个人信息保护复习资料

第一章概论信息1信息定义2个人信息保护3国际间个人信息保护状况

4信息信息是人类生产活动、社会活动中的基本载体，承载以文字、符号、声音、图形、图像等形式，通过各种渠道传播的信号、消息、情报、资料、文档等内容。信息普遍存在于自然界、人类社会和人的思维之中。信息在我们的社会、生产等活动中无处不在，始终伴随着我们。信息贯穿人类社会的发展历史，是人类社会实践的深刻概括，并随着人类的发展进步而不断演变、发展。第二次五次信息相关的技术革命第一次第三次第四次第五次从猿进化到人的重要标志，信息交流的手段和工具——语言的创造和使用

信息产生、传播、存储跨越时间和地域限制——文字的出现扩大信息交流和传播的范围和容量，提高信息的可靠性——造纸和印刷术的发明现代通信技术(电报、电话、广播、电视等)的发明、运用和普及，标志信息交流、传递手段的根本性变革

计算机技术的发明、应用，与现代通信技术的结合突破了人类使用大脑及感觉器官加工、利用信息的能力，彻底改变了人类加工信息的手段。

信息的定义狭义的信息定义

广义的信息定义

可以定义为一种消息、情报、文档资料或数据

可以定义为对各种事物的存在方式、运动状态和相互联系特征的表达和陈述，是自然界、人类社会和人类思维活动普遍存在的一种物质和事物的普遍属性。信息的基本要素与传播过程信道信源信宿

信息的主体。表示具有某种存在方式、运动状态和相互联系特征的源信息。信源反映了事务的客观存在，因此，信源与信源具有不同的内涵；信源与信宿之间建立的传递通道。

信息的接收者。是对信源的认知和理解；信息的特征OneThreeTwoFour信息是客观存在的。源于物质世界和人的思维、意识。信息反映了物质的特征、运动状态和内在的规律，反映了人的意识过程。

信息是可再现的。通过识别、搜索、存储、传递、变换、显示、处理、复制等，信息可以独立于物质和思维存在，再现信息..本体。信息是可共享的。信息是不可或缺的资源，收集、生成、压缩、更新和共享。可以根据信息分类设定共享条件。意识过程。

信息是可以控制的。可以根据信息的使用目的，确定信息处理范畴、处理方法。四个特征个人信息保护个人信息主要体现在软件及信息服务业、金融保险业、医疗服务业、政府机关、电信业、教育、广告及印刷、劳动服务业、制造业等行业中，随着现代信息服务业的深入，正逐渐向全社会展开。社会、政治、经济等各个行业在计算机网络系统、相关软件及数据处理、社会生活的各个方面经常涉及个人信息的使用和处理。因此个人信息的保护尤为重要。个人信息保护其一其二产业整体表现为，信息服务业客户对加工信息发包谨慎；软件加工业客户不提供真实测试数据。客户向承接外包项目的企业提出个人信息保护的具体要求，并在合同中增加个人信息保护相关条款和违反规定的处罚。因有关个人信息保护不当所造成损失的处罚金额相当高。

从个人信息保护对大连软件及信息服务业的影响可以窥见一般：

国际间个人信息保护状况1颁布年代国家法规197319741984198619881995199619991999美国欧盟欧盟欧盟日本美国英国美国瑞典互联网保护个人隐私的政策Internet个人隐私保护的一般原则

电子通讯数据保护指令个人数据保护指令个人信息保护法电子通信隐私法数据保护法隐私法数据法123456789已制定了个人信息保护相关法规和标准的国家与地区OECD于1980年颁布的《隐私保护和个人数据跨国流通指导原则》中有关个人信息保护的八项原则第二讲基本概念个人隐私1网络隐私权2个人数据与个人信息3法律名称的使用4

Conclusion4个人信息的特征5个人信息的分类6个人信息保护范畴7个人隐私(隐私权）隐私权是关于隐私的权利，是人的基本权利。美国学者布兰代斯和沃伦在其发表的著名的《论隐私权》中把隐私权界定为生活的权利和不受干扰的权利以保障人格的不可侵犯。现代的隐私观，包含三种形态：个人数踞资料个人生活个人生活领域隐私权的基本权利隐私知情权隐私选择权隐私控制权隐私维护权属于个人隐私的、与公共利益无关的所有事情，权利人有权隐瞒。未经权利人允许，不能收集、公开和传播；

权利人在不违反公共利益的前提下，有权根据个人的需要控制个人隐私的使用；可以利用个人隐私满足自身或他人。的精神和物质需要；

权利人有权根据使用需求和使用目的决定公开或不允许知悉或利用个人隐私；

公民个人的隐私享有不受非法侵害的权利。在受到非法侵害时，可以寻求司法保护，或要求侵权人停止侵权、直至赔偿损失。

基本权利隐私权侵权行为盗用私事的公开

侵入公共误认

盗用原告姓名、肖像等；；

不法侵入原告的私人生活；不合理公开涉及原告私生活的事情；公开原告不实的形象侵权行为网络隐私权网络隐私权是个人在网络虚拟空间中生活安宁的权利和个人信息不被非法利用、收集、公开的权利；同时，个人能够控制和支配个人隐私的使用，决定个人生活和个人信息的现状、目的、范围等。网络隐私权具有传统隐私基本权利的特征。网络隐私权是传统隐私权在网络空间中的延伸，表现形式多为个人信息的收集、使用、利用。在网络空间中，个人信息是个人隐私的数字化形式。因此，网络隐私权的核心是个人信息的保护。网络隐私权主要特征包括TwoOneThree网络隐私权的环境是互连网络或接入网络。个人的网络行为和活动、个人网站、发布信息、电子商务活动、电子邮件等产生的个人信息都可以很容易的采用现代信息技术手段监控、收集、利用。

网络隐私权的主体是双重的。网络是一个虚拟空间，任何人都可以以实名(现实生活中的自然人)，或匿名(现实生活中不存在，只存在于网络虚拟世界中)方式在网上活动。

网络隐私权的客体也是双重的，网络隐私权的客体同网络隐私权的主体一样，也包括虚拟世界中虚拟个体的个人信息和私人领域。个人数据与个人信息个人数据个人信息个人数据是已经识别或可以识别的与个人相关的所有资料，可以被计算机系统识别、存储、加工处理。个人数据的概念比较宽泛，

个人信息是具有属性特征的个人数据和经过加工处理的个人数据的集合。个人数据是个人信息的载体。个人信息的主体是拥有个人数据的个人。

家庭基本情况：婚姻状况、配偶、父母、子女等；

其他：计算机储存的个人资料等。

个人的自然情况：姓名、性别、肖像、出生日期、身高、体重、血型、生理特征、住宅、种族等。

与个人相关的社会背景：受教育程度、工作经历、宗教及其他信仰、政治观点和倾向、社会关系等

与个人相关的自然情况、日常生活、家庭、社交等个人数据与个人信息个人数据主要包括：

数据加工处理后的数据：

个人数据；

记录、存储在网站数据库中的个人网络行为，及其在虚拟空间中所有活动轨迹的描述等数据资料。个人数据与个人信息个人信息主要包括：法律名称的使用个人数据个人隐私

个人信息个人隐私一词来源于美国，在美国现行法律体系中，隐私是内涵和外延非常广泛的概念，在与美国属于同一法律体系、或受美国影响较大的国家中，在个人信息保护相关法律中，多采用“个人隐私”的概念。欧盟及受1995年欧盟《个人数据保护指令》影响的国家，多采用“个人数据”的概念。《个人数据保护指令》的基本原则包括：数据质量原则数据处理合法化原则告知原则特殊类型数据处理原则日本、韩国、俄罗斯等国多使用个人信息的概念。个人信息包含个人隐私，当与公共利益无关、与自然人个体相关的个人数据资料不愿公开时，则成为隐私，而个人信息并不完全涉及个人隐私。个人信息的特征可识别特征

主体特征

价值特征

个人信息为个人信息的主体拥有。个人信息主体是其所拥有的个人信息可以作为数据收集、处理的自然人。个人信息主体享有人格权和法律赋予的义务，其所拥有的个人信息是可识别的，并可依据这些信息直接定位于特定的主体。

个人信息的可识别性，是通过个人信息的内容，经过判断可以确定个人信息的主体。可识别性是个人信息的重要特征，是明确个人信息内容和范畴的客观标准。个人信息的属性决定了个人信息是有价值的资源。由于个人信息具有的可识别特性，可以非常方便的了解个人信息主体的个人喜好、生活习惯、个人需求等，从而创造可能的获得利润的机会。个人信息具有的价值取向是个人信息的显著特征。个人信息的类别单一信息和组合信息静态信息和动态信息显性信息和隐性信息真实信息与虚拟信息在个人信息构成中，单一数据元素可以称为单一信息，如姓名；由多个数据元素构成的数据单位，可以称为组合信息。易于识别的个人信息可以称为显性信息，隐性信息则是需要收集或采用某些技术手段才能获取的个人信息。

静态信息是个人信息主体已经存在的，或过往的、历史的信息，动态信息则是个人信息主体当前的信息，存在于现实世界中的个人信息主体的真实的信息和存在于网络虚拟世界中的虚拟的信息。大致分为个人信息的分类公开信息与隐秘信息

自动处理和非自动处理

敏感信息和琐碎信息

个人信息是可以直接或间接识别个人信息主体的信息，具有法律属性，且与人格利益密不可分。因此，个人信息具有私密性，一般不为人所知。通过特定、合法的途径，了解、掌握、利用个人信息，是明确目标的公开获取。以此为标准，个人信息可以分为公开的和隐秘的。

个人信息自动处理是利用计算机系统及其相关和配套设备、计算机网络系统，按照一定的应用目的和规则进行个人信息的收集、加工、存储、传输、检索、咨询、交换等业务。

个人信息是否涉及特殊的个人隐私，可以作为个人信息的一种分类——敏感信息。而零散的、不重要的、如散碎纸片一般的，或散见与各处的个人信息则属于琐碎信息。个人信息保护范畴个人情息保护的内涵丰富、外延广泛。采用自动或非自动处理方式进行个人信息的收集、录人、加工、编辑、存储、管理、检索、咨询、交换、传输、输出、使用、委托或其他利用个人信息的行为，均在提供个人信息安全保护的范畴之内。第三讲PI管理机制管理职能1个人信息保护管理体系2

个人信息管理机制3个人信息管理的目标和原则

4管理职能管理的概念管理的职能

管理是由计划、组织、领导、控制所组成的一种职能活动，是指一定组织中的管理者，通过实施计划、组织、领导、控制等职能来协调他人的活动，使别人同自己一起实现既定目标的活动过程。

管理是由一些相互关联的活动组成的，这些相互关联的管理活动我们称之为管理的职能，是管理过程中各项活动应该担负和完成的基本任务。

计划选择合适的组织目标，确定切实可行的行动方案并且有效地实现这些目标。

组织建立一种能够促使人们为实现组织目标的任务分派和领导关系控制建立准确的测评监控系统用以评价组织目标的完成情况。

领导指挥、激励和协调下属，使他们为实现组织目标而努力工作管理职能的内容个人信息保护管理体系建立个人信息保护管理体系的基本目的是满足个人信息管理的需要，指导企事业单位建立健全各类管理机制，协调各类资源，充分保障个人信息主体的权利，保障个人信息管理业务的稳定运行。个人信息保护管理体系的特点唯一性系统性

有效性

预防性

动态性

与特定组织的管理目标、业务流程、管理策略、过程特点、实践经验等结合。因而，不同组织的体系具有不同的特点

个人信息保护管理体系是组织内各种因素相互关联和作用的组合应全面有效，满足个人信息保护相关法规的要求，保障个人信息主体的权益。也满足个人信息保护认证的要求

个人信息保护管理体系的实施，可以有效预防个人信息相关安全事件的发生

进行个人信息保护内部审核和个人信息保护认证，采用预防和纠正措施，改进和完善个人信息保护管理体系

个人信息保护管理机制管理机制是一个组织内部管理机构及其运行机理。它以管理机构为载体，包括：管理机制的约束

管理机构的动因

管理机构的功能和目标

个人信息保护管理机制最高管理者的职责

明确管理者代表

明确个人信息保护的方针

责任落实资源分配领导决策持续改进个人信息保护管理机制个人信息保护负责人

个人信息保护管理机构个人信息保护的管理机构个人信息保护监察机构负责机构中宣传教育工作负责服务支持与用户的沟通工作独立开展监督、检查、调查工作

代表管理者管理各部门各项工作负责组织的个人信息保护工作

个人信息保护管理机制体系化

组织保障融合性告知各个规章制度之间是相互有机联系的一个整体。不仅包括个人信息保护的各个方面，也包括组织内横向、纵向的管理关系。个人信息保护管理体系不是独立存在的，应与其他管理体系有机融合，才能有效执行，降低和控制风险

基于组织的总体利益，统一管理、制定组织的个人信息保护相关管理制度和各个部门的管理细则，以形成制度的合力。个人信息保护相关管理制度应以一定形式公示，或告知员工。

管理制度

个人信息保护管理机制业务宣传基本宣传社会宣传主要是在组织的内部，宣传个人信息保护的基本知识、个人信息保护相关法规、个人信息保护的重要性、个人信息管理的基本策略等。

在形象宣传、业务交往中，宣传组织的个人信息保护目的、个人信息管理措施、个人信息使用和处理方法及规定、个人信息安全措施等。

在面向社会时，应积极宣传本组织的个人信息保护政策和措施，可以在各种媒介中增加相关的官传内容，如宣传资料、各种网络媒介等。个人信息保护宣传的三种形式个人信息管理的目标和原则个人信息保护管理的目标是维护个人信息主体的合法权益不受损害。为实现这一目的，个人信息管理应该遵循以下基本原则：P个人信息保护管理体系的确立

D个人信息保护管理体系的导入和运用A个人信息保护管理体系的改善

C个人信息保护管理体系的监察和认证

个人信息安全管理PDCA模式第四讲PIP机制侵害个人信息现状

1个人信息拥有者

2个人信息保护原则

3个人信息收集

4个人信息处理

５个人信息保护安全机制

６个人信息保护模式

７侵害个人信息现状在现代社会经济活动中，个人信息的无形的物质性财产权益日益重要。信息技术的迅猛发展，使得个人信息的收集、处理，愈加方便、容易，同时，对个人信息的侵害也愈加频繁，愈加呈现多样性。

侵害个人信息现状网络应用中的个人信息侵害

社会工程学与个人信息侵害现实生活中的个人信息侵害网络应用中的个人信息侵害互联网搜索引擎木马和肉鸡

Cookie的作用个人信息收集、利用的侵权行为

在网络应用中所存在着对个人信息的侵害例如Google获取的海量用户信息，正在对用户的个人隐私构成威胁。同时，依据不同的目的，可以通过Coode收集到大量的个人信息，威胁个人隐私和信息安全。

Cookie为网络服务商收集和利用个人信息提供了必要的技术支持，因而存在个人信息的不当使用和泄露的危险，威胁信息主体的个人隐私权。

用户终端被植入木马程序后，就成为可以任意宰割的“肉鸡”。

“肉鸡’被随意设置，用于各种用途；

“肉鸡’’的个人数据资料被公开地、任意地买卖。

基于网络的个人信息利用和收集，存在来自个人、网络服务商、生产厂商为主体的侵权行为

现实生活中的个人信息侵害通过已公开的信息，或在平常的人际交往、工作关系中收集并累积个人情息

通过在公共场所进行市场调查、问卷调查等形式，获取个人信息

采用某种方式，与具有大客户群的单位建立联系，获取、累积个人信息其他方式，如窃取的个人信息资料造成个人信息泄露、滥用的危险也日益严重。出现在实生活中的对个人信息的侵害ABCD心理攻击：构建陷阱攻击的方式，如说服、友善、恭维、模仿等

社会工程学与个人信息侵害

在个人信息侵害事件中，社会工程学亦扮演着重要的角色。攻击者通过交谈、欺骗、引诱、伪装等各种形式，套取个人信息主体的敏感信息，人是信息安全的核心，是“木桶效应”的短板

社会工程学实施的基础是信任。利用人性的弱点进行各种形式的攻击，尝试与用户建立相对稳定的相互信任关系来地获取重要的敏感信息。通常有两种攻击形式

物理攻击：实施攻击的位置，如工作场所、网络环境、电话等

在个人信息保护中，对社会工程学攻击的防护尤为重要

AABB个人信息拥有者个人信息主体

个人信息管理者个人信息主体是基于自然规律出生、具有生物学意义和法理人格，并被法律赋予民事主体资格的自然人。自然人与生俱来的个人信息，包括生理的、心理的和智力的，和在社会实践中形成的个人信息，包括社会的、经济的、家庭的等，与自然人个体紧密相关，为个人信息主体基于其生物学意义和法理人格所唯一拥有。享有个人信息知悉、支配和控制的权利，

个人信息管理者是基于特定的目的，经个人信息主体明确同意、委托、授权，收集、占有、保存、管理、处理、利用个人信息的组织、机构或个人。个人信息管理是对个人信息资源及针对这些资源的活动和行为进行管理。个人信息资源是由个人信息主体、个人信息和针对个人信息采取的技术和手段有机构成，

个人信息主体知悉、支配和控制的权利OneThreeTwoFour确认个人信息是否以明确地、易于理解地形式记载。在个人信息收集、管理、保存、处理、利用过程中，必须以明确、易于理解的形式记载，确认个人信息的保存形式。个人信息应以文档形式保存，信息主体可以无限制地确认个人信息文档的存在、目的、利用情况、、安全性等o个人信息修正。如果个人信息不完整、不正确，或需要更新，个人信息主体有权适当修改、删除、完善，以保证个人信息的最新状态。

疑义和反对。个人信息主体对相关个人信息的利用目的、处理过程等有权提出疑义或反对意见。主要包括控制与监督

个人信息管理的职能规划与人事次协调与沟通评估

在决策目标确定后，对个人信息管理行为的预勇设计。根据决策和邦划，明确管理人员责任和职能。

控制是对个人信息的管理活动、行为及后果实施制衡和修正，并对过程进行监督，保障个人信息.主体的利益。管理者与个人信息主体之间的关系，需要协商、调解，使双方和谐地配合，既保证个人信息主体的利益。

应随时对个人信息收集、利用的目的、范围、手段和方法、风险因素方面进行评估，提出修正或补救措施、应对策略，决策的内容主要是选择管理的目标，确定管理行为。组织是根据个人信息收集、利用的目的，有效管理、处理个人信息的行为或活动。决策与组织

个人信息管理者的权利和义务权利保障

安全和保密

目的明确

告知义务

个人信息管理者必须保障个人信息主体的权利，维护和实现个人信息主体的人格利益。个人信息管理者必须保证个人信息处理、使用的目的与个人信息主体的意愿一致，不能超目的、超范围处理、使用。个人信息管理者必须对个人信息处理予以保密，并对个人信息处理、使用过程中的安全负责。个人信息管理者应将个人信息的利用目的、处理方式、个人信息主体的相关权利等事项告知信息主体。权利义务个人信息保护原则个人信息保护原则知情原则

参与原则

支配原则安全保障原则

在实践中，符合需求、可供操作的基本原则：

个人信息主体有权知悉个人信息的收集、利用和处理情况。个人信息主体有权决定如何利用个人信息。

0ECD中称为“个人参与原则”。强调个人信息主体的权利。

个人信息管理者应从管理、技术2个方面采取相应的措施，保障个人信息的安全。

个人信息收集个人信息收集是基于自然人的人格权益，有目的、有计划、有选择地对特定个人采集信息的过程和行为模式。

个人信息收集是个人信息保护的核心问题。基本概念个人信息收集的特征条件性目的性

质量性必须有特定的、明确的和合法的目的，特定目的，必须是在法律允许范围内，针对某一特定的需要设定的。

收集个人信息，必须经个人信息主体确认，必须保证个人信息主体的人格权益，限定在特定的目的范围内，在法律允许的范围内。必须是基于特定目的的需要

保证是足够的，而不过度、是相关的而不多余，且不超过设定的目的范围；保证个人信息的准确性、完整性，并适时、随时更新、完善；在信息处理时方便识别个人信息主体，个人信息收集方法和手段主动收集

被动收集

个人信息主体主动提供的个人信息。在现实社会中，由于工作、生活中的各种需要，人们在买车、购房、保险、医疗、电话安装、办理各种会员卡、银行卡、优惠卡，以及电子商务等时，往往要求用户填写真实、详尽的个人信息等，

通过各种网络技术和方法收集个人信息。随着信息技术的发展和普及，网络空间中，个人信息的覆盖率愈来愈高，个人信息的收集和处理也愈来愈方便、快捷。除主动收集方式外，其他个人信息的收集，多数是在个人信息主体不知情、或不能控制的情况下实施的。

个人信息收集分类间接收集

直接收集

敏感信息收集

直接从个人信息主体收集个人信息。直接而非间接。采用主动方式，直接的而非采用任何技术或其他手段。直接收集个人信息必须目的明确，并征得个人信息主体的同意。

非直接地从个人信息主体收集自然人的个人信息。问接收集是直接收集的辅助手段和补充。必须基于明确、合法的目的，征得个人信息主体的明确同意。必须保证个人信息的淮确性、完整性和最新状态。

敏感信息是涉及个人隐私的信息，一般禁止收集和处理。但在某些特殊情况下收集和处理时，应特别加以保护。收集与处理必须：个人情息主体明确同意。直接从个人信息主体收集。进行特殊保护。

个人信息处理个人信息处理是收集、加工、编辑、存储、检索，及其他利用个人信息行为，或与个人信息利用相关的自动或非自动个人信息处置过程。个人信息处理必须满足一定的条件个人信息存储个人信息一般以文档的形式保存。多数个人信息的收集和处理是基于自动处理设备，因此，个人信息总是以文档形式存储在自动设备中。

个人信息存储必须保证个人信息直接处理是个人信息收集、保存、处理、利用的机构、组织个人信息处理者是除个人信息主体以外的个人数据提供者个人信息提供者是利用个人信息的行为人个人信息使用者个人信息管理者

保存管理处理

利用

收集

进行个人信息直接处理工作个人信息主体

同意授权职责义务信息服务

信息服务

支付费用支付费用个人信息直接处理是个人信息管理者处理、利用所拥有的个人信息。

个人信息提供个人信息管理者向第三方提供合法拥有的个人信息主体的相关个人信息。个人信息提供必须满足一定的条件

个人信息委托个人信息管理者在特定、明确、合法的目的范围内，经个人信息主体同意，委托第三方收集、处理相关个人信息，或在委托业务中涉及相关个人信息。

个人信息委托包含5层含义收集目的外的处理在某些特殊情况下，需要超出收集目的范围处理、利用个人信息主体的相关个人信息。在这些特殊情况下，处理、利用个人信息，也需要基于一个特定、明确的目的。特定、明确的目的包括二次开发和交易个人信息二次开发

个人信息交易个人信息管理者将收集到的个人信息，根据特征、类别，按照一定的文式存储，构成综合的个人信息数据库。根据综合数据库反映出的不同的自然人群的个体特征和个人信息处理目的，对个人信息采取不同的处理方式，满足不同的个人信息管理者的需要。

商业机构将相关的个人信息综合数据库，提供给其他不同的商业机构使用，是一种个人信息交易行为。个人信息交易包括个人信息管理者之间交换所掌握的个人信息、个人信息管理者出售所掌握的个人信息等。

个人信息保护安全机制信息安全管理体系(ISMS)是整体信息安全防护体系中重要的一部分，通过系统、全局的信息安全管理整体规划，确保用户所有信息资源和业务的安全与正常运行。ISMS是人、技术、管理的有机结合和有效实施。

信息安全管理体系

物理安全物理安全(实体安全)是为保证计算机信息系统在信息采集、传输、存储、处理、显示、利用等过程中，安全、稳定、可靠运行，避免因人为或自然因素的危害，造成信息丢失、泄露、破坏等，对计算机信息系统环境、计算机信息系统相关设备、存储媒介及设备等所采取的安全防护技术。

物理安全(实体安全)主要包括安全管理机制安全管理机制是按照整体信息安全防护系统的设计，为实施个人信息安全的管理和控制，依据威胁个人信息安全的内部规律和环境影响的有机联系，建构的安全防护系统。构建安全管理机制的核心是保证管理安全。

管理安全主要包括技术安全技术安全是为保障信息安全采用的知识、专业、技术等方法和手段，技术安全包括社会工程学管理社会工程学是在人与人的交往中，利用人性的弱点，运用心理学知识，以交谈、欺骗、伤害等手段，获取利益的方式，是信息安全管理，特别是个人信息安全管理的软肋。社会工程学管理应基于社会工程学的特点，以人为本，构建社会工程学防御体系。社会工程学管理个人信息保护模式行业自律模式

法律保护模式

行业自律模式是一种民间的、保护网络隐私权的个人信息保护模式。通过行业内部的行为规则、规范、标准和行业协会的监督，实现行业内个人信息保护的自我规范、约束和完善。美国是行业自律模式的倡导者。存在两种形式：建议性行业指导、网络隐私认证计划。法律保护模式是由国家主导的立法模式。国家通过立法确定个人信息保护的各项基本原则和具体的法律规定等。具有代表性的是欧盟的模式。第五讲个人信息保护应用电子政务与个人信息保护应用1政府信息公开与个人信息保护2电子商务与个人信息保护3电子政务与个人信息保护应用政府是社会信息资源的最大拥有者、使用者和提供者。在电子政务的建设、发展过程中，收集、获得了大量公民的个人信息，储存、建设了政府个人信息数据库。这些个人信息，在电子政务的环境中，极易被侵犯、不当使用。因此，电子政务环境中的个人信息保护，是电子政务建设和发展的基础。电子政务中个人信息的内涵电子政务的内容在我国的电子政务中一般包含：政府之间的、政府与企业等组织之间的以及政府与公民之间的电子政务。政府与公民之间的电子政务电子政务中个人信息的主要特征多样化高风险

政府行政职能的多元化，型不同，呈现出多样化。使收集、储存、管理、利用公众的个人信息类型不同，呈现出多样化。

互联网在电子政务中的广泛应用已经打破了原有的地界、国界，个人信息一旦遭到侵犯，其传播速度快、覆盖面广、隐蔽性强，危害性极大。个人信息保护的利益冲突公共利益和个人利益的冲突

公民权益与个人隐私的冲突

在政务资源建设过程中，收集、保存个人信息，构建个人信息数据库，必然与公民的人身权益发生冲突，需要公民放弃部分人身权益。同时，政府的行为必须限定在实现社会管理目标的职权范围内，既合理、合法，也适当、适度。当二者发生冲突时，通过沟通和协调平衡二者的利益。政府应公开个人信息的使用目的、使用方法、安全措施等信息；个人信息的保存内容，则应与个人信息主体协商，严格限制在政府职能部门的职权范围内，限制政府信息公开的可测量尺度。

电子政务中的个人信息保护策略个人信息收集中的警示

个人信息的用途

收集信息的种类和内容

安全保护措施

在收集个人信息时，应当明确地告知公民收集个人信息的目的和用途、收集的依据以及收集和保证安全的方法，同时严格履行保护公民个人信息的义务。网站在运行过程中所收集到的技术信息和个人信息，这两类信息的收集目的和具体内容，都应明确告知个人信息主体。当在其个人信息保护政位策中说明收集个人信息的用途，除了网络安全外，加强政府网站管理，健全领导负责制、有明确的政策、明确的操作规程及员工对个人信息保护的意识和责任。保护策略政府信息公开与个人信息保护《中华人民共和国政府信息公开条例》关于政府信息公开的原则：应当遵循公正、公平、便民的原则，及时、准确地公开政府信息。应依照国家有关法律、法规对拟公开的政府信息进行审查。不得危及国家安全、公共安全、经济安全和社会稳定。应主动公开符合《信息公开条例》基本要求的内容。确定政府信息公开的主体是行政机关和法律、法规授权的具有管理公共事务职能的组织。政府信息公开中涉及的个人信息管理过程中涉及的个人信息

服务过程中涉及的个人信息

国家机关在对外管理中对个人情息的收集、处理与利用。主要包括立法、司法和行政管理等机关的相关收集、处理与利用。政府机关在对内管理中对个人信息的收集、处理与利用。当前主要是指在人事管理和公务人员录用、培养等工作中对个人工作情况、家庭情况、成绩与品行等个人信息的收集、处理与利用。这些都已成为政府信息资源库的重要组成部分。

服务过程中对个人信息的收集、处理与利用行为，主要是指提供公共服务的公法人、由国家控股的相关公司和社会非营利性组织，在其实施公共服务的过程中收集、处理、利用个人信息。提供公共服务的公法人包括三类：１．营利性的公法人，如银行、保险等，２．公益性的社会组织，如医院、学校等，３．中间性的社会组织，如校友会、行业协会等。政府信息公开过程中个人信息保护策略基于公共利益的个人信息优先公开基于商业利益的个人信息限制公开基于个人利益的个人信息适当公开1．为维护国家与社会公共利益的需要，要求优先向社会公开有关个人信息。2．提高国家机关行政效率和公共服务水平的需要，要求在政府系统内部公开有关个人信息。

1．政府机关可以依据公开申请，征询个人信息主体，是否公开个人信息。2．依照有关法律法规，政府机关可以允许各类有商业利益目的的非国家机关自行收集和利用个人信息。

1．维护个人信息主体的权益。

2．对个人信息主体的权益限制。

电子商务与个人信息保护电子商务是基于互联网而开展的商务活动，与传统的商务活动有着内在的区别。电子商务运作的基础是信息网络、金融网络和配送网络的融合，所涉及的商业活动对象是企业、政府、消费者。其本质特征体现为:商务活动网络化

交易空间虚拟化信用风险加剧电子商务中的个人信息信息来源个人信息表现形式1.用户的注册信息，2.交易的订单信息，3.用于支付的支付信息1.消费者提供的信息，2.网站自动获取的信息，3.搜索获得的信息，4.其他来源获得的信息，1.与用户交易、联系的基础数据；

2.经整理、分析和二次开发，成为企业的商业资源3.将个人信息作为特殊商品交换、提供、转让；

4.以各种可能的方式收集、开发、加工、利用个人信息。

电子商务中个人信息面临的威胁收集和利用个人信息造成的威胁个人信息的二次开发和交易的威胁经营者大量收集用户个人信息对消费者的人身权益构成威胁。

1．超范围收集个人信息2．非法收集和使用个人信息个人信息的二次开发利用，可能造成客户个人信息或商业机密的泄露。个人信息交易是目前最为严重的一种侵权行为，

电子商务环境个个人信息保护策略现阶段电子商务中个人信息保护应在借鉴先进国家个人信息保护经验及ＯECD个人信息保护八项原则的基础上，结合我国个人信息保护相关法律法规及电子商务网站个人信息保护的实际情况，应侧重考虑以下的个人信息保护策略：电子商务活动中个人信息保护策略2004.00.00个人信息保护概论第六讲个人信息保护评价机制评价机制的肇始1评价的基本概念2评价过程3评价机制的肇始大连是国家软件产业基地、软件出口基地，大量的软件和信息处理业务来自国外，随着国外客户对个人信息保护的要求愈来愈细化，业务承接和扩展受到直接的影响。为了与日本等国外企业实现对接，满足客户对个人信息保护的要求，减少企业因个人信息保护不当可能造成的损失，大连市发布了《大连软件及信息服务业个人信息保护规范》。而引起许多企业的重视和关注，并开始按照规范要求建立相应的个人情息保护机制。为推进规范的实施，并与国外实现互认，在规范基础上建立了个人信息保护评价体系(PIPA)，评价的基本概念个人信息保护评价体系是大连市建立的、具有我国行业特色的个人信息保护认证计划。评价的基本概念与认证计划是一致的。个人信息保护评价是系统、客观、全面地监督、判断、评估个人信息保护行为的安全性、有效性，确定在个人信息保护中需要改进的问题的过程。评价与认证认证评价认证是由独立、公正的第三方认证机构进行的客观的评价；认证是依据特定的标准或规范；认证审核过程是对与标准或规范的符合性、一致性及目的的有效性进行评估个人信息保护评价是独特的个人信息保护认证计划，是个人情息保护开展和实施的必然。个人信息保护评价机构是独立、公正的第三方机构，由可以充分信任的、公平、公正的第三方机构系统、客观、全面地监督、判断、评估个人信息保护体系的安全性、有效性，及与个人信息保护相关法律、法规的符合性的活动。

评价的特征Ｂ个人信息保护目的是个人信息保护评价的基础Ｃ实现科学的个人信息保护评价的手段是技术和管理方法的运用

Ｄ个人信息保护评价的价值取向

Ｅ个人信息保护效果和影响的判断和评估

Ａ个人信息保护评价是以个人信息保护体系为评价对象的第三方监督执行机制评价过程接受申请资格审查报告现场评价评价报告审批通过个人信息保护评价挂起公示期呈交申请资料完善改造合格资格审查不合格部分通过未通过有重大问题无投诉或质疑个人信息保护评价流程评价准备申请个人信息保护评价，必须建立相应的体系，在法律、规范的框架下开展个人信息保护个人信息保护评价体系建立、健全后，可以申请个人信息保护评价，通过独立、公正的第三方评价机构，对企业内个人信息保护进行监督、判断、评估。个人信息保护评价体系

评价过程管理

评价管理评价人员管理

过程定义

改进和完善

个人信息保护评价管理机构

需要对评价人员建立管理制度和进行专业培训。

过程管理是质量管理的重要部分。是保证个人信息保护评价质量的重要活动。总结最佳评价实践，信息保护评价流程。形成可重复操作、稳定、可靠的个人情息保护评价流程。

采用过程模式，通过过程管理的持续改进和完善，保证评价质量可靠、稳定的永恒目标。个人信息保护评价管理机构包括：个人信息保护工作委员会和个人信息保护评价机构。评价资格审查受理申请

资料审查

申报条件：确认评价申请是否具备个人信息保护评价资格。资料准备：提交企业开展个人信息保护，实施个人信息保护管理的所有相关文档资料，申报评估：对评价申请企业的申请条件、提交的申报资料进行初步评估。审查条件：评价资料审查，应符合一定的条件。审查内容。申报资料是否真实、规范、完整和满足相关法律、法规、规范的要求。审查报告。对提交的申报资料进行详细审查后，应编制资格审查报告，现场评价现场评价是评价机构根据资格审查结果，对个人信息保护评价申请企业经营活动场所实地考察，对现场评价实施管理，是评价组根据评价管理的流程和过程模式，分析、判断、评估企业个人信息保护现状的使然。现场评价管理主要包括

现场评价流程TwoOneThree个人信息保护评价机构受理个人信息保护评价申请，并通过资格审查后，组建个人信息保护现场评价组；

个人信息保护现场评价组组长编制现场评价计划。计划包括评价组组成、评价人员分工、职责和义务、现场评价内容和方法、评价结论的提交、评价报告的编制等；

个人信息保护现场评价实施：召开评价会议、评价实施、沟通和交流、评价意见、改进和完善。现场评价调查

调查方法调查质量面谈：检查文件和记录：随意抽查企业的业务：与企业有关客户接触以了解个人信息保护情况等。

调查目的和要求。确定现场调查的任务。选择恰当的或组合的调查方法。现场调查质量控制措施

保证调查表设计的质量控制。调查分析。问题处理。沟通与交流。现场调查所采用的方法现场评价结果

问题分类评价意见严重问题：1.隐瞒事实、虚报、瞒报等。2.不能满足个人信息保护安全要求。3.出现严重的个人信息安全事故。一般问题：1.申报资料不规范、内容不完整等。2.改进可以的一般性安全隐患。3.不影响评价申报的其他非实质性问题。通过：企业个人信息保护工作是基本成功的，或仅存在少量一般性问题，经过简单修正，即可基本符合相关法律、法规、规范；不通过：存在两种情况，1.经过整改后可以通过。2.重新申请评价。得出符合事实的评价结论。

评价现场调查中发现的问题

审批和公示

个人信息保护现场评价结束后，评价意见和评价结论上报个人信息保护评价机构审批。

审批和公示现场评价调查

调查方法调查质量面谈：检查文件和记录：随意抽查企业的业务：与企业有关客户接触以了解个人信息保护情况等。

调查目的和要求。确定现场调查的任务。选择恰当的或组合的调查方法。现场调查质量控制措施

保证调查表设计的质量控制。调查分析。问题处理。沟通与交流。现场调查所采用的方法现场评价调查

调查方法调查质量面谈：检查文件和记录：随意抽查企业的业务：与企业有关客户接触以了解个人信息保护情况等。

调查目的和要求。确定现场调查的任务。选择恰当的或组合的调查方法。现场调查质量控制措施

保证调查表设计的质量控制。调查分析。问题处理。沟通与交流。现场调查所采用的方法资格管理

复查复审

个人信息保护评价机构定期抽查具有个人信息保护评价资格、通过个人信息保护评价的个人信息保护评价申请企业的个人信息保护工作情况。企业通过个人信息保护评价后，个人信息保护评价机构可以应企业的要求，或根据个人信息保护评价规范，对企业个人信息保护工作进行复审。

2004.00.00个人信息保护概论第七讲评价体系研究评价关系研究1评价体系质量研究2评价指标研究3评价体系构成4评价关系研究在个人信息保护评价管理中，协调个人信息保护评价体系中各种相互关联、相互作用的关系，保证评价工作的准确性、公正性，引导和激励企业个人信息保护工作的持续发展，使评价趋近于合理。评价体系中各种相互关联、相互作用的关系评价体系质量研究评价体系质量是个人信息保护评价质量的保证，也是个人信息保护评价的基本要求。个人信息保护是企业为个人信息主体提供的服务，个人信息保护评价也是为企业个人信息保护工作提供的一种服务，服务质量的差异，是评价体系设计质量的体现。服务质量服务服务质量服务是一种过程服务是由一系列或多或少具有无形特性的活动构成的一种过程，这种过程是在客户与员工、有形资源的互动关系中进行的，这种有形资源(有形产品或有形系统)是作为客户问题的解决方案提供的。服务质量是基于客户明确或隐含的服务需求，由客户主观感知的满足服务需求的程度。根据全面质量管理理论，质量并不是“最好”而是最适合用户的需求，即在产品和服务的过程中，能够全面满足用户的需求。

分结果质量和过程质量

个人信息保护质量过程质量

结果质量

个人信息保护质量是个人信息管理者为个人信息主体提供的个人信息管理服务的质量，包含两个方面：个人信息保护是个人信息管理者向个人信息主体提供个人信息管理服务的过程，在服务过程中，个人信息主体通过与个人信息管理者的互动，感知服务质量，认知个人信息管理者在管理服务中的个人信息保护策略、管理机制、方式方法等结果质量是实施个人信息管理服务后个人信息主体所获得的个人信息安全保障。基于相关法律、法规、规范进行个人信息保护的结果质量，主要涉及技术、管理层面有形的内容，易于比较客观的衡量、评估。个人信息保护评价体系质量全面质量管理原则

评价体系设计原则评价体系特征评价内容设计原则评价体系质量

1.以用户为中心。2.过程管理。3.基于事实的管理。4.持续改进。1.多元性。2.整体性。3.相关性。1.整体性原则。2.合理性原则。3.科学性原则。4.改进原则。5.易用性原则。1.全面性原则。2.准确性原则。3.权威性原则。评价指标研究个人情息保护评价指标(et)主要有五大类评价指标et是构成评价体系es的基本元素，由若干评价指标项ei

组成，ei是由若干指标子项ec构成的。表示：

ei=︱ec1,ec2,……ecn︱

es=︱et1(ei1,……ein),et2(ei1,…

…ein),……etm(ei1,……ein)︱(m、n=1，2，……。)管理机构管理机构评价指标(et)可以包含2个评价指标项(ei)、6个指标子项(ec)。管理机构管理机制管理机制评价指标(et)可以包含7个评价指标项(ei)

、27个指标子项(ec)。

管理机制结果评估交流沟通处理方案问题处理处理流程服务响应评估确认服务流程效果实施管理普及率普及性合理针对合理性策略方法完善性效果合理性普及率记录计划备案借阅安全性管理策略跟踪评估改进完善分析确认持续改进应急处理服务支持文档管理宣传管理制度培训教育过程管理过程管理评价指标(et)可以包含9个评价指标项(ei)

、39个指标子项(ec)。过程管理问题处理例外和限制利用管理委托策略和管理提供策略和管理处理策略和管理收集策略和管理管理者义务主体权利安全承诺废弃策略使用策略信息质量同意方式目的范围敏感信息安全承诺存储保存同意通知方法手段目的范围安全保密告知目的明确权利保障疑义反对支配权知情权安全承诺信息质量授权方式目的范围回收方式安全承诺管理方式信息质量同意方式目的范围安全承诺信息质量同意方式方式方法目的范围必须提供的例外处理意见主体意见流程方法确认分析个人信息安全个人信息安全评价指标(et)可以包含8个评价指标项(ei)

、29个指标子项(ec)。个人信息安全人员行为管理病毒防洪策略访问控制策略存储安全策略信息交换安全策略基础平台信息安全工作环境管理风险管理残余风险应对处理识别评估处理策略应用系统媒介管理安全平台接口管理存储系统电脑管理系统平台桌面管理网络平台出入管理其他相关行为损毁后的措施加密管理措施备份恢复策略邮件管理使用策略权限责任病毒恢复措施权限管理措施信息传输安全外网访问策略网络行为病毒预防措施访问控制措施信息存储策略内外网交换策略个人信息保护监察个人信息保护监察评价指标(et)可以包含3个评价指标项(ei)、8个指标子项(ec)。其他相关事项监察过程管理监察职责监察报告监察周期监察管理和记录监察计划监察对象的义务监察公正性监察负责人的责任监察问题的处理和改进个人信息保护监察评价体系构成个人信息保护评价体系应是由个人信息保护评价指标、权重、评价规则三个要素构成的相互关联的有机整体。三个要素的变化和相互关联决定了个人信息保护评价体系的质量。评价指标是主导个人信息保护评价体系的基本元素，评价指标的确定、指标项的选择、评价标准等因素的质量，决定了评价体系的质量，保护个人信息保护评价过程达到预期的目的。评价规则

评价规则可以将评价指标量化，定性、定量描述各个评价指标项，使申请评价企业能够客观地了解企业个人信息保护管理工作的水平、存在的问题和改进的目标。权重

权重反映了评价指标在企业个人信息保护工作中所占比重，是各个指标项相互关联的关键因素，权重设置方法、权重分配的合理性直接影响评价体系的质量。

个人信息保护评价体系2004.00.00个人信息保护概论第八讲个人信息保护的法律保障欧洲立法模式

1日本保护模式

2其他国家和地区立法模式

3我国的个人信息保护模式

4美国保护模式1个人信息保护标准研究

4欧洲立法模式欧盟采用立法模式保护个人信息，是基于保障基本的人格权益。《个人数据保护指令》确立了个人信息保护的基本原则。个人数据主体的权利

个人数据管理者责任和义务

保密和安全原则例外和限制原则数据主体拒绝的权利适当更正,删除或封存的权利查询权利特殊类型数据处理原则

数据处理合法化原则告知原则数据质量原则

个人信息保护的基本原则

欧盟制定的主要法律《关于与个人数据处理相关的个人数据保护及此类数据自由流动的指令》即《个人数据保护指令》《电子通讯领域个人数据处理和隐私保护指令》《私有数据保密法》《Intemet上个人隐私权保护的一般原则》《关于Internet上软件、硬件进行的不可见的和自动化的个人数据处理的建议》《信息公路上个人数据收集、处理过程中个人权力保护指南》《关于与欧共体机构和组织的个人数据处理相关的个人数据保护及此类数据自由流动的规章》美国保护模式美国采取政府引导下的行业自律模式，规范行业内个人信息处理行为，同时通过分散立法，辅助行业模式的实施。美国保护个人隐私行业自律模式主要有两种：建议性的行业指引

网络隐私认证计划

指引为行业内个人信息保护提供广为接受和执行的规范，并不监督行业成员的行为。如美国在线隐私联盟(OPA)公布的在线隐私指引，要求OPA成员采纳、执行OPA的隐私政策。是各行业自我规范，实现网络隐私保护、建立公众信任的自律形式。加入认证计划的商业网站，必须通过网络隐私保护合格认证，并在网站张贴隐私认证标示，

日本保护模式日本的保护模式，参考欧盟的立法模式，更多采纳了美国的保护规制，通过政府立法和行业自律实现个人信息保护。《个人信息保护法》是日本实施个人信息保护的基本法。以个人信息有效利用，同时加以保护为宗旨，确立了个人信息保护的基本方针和应采取的措施，明确了国家、地方公共团体的责任和义务，以及处理、使用个人信息的个人信息处理业者的义务等。

其他国家和地区立法模式（德国）德国个人数据保护法采取统一立法模式，以信息自决权为宪法基础，以人格权为民法基础，统一规范、保护所有个人数据。规范了立法原则、监督机构、损害赔偿等机制，成为个人数据保护的一种立法范本。个人数据保护立法原则是个人数据保护的核心。德国个人数据保护法的个人数据保护原则体现了信息自决权的内涵，

德国个人数据保护法个人数据保护原则其他国家和地区立法模式（香港地区）我国香港地区1996年开始实施《个人资料私隐条例》。条例倾向于欧盟的《个人数据保护指令》，符合该指令关于向第三国传送数据的规定。条例规定了保障资料的6项原则：香港地区个人资料私隐条例资料保障原则我国的个人信息保护模式我国于2003年开始启动个人情息保护立法研究并形成《中华人民共和国个人信息保护法(专家建议稿)》。我国个人信息保护模式采用综合立法，即《个人信息保护法》、特别立法，补充综合立法、行业自律，以及技术保护，专家建议稿个人信息保护模式的特点：OneTwo是个人信息安全威胁的预防，即事前干预与事后干预的结合，在个人信息处理之前即加以规范，保证实现个人信息保护的同时不阻碍正常的流动。

是个人信息的不当泄露，属于违法行为，可能承担行政责任、民事责任和刑事责任。

大连软件及信息服务业个人信息保护规范《大连软件及信息服务业个人信息保护规范》是中国首部信息服务业个人信息保护行业自律规范。规范是大连市信息产业局、大连软件行业协会在研究分析国外各类个人信息保护模式及相关法律、法规、标准，根据大连市信息服务业的特点和目前我国信息服务业的特点和方向编制的。OneTwo

规范以OECD八项基本原则为基础，保证个人信息的有序、合法、有效利用，确立了信息服务业个人信息保护的基本原则和基本方针。

规范的框架、体例和部分内容，沿袭了日本《个人信息保护管理体系要求事项》，同时，根据国情和我国信息服务业的特点，编制了相应的条文。

辽宁省个人信息保护规范《辽宁省个人信息保护规范》是我国第一部个人信息保护地方标准。《辽宁省个人信息保护规范》规定了个人信息保护相关术语和定义、个人信息保护原则、个人情息保护体系的建立、个人信息主体权利、个人信息管理者的义务、个人情息保护实施、个人信息保护的安全机制、持续改进、个人信息保护评价等基本规则和要求。《辽宁省个人信息保护规范》的特点

标准定义标难是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础，经有关方面协商一致，由主管机构批准，以特定形式发布，作为共同遵守的准则和依据。标准以科学、技术和经验的综合成果为基础，以促进最佳的共同效益为目的。并将规范性文件(标准文件)描述为：为各种活动或其结果提供规则、导则或规定特性的文件。

标准定义包含了几个方面的特点个人信息保护标准化

标准化

个人信息保护标准化是标准编制、发布和实施的活动过程。制定标准、组织实施标准和对标准的实施进行监督是标准化工作的主要任务。标准化的目标是获得最佳秩序和社会效益。是依据国家和社会的利益，构建依法、有序的标淮环境；实现国家和社会的整体效益。

是编制、发布和实施高效、高质、统一、规范，经过实践检验和综合研究、分析的个人信息保护系列标准的活动，为个人信息保护提供可供遵循的规则的规范性文件。个人信息保护标准研究

个人信息保护标准研究是在个人信息保护标准化过程中，为“获得最佳秩序和社会效益”实现个人信息保护标准系列化，并使相关标准间达到协调与统一所完成的工作。个人情息保护标准研究的原则：实用性与前瞻性结合

引用与发展结合

遵循经济、社会发展的需要及信息安全的特征，制定实用、适用的标准，同时，关注科学技术的进步和经济、社会的发展。参考和引用国外相关法规、标准、是构建我国个人信息保护标准的捷径。但应采用发展的眼光，根据我国国情和特点，有所创新，编制符合我国经济、社会发展需要的标准。

2004.00.00个人信息保护概论第九讲个人信息保护实践构建个人信息保护体系1个人信息保护认证案例2个人信息保护认证体系1构建个人信息保护体系构建个人信息保护体系评价管理机制

事故申报和处理机制

评价人员管理

评价机制

完善个人信息保护认证体系

PIPA与P—MARK互认

大连软件行业协会构建个人信息保护体系个人信息保护保护认证体系大连信息产业个人信息保护评价PIPA基本流程：企业申请个人信息保护评价

评价机构接受企业个人信息保护评价申请

评价开始评价结束案例：某公司个人信息保护管理机制（1）个人信息保护方针文件编号：版本号：制定日期：修改日期：制定人：审批人：公司名称：××公司

（第一页）案例：某公司个人信息保护管理机制（1）（第二页）制定与修改记录案例：某公司个人信息保护管理机制（1）（第三页）XX公司个人信息保护方针本公司对公司客户信息、员工信息等所涉及的个人信息，均严格遵守国家个人信息保护方面的相关法律法规。同时依照《软件及信息服务业个人信息保护规范》的要求制定本公司的个人信息保护方针，并遵照执行。方针的内容包括：

1．本公司向全体员工宣传个人信息保护的重要性和策略，加强每位员工对个人信息保护工作的配合和重视；认真贯彻执行本公司制定的个人信息保护基本规章制度和管理规定。

2．本公司在取得、使用、提供个人信息时，均采取合法、公正的手段，并事先征得信息主体的同意，在目的范围内使用。同时，实行相关安全保护措施。

3．本公司为了确保个人信息的安全，建立信息安全保护对策等安全措施，以防止对个人信息的非法访问以及个人信息的遗失、破坏、篡改、泄露等。

4．本公司在与第三方共享个人信息时，须事先征得信息主体同意，并根据个人信息保护规范要求采取必要措施，防止由第三方泄露个人信息等。

5．本公司在信息主体提出对个人信息进行公开、修改、停止使用等要求时，将根据公司个人信息保护相关规定采取适当的方法实施相应的配合。

6．为了更好的实施公司个人信息保护相关规定，本公司建立个人信息保护管理系统的持续改善等相关措施。

7．将本方针文档化，贴于公司办公场所，让每位员工可以方便地看到、理解和执行达到众所周知。

8．本方针将通过公司的网站对外公布，使外界了解本公司的个人信息保护方针、政策。在工作当中涉及个人信息时，本公司也将主动向信息主体宣传公司个人信息保护的措施和规定。

9．本公司设立个人信息保护窗口，指定专门负责人，负责接待社会各界提出的意见及建议。公司个人信息保护窗口负责人：联系电话：制定日期：年月日电子邮箱：修改日期：年月日××公司案例：某公司个人信息保护管理机制（2）（第1页）总经理：文件编号：某公司个人信息保护组织机构与责任规定版本号：制定日期：修改日期：审批人：制定人：企业名称：××公司案例：某公司个人信息保护管理机制（2）（第2页）制定与修改记录案例：某公司个人信息保护管理机制（2）（第3页）目录1．个人情息保护组织机构图2，个人信息保护相关责任人的任命3．个人信息保护相关责任人名单4．个人信息保护相关责任人职责案例：某公司个人信息保护管理机制（2）（第4页）个人信息保护组织机构图本公司个人信息保护的机构设置如图1所示。2．个人信息保护相关责任人的任命2．1公司管理者由公司领导者担当。2．2个人信息保护负责人公司领导者任命个人信息保护负责人。2．3监查负责人公司领导者指定个人信息保护监查负责人，监查负责人可以在公司内部指定，也可以在外公司聘请。2．4各部门个人信息保护负责人个人情息保护负责人任命各部门个人信息保护负责人。2．5客户窗口负责人个人信息保护负责人任命客户窗口负责人。2．6培训教育负责人个人信息保护负责人任命培训教育负责人。2．7各部门安全负责人各部门个人信息保护负责人任命各部门安全负责人。3．个人信息保护相关责任人名单3．1公司管理者、总经理：xxx3．2个人信息保护负责人：xxx3．3监查负责人；XXX3．4各部门个人信息保护负责人

a)部门甲个人信息保护负责人：b)部门乙个人信息保护负责人：3．5客户窗口负责人：xxx3。6培训教育负责人：xxx4，个人信息保护相关责任人职责案例：某公司个人信息保护管理机制（3）（第1页）文件编号：某公司个人信息取得、使用、提供、委托、处理的管理规定版本号：制定日期：修改日期：审批人：制定人：企业名称：××公司案例：某公司个人信息保护管理机制（3）（第2页）制定与修改记录案例：某公司个人信息保护管理机制（3）（第3页）目录1．个人信息的定义和取得2．个人信息的使用和提供3．个人信息的委托4．个人信息的再委托5．个人信息保管6．保障信息主体权利7．个人信息保护事故发生预防措施8．意见及反馈案例：某公司个人信息保护管理机制（3）（第4页）个人信息的定义和取得1．1个人信息是指与存在个体相关的、并且可用于识别特定个体的信息。例如，姓名、生日、个人证件的号码、标志或其他记号、图像或录音及其他相关信息(包括某些单独使用时无法识别、但能够方便地与其他数据进行对照参考，并由此识别特定个人的信息)。个人信息不仅包括个体识别信息，还包括显示事实、判断或评价等的所有情报，包括个人身体状况、财务状况、工作类型或职务等。1．2取得的原则与范围1．2．1个人信息取得的原则对个人信息的取得确立以下原则：a)限制搜集原则，在信息主体不知道或不能控制的状态下，不能进行信息的收集、存储和披露；b)资料内容完整正确原则，收集的信息应该限于客观的事实，即必须是真实的；c)限制利用原则，不对与信息主体不相干的第三者泄露；d)目的明确化原则，仅限于与信息主体有关的用途；

e)个人参与原则，个人有信息自主权，可参与个人信息资料制作的过程，但若取得个人书面同意，则视为同意放弃隐私权，准许他人搜集、利用；

f)公开原则，个人信用信息资料应对本人公开；

g)安全保护原则，数据库应有加密等安全措施防止个人资料被他人不当利用、篡改或灭失；h)责任原则，给个人信用信息主体造成损害需要承担赔偿等民事责任。1．2．2个人信息取得的范围个人信息取得之前应明确使用目的，并应征得信息主体的同意，在限定的目的范围内取得。从被公开的资料中取得个人信息时也应明确使用目的。1．3取得的方法和手段个人信息取得应采取适当的方法和合法公正的手段。1．4取得个人信息内容案例：某公司个人信息保护管理机制（4）（第1页）文件编号：某公司个人信息文档管理规定版本号：制定日期：修改日期：审批人：制定人：企业名称：××公司案例：某公司个人信息保护管理机制（4）（第2页）制定与修改记录案例：某公司个人信息保护管理机制（4）（第3页）目录1．个人信息保护管理的实施2．个人信息保护管理体系的确立3．个人信息保护管理体系的导人和运用4．个人信息保护管理体系的监护和修订5．个人信息保护管理体系的维持及改善6．个人信息保护管理体系文档的维持及改善7．个人信息保护管理体系文档编号8．个人信息管理案例：某公司个人信息保护管理机制（4）（第4页）1.个人信息保护管理的实施为使我公司的个人信息保护管理持续发挥作用，必须遵循PDCA循环改善过程，有组织地采取对策。个人信息保护管理的PDCA循环如图所示。2．个人信息保护管理体系的确立为了确立我公司的个人信息保护管理体系，首先要实行风险评估，加以对应。3．个人信息保护管理体系的导人和运用为了导入和执行我公司的个人信息保护管理体系，还要实施个人信息保护研修。4．个人信息保护管理体系的监护和修订为了推进我公司的个人信息保护管理体系的监护和修订、我们要实施个人信息保护监查、风险评估的修订。根据个人信息保护管理体系的监护和修订的结果、如有必要，则对个人信息保护管理体系的年度运营计划进行更新。5．个人席息保护管理体系的维持及改善承接前项、为了推进我公司的个人信息保护管理体系的维持及改善，必须定期采取改善措施和预防措施。此外，还要根据需要不定时的或定期的进行个人信息保护管理体系文书的修订和改善。6．个人信息保护管理体系文档的维持及改善要根据需要不定时的或定期进行个人信息保护管理体系文书的修订。①根据每年实施一次以上风险评估的结果、有必要追加或者变更管理措施时②组织的系统环境发生变更时③生重大个人信息保护事故时7．个人信息保护管理体系文档编号案例：某公司个人信息保护管理机制（５）（第1页）文件编号：某公司个人信息技术物理安全管理措施版本号：制定日期：修改日期：审批人：制定人：企业名称：××公司案例：某公司个人信息保护管理机制（５）（第2页）制定与修改记录案例：某公司个人信息保护管理机制（５）（第3页）目录1．公司员工及外来人员的出入管理及携带出公司的有关个人信息的管理2．防止硬件设备被盗、破损、漏水、停电等灾害的安全保护措施3．数据备份制度4．存储设备及媒介的管理、文件管理废弃制度5．访问权限的管理6．软件的管理及恶意软件的对策7．PC机及网络管