一、前言

近年來，隨著信息技術的快速發展和互聯網應用的普及，越來越多的組織大量收集、使用個人信息。給人們生活帶來便利的同時，也出現了對個人信息的 非法收集、濫用、泄露 等問題，個人信息安全面臨嚴重威脅。

為了保護公民個人隱私數據不被肆意收集、濫用、泄漏甚至非法售賣，各國政府紛紛出臺相關法律政策文件，對公民個人隱私數據做出法律上的保護與行為規范。

2018年5月25日起，歐盟正式施行新版數據安全保護條例《General Data Protection Regulation》，即《一般數據保護條例》，人們認為史上最嚴的GDPR條款會改變整個互聯網現狀。

而我國也于2017年12月29號，由中華人名共和國國家質量監督檢驗檢疫總局與中國國家標準化管理委員會聯合發布《個人信息安全規范標準》，并規定于2018年5月1號起開始實施。

以上標準皆針對個人信息面臨的安全問題，規范個人信息控制者在 收集、保存、使用、共享、轉讓、公開披露 等信息處理環節中的相關行為。旨在遏制個人信息非法收集、濫用、泄漏等亂象，最大程度地保障個人的合法權益和社會公共利益。

這些數據保護條例將會極大地影響大數據行業的從業者們，以往混亂的數據市場將會被極其嚴格的監管重新調整、洗牌，亂象消失之后，相信相關行業能夠更加健康、穩健、安全地向前發展。

大數據行業的從業者們都應該了解并知曉相關基本的數據安全保護條例，健全自身數據安全意識，協助公司、行業一同完善數據安全管理體系。

本文以我國《個人信息安全規范標準》內容為主，參考部分歐盟《一般數據保護條例》，從 個人數據信息的收集、保存、使用、共享，到 個人數據信息的安全事件處置、組織的管理要求 等方面解讀需要從業者們關注的條規。

二、適用范圍

我國《個人信息安全規范標準》（下文簡稱本標準），規范了開展 收集、保存、使用、共享、轉讓、公開披露 等個人信息處理活動應遵循的 原則和安全要求。

覆蓋了個人信息處理活動的 全生命周期，并對周期內各個階段的活動內容定義了相應 需要遵守的原則、需要做到的安全要求。

適用于規范 各類組織的個人信息處理活動，也適用于 主管監管部門、第三方評估機構 等組織對個人信息處理活動進行 監督、管理和評估。

即所有涉及 個人信息處理活動的組織 都在本標準規定的范圍中。且相關的監管機構在對組織進行評估時，本標準的內容將會是其參考依據。

三、術語與定義

本標準圍繞著 個人信息處理活動 事件上定義了比較全面的基本術語與標準定義。這些術語定義將貫穿本標準全文，是理解本標準的基礎元素。

個人信息

以電子或者其他方式記錄的能夠 單獨或者與其他信息結合識別特定自然人身份、反映特定自然人活動情況 的各種信息。

如：姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

個人敏感信息

一旦泄露、非法提供或濫用可能 危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。

如：身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下(含)兒童 的個人信息等。

個人信息主體

個人信息所標識的自然人，即 個人信息的擁有者。

個人信息控制者

有權決定 個人信息 處理目的、方式 等的組織或個人。

收集

獲得對個人信息控制權 的行為，是個人信息控制者獲取個人信息的方式，包括：

• 主動提供：由個人信息 主體主動提供
• 自動采集：通過與個人信息主體 交互或記錄 個人信息主體行為等自動采集
• 間接獲取：以及通過 共享、轉讓、搜集公開信息 等方式。

另外，如果服務商提供工具給個人信息主體使用，提供者 不對個人信息進行訪問 則不屬于本標準范圍，比如工具軟件不上傳個人信息至提供者的情況。

明示同意

個人信息主體通過書面聲明或 主動做出肯定性動作，對其個人信息進行特定處理做出 明確授權 的行為。

即個人信息主體 主動同意、主動授權 的行為，肯定性動作包括個人信息主體主動作出聲明(電子或紙質形式)、主動勾選、主動點擊“同 意”、“注冊”、“發送”、“撥打”等。

用戶畫像

通過收集、匯聚、分析個人信息，對某特定自然人個人特征，如其職業、經濟、健 康、教育、個人喜好、信用、行為等方面做出分析或預測，形成其個人特征模型的過程。

• 直接用戶畫像：直接使用特定自然人的個人信息，形成該自然人的特征模型。
• 間接用戶畫像：使用來源于特定自然人以外的個人信息，如其所在群體的數據，形成該自然人的特征模型。

個人信息安全影響評估

針對 個人信息處理活動，檢驗其合法合規程度，判斷其 對個人信息主體合法權益造成損害 的各種風險，以及評估用于 保護個人信息主體的各項措施有效性 的過程。

評估關鍵點：

• 是否有損害個人信息主體權益的風險
• 是否有保護個人信息的安全措施

刪除

在實現日常業務功能所涉及的系統中去除個人信息的行為，使其 保持不可被檢索、 訪問的狀態。

公開披露

向社會或不特定人群發布信息的行為。

轉讓

將個人信息控制權由一個控制者向另一個控制者轉移的過程。

共享

個人信息控制者向其他控制者提供個人信息，且 雙方分別對個人信息擁有獨立控制權 的過程。

去標識化

通過對個人信息的技術處理，使其在 不借助額外信息 的情況下，無法識別 個人信息主體的過程。

去標識化建立在個體基礎之上，保留了個體顆粒度，采用 假名、加密、哈希函數 等技術手段替代對個人信息的標識。

匿名化

通過對個人信息的技術處理，使得個人信息主體 無法被識別，且處理后的信息 不能被復原 的過程。

個人信息經 匿名化 處理后所得的信息 不屬于個人信息。

匿名化是一種數據處理技術，可移除或修改個人身份信息，經過匿名化處理的數據 無法用來與任何個人關聯到一起。

常用的匿名化技術：

• 對數據進行泛化處理，實現K匿名效果
• 使用差別隱私向數據中添加噪聲

去標識化和匿名化的區別在于，信息一旦匿名化就再也無法與特定的人關聯在一起且無法恢復，而去標識化后，借助一些輔助信息仍然可以判斷信息所屬的特定所有人。

四、個人信息安全基本原則

個人信息控制者開展個人信息處理活動，應遵循以下基本原則:

• 權責一致原則：對其個人信息處理活動對個人信息主體合法權益造成的損害 承擔責任。
  • 即如果個人信息處理過程中對，個人信息所有者造成損害的，需要承擔相應責任。
• 目的明確原則：具有 合法、正當、必要、明確 的個人信息處理目的。
  • 個人信息控制者對個人信息處理活動的目的，需要 合法合規。
• 選擇同意原則：向個人信息主體明示個人信息處理目的、方式、范圍、規則等，征求其 授權同意。
  • 需要向個人信息所有者說明個人信息處理活動的詳細內容，并向其征求同意后才可進行。
• 最少夠用原則：除與個人信息主體另有約定外，只處理滿足個人信息主體授權同意的目的所需的 最少個人信息類型和數量。目的達成后，應及時 根據約定刪除個人信息。
  • 對于個人信息的處理活動，應該取涉及業務范圍內的最小內容，滿足業務需求即可。
  • 業務目標完成后，如有約定應及時刪除個人信息。
• 公開透明原則：以明確、易懂和合理的方式公開處理個人信息的 范圍、目的、規則 等，并接受外部監督。
  • 合理 地向外部披露個人信息處理活動的涉及范圍、處理目的以及處理規則。
• 確保安全原則：具備與所面臨的 安全風險相匹配的安全能力，并采取 足夠的管理措施和技術手段，保護個人信息的保密性、完整性、可用性。
  • 對個人信息的處理過程中，需要有 安全能力、管理措施和技術手段 保護個人信息 不泄露、不篡改、不缺失。
• 主體參與原則：向個人信息主體提供能夠訪問、更正、刪除其個人信息，以及撤回同意、注銷賬戶等方法。
  • 個人信息主體可以要求個人信息控制者對其個人信息進行 增刪改查操作，并可以 撤回此前的授權同意。

個人信息安全基本原則從個人信息處理活動的 事前、事中、事后 等各個方面為個人信息控制者規范了其 需要遵守的基本原則，進行個人信息處理活動的相關人員應以此原則為基礎 規范及完善其處理行為。

以此原則為基礎，5-10章將對個人信息處理活動中各個環節展開詳細的要求與解釋。

五、個人信息的收集

收集個人信息的合法性要求

• 不得欺詐、誘騙、強迫 個人信息主體提供其個人信息，必須為 主動同意;
• 不得隱瞞 產品或服務所具有的收集個人信息的功能，相關收集功能需 明確說明;
• 不得從 非法渠道 獲取個人信息;
• 不得收集法律法規 明令禁止 收集的個人信息。

收集個人信息的最小化要求

• 收集的個人信息的類型 應與實現產品或服務的 業務功能有直接關聯。直接關聯是指沒有該信息的參與，產品或服務的功能無法實現。與業務無關的信息不應收集;
• 自動采集個人信息的頻率 應是實現產品或服務的業務功能所 必需的最低頻率，以業務能夠運行的最低頻率收集;
• 自動采集時，不得妨礙相關網站正常運行。嚴重影響網站運行，如自動化訪問收集流量超過網站日均流量三分之一，網站要求停止自動化訪問收集時，應當停止。
• 間接獲取 個人信息的數量 應是實現產品或服務的業務功能所 必需的最少數量，保持業務能夠運行的數量后不應增加收集的數據量。

收集個人信息時的授權同意

• 收集個人信息前，應向個人信息主體 明確告知 所提供產品或服務的不同業務功 能分別收集的個人信息類型，以及收集、使用個人信息的規則，并獲得個人信息主體的 授權同意;
  • 例如收集和使用個人信息的目的、收集方式和頻率、存放地域、存儲期限、自身的數據安全能力、對外共享、轉讓、公開披露的有關情況等
• 間接獲取個人信息時:
  • 應要求個人信息提供方說明個人信息來源，并對其 個人信息來源的合法性 進行確認;
  • 應了解個人信息提供方已獲得的個人信息處理的 授權同意范圍，包括使用目的，個人信息主體 是否授權同意轉讓、共享、公開披露 等。
  • 如本組織開展業務需進行的個人信息處理活動 超出該授權同意范圍，應在獲取個人信息后的合理期限內或處理個人信息前，征得個人信息主體的明示同意。

征得授權同意的例外

以下情形中，個人信息控制者收集、使用個人信息無需征得個人信息主體的授權同意:

• 與國家安全、國防安全直接相關的;
• 與公共安全、公共衛生、重大公共利益直接相關的;
• 與犯罪偵查、起訴、審判和判決執行等直接相關的;
• 出于維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人同意的;
• 所收集的個人信息是個人信息主體自行向社會公眾公開的;
• 從合法公開披露的信息中收集個人信息的，如合法的新聞報道、政府信息公開 等渠道;
• 根據個人信息主體要求簽訂和履行合同所必需的;
• 用于維護所提供的產品或服務的安全穩定運行所必需的，例如發現、處置產品或服務的故障;
• 個人信息控制者為新聞單位且其在開展合法的新聞報道所必需的;
• 個人信息控制者為學術研究機構，出于公共利益開展統計或學術研究所必要，且其對外提供學術研究或描述的結果時，對結果中所包含的個人信息進行去標識化處理的;
• 法律法規規定的其他情形。

收集個人敏感信息時的明示同意

• 收集個人敏感信息時，應取得個人信息主體的明示同意。應確保個人信息主體的明示同意是其 在完全知情的基礎上自愿給出的、具體的、清晰明確的愿望表示;
• 通過主動提供或自動采集方式收集個人敏感信息前:
  • 對于核心業務功能：應向個人信息主體告知所提供產品或服務 核心業務功能及所必需收集的個人敏感信息，并明確告知拒絕提供或拒絕同意將 帶來的影響。應允許個 人信息主體選擇是否提供或同意自動采集;
  • 對于附加產品功能：需要收集個人敏感信息時，收集前應向個人信息主體 逐一說明 個人敏感信息為完成何種附加功能所必需，并允許個人信息主體 逐項選擇是否提供或同意 自動采集個人敏感信息。當個人信息主體拒絕時，可不提供相應的附加功能，但不應以此為理由 停止提供核心業務功能，并應保障相應的服務質量。
• 收集 年滿14的未成年人 的個人信息前，應征得 未成年人或其監護人的明示同意; 不滿14周歲 的，應征得其 監護人的明示同意。

隱私政策的內容和發布

• 個人信息控制者應制定隱私政策，內容應包括但不限于:
  • 個人信息控制者的 基本情況，包括注冊名稱、注冊地址、常用辦公地點和 相關負責人的聯系方式等;
  • 收集、使用個人信息的目的，以及目的所涵蓋的 各個業務功能，例如將個人信息用于推送商業廣告，將個人信息用于形成直接用戶畫像及其用途等;
  • 各業務功能分別收集的個人信息，以及收集方式和頻率、存放地域、存儲 期限等個人信息處理規則和實際收集的個人信息范圍;
  • 對外共享、轉讓、公開披露個人信息的目的、涉及的個人信息類型、接收個人信息的 第三方類型，以及所承擔的相應法律責任;
  • 遵循的個人信息安全基本原則，具備的數據安全能力，以及采取的個人信息安全保護措施;個人信息主體的權利和實現機制，如訪問方法、更正方法、刪除方法、注銷賬戶的方法、撤回同意的方法、獲取個人信息副本的方法、約束信息系 統自動決策的方法等;
  • 提供個人信息后 可能存在的安全風險，及不提供個人信息 可能產生的影響;
  • 處理個人信息主體 詢問、投訴的渠道和機制，以及 外部糾紛解決機構及聯絡方式。
• 隱私政策所告知的信息應 真實、準確、完整;
• 隱私政策的內容應清晰易懂，符合通用的語言習慣，使用標準化的數字、圖示等，避免使用有歧義的語言，并在起始部分提供摘要，簡述告知內容的重點;
• 隱私政策應 公開發布且易于訪問，例如，在網站主頁、移動應用程序安裝頁、社交媒體首頁等顯著位置設置鏈接;
• 隱私政策應 逐一送達個人信息主體。當成本過高或有顯著困難時，可以公告的形式發布;
• 在第一條所載事項發生變化時，應 及時更新隱私政策 并重新告知個人信息主體。

六、個人信息的保存

個人信息保存時間最小化

• 個人信息保存期限應為實現目的所必需的 最短時間;
• 超出上述個人信息保存期限后，應對個人信息進行 刪除或匿名化處理。

去標識化處理

收集個人信息后，個人信息控制者宜 立即進行去標識化處理，并采取技術和管理方面的措施，將 去標識化后的數據與可用于恢復識別個人的信息分開存儲，并確保在后續 的個人信息處理中 不重新識別個人。

個人敏感信息的傳輸和存儲

• 傳輸和存儲個人敏感信息時，應采用 加密等安全措施;
• 存儲 個人生物識別信息 時，應采用技術措施處理后再進行存儲，例如僅存儲個人生物識別信息的 摘要

個人信息控制者停止運營

當個人信息控制者停止運營其產品或服務時，應:

• 及時 停止 繼續收集個人信息的活動;
• 將停止運營的通知以逐一送達或公告的形式 通知個人信息主體;
• 對其所持有的個人信息進行 刪除或匿名化處理。

七、個人信息的使用

個人信息訪問控制措施

• 對被授權訪問個人信息的內部數據操作人員，應按照 最小授權的原則，使其只能訪問職責所需的最少夠用的個人信息，且僅具備完成職責所需的 最少的數據操作權限;
• 宜對個人信息的重要操作應設置 內部審批流程，如批量修改、拷貝、下載等;
• 應對安全管理人員、數據操作人員、審計人員的 角色進行分離設置;
• 如確因工作需要，需授權特定人員超權限處理個人信息的，應由個人信息保護責任人或個人信息保護工作機構進行 審批，并記錄在冊;
• 對個人敏感信息的訪問、修改等行為，宜在對角色的權限控制的基礎上，根據業務流程的需求觸發操作授權。例如，因收到客戶投訴，投訴處理人員才可訪問該用戶的相關信息。

個人信息的展示限制

涉及通過界面展示個人信息的(如顯示屏幕、紙面)，個人信息控制者宜對需展示的個人信息采取 去標識化處理 等措施，降低個人信息在展示環節的泄露風險。例如，在 個人信息展示時，防止內部非授權人員及個人信息主體之外的其他人員未經授權獲取個人信息。

個人信息的使用限制

• 除目的所必需外，使用個人信息時應消 除明確身份指向性，避免精確定位到特定個人。例如，為準確評價個人信用狀況，可使用直接用戶畫像，而用于推送商業廣告目的時，則宜使用間接用戶畫像;
• 對所收集的個人信息進行 加工處理而產生的信息，能夠單獨或與其他信息結合識別自然人個人身份，或者反映自然人個人活動情況的，應將其認定為個人信息。對其處理應遵循收集個人信息時獲得的 授權同意范圍;
• 使用個人信息時，不得超出 與收集個人信息時所聲稱的目的具有直接或 合理關聯的范圍。因業務需要，確需超出上述范圍使用個人信息的，應 再次征得個人信息主體明示同意。
• 網絡運營者利用用戶數據和算法推送新聞信息、商業廣告等，應當 以明顯方式標明“定推”字樣，并為用戶 提供停止接收定向推送信息 的功能;停止推送后應一并 刪除已經收集的設備識別碼等用戶數據和個人信息。
• 網絡運營者利用大數據、人工智能等技術自動合成新聞、博文、帖子、評論等信息，應 以明顯方式標明“合成”字樣;不得以謀取利益或損害他人利益為目的自動合成信息。

個人信息訪問

個人信息控制者應向個人信息主體提供訪問下列信息的方法:

• 其所持有的關于該主體的個人信息或類型;
• 上述個人信息的來源、所用于的目的;
• 已經獲得上述個人信息的第三方身份或類型。

個人信息更正

個人信息主體發現個人信息控制者所持有的該主體的個人信息有錯誤或不完整的，個人信息控制者應為其提供請求更正或補充信息的方法。

個人信息刪除

符合以下情形的，個人信息主體要求刪除的，應及時刪除個人信息:

• 個人信息控制者 違反法律法規規定，收集、使用個人信息的;
• 個人信息控制者 違反了與個人信息主體的約定，收集、使用個人信息的。
• 個人信息控制者 違反法律法規規定或違反與個人信息主體的約定向第三方共享、轉讓個人信息，且個人信息主體要求刪除的，個人信息控制者應立即停止共享、轉讓的行為，并 通知第三方及時刪除;
• 個人信息控制者 違反法律法規規定或與個人信息主體的約定，公開披露個人信息，且個人信息主體要求刪除的，個人信息控制者應 立即停止公開披露 的行為， 并發布通知 要求相關接收方刪除相應的信息。

個人信息主體撤回同意

• 應向個人信息主體提供方法撤回收集、使用其個人信息的同意授權。撤回同意后，個人信息控制者 后續不得再處理 相應的個人信息;
• 應保障個人信息主體 拒絕接收 基于其個人信息推送的商業廣告的權利。對外共享、轉讓、公開披露個人信息，應向個人信息主體提供撤回同意的方法。

個人信息主體注銷賬戶

• 通過注冊賬戶提供服務的個人信息控制者，應向個人信息主體 提供注銷賬戶的方法，且該方法應簡便易操作;
• 個人信息主體注銷賬戶后，應 刪除其個人信息或做匿名化處理。

個人信息主體獲取個人信息副本

根據個人信息主體的請求，個人信息控制者應為個人信息主體提供獲取以下類型個人信息副本的方法，或在技術可行的前提下直接將以下個人信息的副本傳輸給第三方:

• 個人基本資料、個人身份信息;
• 個人健康生理信息、個人教育工作信息。

響應個人信息主體的請求

• 在驗證個人信息主體身份后，應及時響應個人信息主體基于本標準提出的請求，應在 三十天內或法律法規規定的期限內做出答復及合理解釋，并告知個人信息主體向外部提出糾紛解決的途徑;
• 對合理的請求原則上 不收取費用，但對一定時期內多次重復的請求，可視情收取一定成本費用;
• 如直接實現個人信息主體的請求需要付出高額的成本或存在其他顯著的困難，個人信息控制者應向個人信息主體 提供其他替代性方法，以保護個人信息主體的合法權益;
• 以下情況可不響應個人信息主體基于本標準提出的請求，包括但不限于:
  • 與國家安全、國防安全直接相關的;
  • 與公共安全、公共衛生、重大公共利益直接相關的;
  • 與犯罪偵查、起訴、審判和執行判決等直接相關的;
  • 個人信息控制者有充分證據表明個人信息主體存在主觀惡意或濫用權利的;
  • 響應個人信息主體的請求將導致個人信息主體或其他個人、組織的合法權益受到嚴重損害的;
  • 涉及商業秘密的。

申訴管理

個人信息控制者應建立申訴管理機制，包括跟蹤流程，并在合理的時間內，對申訴進行響應。

八、個人信息的委托處理、共享、轉讓、公開披露

委托處理

• 個人信息控制者作出委托行為，不得超出已征得個人信息主體授權同意的范圍 或遵守本標準5.4規定的情形;
• 個人信息控制者應對委托行為進行 個人信息安全影響評估，確保 受委托者具備足夠的數據安全能力，提供了足夠的安全保護水平;
• 受委托者應:
  • 嚴格 按照個人信息控制者的要求 處理個人信息。如受委托者因特殊原因未按照個人信息控制者的要求處理個人信息，應及時 向個人信息控制者反饋;
  • 如受委托者確需再次委托時，應 事先征得個人信息控制者的授權;
  • 協助個人信息控制者響應個人信息主體基于本標準7.4至7.10提出的請求;
  • 如受委托者在處理個人信息過程中 無法提供足夠的安全保護水平或發生了安全事件，應及時 向個人信息控制者反饋;
  • 在委托關系 解除時不再保存個人信息。
• 個人信息控制者應對受委托者進行監督，方式包括但不限于:
  • 通過合同等方式規定受委托者的責任和義務;
  • 對受委托者進行審計。
• 個人信息控制者應準確 記錄和保存委托處理個人信息的情況。

個人信息共享、轉讓

個人信息原則上 不得共享、轉讓。

個人信息控制者確需共享、轉讓時，應充分重視風險。共享、轉讓個人信息，非因收購、兼并、重組原因的，應遵守以下要求:

• 事先開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的措施;
• 向個人信息主體告知共享、轉讓個人信息的目的、數據接收方的類型，并事先征得個人信息主體的 授權同意。共享、轉讓經去標識化處理的個人信息，且確 保數據接收方無法重新識別個人信息主體的除外;
• 共享、轉讓個人敏感信息前，除8.2中告知的內容外，還應向個人信息主體告知涉及的個人敏感信息的類型、數據接收方的身份和數據安全能力，并事先征得個人信息主體的明示同意;
• 準確記錄和 保存個人信息的共享、轉讓的情況，包括共享、轉讓的日期、規模、目的，以及數據接收方基本情況等;
• 承擔因共享、轉讓個人信息對個人信息主體合法權益造成損害的相應責任;
• 幫助個人信息主體 了解數據接收方對個人信息的保存、使用等情況，以及個人信息主體的權利，例如，訪問、更正、刪除、注銷賬戶等。

收購、兼并、重組時的個人信息轉讓

當個人信息控制者發生收購、兼并、重組等變更時，個人信息控制者應:

• 向個人信息主體告知有關情況;
• 變更后的個人信息控制者應繼續履行原個人信息控制者的責任和義務，如變更個人信息使用目的時，應重新取得個人信息主體的明示同意。

個人信息公開披露

個人信息原則上 不得公開披露。

個人信息控制者經法律授權或具備合理事由確需公開披露時，應充分重視風險，遵守以下要求:

• 事先開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的措施;
• 向個人信息主體 告知公開披露個人信息的目的、類型，并事先征得個人信息主體明示同意;
• 公開披露個人敏感信息前，除8.4中告知的內容外，還應向個人信息主體 告知涉及的個人敏感信息的內容;
• 準確 記錄和保存個人信息的公開披露的情況，包括公開披露的日期、規模、目的、公開范圍等;
• 承擔因公開披露個人信息對個人信息主體合法權益造成損害的相應責任;
• 不得公開披露個人生物識別信息。

共享、轉讓、公開披露個人信息時事先征得授權同意的例外

以下情形中，個人信息控制者共享、轉讓、公開披露個人信息無需事先征得個人信息主體的授權同意:

• 與國家安全、國防安全直接相關的;
• 與公共安全、公共衛生、重大公共利益直接相關的;
• 與犯罪偵查、起訴、審判和判決執行等直接相關的;
• 出于維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人同意的;
• 個人信息主體自行向社會公眾公開的個人信息;
• 從合法公開披露的信息中收集個人信息的，如合法的新聞報道、政府信息公開等渠道。

共同個人信息控制者

當個人信息控制者與第三方為共同個人信息控制者時(例如服務平臺與平臺上的簽約商家)，個人信息控制者應通過合同等形式與第三方共同 確定應滿足的個人信息安全要求，以及在個人信息安全方面自身和第三方應分別承擔的責任和義務,并向個人信息主體明確告知。

個人信息控制者在提供產品或服務的過程中 部署了收集個人信息的第三方插件(例如網站經營者與在其網頁或應用程序中部署統計分析工具、軟件開發工具包SDK、調用地圖API接口)，且 該第三方并未單獨向個人信息主體征得收集、使用個人信息的授權同意，則個人信息控制者與該第三方為 共同個人信息控制者。

個人信息跨境傳輸要求

在中華人民共和國 境內運營中收集和產生的個人信息向境外提供的，個人信息控制者應當 按照國家網信部門會同國務院有關部門制定的辦法和相關標準進行安全評估，并符合其要求。

九、個人信息安全事件處置

安全事件應急處置和報告

• 應制定個人信息 安全事件應急預案;
• 應 定期(至少每年一次)組織內部相關人員進行應急響應培訓和應急演練，使其掌握崗位職責和應急處置策略和規程;
• 發生個人信息安全事件后，個人信息控制者應根據應急響應預案進行以下處置:
  • 記錄事件內容，包括但不限于:發現事件的人員、時間、地點，涉及的個人信息及人數，發生事件的系統名稱，對其他互聯系統的影響，是否已聯系執法機關或有關部門;
  • 評估事件可能造成的影響，并采取必要措施控制事態，消除隱患
  • 按《國家網絡安全事件應急預案》的有關規定 及時上報，報告內容包括但不限于:涉及個人信息主體的類型、數量、內容、性質等總體情況，事件可能造成的影響，已采取或將要采取的處置措施，事件處置相關人員的聯 系方式;
  • 按照本標準9.2的要求實施安全事件的告知。
• 根據相關法律法規變化情況，以及事件處置情況，及時更新應急預案。

安全事件告知

• 應及時將事件相關情況以郵件、信函、電話、推送通知等方式 告知受影響的個人信息主體。難以逐一告知個人信息主體時，應采取合理、有效的方式發布與公眾有關的警示信息;
• 告知內容應包括但不限于:
  • 安全事件的內容和影響;
  • 已采取或將要采取的處置措施;
  • 個人信息主體自主防范和降低風險的建議;
  • 針對個人信息主體提供的補救措施;
  • 個人信息保護負責人和個人信息保護工作機構的聯系方式。

十、組織的管理要求

明確責任部門與人員

• 應明確其法定代表人或主要負責人 對個人信息安全負全面領導責任，包括為個人信息安全工作提供人力、財力、物力保障等;
• 應任命個人信息保護負責人和個人信息保護工作機構;
• 滿足以下條件之一的組織，應設立專職的個人信息保護負責人和個人信息保護工作機構，負責個人信息安全工作:
  • 主要業務涉及個人信息處理，且從業人員規模大于200人;
  • 處理超過50萬人的個人信息，或在12個月內預計處理超過50萬人的個人信息。
• 個人信息保護負責人和個人信息保護工作機構應履行的職責包括但不限于:
  • 全面統籌實施組織內部的個人信息安全工作，對個人信息安全負直接責任;
  • 制定、簽發、實施、定期更新隱私政策和相關規程;
  • 應建立、維護和更新組織所持有的個人信息清單(包括個人信息的類型、數量、來源、接收方等)和授權訪問策略;
  • 開展個人信息安全影響評估;
  • 組織開展個人信息安全培訓;
  • 在產品或服務上線發布前進行檢測，避免未知的個人信息收集、使用、共享等處理行為;
  • 進行安全審計。

開展個人信息安全影響評估

• 建立個人信息安全影響評估制度，定期(至少每年一次)開展個人信息安全影響評估;
• 個人信息安全影響評估應主要評估處理活動遵循個人信息安全基本原則的情況，以及個人信息處理活動對個人信息主體合法權益的影響，內容包括但不限于:
  • 個人信息收集環節 是否遵循目的明確、選擇同意、最少夠用等原則;
  • 個人信息處理是否可能對個人信息主體合法權益 造成不利影，包括處理是否會危害人身和財產安全、損害個人名譽和身心健康、導致歧視性待遇等;
  • 個人信息 安全措施的有效性;
  • 匿名化或去標識化處理后的數據集 重新識別出個人信息主體的風險;
  • 共享、轉讓、公開披露個人信息對個人信息主體合法權益 可能產生的不利影響;
  • 如發生安全事件，對個人信息主體合法權益 可能產生的不利影響。
• 在法律法規有新的要求時，或在業務模式、信息系統、運行環境發生重大變更時，或發生重大個人信息安全事件時，應重新進行個人信息安全影響評估;
• 形成個人信息安全影響評估報告，并以此采取保護個人信息主體的措施，使風險降低到可接受的水平;
• 妥善留存個人信息安全影響評估報告，確保可供相關方查閱，并以適宜的形式對外公開。

數據安全能力

個人信息控制者應根據有關國家標準的要求，建立適當的數據安全能力，落實必要的管理和技術措施，防止個人信息的泄漏、損毀、丟失。

人員管理與培訓

• 應與從事個人信息處理崗位上的相關人員簽署保密協議，對大量接觸個人敏感信息的人員進行背景審查;
• 應明確內部涉及個人信息處理不同崗位的安全職責，以及發生安全事件的處罰機制;
• 應要求個人信息處理崗位上的相關人員在調離崗位或終止勞動合同時，繼續履行保密義務;
• 應明確可能訪問個人信息的外部服務人員應遵守的個人信息安全要求，與其簽署保密協議，并進行監督;
• 應定期(至少每年一次)或在隱私政策發生重大變化時，對個人信息處理崗位上的相關人員開展個人信息安全專業化培訓和考核，確保相關人員熟練掌握隱私政策和相關規程。

安全審計

• 應對隱私政策和相關規程，以及安全措施的有效性進行審計;
• 應建立自動化審計系統，監測記錄個人信息處理活動;
• 審計過程形成的記錄應能對安全事件的處置、應急響應和事后調查提供支撐;
• 應防止非授權訪問、篡改或刪除審計記錄;
• 應及時處理審計過程中發現的個人信息違規使用、濫用等情況。

十一、相關法律法規

2018年5月9日：最高人民法院、最高人民檢察院聯合發布《關于辦理侵犯公民個人信息形式案件適用法律若干問題的解釋》。

解釋中說明，非法獲取、出售或者提供公民個人信息，具有下列情形之一的，應當認定為刑法第二百五十三條之一規定的 “情節嚴重”:

• 出售或者提供 行蹤軌跡信息，被他人用于犯罪的;
• 知道或者應當知道 他人利用公民個人信息實施犯罪，向其出售或者提供的;
• 非法獲取、出售或者提供 行蹤軌跡信息、通信內容、征信信息、財產信息 五十條以上 的;
• 非法獲取、出售或者提供 住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息 五百條以上 的;
• 非法獲取、出售或者提供 第三項、第四項規定以外的公民個人信息 五千條 以上的;
• 數量未達到第三項至第五項規定標準，但是按相應比例合計達到有關數量標準的;
• 違法所得 五千元以上 的;
• 將在履行職責或者提供服務過程中獲得的公民個人信息 出售或者提供給他人，數量或者數額達到第三項至第七項規定 標準一半以上 的;
• 曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法獲取、出售或者提供公民個人信息的;
• 其他情節嚴重的情形。

實施前款規定的行為，具有下列情形之一的，應當認定為刑法第二百五十三條之一第一款規定的 “情節特別嚴重”:

• 造成被害人 死亡、重傷、精神失常或者被綁架等嚴重后果 的;
• 造成 重大經濟損失或者惡劣社會影響 的;
• 數量或者數額達到前款第三項至第八項規定 標準十倍以上 的;
• 其他情節特別嚴重的情形。

2019年5月28日 國家互聯網辦公室發布《數據安全管理辦法（征求意見稿）》，明確說明：網絡運營者違反該辦法規定的，由有關部門依照相關法律、行政法規的規定， 根據情節 給予公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰，構成犯罪的，依法追究刑事責任。

總結

以上是生活随笔為你收集整理的个人信息安全管理条例解释的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。