ICS35.040 L80 中华人民共和国国家标准化指导性技术文件 GB/Z28828—2012 信 息安全技术 公共及商用服务信息系统 个人信息保护指南 Informationsecuritytechnology—Guidelineforpersonalinformation protectionwithininformationsystemforpublicandcommercialservices 2012-11-05发布 2013-02-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 个人信息保护概述 2 ……………………………………………………………………………………… 4.1 角色和职责 2 ………………………………………………………………………………………… 4.2 基本原则 3 …………………………………………………………………………………………… 5 信息处理过程中的个人信息保护 3 ……………………………………………………………………… 5.1 概述 3 ………………………………………………………………………………………………… 5.2 收集阶段 4 …………………………………………………………………………………………… 5.3 加工阶段 4 …………………………………………………………………………………………… 5.4 转移阶段 4 …………………………………………………………………………………………… 5.5 删除阶段 5 …………………………………………………………………………………………… 参考文献 6 ………………………………………………………………………………………………………GB/Z28828—2012 前 言 本指导性技术文件按照GB/T1.1—2009给出的规则起草。 本指导性技术文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本指导性技术文件起草单位:中国软件评测中心、北京赛迪信息技术评测有限公司、中国信息安全 测评中心、中国电子技术标准化研究院、大连软件行业协会、中国软件行业协会、中国互联网协会、中国 通信企业协会通信网络安全专业委员会、北京金山安全软件有限公司、深圳市腾讯计算机系统有限公 司、北京奇虎科技有限公司、北京新浪互联信息服务有限公司、北京百合在线科技有限公司、上海花千树 信息科技有限公司、北京百度网讯科技有限公司。 本指导性技术文件主要起草人:高炽扬、李守鹏、朱璇、杨建军、罗锋盈、何伟起、郭涛、彭勇、严霄凤、 刘陶、朱信铭、王芳、郭臣、唐刚、张宏伟、唐旺、刘淑鹤、张博、王颖、孙鹏、曹剑、尹宏、王开红。 本指导性技术文件为首次制定。 ⅠGB/Z28828—2012 引 言 随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显,滥 用个人信息的现象随之出现,给社会秩序和个人切身利益带来了危害。为促进个人信息的合理利用,指 导和规范利用信息系统处理个人信息的活动,制定本指导性技术文件。 ⅡGB/Z28828—2012 信息安全技术 公共及商用服务信息系统 个人信息保护指南 1 范围 本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人 信息处理不同阶段的个人信息保护提供指导。 本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如 电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/Z20986—2007 信息安全技术 信息安全事件分类分级指南 3 术语和定义 GB/Z20986—2007中界定的以及下列术语和定义适用于文件。 3.1 信息系统 informationsystem 计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成的,按 照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 注:改写GB/Z20986—2007,定义2.1。 3.2 个人信息 personalinformation 可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计 算机数据。 注:个人信息可以分为个人敏感信息和个人一般信息。 3.3 个人信息主体 subjectofpersonalinformation 个人信息指向的自然人。 3.4 个人信息管理者 administratorofpersonalinformation 决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。 3.5 个人信息获得者 receiverofpersonalinformation 从信息系统获取个人信息,并对获得的个人信息进行处理的个人、组织和机构。 1GB/Z28828—2012 3.6 第三方测评机构 thirdpartytestingandevaluationagency 独立于个人信息管理者的专业测评机构。 3.7 个人敏感信息 personalsensitiveinformation 一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。 注:各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。个人敏感信息可以 包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。 3.8 个人一般信息 personalgeneralinformation 除个人敏感信息以外的个人信息。 3.9 个人信息处理 personalinformationhandling 处置个人信息的行为,包括收集、加工、转移、删除。 3.10 默许同意 tacitconsent 在个人信息主体无明确反对的情况下,认为个人信息主体同意。 3.11 明示同意 expressedconsent 个人信息主体明确授权同意,并保留证据。 4 个人信息保护概述 4.1 角色和职责 4.1.1 综述 信息系统个人信息保护实施过程中涉及的角色主要有个人信息主体、个人信息管理者、个人信息获 得者和第三方测评机构,其职责见4.1.2~4.1.5。 4.1.2 个人信息主体 在提供个人信息前,要主动了解个人信息管理者收集的目的、用途等信息,按照个人意愿提供个人 信息;发现个人信息出现泄露、丢失、篡改后,向个人信息管理者投诉或提出质询,或向个人信息保护管 理部门发起申诉。 4.1.3 个人信息管理者 负责依照国家法律、法规和本指导性技术文件,规划、设计和建立信息系统个人信息处理流程;制定 个人信息管理制度、落实个人信息管理责任;指定专门机构或人员负责机构内部的个人信息保护工作, 接受个人信息主体的投诉与质询;制定个人信息保护的教育培训计划并组织落实;建立个人信息保护的 内控机制,并定期对信息系统个人信息的安全状况、保护制度及措施的落实情况进行自查或委托独立测 评机构进行测评。 管控信息系统个人信息处理过程中的风险,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡 改、不当使用等事件制定预案;发现个人信息遭到泄露、丢失、篡改后,及时采取应对措施,防止事件影响 进一步扩大,并及时告知受影响的个人信息主体;发生重大事件的,及时向个人信息保护管理部门通报。 2GB/Z28828—2012 接受个人信息保护管理部门对个人信息保护状况的检查、监督和指导,积极参与和配合第三方测评 机构对信息系统个人信息保护状况的测评。 4.1.4 个人信息获得者 依据个人信息主体的意愿处理个人信息。 当个人信息的获取是出于对方委托加工等目的,个人信息获得者要依照本指导性技术文件和委托 合同,对个人信息进行加工,并在完成加工任务后,立即删除相关个人信息。 4.1.5 第三方测评机构 从维护公众利益角度出发,根据个人信息保护管理部门和行业协会的授权,或受个人信息管理者的 委托,依据相关国家法律、法规和本指导性技术文件,对信息系统进行测试和评估,获取个人信息保护状 况,作为个人信息管理者评价、监督和指导个人信息保护的依据。 4.2 基本原则 个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循以下基本原则: a) 目的明确原则———处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息 主体不知情的情况下改变处理个人信息的目的。 b) 最少够用原则———只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个 人信息。 c) 公开告知原则———对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方 式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护 措施等信息。 d) 个人同意原则———处理个人信息前要征得个人信息主体