流程规范
第一节关于加强网络信息保护的决定
全国人民代表大会常务委员会为了保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益,作出了相关决定。
一、网络服务提供者和其他企业事业单位在业务活动中如何保障个人隐私?
1.任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
2.在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
3.应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。
二、如何处理个人信息泄露问题?
1.任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告;接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。
2.有关主管部门应当在各自职权范围内依法履行职责,采取技术措施和其他必要措施,防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。有关主管部门依法履行职责时,网络服务提供者应当予以配合,提供技术支持。
国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
三、如何处理对于违反本决定的行为?
对有违反本决定行为的,依法给予警告、、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。
第二节公共及商用服务信息系统个人信息保护指南
一、相关术语和定义
1.信息系统 information system
即计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成,能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。
2.个人信息 personal information
可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。win7 声卡驱动
3.个人信息主体 subject of personal information
关于劳动节的诗句个人信息指向的自然人。
4.个人信息管理者 administrator of personal information
决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。
5.个人信息获得者 receiver of personal information
从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。
6.第三方测评机构 third party testing and evaluation agency
独立于个人信息管理者的专业测评机构。
7.个人敏感信息瓷砖美缝怎么做 personal sensitive information
个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。
8.个人一般信息 personal general information
除个人敏感信息以外的个人信息。
9.个人信息处理 personal information handling
处置个人信息的行为,包括收集、加工、转移、删除。
10.默许同意 tacit consent
在个人信息主体无明确反对的情况下,认为个人信息主体同意。
11.明示同意 expressed consent
个人信息主体明确授权同意,并保留证据。
二、个人信息保护角和职责
1.个人信息主体
在提供个人信息前,要主动了解个人信息管理者收集的目的、用途等信息,按照个人意愿提供个人信息;发现个人信息出现泄漏、丢失、篡改后,向个人信息管理者投诉或提出质询,或向个人信息保护管理部门发起申诉。
2.个人信息管理者
负责依照国家法律、法规和本指导性技术文件,规划、设计和建立信息系统个人信息处理流程;制定个人信息管理制度、落实个人信息管理责任;指定专门机构或人员负责机构内部的个人信息保护工作,接受个人信息主体的投诉与质询;制定个人信息保护的教育培训计划并组织落实;建立个人信息保护的内控机制,并定期对信息系统个人信息的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。
管控信息系统个人信息处理过程中的风险,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案;发现个人信息遭到泄漏、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的个人信息主体;发生重大事件的,及时向个人信息保护管理部门通报。
接受个人信息保护管理部门对个人信息保护状况的检查、监督和指导,积极参与和配合第三方测评机构对信息系统个人信息保护状况的测评。
3.个人信息获得者
当个人信息的获取是出于对方委托加工等目的,个人信息获得者要依照本指导性技术文件和委托合同,对个人信息进行加工,并在完成加工任务后,立即删除相关个人信息。
4.第三方测评机构
从维护公众利益角度出发、根据个人信息保护管理部门和行业协会的授权、或受个人信息管理者的委托,依据相关国家法律、法规和本指导性技术文件,对信息系统进行测试和评估,获取个人信息保护状况,作为个人信息管理者评价、监督和指导个人信息保护的依据。
三、个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循以下基本原则有:
1.目的明确原则董贞mv——处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。
2.最少够用原则——只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。趁我还爱你
3.公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。
4.个人同意原则——处理个人信息前要征得个人信息主体的同意。
5.质量保证原则——保证处理过程中的个人信息保密、完整、可用,并处于最新状态。
6.安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。
7.诚信履行原则——离婚需要什么手续按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。
8.责任明确原则——明确个人信息处理过程中的责任,采取相应的措施落实相关责任,并对个人信息处理过程进行记录以便于追溯。
第三节中国移动网络与信息安全总纲
一、总体要求
1.网络与信息安全的基本概念
网络与信息安全包括下列三个基本属性:
机密性(Confidentiality):确保网络设施和信息资源只允许被授权人员访问。根据信息的重要性和保密要求,可以分为不同密级,并具有时效性。
完整性(Integrity):确保网络设施和信息及其处理的准确性和完整性。
可用性(Availability):确保被授权用户能够在需要时获取网络与信息资产。
需要特别指出的是,网络安全与信息安全(包括但不限于内容安全)是一体的,不可分割的。
2.安全标准综述
本标准依据国际规范,参考业界的成熟经验,结合中国移动的实际情况,制定并描述了网络与信息安全管理必须遵守的基本原则和要求,将安全工作要点归结到以下八个方面:
(1)组织与人员
集团公司和各省公司必须建立公司级别的网络与信息安全常设领导机构,全面负责公司的网络与信息安全工作。安全领导机构必须明确划分安全职责并建立内部协调机制。公司必须设立专职安全队伍,建立安全事件响应流程和联络人制度。公司应与外部安全专家和其他相关组织加强沟通与协作。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论