HYK-MS-231 PII控制者管理程序.docVIP

第

第PAGE1页共NUMPAGES9页

深圳市企启信息科技有限公司

PII控制者管理程序

文档编号：HYK-MS-231

版本信息：V1.0

创建人：信息安全与隐私安全小组

审核者：周静

批准人：黄伟

编制日期：2022年5月10日

批准日期：2022年5月10日

文件变更记录

版本

变更描述

日期

修订人

批准日期

批准人

V1.0

初始版本，文档建立

2022年5月10日

周静

2022年5月10日

黄伟

目录

TOC\o1-2\h\u137561.目的 4

36062.范围 4

244283.定义 4

257074.职责 5

45665.PII控制者安全措施要求 6

76985.1收集和处理 6

78975.2履行PII主体的义务 7

172155.3设计隐私保护和默认隐私保护 7

236265.4PII分享、转移、披露 8

202596.相关文件 8

27137.相关表单 9

目的

当组织确认为PII的控制者时，应保证PII的收集、处理、使用及利用的目的与个人信息主体的意愿一致。

范围

适用于各部门。

定义

3.1个人信息：与特定个人相关、并可识别该个人的信息，如数据、图像、声音等，包括不能直接确认，但与其他信息对照、参考、分析仍可间接识别特定个人的信息。

3.2PII控制者：隐私利益相关者（或隐私利益相关人群），确定处理个人可识别信息（PII）的目的和方法，但为个人目的使用数据的自然人除外。

注：PII控制者有时会指示其他人（例如，PII处理者）代表其处理PII，而处理责任仍由PII控制者承担。

3.3个人信息主体：可通过个人信息识别的特定的自然人。

3.4个人信息数据库：为实现一定的目的，按照某种规则组织的个人信息的集合体。包括：磁介质、电子及网络媒介，纸介质，声音，照片等。

3.5个人信息管理者：获个人信息主体授权，基于特定、明确、合法目的，管理、处理、使用、利用个人信息的机关、企业、事业、社会团体等组织及个人。

3.6收集：基于特定、明确、合法的目的获取个人信息的行为。

3.7处理：处臵个人信息的过程，如录入、加工、编辑、存储、检索、交换、传输、输出等行为及其它处臵行为。

3.8使用：基于特定、明确、合法的目的，运用个人信息的行为。

3.9利用：基于特定、明确、合法的目的，提供、委托第三方处理、使用个人信息及其它因某种利益处理、使用个人信息的行为。

3.10隐私：是一种与公共利益、群体利益无关，当事人不愿他人知道或他人不便知道的个人信息，当事人不愿他人干涉或他人不便干涉的个人私事，以及当事人不愿他人侵入或他人不便侵入的个人领域。

3.11隐私权：隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、收集、利用和公开的一种人格权，而且权利主体对他人在何种程度上可以介入自己的私生活，对自己是否向他人公开隐私以及公开的范围和程度等具有决定权。隐私权作为一种基本人格权利，是指公民享有的私人生活安宁与私人信息依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。

职责

4.1信息安全与隐私安全小组：负责个人信息管理者的个人信息保护工作。

4.1.1应制定个人信息保护的规章和制度。

4.1.2制定个人信息保护监察制度和监察计划，并按计划实施监察。

4.1.3编制监察报告，督促、建议个人信息保护的改进、完善。

4.2产品信息部：通过信息技术手段，保证个人信息数据库存储、保存的个人信息的完整性、保密性、可用性。

4.3人力行政部：宣传教育，在个人信息保护管理机构的指导下开展工作。

4.3.1组织、实施个人信息保护宣传教育。

4.3.2制定个人信息保护宣传教育策略和方法、培训计划。

4.3.3个人信息保护相关知识、技术的培训、教育。

4.3.4提供个人信息保护相关咨询和服务。

4.3.5提供个人信息处理、使用建议和意见。

PII控制者安全措施要求

5.1收集和处理

建立相关的规则或制度，在任何收集PII活动之前，应识别并明确PII的收集方法和目的，并明确PII处理的方法和目的。且在收集、处理过程中应告知PII主体，并获得PII主体的同意或提供相关的选择权。

若PII的收集和处理过程中，委托第三方进行的，应签订相关合同，并在合同中明确PII收集和处理的要求。

所有个人信息收集行为，必须具有特定、明确、合法的目的。

不得通过任何非法途径收集个人信息。

收集个人信息，不得使用执行软件、登记平台等方式收集。

所有个人信息收集行为，应征得个人信息主体同意，限定在收集目的范围内。

收集、处理、使用、利用