XXX个人信息内部管理制度和操作规程
XXX个人信息内部管理制度和操作规程
一、个人信息保护内部管理制度
第一条为加强公民个人信息保护,避免个人信息泄露和违法违规使用风险隐患,根据《民法典》《网络安全法》《数据安全法》《个人信息保护法》等法律法规制定本制度和操作规程。
第二条本办法所说的个人信息是指以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
第三条本制度和操作规程适用于XXX各内设机构业务开展和全体干部职工工作学习工作全过程。
第四条按照“谁主管谁负责、谁运维谁负责、谁使用谁负责,谁公开谁负责”的原则明确个人信息保护责任人,严格落实线上线下个人信息保护责任。工作业务中不得违法收集、使用、公开公民个人信息,不得泄露、公开他人隐私。
第五条加强行业指导,督促管理服务对象履行公民个人信息保护责任,特别是具有信息系统的服务对象,督促他们不得违法违规收集、存储、使用、加工、传输、提供、公开、删除个人信息,不得泄露、公开他人隐私。
第六条因工作原因确需收集个人信息的,需经当事人同意,当事人不同意的不得收集,在业务活动中收集的公民个人信息必须严格保密,非工作必要或未经当事人同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人隐私,依法收集的个人信息不得泄露、篡改、毁损,不得出售或者非法向他人提供。
第七条加强对本单位网站、APP、小程序、公众号、邮箱、群组的管理(只用列出单位有的信息系统),做好信息系统网络安全防范措施,依法加强对用户发布个人信息相关信息的审核。互联网群组建立者、管理者应当履行个人信息管理责任,依据法律法规、用户协议和平台公约,规范群组网络行为和信息发布。
第八条未经授权不得通过微博、微信、QQ、网站及抖音、快手等社交媒体和视频平台制作、转发、传播包含内部个人信息和隐私的图文音视频,涉个人信息的消息和敏感数据必须经过匿名化或脱敏处理后方可发布。
第九条对网传信息要科学甄别,转发网络信息要选择公开的官方权威信源渠道,来源不明的信息不轻信、未经证实的信息不转发,共同维护健康有序的网络环境和社会秩序。
第十条工作生活场景中要注意个人信息保护,不随意下载、注册不正规和来源不明的网站、APP、小程序等网络平台;不随意刷脸和扫描来源不明的二维码;管理好U盘、光盘等移动存储介质和废弃的电脑,不随意丢弃;不随意填写不正规的调查问卷;丢弃快递包装时,销毁快递单据上的个人信息;不随意丢弃火车票、机票、车票、船票等涉及个人信息数据的票据;到打印店打印材料后,要求删除相关信息;修理手机、电脑、服务器等信息系统时,提醒修理者不得下载和泄露数据;接不明电话时,不随意透露联系方式等个人信息;参与活动或礼品赠送等不随意留下下联系方式;加强安保等各类涉及个人信息登记记录本管理,不随意丢弃。
第十一条一旦发现泄露公民个人信息或者散布他人隐私的,应当及时采取删除等处置措施,保存有关记录,并向有关主管部门报告。
二、操作规程
第十二条个人信息操作处理(收集、存储、使用、加工、传输、提供、公开、删除等环节)的基本原则如下
(一)遵循合法、正当、必要和诚信原则;
(二)采取对个人权益影响最小的方式,限于实现处理目的的最小范围原则;
(三)处理个人信息应当遵循公开、透明原则;
(四)处理个人信息应当保证个人信息质量原则;
(五)采取必要措施确保个人信息安全原则。
第十三条收集
首先,要保证收集的目的与方式是合法、正当、必要、诚信的;
其次,范围要限于实现处理目的的最小范围,不得过度收集个人信息;再次,处理个人信息,需要得取得个人授权的同意,需要强调的是该同意应当由个人在充分知情的前提下自愿、明确作出。对于敏感个人信息、跨境个人信息处理、向其他数据处理者提供个人信息,需要取得个人的单独同意书。
第十四条传输
个人信息处理者需采取安全措施,如加密、去标识化、权限控制、防泄露监测等防止未经授权的访问以及个人信息泄露、篡改、丢失。若数据需要跨境传输,则需要经过国家网信办数据处境安全评估。
第十五条存储
在境内收集的个人信息的应当存储在境内;确需向境外提供的,应当进行安全评估。存储时亦需采取加密、去标识化、权限控制等安全措施,防止未经授权的访问以及个人信息泄露、篡改、丢失。
个人信息的保存期限应当为实现处理目的所必要的最短时间。
第十六条使用
在处理个人信息时,需采取以下措施:
(一)对个人信息实行分类管理;
(二)采取相应的加密、去标识化等安全技术措施;
(三)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(四)制定并组织实施个人信息安全事件应急预案
第十七条删除:
有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
若是存在第三方管理,在委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还或者予以删除,不得保留。
个人信息保护相关法律法规:《数据安全法》、《网络安全法》、《个人信息保护法》、《数据出境安全评估办法》、《个人信息跨境处理活动安全认证规范》等