个人信息管理制度.doc

**有限公司

工作指导书

文件编号

WI-016

生效日期

2025.06.28

个人信息管理制度

修订状态

A0

页码

第PAGE6页共NUMPAGES6页

1.0目的

尊重、保护个人隐私权。保证个人信息处理、使用及利用的目的与个人信息主体的意愿一致，不超目的、超范围处理、利用。

2.0范围

适用于各部门以及从属机构。

3.0定义

3.1个人信息：与特定个人相关、并可识别该个人的信息，如数据、图像、声音等，包括不能直接确认，但与其他信息对照、参考、分析仍可间接识别特定个人的信息。

3.2个人信息主体：可通过个人信息识别的特定的自然人。

3.3个人信息数据库：为实现一定的目的，按照某种规则组织的个人信息的集合体。包括：磁介质、电子及网络媒介，纸介质，声音，照片等。

3.4个人信息管理者：获个人信息主体授权，基于特定、明确、合法目的，管理、处理、使用、利用个人信息的机关、企业、事业、社会团体等组织及个人。

3.5收集：基于特定、明确、合法的目的获取个人信息的行为。

3.6处理：处臵个人信息的过程，如录入、加工、编辑、存储、检索、交换、传输、输出等行为及其它处臵行为。

3.7使用：基于特定、明确、合法的目的，运用个人信息的行为。

3.8利用：基于特定、明确、合法的目的，提供、委托第三方处理、使用个人信息及其它因某种利益处理、使用个人信息的行为。

3.9隐私：是一种与公共利益、群体利益无关，当事人不愿他人知道或他人不便知道的个人信息，当事人不愿他人干涉或他人不便干涉的个人私事，以及当事人不愿他人侵入或他人不便侵入的个人领域。

3.10隐私权：隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、收集、利用和公开的一种人格权，而且权利主体对他人在何种程度上可以介入自己的私生活，对自己是否向他人公开隐私以及公开的范围和程度等具有决定权。隐私权作为一种基本人格权利，是指公民享有的私人生活安宁与私人信息依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。

4.0职责

4.1信息安全小组：负责个人信息管理者的个人信息保护工作。

4.1.1应制定个人信息保护的规章和制度。

4.1.2制定个人信息保护监察制度和监察计划，并按计划实施监察。

4.1.3编制监察报告，督促、建议个人信息保护的改进、完善。

4.2IT：通过信息技术手段，保证个人信息数据库存储、保存的个人信息的完整性、保密性、可用性。

4.3人力资源部：宣传教育，在个人信息保护管理机构的指导下开展工作。

4.3.1组织、实施个人信息保护宣传教育。

4.3.2制定个人信息保护宣传教育策略和方法、培训计划。

4.3.3个人信息保护相关知识、技术的培训、教育。

4.3.4提供个人信息保护相关咨询和服务。

4.3.5提供个人信息处理、使用建议和意见。

5.0作业内容

5.1领导

5.1.1成立信息安全小组。

5.1.2建立个人信息保护系统。

5.1.3定期对雇员及供应商进行个人信息保护知识培训。

内容包括：个人信息保护相关法律、法规、规范、标准和管理制度；个人信息保护的重要性和必要性；

违反个人信息保护相关标准可能引起的损害和后果等。

5.1.4开展个人信息保护工作的组织、实施。

5.1.5个人信息保护宣传、教育。

5.1.6个人信息保护情况的检查、改进、完善。

5.1.7与接触到个人信息人员及供应商签订保密协议。

5.2收集

5.2.1所有个人信息收集行为，必须具有特定、明确、合法的目的。

5.2.2不得通过任何非法途径收集个人信息。

5.2.3收集个人信息，不得使用执行软件、登记平台等方式收集。

5.2.4所有个人信息收集行为，应征得个人信息主体同意，限定在收集目的范围内。

5.2.5收集、处理、使用、利用个人信息，应通知个人信息主体并征得个人信息主体的明确同意。

通知形式包括：以书面形式通知个人信息主体；以可鉴证的、有规范记录的、满足书面形式要求的非书面形式通知个人信息主体。

5.2.6对个人信息收集进行严格限制，仅收集雇员服务必须信息。

5.2.7收集个人信息，应符合供应商协议要求，符合法律法规。

5.3管理

5.3.1应明确与个人信息相关人员的权限、责任，加强相关人员的监察和管理，防止未经授权的个人信息接触。

5.3.2涉及个人信息相关资料的使用、借阅，应建立登记备案制度。登记应署真实姓名、部门、使用目的、使用方法及安全承诺。

5.3.3个人信息安全应采取必要、合理的管理和技术措施，防止未经授权的个人信息检索、使用、公开及丢失、泄露、损毁、篡改等行为。

5.3.4人员手工处理个人信息时，应按照一定的应用目的和规则进行信息收集、加工、存储、传输、检索、咨询、交换等。

5.