互联网个人信息安全保护指引.PDFVIP

互联网个人信息安全保护指引 GuidelineforInternetpersonalinformation securityprotection （征求意见稿）    目 次 目   次II 引   言III 1 范围1 2 规范性引用文件1 3 术语和定义1 4 管理机制2 4.1 管理制度2 4.2 管理机构3 4.3 管理人员3 5 技术措施4 5.1 基本要求4 5.2 增强要求8 6 业务流程8 6.1 收集8 6.2 保存8 6.3 应用9 6.4 删除9 6.5 第三方委托处理9 6.6 共享和转让9 6.7 公开披露10 6.8 应急处置10 II 引   言 为指导互联网企业建立健全公民个人信息安全保护管理制度和技术措施，有效防范侵犯公民个人 信息违法行为，保障网络数据安全和公民合法权益，公安机关结合侦办侵犯公民个人信息网络犯罪案 件和安全监督管理工作中掌握的情况，组织北京市网络行业协会、北京邮电大学和公安部第三研究所 相关专家，研究起草了 《互联网个人信息安全保护指引 （征求意见稿）》。 对指引中的具体事项，法律法规另有规定的，需遵照其规定执行。 III 个人信息安全保护指引 1 范围 本指引规定了个人信息安全保护的安全管理机制、安全技术措施和业务流程的安全。 本指引适用于指导个人信息持有者在个人信息生命周期处理过程中开展安全保护工作，也适用于网 络安全监管职能部门依法进行个人信息保护监督检查时参考使用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本 （包括所有的修改单）适用于本文件。 GB/T 22239—2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 25069—2010 信息安全技术 术语 GB/T 35273—2017 信息安全技术 个人信息安全规范 3 术语和定义 3.1 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 注：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内 容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 [GB/T 35273-2017，定义3.1] 3.2 个人信息主体 personal datasubject 个人信息所标识的自然人。 [GB/T 35273-2017，定义3.3] 3.3 个人信息生命周期 personal informationlifecycle 包括个人信息主体收集、保存、使用、委托处理、共享、转让和公开披露、销毁个人信息在内的全 部生命历程。 3.4 个人信息持有者 personalinformation holder 1 对个人信息进行控制和处理的组织或个人。 3.5