信息安全-个人信息保护规范-2016

ICS35.020L70DB21辽宁省地方标准DB21/T1628.1—2016代替DB21/T1628.1-2012信息安全个人信息保护规范InformationSecurity-SpecificationforPersonalInformationProtection2016-09-27发布2016-11-27实施辽宁省质量技术监督局发布DB21/T1628.1—2016I目次前言................................................................................IV引言.................................................................................V1范围..............................................................................12规范性引用文件....................................................................13术语、定义和缩略语................................................................14个人信息生命周期..................................................................45个人信息主体权利..................................................................46个人信息管理者....................................................................47个人信息管理......................................................................58管理机制..........................................................................79个人信息获取.....................................................................1010个人信息处理....................................................................1111安全管理........................................................................1312过程管理........................................................................1513例外............................................................................1614认证............................................................................17参考文献............................................................................18DB21/T1628.1—2016II前言DB21/T1628分为8部分：——信息安全个人信息保护规范——信息安全个人信息安全管理体系实施指南——信息安全个人信息数据库管理指南——信息安全个人信息管理文档管理指南——信息安全个人信息安全风险管理指南——信息安全个人信息安全管理体系安全技术实施指南——信息安全个人信息安全管理体系内审实施指南——信息安全个人信息安全管理体系过程管理指南等。本部分是DB21/T1628的第1部分。本部分按照GB/T1.1-2009《标准化工作导则第1部分：标准的结构与编写》给出的规则起草。本部分代替DB21/T1628.1-2012《信息安全个人信息保护规范》。与DB21/T1628.1-2012相比，本部分除编辑性修改外，主要技术变化如下：——标准结构修改，构建个人信息安全管理框架；——标准粒度修订，剔除规章制度等部分过细的约束规则；——适当跟踪新技术的发展，增加部分相关规则，如移动设备等；——增加个人定义，以使个人信息定义更加严谨，精确地描述个人信息；——修订个人信息定义；——增加主体定义，以使个人信息主体定义更加严谨，精确地描述个人信息主体；——修订个人信息主体定义，更加严谨、规范地描述个人信息主体；——定义个人信息生命周期，制定基于个人信息生命周期的个人信息安全规则；——定义个人信息管理者的行为约束；——建立被动收集的约束规则；——增加个人安全管理规则，以适应新一代信息技术应用对个人信息主体的安全威胁。本部分由大连市经济和信息化委员会提出。本部分由辽宁省经济和信息化委员会归口。本部分主要起草单位：大连软件行业协会、大连交通大学、辽宁省信息安全与软件测评认证中心。本部分主要起草人：郎庆斌、孙鹏、尹宏、丁宗安、孙毅、吕蕾蕾、杨莉、司丹、郭玉梅、杨万清、王小庚、宋悦、王开红、曹剑、李倩。本部分代替DB21/T1628.1-2012。DB21/T1628.1-2012的历次版本发布情况：——DB21/T1628-2008DB21/T1628.1—2016III引言DB21/T1628.1-2012已经发布实施近3年，在社会、经济、文化等各个领域的深刻变革中，对辽宁省个人信息安全起到了重要的指导作用。随着科学技术，特别是IT的进步和发展，引发新的个人信息安全危机，需要在新的形势下重新审视个人信息安全标准的普适性。管理是安全的关键，无论传统的个人信息形态，还是新一代信息技术的应用（如智慧城市、云服务、大数据、物联网等）。本标准再次修订，以管理为主线，以个人信息生命周期，即服务管理过程为导向，以个人信息安全和个人信息管理质量为目标，规定个人信息生命周期内管理要素的约束规则。DB21/T1628.1—20161信息安全个人信息保护规范1范围本标准规定了个人信息主体权利、个人信息生命周期、个人信息管理、管理机制、个人信息获取、个人信息处理、安全管理、过程管理等的基本规则和要求。本标准适用于自动或非自动处理全部或部分个人信息的机关、企业、事业、社会团体等组织及个人。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T19001/ISO9001质量管理体系要求DB21/T1628.2信息安全个人信息安全管理体系实施指南DB21/T1628.3信息安全个人信息数据库管理指南DB21/T1628.5信息安全个人信息安全风险管理指南3术语、定义和缩略语3.1术语和定义下列术语和定义适用于本文件。3.1.1个人personal基于自然规律出生，具有生物学意义和法理人格，并被赋予民事主体资格的自然人个体。3.1.2个人信息personalinformation依附于个人，并可描述个人基本形态的信息，包括：a）可通过听觉、视觉、触觉等感官直接识别个人的信息，如数字、文字、图像、影像、声音等；b）可借助各种手段间接识别个人的信息，如与个人相关各种信息对照、参考、分析等。3.1.3主体subject享受民事权利并承担民事义务的个人。3.1.4个人信息主体personalinformationsubjectDB21/T1628.1—20162可通过个人信息识别的、拥有该个人信息，享有该个人信息权益的个人。3.1.5个人信息管理者personalinformationcontroller获个人信息主体授权，基于特定、明确、合法目的，获取、管理个人信息的机关、企业、事业、社会团体等组织及个人。3.1.6个人信息安全personalinformationsecurity以安全为目的、以个人信息资源为核心，以服务管理流程为导向，构建相对稳定、安全的个人信息环境。3.1.7个人信息生命周期personalinformationlifecycle当个人信息主体同意直接收集个人信息直至个人信息彻底销毁的生命历程，是个人信息管理者向个人信息主体提供服务管理的过程。注1：个人信息生命周期可以是多重的，如间接收集应是个人信息生命周期内存在的新的生命周期。3.1.8个人信息管理personalinformationmanagement在个人信息生命周期内，计划、组织、协调、控制个人信息及相关资源、环境、管理体系等的相关活动或行为。3.1.9个人信息安全管理体系personalinformationSecuritymanagementsystem个人信息管理活动或行为的结果。基于个人信息管理目标，整合目标、方针、原则、方法、过程、审核、改进等管理要素，及实现要素的方法和过程，提高个人信息管理有效性的系统。3.1.10个人信息数据库personalinformationdatabase为实现一定目的，按照某种方式和规则组织的个人信息集合体。包括：a）可以通过自动处理检索特定的个人信息的集合体，如磁介质、电子、网络媒介等；b）可以采用非自动处理方式检索、查阅特定的个人信息的集合体，如纸介质、声音、照片等；c）前述2种混合形式；除前3项外，法律规定的可检索特定个人信息的集合体。注2：个人信息数据库，一般由a、b两种形式构成，形成逻辑统一的个人信息集合体。3.1.11个人信息收集personalinformationcollectDB21/T1628.1—20163基于特定、明确、合法的目的获取个人信息的行为。3.1.12个人信息处理personalinformationprocess自动或非自动处置个人信息的过程，如收集、加工、编辑、存储、检索、交换等及其它使用行为或活动。3.1.12.1自动处理automaticprocessing利用计算机及其相关和配套设备、信息网络系统、信息资源系统等，按照一定的应用目的和规则，收集、加工、编辑、存储、检索、交换等相关数据处置行为或活动。3.1.12.2非自动处理non-automaticprocessing除自动处理外的其它数据处置行为或活动。3.1.13利用utilize因某种利益交付第三方使用或因其它某种利益使用个人信息的行为。3.1.14个人信息主体同意personalinformationsubjectagreement个人信息管理活动或行为与个人信息主体意愿一致，个人信息主体明确表示赞成。表达形式包括：a）个人信息主体以书面形式同意；b）个人信息主体以可鉴证的、有规范记录的、满足书面形式要求的非书面形式同意。注3：下述情况视为个人信息主体同意：1）由监护人代表未成年的或无法做出正确判断的成年个人信息主体表达的意愿；2）个人信息管理者与个人信息主体签订合同中确认了相关个人信息处理的规定，个人信息主体同意履行合同。3.2缩略语3.2.1PDCAPlan-Do-Check-ActGB/T19001/ISO9001确立的全面质量管理应遵循的科学方法。本标准用于个人信息管理相关活动的质量管理。3.2.2PISMSpersonalinformationsecuritymanagementsystem个人信息安全管理体系。4个人信息生命周期DB21/T1628.1—20164个人信息生命周期应包括3个环节：a）个人信息获取过程：个人信息主体同意，基于特定、明确、合法目的，直接或间接收集个人信息；b）个人信息处理过程：基于收集目的的个人信息使用、利用过程