信息安全技术个人信息保护指南

我国首个个人信息保护国家标准将于2013年2月1日起开始实施，该标准最显著的特点，就是将个人信息分为个人一般信息和个人敏感信息，并提出默许同意和明示同意的

概念，而个人敏感信息就涉及个人隐私。

《信息安全技术个人信息保护指南》前言

本指南由工业和信息化部信息安全协调司提出。

本指南由全国信息安全标准化技术委员会归口。

本指南起草单位：中国软件评测中心、大连软件行业协会、中国软件行业协会、中国互联网协会、中国通信企业协会通信网络安全专业委员会、北京金山安全软件有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京新浪互联信息服务有限公司、北京百合在线科技有限公司、上海花千树信息科技有限公司、北京百度网讯科技有限公司等单位。

本指南主要起草人：高炽扬、孙鹏、朱璇、严霄凤、朱信铭、曹剑。

引言

伴随着信息技术的广泛应用和互联网的不断普及，个人信息在社会、经济活动中的地位日益凸显。与此同时，滥用个人信息的现象随之出现，给社会秩序和人民切身利益带来了危害。合理利用和有效保护个人信息已成为企业、个人和社会各界广泛关注的热点问题。

为提高个人信息保护意识，保护个人合法权益，促进个人信息的合理利用，指导和规范利用信息系统处理个人信息的活动，制定本指南。

个人信息保护指南

1范围

本指南明确了个人信息处理原则和个人信息主体的权利，提出了个人信息的收集、加工、转移、使用、屏蔽和删除等行为要求。法律、行政法规已规定了个人信息处理有关事项的，从其规定。

本指南适用于利用信息系统处理个人信息的活动。

2术语和定义

下列术语和定义适用于本指南。

2.1

个人信息 personal information

能够被知晓和处理、与具体自然人相关、能够单独或与其他信息结合识别该具体自然人的任何信息。

2.2

个人信息主体 subject of personal information

个人信息指向的自然人。

2.3

个人信息管理者administrator of personal information

对个人信息具有实际管理权的自然人或法人。

2.4

信息系统information system

由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

2.5

信息处理 processing of information

收集、加工、转移、使用、屏蔽、删除等处置信息的行为。

2.6

收集 collection

获取并记录个人信息的行为。

2.7

加工 alteration

录入、存储、修改、编辑、整理、汇编、检索、标注、比对、挖掘等除收集、使用、转移、屏蔽、删除之外的一切信息处理行为。

2.8

转移transmission

将存储或拥有的个人信息移交给其他自然人或法人的行为。

2.9

使用 use

运用个人信息的行为，包括向公众或特定群体披露、依据个人信息作出决定或决策，依据个人信息实施某种行动或行为等。

2.10

屏蔽 block

将个人信息进行特殊标注，限制其继续处理。

2.11

删除 erasure

从信息系统和载体上永久清除个人信息并不可恢复，从而毁灭该个人信息。

3个人信息处理原则

3.1概述

利用信息系统进行个人信息处理，应自觉遵守本指南确定的原则。

3.2目的明确原则

处理个人信息具有特定、明确、合理的目的，不扩大收集和使用范围，不改变目的处理个人信息。

3.3公开透明原则

处理个人信息之前，以明确、易懂和适宜的方式向个人信息主体告知处理个人信息的目的、处理个人信息的具体内容、个人信息的留存时限、个人信息保护的政策、个人信息主体的权利以及个人信息的使用范围和相关责任人等。

3.4质量保证原则

根据处理目的的需要保证收集的各项个人信息准确、完整，并处于最新状态。

3.5安全保障原则

采取必要的管理措施和技术手段，保护个人信息安全，防止未经授权检索、公开及丢失、泄露、损毁和篡改个人信息。

3.6合理处置原则

处理个人信息的方式合理，不采用非法、隐蔽、间接等方式收集个人信息，在达到既定目标后不再继续处理个人信息。

3.7知情同意原则

未经个人信息主体同意，不处理个人信息。在个人信息处理的过程中，为个人信息主体保障其权利提供必要的信息、途径和手段。

3.8责任落实原则

明确个人信息处理过程中的责任，采取必要的措施落实相关责任。

4个人信息主体的权利

4.1概述

利用信息系统处理个人信息时，个人信息管理者应采取必要的措施和手段保护个人信息主体的权利，除非基于法定事由或为避免公共利益受到重大影响，不应限制个人信息主体的权利。

个人信息主体的权利包括保密权、知情权、选择权、更正权和禁止权。

4.2保密权

个人信息主体有权利要求个人信息管理者采取必要的措施和手段，保护个人信息不为处理目的之外的任何自然人或法人所知。

4.3知情权

个人信息管理者对个人信息主体应尽到告知、说明和警示的义务。个人信息主体有权请求个人信息管理者如实告知之如下事项：

——是否拥有或正在处理其个人信息；

——拥有其个人信息的内容；

——获得其个人信息的渠道；

——处理其个人信息的目的和使用范围；

——保护其个人信息的政策和措施；

——披露或向其他机构提供其个人信息的范围；

——个人信息管理者的相关信息等。

4.4选择权

个人信息主体有权利选择同意或拒绝，信息管理者应为个人信息主体的选择权的行使提供条件，并履行通知、说明和警示的义务。

4.5更正权

个人信息主体有权利要求个人信息管理者维护其信息的完整性和准确性，对错误的信息有权利要求个人信息管理者予以及时更正。

4.6禁止权

个人信息主体有权利要求个人信息管理者停止对其个人信息当前的处理行为，有权利要求个人信息管理者屏蔽、删除其个人信息。

5个人信息保护要求

5.1个人信息收集

5.1.1个人信息管理者如需使用个人信息，应直接向个人信息主体收集，依照法律规定，或行使法律授权的收集除外。收集个人信息，应满足以下条件：

a) 法律法规明确授权或经个人同意；

b) 具有特定、明确、合理的目的；

c) 采用合理、适当的方法和手段。

5.1.2个人信息管理者不应在个人信息主体不知情、未参与的情况下采取隐蔽技术手段或采用间接方式收集个人信息。

5.1.3个人信息管理者收集个人信息前，应采用个人信息主体能够收悉的方式，至少向个人信息主体明确告知如下事项：

a) 收集个人信息的目的、使用范围和收集方式；

b) 个人信息管理者的名称、地址、联系办法；

c) 不提供个人信息可能出现的后果；

d) 个人信息主体的权利；

e) 个人信息主体的投诉渠道。

5.1.4个人信息管理者不应要求未满16周岁的未成年人提交个人信息，当发现信息提交者未满16周岁时，应给出明确提示并停止收集行为，为提供必要服务确需收集其个人信息的，应征得其监护人的同意。

5.1.5个人信息管理者不得收集与其所告知的信息收集目的无直接关系的个人信息，特别是揭示个人种族、宗教信仰、基因、指纹的信息，或与健康状况、性生活有关的信息。

5.2个人信息加工和委托加工

5.2.1个人信息管理者应在个人信息主体知晓的目的和范围内加工个人信息，并采取必要的措施和手段保障个人信息在加工过程中的安全。

5.2.2个人信息管理者需委托第三方对个人信息进行加工的，应在收集前向

个人信息主体说明。

5.2.3个人信息管理者委托第三方对个人信息进行加工时，应确保第三方是

达到本指南要求的、合格的第三方，并且应通过合同明确第三方的个人信息保护责任。

5.2.4个人信息管理者向接受委托的第三方转移个人信息时，应保证转移过

程中的个人信息安全。

5.2.5接受委托的第三方应按照法律法规的规定、本指南的要求和委托者的

合同，采取必要的措施和手段，保障个人信息在加工过程中的安全。

5.2.6接受委托的第三方完成个人信息加工任务并移交给委托者后，应删除

相关个人信息。

5.3个人信息转移

5.3.1个人信息管理者一般情况下不应向其他机构转移其收集的个人信息，

如需转移应当向个人信息主体说明转移的目的、转移的对象，并获得个人信息主体的明示同意。

5.3.2个人信息管理者向其他机构转移个人信息时，应确保个人信息的接收

者是达到本指南要求的、合格的接收者，应保障个人信息在转移过程中的安全。

5.3.3个人信息管理者与其他机构合并或被其他机构收购时，应在合同中明

确处理个人信息的目的不改变，并采取措施确保其个人保护水平不下降。

5.3.4个人信息管理者破产时，应采取措施确保个人信息主体的各项权利不

受损害。

5.3.5如法律法规没有明确规定，或未经行业主管部门同意，个人信息管理

者不应将个人信息转移给境外注册的个人信息管理者。

5.4个人信息使用、屏蔽和删除

5.4.1个人信息管理者应将收集的个人信息限定在收集时告知个人信息主体

的范围之内，不应向其他机构披露相关个人信息。

5.4.2未经个人信息主体明示同意，个人信息管理者不应公开其处理的个人

信息。

5.4.3个人信息使用应限于收集个人信息时告知的目的，除非法律法规有明

确规定或个人信息主体明示同意，不应超出目的使用个人信息。

5.4.4个人信息主体有正当理由要求删除其个人信息时，个人信息管理者应

及时删除个人信息。删除个人信息可能会影响公安机关调查取证时，个人信息管理者应采取适当的信息保全措施。

5.4.5个人信息使用完成后应删除，需要继续处理的，应采取匿名方式。保

存期限有明确规定的，按相关规定执行。

5.4.6个人信息主体发现其个人信息有误并要求修改时，个人信息管理者应

查验相关信息，并在核对正确后修改或补充相关信息。

5.4.7对于未满16周岁未成年人的个人信息，应强化保护措施和手段，不得超出收集时告知的使用目的之外使用其个人信息。

5.5个人信息管理

5.5.1个人信息管理者利用信息系统处理个人信息的，应制定个人信息保护

政策，建立个人信息管理制度，落实个人信息管理责任，加强个人信息安全管理，规范个人信息处理活动。

5.5.2个人信息管理者应指定专门机构或人员负责内部的个人信息保护工作，接受个人信息主体的投诉与质询。

5.5.3个人信息管理者应采取必要的措施和手段，保护个人信息安全，确保

但不限于以下目标：

a) 防止对个人信息处理场所和个人信息存储介质的未授权访问、损坏和干扰；

b) 处理个人信息时，应保证信息系统持续稳定运行；

c) 保证个人信息在信息系统中的保密性、真实性和完整性。

5.5.4个人信息管理者在个人信息主体提出查询请求时，应如实并免费地告知请求人与其相关的个人信息，除非告知成本或者请求频率超出合理的范围。

5.5.5个人信息管理者应加强个人信息风险管理，识别、分析、评估潜在的风险因素，制定风险应对策略，采取风险控制措施，监控风险变化。

5.5.6个人信息管理者应对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案，采取相应的预防和应对措施。

5.5.7个人信息管理者应制定个人信息保护的教育培训计划并组织落实。

5.5.8个人信息管理者应建立个人信息保护的内控机制，定期开展检查，并形成检查评估报告。

5.5.9个人信息管理者应建立持续完善机制，不断改进个人信息保护状况，提高个人信息保护的水平。

信息安全技术 公共及商用服务信息系统个人信息保护指南

信息安全技术公共及商用服务信息系统个人信息保护指南 随着信息技术的广泛应用和互联网的不断普及，个人信息在社会、经济活动中的地位日益凸显，滥用个人信息的现象随之出现，给社会秩序和个人切身利益带来了危害。为促进个人信息的合理利用，指导和规范利用信息系统处理个人信息的活动，制定本指导性技术文件。 信息安全技术公共及商用服务信息系统个人信息保护指南 1 范围 本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程，为信息系统中个人信息处理不同阶段的个人信息保护提供指导。 本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构，如电信、金融、医疗等领域的服务机构，开展信息系统中的个人信息保护工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 20269-2006 信息安全技术信息系统安全管理要求 GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南 3术语和定义 GB/T 20269-2006 和GB/Z 20986-2007中界定的以及下列术语和定义适用于本技术性指导文件。 3.1 信息系统information system 即计算机信息系统，由计算机（含移动通信终端）及其相关的和配套的设备、设施（含网络）构成，能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。 3.2 个人信息personal information 可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。 3.3 个人信息主体subject of personal information 个人信息指向的自然人。 3.4 个人信息管理者administrator of personal information 决定个人信息处理的目的和方式，实际控制个人信息并利用信息系统处理个人信息的组织和机构。 3.5 个人信息获得者receiver of personal information 从信息系统获取个人信息的个人、组织和机构，依据个人信息主体的意愿对获得的个人信息进行处理。 3.6 第三方测评机构third party testing and evaluation agency

应该如何保护我们个人信息安全

1.应该如何保护我们个人信息安全？ 对于个人的自我保护是网络隐私权保护第一重要环节。网民进行保护网络隐私权的方式有很多。 一是将个人信息与互联网隔离。当某计算机中有重要资料时，最安全的办法就是将该计算机与其他上网的计算机切断连接。这样，可以有效避免被入侵的个人数据隐私权侵害和数据库的删除、修改等带来的经济损失。换句话说，网民用来上网的计算机里最好不要存放重要个人信息。这也是目前很多单位通行的做法。 二是传输涉及个人信息的文件时，使用加密技术。在计算机通讯中，采用密码技术将信息隐蔽起来，再将隐蔽后的信息传输出去，使信息在传输过程中即使被窃取或截获，窃取者也不能了解信息的内容，发送方使用加密密钥，通过加密设备或算法，将信息加密后发送出去。接收方在收到密文后，使用解密密钥将密文解密，恢复为明文。如果传输中有人窃取，他也只能得到无法理解的密文，从而保证信息传输的安全。 三是不要轻易在网络上留下个人信息。网民应该非常小心保护自己的资料，不要随便在网络上泄露包括电子邮箱等个人资料。现在，一些网站要求网民通过登记来获得某些“会员”服务，还有一些网站通过赠品等方式鼓励网民留下个人资料。网民对此应该十分注意，要养成保密的习惯，仅仅因为表单或应用程序要求填写私人信息并不意味着你应该自动泄漏这些信息。如果喜欢的话，可以化被动为主动，用一些虚假信息来应付对个人信息的过分要求。当被要求中输入数据时，可以简单地改动姓名、邮政编号、社会保险号的几个字母，这就会使输入的信息跟虚假的身份相联系，从而抵制了数据挖掘和特征测验技术。对唯一标识身份类的个人信息应该更加小心翼翼，不要轻易泄漏。这些信息应该只限于在在线银行业务、护照重新申请或者跟可信的公司和机构打交道的事务中使用。即使一定要留下个人资料，在填写时也应先确定网站上是否具有保护网民隐私安全的政策和措施。 四是在计算机系统中安装防火墙。防火墙是一种确保网络安全的方法。防火墙可以被安装在一个单独的路由器中，用来过滤不想要的信息包，也可以被安装在路由器和主机中。在保护网络隐私权方面，防火墙主要起着保护个人数据安全和个人网络空间不受到非法侵入和攻击等作用。 五是利用软件，反制Cookie和彻底删除档案文件。如前所述，建立Cookie 信息的网站，可以凭借浏览器来读取网民的个人信息，跟踪并收集网民的上网习惯，对个人隐私权造成威胁和侵害。网民可以采取一些软件技术，来反制Cookie软件。另外，由于一些网站会传送一些不必要的信息给网络使用者的计算机中，因此，网民也可以通过每次上网后清除暂存在内存里的资料，从而保护自己的网络隐私权。 六是针对未成年人的网络隐私保护，除了对未成年人进行隐私知识和媒介素养教育外，应在家长或监护人的帮助下，借助相关的软件技术进行。

国外个人信息保护或隐私保护法规汇总

国外在企业收集、利用公众信息方面的 政策、措施、规定、法规。 一、美国 1.《隐私权法》 1974 年12 月31 日, 美国参众两院通过了《隐私权法》（Privacy Act）1, 1979 年, 美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》。该法又称《私生活秘密法》, 是美国行政法中保护公民隐私权和了解权的一项重要法律。就“行政机关”对个人信息的采集、使用、公开和保密问题作出详细规定, 以此规范联邦政府处理个人信息的行为, 平衡公共利益与个人隐私权之间的矛盾。2该法中的“行政机关”, 包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司, 以及行政部门的其他机构, 包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关, 但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。该法中的“记录”, 是指包含在某一记录系统中的个人记录。个人记录是指“行政机关根据公民的姓名或其他标识而记载的一项或一组信息”。其中, “其他标识”包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码, 以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。 《隐私权法》规定了行政机关“记录”的收集、登记、公开、保存等方面应遵守的准则。 2.《电子通讯隐私法》 到目前为止，美国并没有一部综合性法典对个人信息的隐私权提供保护，主2摘自《情报科学》，周健：美国《隐私权法》与公民个人信息保护

要依靠联邦和州政府制定的各种类型的隐私和安全条例。其中最为重要的条例是1986 年颁布的《电子通讯隐私法》（The Electronic Communication Privacy Act，简称ECPA）3。 尽管《电子通讯隐私法》还存在不足，但它是目前有关保护网络上的个人信息最全面的一部数据保护立法。《电子通讯隐私法》涵盖了声音通讯、文本和数字化形象的传输等所有形式的数字化通讯，它不仅禁止政府部门未经授权的窃听，而且禁止所有个人和企业对通讯内容的窃听，同时还禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。 3.《金融服务现代化法案》 Financial Services Modernization Act of 1999，也就是格雷姆-里奇-比利雷法（Gramm-Leach-Bliley Act，GLB Act）4，它规定了金融机构处理个人私密信息的方式。这部法案包括三部分：金融秘密规则（Financial Privacy Rule），它管理私密金融信息的收集和公开；安全维护规则（Safeguards Rule），它规定金融机构必须实行安全计划来保护这些信息；借口防备规定（Pretexting provisions），它禁止使用借口的行为（使用虚假的借口来访问私密信息）。这部法律还要求金融机构给顾客一个书面的保密协议，以说明他们的信息共享机制。 4、《儿童在线隐私权保护法案》 The Children’s Online Privacy Protection Act,，简称COPPA5，它规定网站经营者必须向父母提供隐私权保护政策的通知，以儿童为目标的网站必须在网站主页上或是从儿童处收集信息的每一网页上提供链接连接到此通知。它还详细规定了网站对13 岁以下儿童个人信息的收集和处理。 3摘自

网络与信息安全保障措施

网络与信息安全保障措施 信息安全保密制度 1、我公司建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息（即“九不准”），一经发现，立即删除。 3、遵守对网站服务信息监视，保存、清除和备份的制度。开展对网络有害信息的清理整治工作，对违法犯罪案件，报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定，网站将保存 60天内系统运行日志和用户使用日志记录，短信服务系统将保存 5个月以内的系统及用户收发短信记录。制定并遵守安全教

育和培训制度。加大宣传教育力度，增强用户网络安全意识，自觉遵守互联网管理有关法律、法规，不泄密、不制作和传播有害信息，不链接有害信息或网页。 安全技术保障措施 防病毒、防黑客攻击技术措施是防止不法分子利用互联网络进行破坏活动，保护互联网络和电子公告服务的信息安全的需要。我公司特此制定以下防病毒、防黑客攻击的安全技术措施： 1、所有接入互联网的计算机应使用经公安机关检测合格的防病毒产品并定期下载病毒特征码对杀毒软 件升级，确保计算机不会受到已发现的病毒攻击。 2、确保物理网络安全，防范因为物理介质、信号辐射等造成的安全风险。 3、采用网络安全控制技术，联网单位已采用防火墙、IDS等设备对网络安全进行防护。 4、使用漏洞扫描软件扫描系统漏洞，关闭不必要的服务端口。 5、制订口令管理制度，防止系统口令泄露和被暴力破解。 6、制订系统补丁的管理制度，确定系统补丁的更新、安装、发布措施，及时堵住系统漏洞。

互联网个人信息安全保护指南

互联网个人信息安全保护指南 前言 为有效防范侵犯公民个人信息违法行为，保障网络数据安全和公民合法权益，公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握 的情况，组织北京市网络行业协会和公安部第三研究所等单位相关专家，研究起草了《互联网个人信息安全保护指南》，供互联网服务单位在个人信息保护工作中参考借鉴。 1范围 本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。 适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作 参考使用。本文件适用于通过互联网提供服务的企业，也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069—2010 信息安全技术术语 GB/T 35273—2017 信息安全技术个人信息安全规范 GB/T 22239 信息安全技术网络安全等级保护基本要求（信息系统安全等 级保护基本要求） 3术语和定义 3.1 个人信息

以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 [中华人民共和国网络安全法，第七十六条（五）] 注：个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 3.2 个人信息主体 个人信息所标识的自然人。 [GB/T 35273-2017，定义3.3] 3.3 个人信息持有 对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。 3.4 个人信息持有者 对个人信息进行控制和处理的组织或个人。 3.5 个人信息收集 获得对个人信息的控制权的行为，包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集，以及通过共享、转让、搜集公开信息间接获取等方式。 [GB/T 35273-2017，定义3.5] 3.6 个人信息使用

信息安全技术互联网交互式服务安全保护管理制度

信息安全技术互联网交互式服务安全保护管理制度

锐理信息安全管理制度 目录 1.安全管理制度要求 1.1总则：为了切实有效的保证公司信息安全，提高信息系统为公司生产经营的服务能力，特制定交互式信息安全管理制度，设定管理部门及专业管理人员对公司整体信息安全进行管理，以确保网络与信息安全。 1.1.1建立文件化的安全管理制度，安全管理制度文件应包括： a)安全岗位管理制度； b)系统操作权限管理； c)安全培训制度； d)用户管理制度； e)新服务、新功能安全评估； f)用户投诉举报处理； g)信息发布审核、合法资质查验和公共信息巡查； h)个人电子信息安全保护； i)安全事件的监测、报告和应急处理制度； j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准，并向所有员工宣贯

2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度，明确主办人、主要负责人、安全责任人的职责：岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行，包括： 1.个人身份核查： 2.个人履历的核查： 3.学历、学位、专业资质证明： 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度，定期对所有工作人员进行信息安全培训，提高全员的信息安全意识，包括：

个人信息保护法律法规汇总

1、中华人民共和国宪法 第三十三条凡具有中华人民共和国国籍的人都是中华人民共和国公民。 中华人民共和国公民在法律面前一律平等。 国家尊重和保障人权。 第三十八条中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。 第三十九条中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。 第四十条中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。 第四十一条中华人民共和国公民对于任何国家机关和国家工作人员，有提出批评和建议的权利；对于任何国家机关和国家工作人员的违法失职行为，有向有关国家机关提出申诉、控告或者检举的权利，但是不得捏造或者歪曲事实进行诬告陷害。 对于公民的申诉、控告或者检举，有关国家机关必须查清事实，负责处理。任何人不得压制和打击报 由于国家机关和国家工作人员侵犯公民权利而受到损失的人，有依照法律规定取得赔偿的权利。 第四十七条中华人民共和国公民有进行科学研究、文学艺术创作和其他文化活动的自由。国家对于从事教育、科学、技术、文学、艺术和其他文化事业的公民的有益于人民的创造性工作，给以鼓励和帮助。 第五十一条中华人民共和国公民在行使自由和权利的时候，不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。 中华人民共和国宪法修正案（2004年） 第二十四条宪法第三十三条增加一款，作为第三款：“国家尊重和保障人权。”第三款相应地改为第四款。 2、中华人民共和国民法通则 第九十九条公民享有姓名权，有权决定、使用和依照规定改变自己的姓名，禁止他人干涉、盗用、假冒。 法人、个体工商户、个人合伙享有名称权。企业法人、个体工商户、个人合伙有权使用、依法转让自己的名称。 第一百条公民享有肖像权，未经本人同意，不得以营利为目的使用公民的肖像。第一百零一条公民、法人享有名誉权，公民的人格尊严受法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉。 第一百零二条公民、法人享有荣誉权，禁止非法剥夺公民、法人的荣誉称号。 3、中华人民共和国妇女权益保障法（2005修正） 主席令[2005]第40号 第四十二条妇女的名誉权、荣誉权、隐私权、肖像权等人格权受法律保护。

个人信息的保护和安全措施

个人信息的保护和安全措施 一、广电公众平台将尽一切合理努力保护获得的用户个人信息，并由专门的数据安全部门对个人信息进行保护。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用，广电公众平台已经并将继续采取以下措施保护用户的个人信息： 通过采取加密技术对用户个人信息进行加密保存，并通过隔离技术进行隔离。在个人信息使用时，例如个人信息展示、个人信息关联计算，广电公众平台会采用包括内容替换、加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。设立严格的数据使用和访问制度，采用严格的数据访问权限控制和多重身份认证技术保护个人信息，避免数据被违规使用。 二、保护个人信息采取的其他安全措施 1、通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。 2、建立数据安全专项部门，负责安全应急响应组织来推进和保障个人信息安全。 3、个人信息安全事件的通知 1）如发生个人信息引发的安全事件，广电公众平台将第一事件向相应主管机关报备，并即时进行问题排查，开展应急措施。 2）通过与全量用户发送通知提醒更改密码。还可能通过电话、短信等各种方式触达用户知晓，在公共运营平台运营宣传，制止数据

泄露。 尽管已经采取了上述合理有效措施，并已经遵守了相关法律规定要求的标准，但广电公众平台仍然无法保证用户的个人信息通过不安全途径进行交流时的安全性。因此，用户个人应采取积极措施保证个人信息的安全，如：定期修改账号密码，不将自己的账号密码等个人信息透露给他人。 网络环境中始终存在各种信息泄漏的风险，当出现意外事件、不可抗力等情形导致用户的信息出现泄漏时，广电公众平台将极力控制局面，及时告知用户事件起因、广电公众平台采取的安全措施、用户可以主动采取的安全措施等相关情况。

个人信息保护(精)

个人信息保护 摘要:随着个人信息侵权事件的频繁发生,有关个人信息保护的立法问题也成为学界关注的焦点,而对于个人信息权的保护模式一直是理论界关注的焦点之一。本文通过对美国和德国两国的个人信息权保护模式的分析,提出对我国个人信息权保护模式应选择人格权保护模式,将其确定为一项具体人格权加以保护。关键词:个人信息个人信息权保护模式 日常生活中,我们经常遇到这样的事情:超市开业,会员卡会莫名其妙地寄到了家里;新房刚拿到钥匙,就有装修公司跟踪而至;新车刚买,就接到电话,询问是否需要购买车辆保险等等。大量的个人信息在不知不觉中被收集、利用,现代人因此而成为“透明人”或“半透明人”,而个人信息保护制度的缺失使人们的工作和生活受到了严重影响,09年央视3.15晚会上的分众传媒“短信门”事件更提醒我们加强个人信息保护已经刻不容缓。因此,个人信息的法律保护就成为法律亟需解决的一个问题。虽然我国从2005年就已经开始将个人信息保护法纳入立法日程,但至今尚未出台,而对个人信息相关问题的争论在理论界也从未停止,对个人信息权保护模式的选择理论界也存在颇多争议,本文将对此进行探讨,发表本人一点浅薄的看法。 一、个人信息权 (一个人信息 个人信息是指可以识别出信息主体本人的一切信息的总和,包括了信息主体生理信息、心理信息、智力信息以及有关信息主体个体的信息、社会的信息、经济的信息、文化的信息、家庭的信息等等。对于个人信息,学界有不同的称谓,有的称为个人隐私,有的称为个人资料(数据,下面对这三个概念进行一下比较. 1.个人信息与个人隐私 隐私是近年来在我们生活中频繁出现的词语,一般是指不愿告诉别人的或不想公开的个人的事情,或者说与公共利益无关的个人私生活秘密方面的事情。“个人隐私”与“个人信息”最大的区别在于范围上的差异,个人信息的范围大于个人隐私,即

个人信息保护指南(征求意见稿)

个人信息保护指南（征求意见稿） 发布时间：2010-04-24 00:35 来源：作者： 第一章总则 第一条[目的] 为提高个人信息保护意识，保护个人合法权益，促进个人信息有序利用，指导和规范利用信息系统处理个人信息的活动，制定本指南。 第二条[适用范围和方式]企事业单位部分或全部采用信息系统进行个人信息处理时，可依据本指南的原则和要求，制定个人信息保护政策、个人信息处理准则或办法，规范本单位的个人信息处理活动。 行业协会、标准化组织、第三方机构等可依据本指南的原则和要求，制定个人信息处理自律手则、标准和评估办法等，规范、指导相关单位的个人信息处理活动。 第三条[不适用范围]本指南不适用于以下情况的个人信息处理活动： （1）因统计和科学研究需要由统计机构和研究机构匿名进行的个人信息处理； （2）因家庭事务和个人交往需要由自然人进行的个人信息处理； （3）法律法规对个人信息处理有明确规定的其他情形。

第四条[术语定义]本指南中， “个人信息”是指与特定自然人相关、能够单独或与其他信息结合识别该特定自然人的任何信息。 “个人信息主体”是指可通过个人信息识别的特定自然人。“信息处理”是指收集、储存、修改、编辑、整理、汇编、检索、标注、挖掘、转移、披露、公开、传输、交换、删除、销毁等等针对信息所进行的所有行为。 “信息系统”是指为实现信息处理目的，按照一定规则组合并运行的计算机及其配套的设备、设施（含网络）。 “收集”是指获取并记录个人信息的行为。 “加工”是指录入、整理、聚合、挖掘、恢复等除收集、转移、使用、销毁或删除之外的一切信息处理行为。 “转移”是指将保存或拥有的个人信息移交给其他自然人、法人或组织的行为。 “使用”是指运用个人信息的行为，包括向公众或特定群体披露、在决策中加以考虑、依据个人信息作出决定或决策，依据个人信息实施某种行动或行为等。 “销毁”是指从物理上毁灭记录个人信息的载体。 “删除”是指从信息系统和载体上永久清除个人信息并不可恢复。 第二章个人信息处理原则 第五条【遵循原则要求】利用信息系统进行个人信息处理，

个人信息安全保护技术的发展与策略

郑州工业应用技术学院课程设计（论文） 题目：个人信息安全保护技术概论 指导教师：郭军利 学生姓名：吴万强 学号： 1401120125 专业： 14级通信工程 院（系）：信息工程学院 2016年12月26日

目录 1 个人信息安全保护技术概论 (3) 1.1 背景简介 (3) 1.2 研究意义 (3) 1.3 国内外研究状况 (4) 2 个人信息安全保护技术发展趋势 (4) 2.1 主要技术和发展趋势 (4) 2.2 常见的安全威胁 (7) 3 个人信息安全防护策略 (7) 3.1 威胁计算机信息安全主要因素 (8) 3.1.1 黑客的威胁和攻击 (8) 3.1.2 计算机病毒 (8) 3.1.3 网络软件的漏洞 (8) 3.2 计算机信息安全的防护措施 (8) 3.2.1 设置身份鉴别系统 (8) 3.2.2 设制口令识别 (8) 3.2.3 安装防火墙技术软件 (9) 3.2.4 安装网络版防病杀毒软件 (9) 3.2.5 采取数据加密技术 (9) 3.2.6 加强管理解决信息安全的问题 (9) 4 总结 (9)

1个人信息安全保护技术概论 1.1背景简介 在21世纪的今天，随着计算机技术的不断发展，计算机的使用已经深入到人们生活工作中的每个角落，对其网络的应用以来也来越高，然而，随着计算机应用的普及，信息安全的问题也渐渐的浮出水面，大量的信息都出存在网络上，可能随时早到非法侵入，对信息安全造成威胁，因此，计算机网络信息安全及维护是非常重要的，必须引起高度的重视，本文阐述了关于计算机网络信息安全与防护的策略进行探讨分析，仅供参考。 由于互联网技术在全球的发展速度很迅猛，在给人们工作带来方便和带来物质享受的同时，在在承担着来自网络的安全威胁，例如像数据被剽窃、黑客的侵袭、系统内部的信息被盗等，虽然在计算机的系统里安装了很多的安全软件，但还是难免发生诸如的类似的情况，目前，怎样能够保证计算机网络信息的安全性和可靠性，是全球都在关注的话题. 1.2研究意义 从发展的眼光来看，Windows平台的发展方向已经从桌面应用转向网络应用，计算机用户也已经越来越离不开网络。这一方面大大提高了人们的工作效率，另一方面也对计算机上的信息安全提出了更高的要求。一个没有任何安全维护的网站的安全漏洞至少有1 500个，而这些漏洞恰恰使黑客攻击的主要目标。病毒、黑客、木马程序都对我们的系统安全造成严重的威胁。1999年4月26日的CIH 病毒大爆发给我国带来了数以亿计的损失，根据Financial Times的统计，全球平均每20s就有一个网络遭到非法入侵，Yahoo，Sina，263等很多国内外著名 站点都曾遭到黑客的攻击。 信息安全是一个相对的概念，有些用户认为只要使用了防病毒软件和防火墙产品，信息安全问题就可以迎刃而解，这是完全错误的。随着计算机操作系统漏洞的不断发现、新病毒和新的攻击手段的不断产生，我们只能使系统越来越安全，而做不到绝对的安全。 为了保护计算机系统里的各种信息，我们必须时刻保持高度的警惕。一方面要使用合格的防病毒软件和防火墙产品，并对其进行正确的设置；另一方面要了解病毒、木马程序、防病毒软件和防火墙等产品的基本知识，注意计算机系统漏洞、软件安全方面的最新信息，做到对自己的系统安全情况始终有一个清醒的认识。只有这样才能使你的系统受到最大程度的保护，从而保障个人信息的安全。

个人信息保护

个人信息保护 摘要：随着个人信息侵权事件的频繁发生，有关个人信息保护的立法问题也成为学界关注的焦点，而对于个人信息权的保护模式一直是理论界关注的焦点之一。本文通过对美国和德国两国的个人信息权保护模式的分析，提出对我国个人信息权保护模式应选择人格权保护模式，将其确定为一项具体人格权加以保护。关键词：个人信息个人信息权保护模式 日常生活中，我们经常遇到这样的事情：超市开业，会员卡会莫名其妙地寄到了家里；新房刚拿到钥匙，就有装修公司跟踪而至；新车刚买，就接到电话，询问是否需要购买车辆保险等等。大量的个人信息在不知不觉中被收集、利用，现代人因此而成为“透明人”或“半透明人”，而个人信息保护制度的缺失使人们的工作和生活受到了严重影响，09年央视3.15晚会上的分众传媒“短信门”事件更提醒我们加强个人信息保护已经刻不容缓。因此，个人信息的法律保护就成为法律亟需解决的一个问题。虽然我国从2005年就已经开始将个人信息保护法纳入立法日程，但至今尚未出台，而对个人信息相关问题的争论在理论界也从未停止，对个人信息权保护模式的选择理论界也存在颇多争议，本文将对此进行探讨，发表本人一点浅薄的看法。 一、个人信息权 （一）个人信息 个人信息是指可以识别出信息主体本人的一切信息的总和，包括了信息主体生理信息、心理信息、智力信息以及有关信息主体个体的信息、社会的信息、经济的信息、文化的信息、家庭的信息等等。对于个人信息,学界有不同的称谓,有的称为个人隐私,有的称为个人资料(数据),下面对这三个概念进行一下比较. 1.个人信息与个人隐私 隐私是近年来在我们生活中频繁出现的词语，一般是指不愿告诉别人的或不想公开的个人的事情，或者说与公共利益无关的个人私生活秘密方面的事情。“个人隐私”与“个人信息”最大的区别在于范围上的差异，个人信息的范围大于个人隐私，即“个人信息”包含“个人隐私”，个人隐私是个人信息的下位概念，是个人信息的一部分。如个人的手机号码、家庭住址、医药档案、职业等,这些也许算不上隐私，但都属于个人信息的范畴。如果我们在立法中选择“个人隐私”的概念，那就表示法律仅保护个人信息中涉及个人隐私的信息，而不保护不涉及

侵害公民个人电子信息的侵权行为及其责任_杨立新

文章编号：1674－5205（2013）03- 0147-（006）收稿日期：2013－01－03 作者简介：杨立新（1952—），男，山东蓬莱人，中国人民大学民 商事法律科学研究中心研究员，法学院教授，博士生导师。 侵害公民个人电子信息的侵权行为及其责任 杨立新 (中国人民大学民商事法律科学研究中心，北京100872) 〔摘 要〕全国人大常委会《关于加强网络信息保护的决定》规定了保护网络信息安全，制裁侵害公民个人 电子信息侵权行为的原则，对于侵害公民个人电子信息“侵害他人民事权益的，依法承担侵权责任”。这种侵权行为是一般侵权行为，《决定》列举的侵害公民个人电子信息的不同表现形式，应当根据《侵权责任法》第6条第1款关于过错责任原则的规定，确定构成要件、举证责任以及相应的责任承担方式。 〔关键词〕决定；公民个人电子信息；侵权行为；侵权责任；一般侵权行为 Abstract ：Decision of Strengthening Network Information Protection by the Standing Committee of National People＇s Congress prescribes the principles of protecting network information and punishing tortious conduct of infringing individual electronic information．When the above －mentioned situation happens ，tort liability shall be borne in accordance with the relevant laws．The said tortious conduct is a general tort．Different forms of infringing individual electronic information lis-ted in the Decision ，their constituent elements ，burden of proof and means of bearing tort liability should be determined in accordance with the fault liability principle in Para．1of Art．6of Tort Liability Law ． Key Words ：Decision of Strengthening Network Information Protection ；individual electronic information ；tortious con-duct ；tort liability ；general tort 中图分类号：DF0－052 文献标识码：A 2012年12月28日，第11届全国人大常委会第 30次会议通过了《关于加强网络信息保护的决定》（以下简称《决定》），于当天公布，立即生效施行。《决定》关于加强保护网络信息，特别是关于制裁侵害公民个人电子信息的侵权行为的规定，具有重要意义，需要进行解读和深入研究，以便更好地制裁侵权行为，保护好个人信息和隐私权。 一、确定加强网络信息保护制裁侵权行为的原则《决定》第1条开宗明义，规定了保护网络信息安全、制裁侵害公民个人电子信息侵权行为的一般原则， 即“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。《决定》确立这一原则是十分重要的。在实践中落实这一原则，保护公民个人电 子信息，制裁侵权行为，应当着重把握以下几个要点： 第一，《决定》的立法宗旨是保护公民个人身份 信息和个人隐私信息，同时也要强调保护公民的表达 自由，不能因为强调保护个人信息和隐私权而对公民的表达自由进行非法限制。对此， 最明确的界限是《宪法》第51条规定，即公民在行使自由和权利的时 候， 不得侵犯他人的自由和权利。凡是没有侵害他人自由和权利的行为，就是合法的行为，就在保护之列。违反这一规定的行为，才是应当制裁的违法行为。例 如，在网络上揭露“表哥”、“表叔”等腐败分子的罪行，并且最后通过司法程序将其绳之以法，不属于侵害个人信息的侵权行为，而属于表达自由、促进廉政 建设的正当行为，应当予以鼓励。为了社会公共利益的目的，在网络以及任何场合对违法犯罪行为进行揭露，或者以其他方法表达自己的意见，都不属于侵权行为，都应当受到法律的鼓励。 第二，应当加强对侵害公民个人电子信息侵权行为制裁的力度。近年来，社会生活中之所以侵害公民个人电子信息的行为十分猖獗， 其主要原因就是对这些侵权行为制裁不力。虽说在刑法、民法、行政法等方面都有针对侵害公民个人信息行为的制裁规定，但这些规定都不是特别明确和具体。同时，对于侵害个人信息刑事犯罪的起刑点过高，很难运用刑罚手段对

浅谈个人信息保护制度的完善

浅谈个人信息保护制度的完善 【摘要】个人信息是社会发展中的重要资源，信息技术的发展为个人信息的收集和处理提供了便利，同时在个人信息本身蕴含的利益驱动下，搜集与贩卖个人信息并从中牟利的事件频发并且成为了危害公众利益和社会秩序的不良现象，所以从法律层面强化个人信息的保护十分重要。本文从民法角度出发，对个人信息保护制度的完善做出探讨。 【关键词】个人信息；个人信息权；保护制度 一、在民法中对个人信息权进行明确规定 个人的信息不仅具有人格权属性，同时也具有财产权属性，对社会个体的个人信息进行保护同时也是对社会个体人格尊严的保护，所以个人信息权构建的理论基础为人格权理论。我国在《侵权责任法》以及《民法通则》中对肖像权、隐私权、名誉权等人格权利的保护进行了明确规定，所以在民法中对个人信息权进行明确规定符合我国在保护人格权方面的立法习惯。个人信息权所包括的内容应当体现为以下四个方面：一是社会个体对个人信息享有控制权。社会个体对个人信息的使用以及处置是社会个体支配人格利益的重要表现；二是社会个体对个人信息享有查询权。社会个体有权了解个人信息被使用以及被收集的情况，并且以这些内容为依据来对侵害个人信息权的行为提出异议；三是社会个体享有对个人信息进行更正的权利。社会个体为了让个人信息保持完整和正确，有权要求收集与使用个人信息的行为人采取相应措施对个人信息进行更正。如果社会个体发现个人信息出现错误后，不仅享有更正个人信息的权利，同时享有要求收集与处理个人信息的行为人将自身个人信息进行删除的权利；四是社会个体对个人信息享有救济权。当社会个体的个人信息被非法存储和传播时，社会个体有权利要求侵害个人信息的行为人停止侵害行为并赔偿相应损失。个人信息权保护的原则可以以《隐私保护与个人数据跨国流通指南》中的八项原则为参照，此八项原则分别为限制收集原则、信息完整正确原则、特地目的原则、限制利用原则、安全保护原则、公开原则、个人参与原则以及责任原则。 二、对个人信息财产利益的保护进行强化 在现实社会生活中，侵害他人个人信息的行为大部分都是受到经济利益的驱动，所以要对个人信息进行有效的保护，就应当从法律层面明确对个人信息财产利益的保护，在此前提下，如果没有经过信息主体的许可就利用其个人信息获取商业利益的行为，个人信息的拥有者则能够根据法律规定的救济权来请求民事赔偿。尤其是对于商业机构而言，其行为产生的主要动力是经济利益所发挥的驱动作用，而当商业机构必须为自身的侵权行为承担民事责任时，商业机构通过侵害他人个人信息所获得经济利益会被剥夺，在此基础上，商业机构选择放弃或者是降低侵害他人个人信息的倾向会更加明显，从而在很大程度上对侵害他人个人信息的行为进行抑制与预防。由于我国当前法律并没有明确个人的信息应当属于个人的财产范围，即个人的信息并没有财产权的属性，所以当个人信息受到侵害时，

注册个人信息保护专业人员白皮书.doc

谢谢观赏 注册个人信息保护专业人员 白皮书 发布日期：2019年 4 月 中国信息安全测评中心 中电数据服务有限公司

注册个人信息保护专业人员（CISP-PIP） 白皮书 咨询及索取 关于中国信息安全测评中心CISP-PIP考试相关信息，请与个人信息保护专业人员考试中心联系。 个人信息保护专业人员考试中心联系方式 【邮箱】xx 【地址】北京市海淀区知春路7号致真大厦C座14层 【邮编】100191 中电数据服务有限公司是中国电子信息产业集团有限公司旗下专注网络安全和人工智能，为国家重点行业、部门提供数据互联互通、数据安全管理及数据智能开放等服务的专业公司，以保障国家重要数据安全、推动行业大数据应用为己任。 2019年初，经中国信息安全测评中心授权，中电数据成立个人信息保护专业人员考试中心，开展注册个人信息保护专业人员（CISP-PIP）知识体系研发与维护、培训体系建立、考试中心组织管理、专项证书推广等工作。CISP-PIP是我国目前唯一的国家级个人信息保护专业人员资质评定。持证人员掌握国家网络安全顶层设计、网络安全体系结构、安全管理与工程、数据安全基础、个人信息安全规范、个人信息保护技术、个人信息保护实践、行业个人信息保护等知识，具备个人信息保护理论基础和实践能力，可在数据保护、信息审计、组织合规与风险管理等领域发挥专长，有效提升相关企业数据安全意识和保护能力，强化我国公民个人信息和国家重要数据安全保护水平。

目录 引言1 一、CISP-PIP知识体系结构2 二、CISP-PIP认证要求 3 三、CISP-PIP注册流程 3 四、CISP-PIP职业准则 4 五、CISP-PIP考生申请资料要求5 六、CISP-PIP收费标准 5 七、个人信息保护专业人员考试中心联系方式6

保护个人信息安全教案资料

保护个人信息安全

保护个人信息安全，共进和谐社会发展 ——关于黄石市民个人信息安全保护现状的调查报告 □潘兆刚（教育信息与技术学院1002班）【摘要】在现实世界中，个人信息随处可见，与我们的生活息息相关。随着经济的高速发展和网络技术的不断进步，个人信息的不当使用、滥用造成的隐患日益严重。提高个人信息的保护意识显得尤为重要。个人信息的保护从最初的隐私、尊严和自由的人格权要求到现在流行的财富积累保障的要求,很好地体现人权和社会经济发展的过程,从而影响到人们对这些发展的保障要求。个人信息,从字面上解释为有关个人一些状况的信息。更严格的定义是有着特定内涵的法律概念,他是指可以直接或间接的识别本人的信息。从个人信息的从个人信息的性质上看有个人私权利的属性。如今，个人信息的滥用和非法使用使得不少人对信息安全产生恐慌。其实说到底，个人信息的泄露与被滥用也是由一些客观原因引起的，首先是自身上的原因，可能自己对于自己的个人信息不太重视，觉得无所谓，就忽视了它的保护性。这是因为自己的个人信息保护意识不够而产生一些严重的后果。第二就是一些部门对一些用户的个人信息的保护不到位，从而从公司或者一些部门内部产生个人信息泄露，引起一些不必要的损失。在个人信息安全意识上，自己应该了解一些基本情况，比如说哪些不能随便的透露，哪些要安全保护的……个人信息有很大部分都是涉及到自己的隐私，所以在一些重要的个人信息被泄露后，也应该学会采取法律手段来保护自己的信息安全。对个人信息的保护在我国也不是一片空白。

对个人信息的保护从民法上通过对个人人格权的保护表现出来。我国民法中对人格权的保护见于民法通则的各个章节。这些条款表明了对个人信息保护已经有了立法上的体现。虽然人格,隐私、名誉、自由、信用等人格权的概念和范围各有不同。但是,对个人信息的非法使用侵害了以上或是更大范围的私权利。对这些权利的保护就是对个人信息的间接保护机制。在信息时代到来之前,个人信息的传播途径和方法比较原始和单一,个人信息的内容和保存的方法也比较单一。一般,个人信息只有个人的姓名、年龄、身高、体重、住址、单位、电话、学历、信仰。保存的方法有保存于单位的和学校的档案或是家庭户口所在的街道及村组织中。信息发达以后,不仅通信、通讯这类信息交流的方式上飞速发展,个人信息的内容从20世纪60、70年代的一般信息扩展到个人金融信息、交友信息、商业信息等更广阔的领域。对这些信息的非法使用已不仅仅是侵害个人人格权的问题,而是涉及到商业秘密的保护,个人信用的损害。目前，个人信息泄露的主要源头是在网络上，随着网络技术的不断提高，不少人也利用网络盗取他人的个人信息，进行一些非法活动，我国政府有关主管部门为了积极推动个人信息保护工作，制定了法规和规章，对互联网信息服务中的用户信息安全、电子邮件用户注册信息和邮件地址保密，提出了要求和规定。但从总体上看，我国目前还没有一个全面、系统的个人信息保护法律，许多的法律还有不足之处，有些人想方设法的找出法律漏洞进行偷盗个人信息而产生重大影响。保护个人信息的安全，是每个公民都必须做到的。

企业个人信息保护规章制度建立指导

大连软件及信息服务业个人信息保护评价指南 前言 大连软件及信息服务业个人信息保护评价指南，以下简称“指南”，是依据《大连软件及信息服务业个人信息保护规范》的要求，为大连软件及信息服务单位个人信息保护制度的建立提供的一个参考资料，主要包括单位个人信息保护的策略制定、风险评估、组织机构、规章制度的建立、实施、培训教育、监查、维护及改善的过程，单位可以参考“指南”，根据本单位的性质、业务范围、业务量等实际情况，同时参考国家相关信息安全标准和法规，建立本单位的个人信息保护制度。。 目录 一组织机构的建立和职能确定 二个人信息安全风险评估 三策略制定与宣传 四基本规章的制定 五详细规章制定 六运行实施 七运行状况的监查 八持续改善

一、组织机构的建立和职能确定 建立单位个人信息保护组织机构和确定单位个人信息保护负责人，并形成文件加以保存，在人员变动时应及时补充，保证单位个人信息保护组织机构的完整。单位领导者应在资金和资源上给予支持。 1、管理层： 任命个人信息保护负责人，负责单位个人信息保护体制的建立和整体规划，负责全单位的个人信息保护工作的开展，组织制定单位个人信息保护策略，组织单位个人信息保护基本规章制度的制定，组织部门个人信息保护责任人共同制定部门管理细则，组织培训教育及监查工作的实施； 2、部门负责人 1) 单位要明确各部门的个人信息保护权限及职责，并形成文件。指定各部门的个人信息保护责任人，负责本部门个人信息保护工作的开展和配合单位个人信息保护负责人制定本部门个人信息保护管理规定； 2) 指定个人信息保护培训与教育工作负责人，配合制定培训教育规定，制定培训教育计划，并负责教育计划的实施； 3、监查责任人 监查负责人可以在单位内部指定,也可以在单位外部聘请,监查负责人应该在单位领导者的直接领导下并具有独立性。负责定期或不定期对单位个人信息保护情况进行监查，负责写出监查报告并提出改进意见。 4、指定客户窗口责任人，负责接受客户和消费者的意见和建议，提出处理意见和促进意见的落实和反馈；在出现问题时负责与客户和消费沟通和讨论补偿措施及损失赔偿 二、个人信息安全风险评估 个人信息安全风险评估是制定个人信息保护安全措施的基础，单位应指派专人对单位个人信息安全风险进行评估，个人信息安全风险评估要按照单位业务、规模、自身能力和个人信息的使用过程中可能存在的问题进行分析，考虑到获取上的风险、利用上的风险、提供上的风险等，还要考虑到残余风险的存在和对策、考虑工作过程中新发生的个人信息的操作过程和新业务发生时新产生的风险，考虑到技术变化和环境变化可能会产生的风险。理解风险与规章的关系、风险与教育和监查的关系。个人信息安全风险评估主要应包括： 1、整理单位拥有的所有个人信息，并进行分类； 2、明确个人信息的使用过程、保存形式、保管方法、保存位置、接触人员，并做出流程