40、XX单位用户个人信息保护管理制度.doc

PAGE

PAGE1/9

密级：内部公开

XX单位

信息系统

用户个人信息保护管理制度

用户个人信息保护管理制度

PAGE2/NUMPAGES5

版本管理

序号

版本

修订日期

修订人

修订内容

审核人

备注

1

V1.0

20xx-xx-xx

PAGE3/NUMPAGES5

目录

第一章总则 4

第二章适用范围 4

第三章信息收集和使用规范 4

第四章安全保障措施 5

第五章监督和检查 5

第六章持续改进 5

第七章附则 5

PAGE5/NUMPAGES5

第一章总则

为充分保护XX单位用户的个人隐私、保障用户个人信息安全，维护网络信息安全，根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律法规，制定本制度。

本制度所称用户个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

XX单位网络安全领导小组依法对用户个人信息保护工作实施监督管理。

第二章适用范围

在单位内提供信息服务过程中收集、使用用户个人信息的活动（不限于数据库和应用系统采集的个人信息），适用本制度。

第三章信息收集和使用规范

应仅采集和保存业务必需的用户个人信息，不采集业务不需要的个人数据；应禁止未授权访问和非法使用用户个人信息。

采集系统的个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

第四章安全保障措施

应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失：

（一）确定各部门、岗位和分支机构的用户个人信息安全管理责任；

（二）各部门严格执行用户个人信息收集、使用及其相关活动的工作流程和安全管理制度；

（三）对系统管理用户实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施；

（四）妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施；

（五）对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施；

（六）记录对用户个人信息进行操作的人员、时间、地点、事项等信息；

（七）按照XX单位的规定开展通信网络安全防护工作；

（八）定期对工作人员进行用户个人信息保护相关知识、技能和安全责任培训。

第五章监督和检查

XX单位网络安全领导小组应开展对用户个人信息安全管理的情况进行检查，检查的主要内容包括：岗位和职责情况，用户个人信息收集和登记情况，用户个人信息的使用情况，个人信息保护安全管理规定的落实和执行情况等。

对于安全检查中发现的问题和隐患，各信息系统负责人和使用部门应及时进行整改。

第六章持续改进

为了保证本文件的时效性、可行性，必须根据相关审核规定进行评审和修订，修订后重新发布。

第七章附则

本制度由XX单位负责制定、解释和修改。

本制度自发布之日起执行。