【導(dǎo)語】近日，由公安部網(wǎng)絡(luò)安全保衛(wèi)局、公安部第三研究所和北京市網(wǎng)絡(luò)行業(yè)協(xié)會等相關(guān)專家共同研究制定的《互聯(lián)網(wǎng)個人信息安全保護指南》正式發(fā)布。該指南的出臺，旨在進一步貫徹落實《網(wǎng)絡(luò)安全法》并有效指導(dǎo)我國個人信息持有者建立健全公民個人信息安全。互聯(lián)網(wǎng)企業(yè)、聯(lián)網(wǎng)單位在今后的個人信息保護工作中可以借鑒該指南以更有效地展開工作。

　　互聯(lián)網(wǎng)個人信息安全保護指南

　　引 言

　　為有效防范侵犯公民個人信息違法行為，保障網(wǎng)絡(luò)數(shù)據(jù)安全和公民合法權(quán)益，公安機關(guān)結(jié)合偵辦侵犯公民個人信息網(wǎng)絡(luò)犯罪案件和安全監(jiān)督管理工作中掌握的情況，組織北京市網(wǎng)絡(luò)行業(yè)協(xié)會和公安部第三研究所等單位相關(guān)專家，研究起草了《互聯(lián)網(wǎng)個人信息安全保護指南》，供互聯(lián)網(wǎng)服務(wù)單位在個人信息保護工作中參考借鑒。

　　1. 范圍

　　本文件制定了個人信息安全保護的管理機制、安全技術(shù)措施和業(yè)務(wù)流程。

　　適用于個人信息持有者在個人信息生命周期處理過程中開展安全保護工作參考使用。本文件適用于通過互聯(lián)網(wǎng)提供服務(wù)的企業(yè)，也適用于使用專網(wǎng)或非聯(lián)網(wǎng)環(huán)境控制和處理個人信息的組織或個人。

　　2. 規(guī)范性引用文件

　　下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

　　GB/T 25069—2010 信息安全技術(shù) 術(shù)語

　　GB/T 35273—2017 信息安全技術(shù) 個人信息安全規(guī)范

　　GB/T 22239 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求（信息系統(tǒng)安全等級保護基本要求）

　　3. 術(shù)語和定義

　　3.1

　　個人信息

　　以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

　　[中華人民共和國網(wǎng)絡(luò)安全法，第七十六條（五）]

　　注：個人信息還包括通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

　　3.2

　　個人信息主體

　　個人信息所標識的自然人。[GB/T 35273-2017，定義3.3]

　　3.3

　　個人信息持有

　　對個人信息及相關(guān)資源、環(huán)境、管理體系等進行計劃、組織、協(xié)調(diào)、控制的相關(guān)活動或行為。

　　3.4

　　個人信息持有者

　　對個人信息進行控制和處理的組織或個人。

　　3.5

　　個人信息收集

　　獲得對個人信息的控制權(quán)的行為，包括由個人信息主體主動提供、通過與個人信息主體交互或記錄個人信息主體行為等自動采集，以及通過共享、轉(zhuǎn)讓、搜集公開信息間接獲取等方式。[GB/T 35273-2017，定義3.5]

　　3.6

　　個人信息使用

　　通過自動或非自動方式對個人信息進行操作，例如記錄、組織、排列、存儲、改編或變更、檢索、咨詢、披露、傳播或以其他方式提供、調(diào)整或組合、限制、刪除等。

　　3.7

　　個人信息刪除

　　在實現(xiàn)日常業(yè)務(wù)功能所涉及的系統(tǒng)中去除個人信息的行為，使其保持不可被檢索、訪問的狀態(tài)。[GB/T 35273-2017，定義3.9]

　　3.8

　　個人信息生命周期

　　包括個人信息持有者收集、保存、應(yīng)用、委托處理、共享、轉(zhuǎn)讓和公開披露、刪除個人信息在內(nèi)的全部生命歷程。

　　3.9

　　個人信息處理系統(tǒng)

　　處理個人信息的計算機信息系統(tǒng)，涉及個人信息生命周期一個或多個階段（收集、保存、應(yīng)用、委托處理、共享、轉(zhuǎn)讓和公開披露、刪除）。

　　4. 管理機制

　　4.1

　　基本要求

　　個人信息處理系統(tǒng)的安全管理要求應(yīng)滿足GB/T 22239相應(yīng)等級的要求。

　　4.2

　　管理制度

　　4.2.1　管理制度內(nèi)容

　　a)應(yīng)制定個人信息保護的總體方針和安全策略等相關(guān)規(guī)章制度和文件，其中包括本機構(gòu)的個人信息保護工作的目標、范圍、原則和安全框架等相關(guān)說明；

　　b)應(yīng)制定工作人員對個人信息日常管理的操作規(guī)程；

　　c)應(yīng)建立個人信息管理制度體系，其中包括安全策略、管理制度、操作規(guī)程和記錄表單；

　　d)應(yīng)制定個人信息安全事件應(yīng)急預(yù)案。

　　4.2.2　管理制度制定發(fā)布

　　a)應(yīng)指定專門的部門或人員負責(zé)安全管理制度的制定；

　　b)應(yīng)明確安全管理制度的制定程序和發(fā)布方式，對制定的安全管理制度進行論證和審定，并形成論證和評審記錄；

　　c)應(yīng)明確管理制度的發(fā)布范圍，并對發(fā)文及確認情況進行登記記錄。

　　4.2.3　管理制度執(zhí)行落實

　　a)應(yīng)對相關(guān)制度執(zhí)行情況進行審批登記；

　　b)應(yīng)保存記錄文件，確保實際工作流程與相關(guān)的管理制度內(nèi)容相同；

　　c)應(yīng)定期匯報總結(jié)管理制度執(zhí)行情況。

　　4.2.4　管理制度評審改進

　　a)應(yīng)定期對安全管理制度進行評審，存在不足或需要改進的予以修訂；

　　b)安全管理制度評審應(yīng)形成記錄，如果對制度做過修訂，應(yīng)更新所有下發(fā)的相關(guān)安全管理制度。

　　4.3

　　管理機構(gòu)

　　4.3.1　管理機構(gòu)的崗位設(shè)置

　　a)應(yīng)設(shè)置指導(dǎo)和管理個人信息保護的工作機構(gòu)，明確定義機構(gòu)的職責(zé)；

　　b)應(yīng)由最高管理者或授權(quán)專人負責(zé)個人信息保護的工作；

　　c)應(yīng)明確設(shè)置安全主管、安全管理各個方面的負責(zé)人，設(shè)立審計管理員和安全管理員等崗位，清晰、明確定義其職責(zé)范圍。

　　4.3.2　管理機構(gòu)的人員配置

　　a)應(yīng)明確安全管理崗位人員的配備，包括數(shù)量、專職還是兼職情況等；配備負責(zé)數(shù)據(jù)保護的專門人員；

　　b)應(yīng)建立安全管理崗位人員信息表，登記機房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、審計管理員、安全管理員等重要崗位人員的信息，審計管理員和安全管理員不應(yīng)兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、數(shù)據(jù)操作員等崗位。

　　4.4

　　管理人員

　　4.4.1　管理人員的錄用

　　a)應(yīng)設(shè)立專門的部門或人員負責(zé)人員的錄用工作；

　　b)應(yīng)明確人員錄用時對人員的條件要求，對被錄用人的身份、背景和專業(yè)資格進行審查，對技術(shù)人員的技術(shù)技能進行考核；

　　c)錄用后應(yīng)簽署相應(yīng)的針對個人信息的保密協(xié)議；

　　d)應(yīng)建立管理文檔，說明錄用人員應(yīng)具備的條件（如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識等）；

　　e)應(yīng)記錄錄用人身份、背景和專業(yè)資格等，記錄審查內(nèi)容和審查結(jié)果等；

　　f)應(yīng)記錄錄用人錄用時的技能考核文檔或記錄，記錄考核內(nèi)容和考核結(jié)果等；

　　g)應(yīng)簽訂保密協(xié)議，其中包括保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容。

　　4.4.2　管理人員的離崗

　　a)人員離崗時應(yīng)辦理調(diào)離手續(xù)，簽署調(diào)離后個人信息保密義務(wù)的承諾書，防范內(nèi)部員工、管理員因工作原因非法持有、披露和使用個人信息；

　　b)應(yīng)對即將離崗人員具有控制方法，及時終止離崗人員的所有訪問權(quán)限，取回其身份認證的配件，諸如身份證件、鑰匙、徽章以及機構(gòu)提供的軟硬件設(shè)備；采用生理特征進行訪問控制的，需要及時刪除生理特征錄入的相關(guān)信息；

　　c)應(yīng)形成對離崗人員的安全處理記錄（如交還身份證件、設(shè)備等的登記記錄）；

　　d)應(yīng)具有按照離職程序辦理調(diào)離手續(xù)的記錄。

　　4.4.3　管理人員的考核

　　a)應(yīng)設(shè)立專人負責(zé)定期對接觸個人信息數(shù)據(jù)工作的工作人員進行全面、嚴格的安全審查、意識考核和技能考核；

　　b)應(yīng)按照考核周期形成考核文檔，被考核人員應(yīng)包括各個崗位的人員；

　　c)應(yīng)對違反違背制定的安全策略和規(guī)定的人員進行懲戒；

　　d)應(yīng)定期考查安全管理員、系統(tǒng)管理員和網(wǎng)絡(luò)管理員其對工作相關(guān)的信息安全基礎(chǔ)知識、安全責(zé)任和懲戒措施、相關(guān)法律法規(guī)等的理解程度，并對考核記錄進行記錄存檔。

　　4.4.4　管理人員的教育培訓(xùn)

　　a)應(yīng)制定培訓(xùn)計劃并按計劃對各崗位員工進行基本的安全意識教育培訓(xùn)和崗位技能培訓(xùn)；

　　b)應(yīng)制定安全教育和培訓(xùn)計劃文檔，明確培訓(xùn)方式、培訓(xùn)對象、培訓(xùn)內(nèi)容、培訓(xùn)時間和地點等，培訓(xùn)內(nèi)容包含信息安全基礎(chǔ)知識、崗位操作規(guī)程等；

　　c)應(yīng)形成安全教育和培訓(xùn)記錄，記錄包含培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等。

　　4.4.5　外部人員訪問

　　a)應(yīng)建立關(guān)于物理環(huán)境的外部人員訪問的安全措施：

　　1)制定外部人員允許訪問的設(shè)備、區(qū)域和信息的規(guī)定；

　　2)外部人員訪問前需要提出書面申請并獲得批準；

　　3)外部人員訪問被批準后應(yīng)有專人全程陪同或監(jiān)督，并進行全程監(jiān)控錄像；

　　4)外部人員訪問情況應(yīng)登記備案。

　　b)應(yīng)建立關(guān)于網(wǎng)絡(luò)通道的外部人員訪問的安全措施：

　　1)制定外部人員允許接入受控網(wǎng)絡(luò)訪問系統(tǒng)的規(guī)定；

　　2)外部人員訪問前需要提出書面申請并獲得批準；

　　3)外部人員訪問時應(yīng)進行身份認證；

　　4)應(yīng)根據(jù)外部訪問人員的身份劃分不同的訪問權(quán)限和訪問內(nèi)容；

　　5)應(yīng)對外部訪問人員的訪問時間進行限制；

　　6)對外部訪問人員對個人信息的操作進行記錄。

　　5. 技術(shù)措施

　　5.1

　　基本要求

　　個人信息處理系統(tǒng)其安全技術(shù)措施應(yīng)滿足GB/T 22239相應(yīng)等級的要求，按照網(wǎng)絡(luò)安全等級保護制度的要求，履行安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

　　5.2

　　通用要求

　　5.2.1　通信網(wǎng)絡(luò)安全

　　5.2.1.1　網(wǎng)絡(luò)架構(gòu)

　　a)應(yīng)為個人信息處理系統(tǒng)所處網(wǎng)絡(luò)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；

　　b)個人信息處理系統(tǒng)應(yīng)作為重點區(qū)域部署，并設(shè)有邊界防護措施。

　　5.2.1.2　通信傳輸

　　a)應(yīng)采用校驗技術(shù)或密碼技術(shù)保證通信過程中個人信息的完整性；

　　b)應(yīng)采用密碼技術(shù)保證通信過程中個人信息字段或整個報文的保密性。

　　5.2.2　區(qū)域邊界安全

　　5.2.2.1　邊界防護

　　a)應(yīng)對跨越邊界訪問通信信息進行有效防護；

　　b)應(yīng)對非授權(quán)設(shè)備跨越邊界行為進行檢查或限制。

　　5.2.2.2　訪問控制

　　應(yīng)在個人信息處理系統(tǒng)邊界根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則。

　　5.2.2.3　入侵防范

　　應(yīng)在個人信息處理系統(tǒng)邊界部署入侵防護措施，檢測、防止或限制從外部、內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。

　　5.2.2.4　惡意代碼防范

　　應(yīng)在個人信息處理系統(tǒng)的網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新。

　　5.2.2.5　安全審計

　　a)應(yīng)在個人信息處理系統(tǒng)的網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，審計應(yīng)覆蓋到每個用戶、用戶行為和安全事件；

　　b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功，以及個人信息的范圍、類型、操作方式、操作人、流轉(zhuǎn)雙方及其他與審計相關(guān)的信息；

　　c)應(yīng)對審計記錄進行保護，定期備份并避免受到未預(yù)期的刪除、修改或覆蓋等；

　　d)審計記錄的留存時間應(yīng)符合法律法規(guī)的要求；

　　e)應(yīng)能夠?qū)�遠程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進行行為審計和數(shù)據(jù)分析。

　　5.2.3　計算環(huán)境安全

　　5.2.3.1　身份鑒別

　　a)應(yīng)對登錄個人信息處理系統(tǒng)的用戶進行身份標識和鑒別，身份鑒別標識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；

　　b)個人信息處理系統(tǒng)應(yīng)啟用登錄失敗處理功能，采取諸如結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；

　　c)個人信息處理系統(tǒng)進行遠程管理時，應(yīng)采取措施防止身份鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

　　d)個人信息處理系統(tǒng)應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)，密碼技術(shù)應(yīng)符合國家密碼主管部門規(guī)范。

　　5.2.3.2　訪問控制

　　a)應(yīng)對登錄個人信息處理系統(tǒng)的用戶分配賬戶和權(quán)限；

　　b)個人信息處理系統(tǒng)應(yīng)重命名或刪除默認賬戶，修改默認賬戶的默認口令；

　　c)個人信息處理系統(tǒng)應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；

　　d)個人信息處理系統(tǒng)應(yīng)進行角色劃分，并授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離；

　　e)個人信息處理系統(tǒng)應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略應(yīng)規(guī)定主體對客體的訪問規(guī)則；

　　f)個人信息處理系統(tǒng)的訪問控制的粒度應(yīng)達到主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表級；

　　g)個人信息處理系統(tǒng)應(yīng)對個人信息設(shè)置安全標記，并控制主體對有安全標記資源的訪問。

　　5.2.3.3　安全審計

　　a)個人信息處理系統(tǒng)應(yīng)啟用安全審計功能，并且審計覆蓋到每個用戶，應(yīng)對重要的用戶行為和重要的安全事件進行審計；

　　b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；

　　c)應(yīng)對審計記錄進行保護，進行定期備份并避免受到未預(yù)期的刪除、修改或覆蓋等；

　　d)審計記錄的留存時間應(yīng)符合法律法規(guī)的要求；

　　e)應(yīng)對審計進程進行保護，防止未經(jīng)授權(quán)的中斷。

　　5.2.3.4　入侵防范

　　a)個人信息處理系統(tǒng)應(yīng)遵循最小安裝的原則，只安裝需要的組件和應(yīng)用程序；

　　b)個人信息處理系統(tǒng)應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口；

　　c)個人信息處理系統(tǒng)應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進行限制；

　　d)個人信息處理系統(tǒng)應(yīng)能夠發(fā)現(xiàn)存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞；

　　e)個人信息處理系統(tǒng)應(yīng)能夠檢測到對重要節(jié)點的入侵行為并進行防御，并在發(fā)生嚴重入侵事件時提供報警；

　　5.2.3.5　惡意代碼防范和程序可信執(zhí)行

　　應(yīng)采取免受惡意代碼攻擊的技術(shù)措施或可信驗證機制對系統(tǒng)程序、應(yīng)用程序和重要配置文件/參數(shù)進行可信執(zhí)行驗證，并在檢測到其完整性受到破壞時采取恢復(fù)措施。

　　5.2.3.6　資源控制

　　a)應(yīng)限制單個用戶或進程對個人信息處理和存儲設(shè)備系統(tǒng)資源的最大使用限度；

　　b)應(yīng)提供重要節(jié)點設(shè)備的硬件冗余，保證系統(tǒng)的可用性；

　　c)應(yīng)對重要節(jié)點進行監(jiān)視，包括監(jiān)視CPU、硬盤、內(nèi)存等資源的使用情況；

　　d)應(yīng)能夠?qū)χ匾��?jié)點的服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警。

　　5.2.4　應(yīng)用和數(shù)據(jù)安全

　　5.2.4.1　身份鑒別

　　a)個人信息處理系統(tǒng)應(yīng)對登錄的用戶進行身份標識和鑒別，該身份標識應(yīng)具有唯一性，鑒別信息應(yīng)具有復(fù)雜度并要求定期更換；

　　b)個人信息處理系統(tǒng)應(yīng)提供并啟用登錄失敗處理功能，并在多次登錄后采取必要的保護措施；

　　c)個人信息處理系統(tǒng)應(yīng)強制用戶首次登錄時修改初始口令，當確定信息被泄露后，應(yīng)提供提示全部用戶強制修改密碼的功能，在驗證確認用戶后修改密碼；

　　d)用戶身份鑒別信息丟失或失效時，應(yīng)采取技術(shù)措施保證鑒別信息重置過程的安全；

　　e)應(yīng)采取靜態(tài)口令、動態(tài)口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上的組合鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)使用密碼技術(shù)來實現(xiàn)。

　　5.2.4.2　訪問控制

　　a)個人信息處理系統(tǒng)應(yīng)提供訪問控制功能，并對登錄的用戶分配賬戶和權(quán)限；

　　b)應(yīng)重命名或刪除默認賬戶，修改默認賬戶的默認口令；

　　c)應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；

　　d)應(yīng)授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，在它們之間形成相互制約的關(guān)系；

　　e)應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則；

　　f)訪問控制的粒度應(yīng)達到主體為用戶級，客體為文件、數(shù)據(jù)庫表級、記錄或字段級；

　　g)個人信息應(yīng)設(shè)置安全標記，控制主體對有安全標記資源的訪問。

　　5.2.4.3　安全審計

　　a)個人信息處理系統(tǒng)應(yīng)提供安全審計功能，審計應(yīng)覆蓋到每個用戶，應(yīng)對重要的用戶行為和重要的安全事件進行審計；

　　b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；

　　c)應(yīng)對審計記錄進行保護，定期備份，并避免受到未預(yù)期的刪除、修改或覆蓋等；

　　d)審計記錄的留存時間應(yīng)符合法律法規(guī)的要求；

　　e)應(yīng)對審計進程進行保護，防止未經(jīng)授權(quán)的中斷。

　　5.2.4.4　軟件容錯

　　a)應(yīng)提供個人信息的有效性校驗功能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合個人信息處理系統(tǒng)設(shè)定要求；

　　b)應(yīng)能夠發(fā)現(xiàn)個人信息處理系統(tǒng)軟件組件可能存在的已知漏洞，并能夠在充分測試評估后及時修補漏洞；

　　c)應(yīng)能夠在故障發(fā)生時，繼續(xù)提供一部分功能，并能夠?qū)嵤┍匾�的措施�?/p>

　　5.2.4.5　資源控制

　　a)在通信雙方中的一方在一段時間內(nèi)未做任何響應(yīng)時，另一方應(yīng)能夠自動結(jié)束會話；

　　b)應(yīng)對個人信息處理系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；

　　c)應(yīng)能夠?qū)�單個用戶的多重并發(fā)會話進行限制。

　　5.2.4.6　數(shù)據(jù)完整性

　　a)應(yīng)采取校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)和個人信息；

　　b)應(yīng)采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性，包括但不限于鑒別數(shù)據(jù)和個人信息。

　　5.2.4.7　數(shù)據(jù)保密性

　　a)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)和個人信息；

　　b)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)和個人信息。

　　5.2.4.8　數(shù)據(jù)備份恢復(fù)

　　a)應(yīng)提供個人信息的本地數(shù)據(jù)備份與恢復(fù)功能，定期對備份數(shù)據(jù)進行恢復(fù)測試，保證數(shù)據(jù)可用性；

　　b)應(yīng)提供異地實時備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實時備份至備份場地；

　　c)應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。

　　5.2.4.9　剩余信息保護

　　a)應(yīng)保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除；

　　b)應(yīng)保證存有個人信息的存儲空間被釋放或重新分配前得到完全清除。

　　5.3

　　擴展要求

　　5.3.1　云計算安全擴展要求

　　a)應(yīng)確保個人信息在云計算平臺中存儲于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定；

　　b)應(yīng)使用校驗技術(shù)或密碼技術(shù)保證虛擬機遷移過程中，個人信息的完整性，并在檢測到完整性受到破壞時采取必要的恢復(fù)措施；

　　c)應(yīng)使用密碼技術(shù)保證虛擬機遷移過程中，個人信息的保密性，防止在遷移過程中的個人信息泄露。

　　5.3.2　物聯(lián)網(wǎng)安全擴展要求

　　物聯(lián)網(wǎng)感知節(jié)點設(shè)備采集信息回傳應(yīng)采用密碼技術(shù)保證通信過程中個人信息的保密性。

　　6. 業(yè)務(wù)流程

　　6.1

　　收集

　　個人信息的收集行為應(yīng)滿足以下要求：

　　a)個人信息收集前，應(yīng)當遵循合法、正當、必要的原則向被收集的個人信息主體公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍等信息；

　　b)個人信息收集應(yīng)獲得個人信息主體的同意和授權(quán)，不應(yīng)收集與其提供的服務(wù)無關(guān)的個人信息，不應(yīng)通過捆綁產(chǎn)品或服務(wù)各項業(yè)務(wù)功能等方式強迫收集個人信息；

　　c)個人信息收集應(yīng)執(zhí)行收集前簽署的約定和協(xié)議，不應(yīng)超范圍收集；

　　d)不應(yīng)大規(guī)模收集或處理我國公民的種族、民族、政治觀點、宗教信仰等敏感數(shù)據(jù)；

　　e)個人生物識別信息應(yīng)僅收集和使用摘要信息，避免收集其原始信息；

　　f)應(yīng)確保收集個人信息過程的安全性：

　　1）收集個人信息之前，應(yīng)有對被收集人進行身份認證的機制，該身份認證機制應(yīng)具有相應(yīng)安全性；

　　2）收集個人信息時，信息在傳輸過程中應(yīng)進行加密等保護處理；

　　3）收集個人信息的系統(tǒng)應(yīng)落實網(wǎng)絡(luò)安全等級保護要求；

　　4）收集個人信息時應(yīng)有對收集內(nèi)容進行安全檢測和過濾的機制，防止非法內(nèi)容提交。

　　6.2

　　保存

　　個人信息的保存行為應(yīng)滿足以下要求：

　　a)在境內(nèi)運營中收集和產(chǎn)生的個人信息應(yīng)在境內(nèi)存儲，如需出境應(yīng)遵循國家相關(guān)規(guī)定；

　　b)收集到的個人信息應(yīng)采取相應(yīng)的安全加密存儲等安全措施進行處理；

　　c)應(yīng)對保存的個人信息根據(jù)收集、使用目的、被收集人授權(quán)設(shè)置相應(yīng)的保存時限；

　　d)應(yīng)對保存的個人信息在超出設(shè)置的時限后予以刪除；

　　e)保存信息的主要設(shè)備，應(yīng)對個人信息數(shù)據(jù)提供備份和恢復(fù)功能，確保數(shù)據(jù)備份的頻率和時間間隔，并使用不少于以下一種備份手段：

　　1)具有本地數(shù)據(jù)備份功能；

　　2)將備份介質(zhì)進行場外存放；

　　3)具有異地數(shù)據(jù)備份功能。

　　6.3

　　應(yīng)用

　　個人信息的應(yīng)用應(yīng)滿足以下要求：

　　a)對個人信息的應(yīng)用，應(yīng)符合與個人信息主體簽署的相關(guān)協(xié)議和規(guī)定，不應(yīng)超范圍應(yīng)用個人信息；

　　注：經(jīng)過處理無法識別特定個人且不能復(fù)原的個人信息數(shù)據(jù)，可以超出與信息主體簽署的相關(guān)使用協(xié)議和約定，但應(yīng)提供適當?shù)谋Ｗo措施進行保護。

　　b)個人信息主體應(yīng)擁有控制本人信息的權(quán)限，包括：

　　1)允許對本人信息的訪問；

　　2)允許通過適當方法對本人信息的修改或刪除，包括糾正不準確和不完整的數(shù)據(jù)，并保證修改后的本人信息具備真實性和有效性；

　　c)完全依靠自動化處理的用戶畫像技術(shù)應(yīng)用于精準營銷、搜索結(jié)果排序、個性化推送新聞、定向投放廣告等增值應(yīng)用，可事先不經(jīng)用戶明確授權(quán)，但應(yīng)確保用戶有反對或者拒絕的權(quán)利；如應(yīng)用于征信服務(wù)、行政司法決策等可能對用戶帶來法律后果的增值應(yīng)用，或跨網(wǎng)絡(luò)運營者使用，應(yīng)經(jīng)用戶明確授權(quán)方可使用其數(shù)據(jù)；

　　d)應(yīng)對個人信息的接觸者設(shè)置相應(yīng)的訪問控制措施，包括：

　　1)對被授權(quán)訪問個人信息數(shù)據(jù)的工作人員按照最小授權(quán)的原則，只能訪問最少夠用的信息，只具有完成職責(zé)所需的最少的數(shù)據(jù)操作權(quán)限；

　　2)對個人信息的重要操作設(shè)置內(nèi)部審批流程，如批量修改、拷貝、下載等；

　　3)對特定人員超限制處理個人信息時配置相應(yīng)的責(zé)任人或負責(zé)機構(gòu)進行審批，并對這種行為進行記錄。

　　e)應(yīng)對必須要通過界面（如顯示屏幕、紙面）展示的個人信息進行去標識化的處理。

　　6.4

　　刪除

　　a)個人信息在超過保存時限之后應(yīng)進行刪除，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外；

　　b)個人信息持有者如有違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息時，個人信息主體要求刪除其個人信息的，應(yīng)采取措施予以刪除；

　　c)個人信息相關(guān)存儲設(shè)備，將存儲的個人信息數(shù)據(jù)進行刪除之后應(yīng)采取措施防止通過技術(shù)手段恢復(fù)；

　　d)對存儲過個人信息的設(shè)備在進行新信息的存儲時，應(yīng)將之前的內(nèi)容全部進行刪除；

　　e)廢棄存儲設(shè)備，應(yīng)在進行刪除后再進行處理。

　　6.5

　　第三方委托處理

　　a)在對個人信息委托處理時，不應(yīng)超出該信息主體授權(quán)同意的范圍；

　　b)在對個人信息的相關(guān)處理進行委托時，應(yīng)對委托行為進行個人信息安全影響評估；

　　c)對個人信息進行委托處理時，應(yīng)簽訂相關(guān)協(xié)議要求受托方符合本文件；

　　d)應(yīng)向受托方進行對個人信息數(shù)據(jù)的使用和訪問的授權(quán)；

　　e)受托方對個人信息的相關(guān)數(shù)據(jù)進行處理完成之后，應(yīng)對存儲的個人信息數(shù)據(jù)的內(nèi)容進行刪除。

　　6.6

　　共享和轉(zhuǎn)讓

　　個人信息原則上不得共享、轉(zhuǎn)讓。如存在個人信息共享和轉(zhuǎn)讓行為時，應(yīng)滿足以下要求：

　　a)共享和轉(zhuǎn)讓行為應(yīng)經(jīng)過合法性、必要性評估；

　　b)在對個人信息進行共享和轉(zhuǎn)讓時應(yīng)進行個人信息安全影響評估，應(yīng)對受讓方的數(shù)據(jù)安全能力進行評估確保受讓方具備足夠的數(shù)據(jù)安全能力，并按照評估結(jié)果采取有效的保護個人信息主體的措施；

　　c)在共享、轉(zhuǎn)讓前應(yīng)向個人信息主體告知轉(zhuǎn)讓該信息的目的、規(guī)模、公開范圍數(shù)據(jù)接收方的類型等信息；

　　d)在共享、轉(zhuǎn)讓前應(yīng)得到個人信息主體的授權(quán)同意，與國家安全、國防安全、公共安全、公共衛(wèi)生、重大公共利益或與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的情形除外；

　　e)應(yīng)記錄共享、轉(zhuǎn)讓信息內(nèi)容，將共享、轉(zhuǎn)讓情況中包括共享、轉(zhuǎn)讓的日期、數(shù)據(jù)量、目的和數(shù)據(jù)接收方的基本情況在內(nèi)的信息進行登記；

　　f)在共享、轉(zhuǎn)讓后應(yīng)了解接收方對個人信息的保存、使用情況和個人信息主體的權(quán)利，例如訪問、更正、刪除、注銷等；

　　g)當個人信息持有者發(fā)生收購、兼并、重組、破產(chǎn)等變更時，個人信息持有者應(yīng)向個人信息主體告知有關(guān)情況，并繼續(xù)履行原個人信息持有者的責(zé)任和義務(wù)，如變更個人信息使用目的時，應(yīng)重新取得個人信息主體的明示同意。

　　6.7

　　公開披露

　　個人信息原則上不得公開披露。如經(jīng)法律授權(quán)或具備合理事由確需公開披露時，應(yīng)充分重視風(fēng)險，遵守以下要求：

　　a)事先開展個人信息安全影響評估，并依評估結(jié)果采取有效的保護個人信息主體的措施；

　　b) 向個人信息主體告知公開披露個人信息的目的、類型，并事先征得個人信息主體明示同意，與國家安全、國防安全、公共安全、公共衛(wèi)生、重大公共利益或與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的情形除外；

　　c) 公開披露個人敏感信息前，除6.7 b）中告知的內(nèi)容外，還應(yīng)向個人信息主體告知涉及的個人敏感信息的內(nèi)容；

　　d) 準確記錄和保存?zhèn)�人信息的公開披露的情況，包括公開披露的日期、規(guī)模、目的、公開范圍等；

　　e)承擔(dān)因公開披露個人信息對個人信息主體合法權(quán)益造成損害的相應(yīng)責(zé)任；

　　f)不得公開披露個人生物識別信息和基因、疾病等個人生理信息；

　　g)不得公開披露我國公民的種族、民族、政治觀點、宗教信仰等敏感數(shù)據(jù)分析結(jié)果。

　　7. 應(yīng)急處置

　　7.1

　　應(yīng)急機制和預(yù)案

　　a)應(yīng)建立健全網(wǎng)絡(luò)安全風(fēng)險評估和應(yīng)急工作機制，在個人信息處理過程中發(fā)生應(yīng)急事件時具有上報有關(guān)主管部門的機制；

　　b)應(yīng)制定個人信息安全事件應(yīng)急預(yù)案，包括應(yīng)急處理流程、事件上報流程等內(nèi)容；

　　c)應(yīng)定期（至少每半年一次）組織內(nèi)部相關(guān)人員進行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練，使其掌握崗位職責(zé)和應(yīng)急處置策略和規(guī)程，留存應(yīng)急培訓(xùn)和應(yīng)急演練記錄；

　　d)應(yīng)定期對原有的應(yīng)急預(yù)案重新評估，修訂完善。

　　7.2

　　處置和響應(yīng)

　　a)發(fā)現(xiàn)網(wǎng)絡(luò)存在較大安全風(fēng)險，應(yīng)采取措施，進行整改，消除隱患；發(fā)生安全事件時,應(yīng)及時向公安機關(guān)報告，協(xié)助開展調(diào)查和取證工作，盡快消除隱患；

　　b)發(fā)生個人信息安全事件后，應(yīng)記錄事件內(nèi)容，包括但不限于：發(fā)現(xiàn)事件的人員、時間、地點，涉及的個人信息及人數(shù)，發(fā)生事件的系統(tǒng)名稱，對其他互聯(lián)系統(tǒng)的影響，是否已聯(lián)系執(zhí)法機關(guān)或有關(guān)部門；

　　c)應(yīng)對安全事件造成的影響進行調(diào)查和評估，采取技術(shù)措施和其他必要措施，消除安全隱患，防止危害擴大；

　　d)應(yīng)按《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等相關(guān)規(guī)定及時上報安全事件，報告內(nèi)容包括但不限于：涉及個人信息主體的類型、數(shù)量、內(nèi)容、性質(zhì)等總體情況，事件可能造成的影響，已采取或?qū)⒁�采取的處置措施，事件處置相關(guān)人員的聯(lián)系方式；

　　e)應(yīng)將事件的情況告知受影響的個人信息主體，并及時向社會發(fā)布與公眾有關(guān)的警示信息。