20190702互联网个人信息安全保护指南.pdf

公安部网络安全保卫局、北京网络行业协会、公安部 第三研究所联合发布《互联网个人信息安全保护指南》 （来源：全国互联网安全管理服务平台，2019-04-28） 为深入贯彻落实《网络安全法》，指导个人信息持有者建立健全 公民个人信息安全保护管理制度和技术措施，有效防范侵犯公民个 人信息违法行为，保障网络数据安全和公民合法权益，公安机关结 合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握 的情况，会同北京网络行业协会和公安部第三研究所等单位，研究 制定了《互联网个人信息安全保护指南》。 现正式发布，供互联网企业、联网单位在个人信息安全保护工 作中参考借鉴。 I 目 次 引 言 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 3.1 个人信息 1 3.2 个人信息主体 2 3.3 个人信息持有 2 3.4 个人信息持有者 2 3.5 个人信息收集 2 3.6 个人信息使用 2 3.7 个人信息删除 2 3.8 个人信息生命周期 3 3.9 个人信息处理系统 3 4 管理机制 3 4.1 基本要求 3 4.2 管理制度 3 4.3 管理机构 4 4.4 管理人员 5 5 技术措施 8 5.1 基本要求 8 5.2 通用要求 8 5.3 扩展要求 15 6 业务流程 16 6.1 收集 16 6.2 保存 17 6.3 应用 17 6.4 删除 19 6.5 第三方委托处理 19 6.6 共享和转让 20 6.7 公开披露 21 7 应急处置 21 7.1 应急机制和预案 21 7.2 处置和响应 22 II 引 言 为有效防范侵犯公民个人信息违法行为，保障网络数据安全和 公民合法权益，公安机关结合侦办侵犯公民个人信息网络犯罪案件 和安全监督管理工作中掌握的情况，组织北京市网络行业协会和公 安部第三研究所等单位相关专家，研究起草了《互联网个人信息安 全保护指南》，供互联网服务单位在个人信息保护工作中参考借鉴。 III 互联网个人信息安全保护指南 1 范围 本文件制定了个人信息安全保护的管理机制、安全技术措施和业 务流程。 适用于个人信息持有者在个人信息生命周期处理过程中开展安 全保护工作参考使用。本文件适用于通过互联网提供服务的企业，也 适用于使用专网或非联网环境控制和处理个人信息的组织或个人。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文 件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最 新版本（包括所有的修改单）适用于本文件。 GB/T 25069—2010 信息安全技术 术语 GB/T 35273—2017 信息安全技术 个人信息安全规范 GB/T 22239 信息安全技术 网络安全等级保护基本要求（信息系 统安全等级保护基本要求） 3 术语和定义 3.1 个人信息 以电子或者其他方式记录的能够单独或者与其他信息结合识别 自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、 身份证件号码、个人生物识别信息、住址、电话号码等。 [中华人民共和国网络安全法，第七十六条（五）] 1 注：个人信息还包括通信通讯联系方式、通信记录和内容、账号 密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、 交易信息等。 3.2 个人信息主体 个人信息所标识的自然人。 [GB/T 3527