个人信息管理制度.doc

1、*有限公司工作指导书文件编号WI-016生效日期2019.06.28个人信息管理制度修订状态A0页 码第6页 共6页1.0 目的尊重、保护个人隐私权。保证个人信息处理、使用及利用的目的与个人信息主体的意愿一致，不超目的、超范围处理、利用。2.0 范围 适用于各部门以及从属机构。3.0 定义3.1个人信息：与特定个人相关、并可识别该个人的信息，如数据、图像、声音等，包括不能直接确认，但与其他信息对照、参考、分析仍可间接识别特定个人的信息。3.2个人信息主体：可通过个人信息识别的特定的自然人。3.3个人信息数据库：为实现一定的目的，按照某种规则组织的个人信息的集合体。包括：磁介质、电子及网络媒介，

2、纸介质，声音，照片等。3.4个人信息管理者：获个人信息主体授权，基于特定、明确、合法目的，管理、处理、使用、利用个人信息的机关、企业、事业、社会团体等组织及个人。3.5收集：基于特定、明确、合法的目的获取个人信息的行为。3.6处理：处臵个人信息的过程，如录入、加工、编辑、存储、检索、交换、传输、输出等行为及其它处臵行为。3.7使用：基于特定、明确、合法的目的，运用个人信息的行为。3.8利用：基于特定、明确、合法的目的，提供、委托第三方处理、使用个人信息及其它因某种利益处理、使用个人信息的行为。3.9 隐私：是一种与公共利益、群体利益无关，当事人不愿他人知道或他人不便知道的个人信息，当事人不愿他

3、人干涉或他人不便干涉的个人私事，以及当事人不愿他人侵入或他人不便侵入的个人领域。3.10 隐私权：隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、收集、利用和公开的一种人格权，而且权利主体对他人在何种程度上可以介入自己的私生活，对自己是否向他人公开隐私以及公开的范围和程度等具有决定权。隐私权作为一种基本人格权利，是指公民享有的私人生活安宁与私人信息依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。4.0 职责4.1 信息安全小组：负责个人信息管理者的个人信息保护工作。4.1.1 应制定个人信息保护的规章和制度。4.1.2 制定个人信息保护

4、监察制度和监察计划，并按计划实施监察。4.1.3 编制监察报告，督促、建议个人信息保护的改进、完善。4.2 IT：通过信息技术手段，保证个人信息数据库存储、保存的个人信息的完整性、保密性、可用性。4.3 人力资源部：宣传教育，在个人信息保护管理机构的指导下开展工作。4.3.1 组织、实施个人信息保护宣传教育。4.3.2 制定个人信息保护宣传教育策略和方法、培训计划。4.3.3 个人信息保护相关知识、技术的培训、教育。4.3.4 提供个人信息保护相关咨询和服务。4.3.5 提供个人信息处理、使用建议和意见。5.0 作业内容5.1 领导5.1.1成立信息安全小组。5.1.2建立个人信息保护系统。5

5、.1.3定期对雇员及供应商进行个人信息保护知识培训。内容包括：个人信息保护相关法律、法规、规范、标准和管理制度；个人信息保护的重要性和必要性；违反个人信息保护相关标准可能引起的损害和后果等。5.1.4开展个人信息保护工作的组织、实施。5.1.5个人信息保护宣传、教育。5.1.6个人信息保护情况的检查、改进、完善。5.1.7与接触到个人信息人员及供应商签订保密协议。5.2 收集5.2.1所有个人信息收集行为，必须具有特定、明确、合法的目的。5.2.2不得通过任何非法途径收集个人信息。5.2.3收集个人信息，不得使用执行软件、登记平台等方式收集。5.2.4所有个人信息收集行为，应征得个人信息主体同

6、意，限定在收集目的范围内。5.2.5收集、处理、使用、利用个人信息，应通知个人信息主体并征得个人信息主体的明确同意。通知形式包括：以书面形式通知个人信息主体；以可鉴证的、有规范记录的、满足书面形式要求的非书面形式通知个人信息主体。5.2.6对个人信息收集进行严格限制，仅收集雇员服务必须信息。5.2.7收集个人信息，应符合供应商协议要求，符合法律法规。5.3 管理5.3.1应明确与个人信息相关人员的权限、责任，加强相关人员的监察和管理，防止未经授权的个人信息接触。5.3.2涉及个人信息相关资料的使用、借阅，应建立登记备案制度。登记应署真实姓名、部门、使用目的、使用方法及安全承诺。5.3.3个人信

7、息安全应采取必要、合理的管理和技术措施，防止未经授权的个人信息检索、使用、公开及丢失、泄露、损毁、篡改等行为。5.3.4人员手工处理个人信息时，应按照一定的应用目的和规则进行信息收集、加工、存储、传输、检索、咨询、交换等。5.3.5个人信息应在收集、处理目的范围内保持准确性、完整性和最新状态。5.3.6其它业务开展或有特殊要求的业务，涉及个人信息收集、处理，应制定相应的个人信息保护规定。5.3.7所人的个人信息应保存在核心服务器、文控中心或指定的资料存放室。5.3.8个人信息管理者应为个人信息的存储、保存设定一个合理的时限，并与目的充分相关。5.3.9必须建立个人信息数据库。5.3.10可以通

8、过自动处理检索、查阅特定的个人信息的集合体，如纸介质，声音，照片等。5.4 使用5.4.1个人信息不得超范围处理、使用、利用。5.4.2所有收集的任何个人隐私信息不得用作商业用途或任意泄漏给第三方。5.4.3个人信息管理者处理个人信息之前，必须征得个人信息主体同意；或为履行与个人信息主体达成的合法协议的需要。5.4.4个人信息的用途发生变化时，将征得所涉个人同意。5.4.5使用个人信息，不得超过服务期限。5.4.6个人信息使用服务期限结束，必须对所持有的个人信息进行销毁或退还，并留有效的销毁证明。5.4.7个人信息主体对相关个人信息享有权利，个人信息应向信息主体提供。5.4.8任何人要取得个人

9、信息时，信息安全管理部门将告知个人信息主体取得个人信息的途径或访问步骤。5.4.9个人信息主体在通过身份验证后，均只能访问其所需的信息，并且这些个人信息无法用于识别其它人。5.4.10个人信息主体均有访问的记录。5.5 利用5.5.1不得让任何次承揽人收集、使用、访问、存储个人信息。5.5.2将选择有良好声誉的次承揽人参与供应商计划，在转包服务之前将获得供应商的书面同意。5.5.3与所有参与供应商计划的次承揽人签订保密协议以保护供应商个人信息。5.5.4所有参与供应商计划的次承揽人仅限于获取履行与该供应商合约所需的个人信息。5.5.5信息安全管理部门将对任何非法使用或揭露供应商个人信息的投诉进

10、行审查。5.5.6 对于次承揽人将供应商个人信息用于非“向供应商服务”目的时，将立即采取行动，以降低实际或潜在造成的损害。5.5.7在将任何供应商个人信息提供给第三方时，将事先征得供应商的书面许可。5.5.8持续进行信息安全审计，并且也将对供应商的进行年度审查，以保证遵从。5.5.9对于任何疑似或已经违反隐私权或相关的安全漏洞的事件，将立即通知供应商。5.5.10在发布任何与供应商个人或敏感信息之前，将通知供应商并征得同意。5.5.11对于任何可以的漏洞或违规行为，立即修复。5.5.12 信息安全管理部门建立信息安全事件上报、投诉机制，信息安全事件可在第一时间反馈到信息安全管理部门，该机制已经

11、在信息安全管理体系文件中规定。5.5.13对于接受到的投诉，信息安全管理部门将向供应商提供投诉记录文件。5.6 安全基制5.6.1 风险管理，在个人信息收集、处理、使用、利用过程中，识别、分析、评估潜在的风险因素，制定风险应对策略，采取风险管理措施，监控风险变化，并将残余风险控制在可接受范围内。5.6.2 物理环境管理，根据需要采取必要的措施，保证个人信息存储、保存环境的安全，包括防火、防盗及其它自然灾害、意外事故、人为因素等。5.6.3 工作环境管理，注意工作人员工作环境内所有相关的个人信息的保护，防止未经授权的、无意的、恶意的使用、泄露、损毁、丢失。5.6.4 网络行为管理，制定网络管理措

12、施，采用相应的技术手段，引导、约束通过网络利用、传播个人信息的行为，构建规范、科学、合理、文明的网络秩序。5.6.5 信息安全管理，在整体信息安全体系建设中，充分考虑个人信息保护的特点，加强个人信息安全防护，预防安全隐患和安全威胁。如网络基础平台、系统平台、应用系统、安全系统、数据等的安全，及信息交换中的安全防范、病毒预防和恢复、非传统信息安全等。5.6.6存储管理，保存个人信息的个人计算机系统、可移动存储媒介（电子、磁、纸、网络等介质及其它非自动处理介质）应确保个人信息存储的准确性、完整性、可靠性和安全使用。5.6.7 使用管理，根据个人信息自动和非自动处理的特点，制定相应的个人信息使用管理

13、策略，包括访问/调用控制、权限设臵、密钥管理等，防止个人信息的不当使用、毁损、泄露、删除等。5.6.8备份和恢复，制定个人数据资料备份和恢复机制，并保证备份和恢复个人信息的完整性、可靠性和准确性。5.6.9人员管理，明确与个人信息相关人员的权限、责任，加强相关人员的监察和管理，防止未经授权的个人信息接触。5.6.10备案管理，涉及个人信息相关资料的使用、借阅，应建立登记备案制度。登记应署真实姓名、部门、使用目的、使用方法及安全承诺。违反登记备案制度，应予以处罚，并承担赔偿责任。5.6.11计划。根据相关法律、规范和实际需求制定信息保护监察计划。5.6.12应急管理。个人信息管理者制定应急预案，

14、对收集、处理、使用、利用个人信息过程中可能出现的个人信息泄露、丢失、损坏、篡改、不当使用等事件进行评估、分析，采取相应的预防措施和处理。5.6.13持续改进。个人信息管理者依据相关法规、监察报告、需求变化、建议、投诉等，定期评估、分析个人信息保护体系运行状况，持续改进和完善个人信息保护系统。5.7 记录5.7.1个人信息保护实施过程中记录相关个人信息保护行为的目的、时间、范围、对象、方式方法、效果、反馈等信息。如培训教育、监察、宣传等。5.8应急管理个人信息管理者应制定应急预案，对收集、处理、使用、利用个人信息过程中可能出现的个人信息泄露、丢失、损坏、篡改、不当使用等事件进行评估、分析，采取相

15、应的预防措施和处理。6.0 相关文件6.1信息安全管理体系手册 6.2信息资产及分级管控制程序 6.3人力资源控制程序 6.4 宪法。6.4.1第三十八条中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。6.4.2第三十九条 中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。6.4.3第四十条 中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。6.5 刑法6.5.1 第二百四十五条 非法

16、搜查他人身体、住宅，或者非法侵入他人住宅的，处三年以下有期徒刑或者拘役。司法工作人员滥用职权，犯上一款罪的，从重处罚。6.5.2 第二百四十六条 以暴力或者其他方法公然侮辱他人或者捏造事实诽谤他人，情节严重的，处三年以下有期徒刑、拘役、管制或者剥夺政治权利。6.5.3 第二百五十二条 隐匿、毁弃或者非法开拆他人信件，侵犯公民通信自由权利，情节严重的，处一年以下有期徒刑或者拘役。6.5.4 第二百五十三条 邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的，处二年以下有期徒刑或者拘役。犯前款罪而窃取财物的，依照本法第二百六十四条的规定定罪从重处罚。6.5.5 第二百五十三条之一 国家机关或者金融、电

17、信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处以罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。6.6 民法通则6.6.1第一百条 公民享有肖像权，未经本人同意，不得以营利为目的使用公民的肖像。6.6.2第一百零一条 公民、法人享有名誉权，公民的人格尊严受法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉。6.7 关于贯彻执行民法通则若干问

18、题的意见6.7.1 140以书面、口头等形式宣扬他人的隐私，或者捏造事实公然丑化他人人格，以及用侮辱、诽谤等方式损害他人名誉，造成一定影响的，应当认定为侵害公民名誉权的行为。6.7.2 以书面、口头等形式诋毁、诽谤法人名誉，给法人造成损害的，应当认定为侵害法人名誉权的行为。6.7.3 141盗用、假冒他人姓名、名称造成损害的，应当认定侵犯姓名权、名称权的行为。6.8 未成年人保护法第三十一条 任何组织或者个人不得披露未成年人的个人隐私。对未成年人的信件、日记、电子邮件，任何组织或者个人不得隐匿、毁弃；除因追查犯罪的需要，由公安机关或者人民检察院依法进行检查，或者对无行为能力的未成年人的信件、日记、电子邮件由其父母或者其他监护人代为开拆、查阅外，任何组织或者个人不得开拆、查阅。6.9 计算机信息网络国际联网管理暂行规定实施办法第十八条 用户应当服从接入单位的管理，遵守用户守则；不得擅自进入未经许可的计算机系统，篡改他人信息；不得在网络上散发恶意信息，冒用他人名义发出信息，侵犯他人隐私；不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。 用户有权获得接入单位提供的各项服务；有义务交纳费用。7.0 相关表单无