互联网个人信息安全保护指南 目 次 目 次 ............................................................................. II 引 言 ............................................................................ III 1 2 3 4 范围 ................................................................................ 1 规范性引用文件 ...................................................................... 1 术语和定义 .......................................................................... 1 管理机制 ............................................................................ 2 4.1 管理制度 ........................................................................ 2 4.2 管理机构 ........................................................................ 3 4.3 管理人员 ........................................................................ 3 5 技术措施 ............................................................................ 4 5.1 基本要求 ........................................................................ 4 5.2 增强要求 ........................................................................ 8 6 业务流程 ............................................................................ 8 6.1 收集 ............................................................................ 8 6.2 保存 ............................................................................ 8 6.3 应用 ............................................................................ 9 6.4 删除 ............................................................................ 9 6.5 第三方委托处理 .................................................................. 9 6.6 共享和转让 ..................................................................... 10 6.7 公开披露 ....................................................................... 10 6.8 应急处置 ....................................................................... 10 II 引 言 为有效防范侵犯公民个人信息违法行为，保障网络数据安全和公民合法权益，公安机关结合侦办 侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况，组织北京市网络行业协会和公安 部第三研究所等单位相关专家，研究起草了《互联网个人信息安全保护指南》 ，供互联网服务单位在个 人信息保护工作中参考借鉴。 III 互联网个人信息安全保护指南 1 范围 本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。 适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作参考使用。本文件适用于 通过互联网提供服务的企业，也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069—2010 信息安全技术 术语 GB/T 35273—2017 信息安全技术 个人信息安全规范 GB/T 22239 信息安全技术 网络安全等级保护基本要求（信息系统安全等级保护基本要求） 3 术语和定义 3.1 个人信息 以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但 不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 [中华人民共和国网络安全法，第七十六条（五）] 注：个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪 轨迹、住宿信息、健康生理信息、交易信息等。 3.2 个人信息主体 个人信息所标识的自然人。 [GB/T 35273-2017，定义 3.3] 3.3 个人信息持有 对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。 3.4 个人信息持有者 对个人信息进行控制和处理的组织或个人。 3.5 个人信息收集 获得对个人信息的控制权的行为，包括由个人信息主体主动提供、通过与个人信息主体交互或记录 个人信息主体行为等自动采集，以及通过共享、转让、搜集公开信息间接获取等方式。 [GB/T 35273-2017，定义3.5] 3.6 个人信息使用 1 通过自动或非自动方式对个人信息进行操作，例如记录、组织、排列、存储、改编或变更、检索、咨 询、披露、传播或以其他方式提供、调整或组合、限制、删除等。 3.7 个人信息删除 在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态。 [GB/T 35273-2017，定义 3.9] 3.8 个人信息生命周期 包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的 全部生命历程。 3.9 个人信息处理系统 处理个人信息的计算机信息系统，涉及个人信息生命周期一个或多个阶段（收集、保存、应用、委 托处理、共享、转让和公开披露、删除）。 4 管理机制 4.1 基本要求 个人信息处理系统的安全管理要求应满足GB/T 22239相应等级的要求。 4.2 管理制度 4.2.1 管理制度内容 a) 应制定个人信息保护的总体方针和安全策略等相关规章制度和文件，其中包括本机构的个人信 息保护工作的目标、范围、原则和安全框架等相关说明； b) 应制定工作人员对个人信息日常管理的操作规程； c) 应建立个人信息管理制度体系，其中包括安全策略、管理制度、操作规程和记录表单； d) 应制定个人信息安全事件应急预案。 4.2.2 管理制度制定发布 a) b) 应指定专门的部门或人员负责安全管理制度的制定； 应明确安全管理制度的制定程序和发布方式，对制定的安全管理制度进行论证和审定，并形成 论证和评审记录； c) 应明确管理制度的发布范围，并对发文及确认情况进行登记记录。 4.2.3 管理制度执行落实 a) b) c) 应对相关制度执行情况进行审批登记； 应保存记录文件，确保实际工作流程与相关的管理制度内容相同； 应定期汇报总结管理制度执行情况。 4.2.4 管理制度评审改进 a) 应定期对安全管理制度进行评审，存在不足或需要改进的予以修订； 2 b) 安全管理制度评审应形成记录，如果对制度做过修订，应更新所有下发的相关安全管理制度。 4.3 管理机构 4.3.1 管理机构的岗位设置 a) b) c) 应设置指导和管理个人信息保护的工作机构，明确定义机构的职责； 应由最高管理者或授权专人负责个人信息保护的工作； 应明确设置安全主管、安全管理各个方面的负责人，设立审计管理员和安全管理员等岗位，清 晰、明确定义其职责范围。 4.3.2 管理机构的人员配置 a) 应明确安全管理岗位人员的配备，包括数量、专职还是兼职情况等；配备负责数据保护的专门 人员； b) 应建立安全管理岗位人员信息表，登记机房管理员、系统管理员、数据库管理员、网络管理员、 审计管理员、安全管理员等重要岗位人员的信息，审计管理员和安全管理员不应兼任网络管理 员、系统管理员、数据库管理员、数据操作员等岗位。 4.4 管理人员 4.4.1 管理人员的录用 a) b) c) d) e) f) g) 应设立专门的部门或人员负责人员的录用工作； 应明确人员录用时对人员的条件要求，对被录用人的身份、背景和专业资格进行审查，对技术 人员的技术技能进行考核； 录用后应签署相应的针对个人信息的保密协议； 应建立管理文档，说明录用人员应具备的条件（如学历、学位要求，技术人员应具备的专业技 术水平，管理人员应具备的安全管理知识等）； 应记录录用人身份、背景和专业资格等，记录审查内容和审查结果等； 应记录录用人录用时的技能考核文档或记录，记录考核内容和考核结果等； 应签订保密协议，其中包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等 内容。 4.4.2 管理人员的离岗 a) 人员离岗时应办理调离手续，签署调离后个人信息保密义务的承诺书，防范内部员工、管理员 因工作原因非法持有、披露和使用个人信息； b) 应对即将离岗人员具有控制方法，及时终止离岗人员的所有访问权限，取回其身份认证的配件， 诸如身份证件、钥匙、徽章以及机构提供的软硬件设备；采用生理特征进行访问控制的，需要 及时删除生理特征录入的相关信息； c) 应形成对离岗人员的安全处理记录（如交还身份证件、设备等的登记记录）； d) 应具有