管理规定 版本号： 制定日期： 修改日期： 审批人： 制定人： 企业名称：××公司 案例：某公司个人信息保护管理机制（3） （第2页） 制定与修改记录 案例：某公司个人信息保护管理机制（3） （第3页） 目录 1．个人信息的定义和取得 2．个人信息的使用和提供 3．个人信息的委托 4．个人信息的再委托 5．个人信息保管 6．保障信息主体权利 7．个人信息保护事故发生预防措施 8．意见及反馈 案例：某公司个人信息保护管理机制（3） （第4页） 个人信息的定义和取得 1．1个人信息是指与存在个体相关的、并且可用于识别特定个体的信息。 例如，姓名、生日、个人证件的号码、标志或其他记号、图像或录音及其他相关信息(包括某些单独使用时无法识别、但能够方便地与其他数据进行对照参考，并由此识别特定个人的信息)。个人信息不仅包括个体识别信息，还包括显示事实、判断或评价等的所有情报，包括个人身体状况、财务状况、工作类型或职务等。 1．2取得的原则与范围 1．2．1个人信息取得的原则 对个人信息的取得确立以下原则： a)限制搜集原则，在信息主体不知道或不能控制的状态下，不能进行信息的收集、存储和披露； b)资料内容完整正确原则，收集的信息应该限于客观的事实，即必须是真实的； c)限制利用原则，不对与信息主体不相干的第三者泄露； d)目的明确化原则，仅限于与信息主体有关的用途； e)个人参与原则，个人有信息自主权，可参与个人信息资料制作的过程，但若取得个人书面同意，则视为同意放弃隐私权，准许他人搜集、利用； f)公开原则，个人信用信息资料应对本人公开； g)安全保护原则，数据库应有加密等安全措施防止个人资料被他人不当利用、篡改或灭失； h)责任原则，给个人信用信息主体造成损害需要承担赔偿等民事责任。 1．2．2个人信息取得的范围 个人信息取得之前应明确使用目的，并应征得信息主体的同意，在限定的目的范围内取得。从被公开的资料中取得个人信息时也应明确使用目的。 1．3取得的方法和手段 个人信息取得应采取适当的方法和合法公正的手段。 1．4取得个人信息内容