您的位置 > 首页 > 行业资讯 > 三部门联合发布互联网个人信息安全保护指南

                                        三部门联合发布互联网个人信息安全保护指南

                                        来源中国大数据产业观察数据观 | 2019-04-22 | 发布经管之家

                                        ‐导语/近日由公安部网络安全保卫局、公安部第三研究所和北京市网络行业协会等相关专家共同研究制定的ゞ互联网个人信息安全保护指南〃正式发布。该指南的出台旨在进一步贯彻落实ゞ网络安全法〃并?#34892;?#25351;导我国个人信息持有者建立健全公民个人信息安全。互联网企业、联网单位在今后的个人信息保护工作中可以借鉴该指南以更?#34892;?#22320;展开工作。互联网个人信息安全保护指南引 言为?#34892;?#38450;范侵犯公民个人信息违法行为保障网络数据安全和公民合法权益公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况组织北京市网络行业协会和公安部第三研究所等单位相关专家研究起草了ゞ互联网个人信息安全保护指南〃供互联网服务单位在个人信息保护工作中参考借鉴。1. 范围本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作参?#38469;?#29992;。本文件适用于通过互联网提供服务的企业也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。2. 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件仅注日期的版本适用于本文件。凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件。GB/T 25069!2010 信息安全技术 术语GB/T 35273!2017 信息安全技术 个人信息安全规范GB/T 22239 信息安全技术 网络安全等级保护基本要求信息系统安全等级保护基本要求3. 术语和定义3.1个人信息以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。[中华人民共和国网络安全法第七十六条五]注个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。3.2个人信息主体个人信息所标识的自然人。[GB/T 35273-2017定义3.3]3.3个人信息持有对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控?#39057;南?#20851;活动或行为。3.4个人信息持有者对个人信息进行控制和处理的组织或个人。3.5个人信息收集获得对个人信息的控制权的行为包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集以及通过共享、转让、搜集公开信息间接获取等方式。[GB/T 35273-2017定义3.5]3.6个人信息使用通过自动或非自动方式对个人信息进行操作例如记录、组织、排列、存储、改编或变更、检索、咨询、披露、传播或以其他方式提供、调整或组合、限制、?#22659;?#31561;。3.7个人信息?#22659;?#22312;实现日常业务功能所涉及?#21335;低持?#21435;除个人信息的行为使其保持不可被检索、访问的状态。[GB/T 35273-2017定义3.9]3.8个人信息生命周期包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、?#22659;?#20010;人信息在内的全部生命历程。3.9个人信息处理系统处理个人信息的计算机信息系统涉及个人信息生命周期一个或多个阶段收集、保存、应用、委托处理、共享、转让和公开披露、?#22659;?. 管理机制4.1基本要求个人信息处理系统的安全管理要求应满足GB/T 22239相应等级的要求。4.2管理制度4.2.1管理制度内容a)应制定个人信息保护的总体方针和安全策略等相关规章制度和文件其中包括本机构的个人信息保护工作的目标、范围、原则和安全框架等相关?#24471;b)应制定工作人员对个人信息日常管理的操作规程c)应建立个人信息管理制度体系其中包括安全策略、管理制?#21462;?#25805;作规程和记录表单d)应制定个人信息安全事件应急预案。4.2.2管理制度制定发布a)应指定专门的部门或人员负责安全管理制度的制定b)应明确安全管理制度的制定程序和发布方式对制定的安全管理制度进行论证和审定并形成论证和评审记录c)应明确管理制度的发布范围并对发文及确认情况进行登记记录。4.2.3管理制度执行落实a)应对相关制度执行情况进行审批登记b)应保存记录文件确保?#23548;?#24037;作流程与相关的管理制度内容相同c)应定期汇报总结管理制度执行情况。4.2.4管理制度评审改进a)应定期对安全管理制度进行评审存在不足或需要改进的予以修订b)安全管理制度评审应形成记录如果对制度做过修订应更新所有下发?#21335;?#20851;安全管理制?#21462;?.3管理机构4.3.1管理机构的岗位设置a)应设置指导和管理个人信息保护的工作机构明确定义机构的职责b)应由最高管理者或授权专人负责个人信息保护的工作c)应明确设置安全主管、安全管理各个方面的负责人设立审计管理员和安全管理员等岗位清晰、明确定义其职责范围。4.3.2管理机构的人员配置a)应明确安全管理岗位人员的配备包括数量、专职还是兼职情况等配备负责数据保护的专门人?#20445;b)应建立安全管理岗位人员信息表登记机房管理员、系?#24443;?#29702;员、数据库管理员、网络管理员、审计管理员、安全管理员等重要岗位人员的信息审计管理员和安全管理员不应兼任网络管理员、系?#24443;?#29702;员、数据库管理员、数据操作员等岗位。4.4管理人员4.4.1管理人员的录用a)应设立专门的部门或人员负责人员的录用工作b)应明确人员录用时对人员的条件要求对被录用人的身份、背景和专业资格进行审查对技术人员的技术技能进行考核c)录用后应签署相应的针对个人信息的保密协议d)应建立管理文档?#24471;?#24405;用人员应具备的条件如学历、学位要求技术人员应具备的专?#23548;?#26415;水平管理人员应具备的安全管理知识等e)应记录录用人身份、背景和专业资格等记录审查内容和审查结果等f)应记录录用人录用时的技能考核文档或记录记录考核内容和考核结果等g)应签订保密协议其中包括保密范围、保密责任、违约责任、协议的?#34892;?#26399;限和责任人签字等内容。4.4.2管理人员的离岗a)人员离岗时应办理调离?#20013;?#31614;署调离后个人信息保密义务的?#20449;?#20070;防范内部员工、管理员因工作原因非法持有、披露和使用个人信息b)应对即将离岗人?#26412;?#26377;控制方法及时终止离岗人员的所有访问权限取回其身份认证的配件诸如身份证件、钥?#20303;?#24509;章以及机构提供的软?#24067;?#35774;备采用生理特征进行访问控?#39057;模?#38656;要及时?#22659;?#29983;理特征录入?#21335;?#20851;信息c)应形成对离岗人员的安全处理记录如交还身份证件、设备等的登记记录d)应具有按照离职程序办理调离?#20013;?#30340;记录。4.4.3管理人员的考核a)应设立专人负责定期对接触个人信息数据工作的工作人员进行全面、严格的安全审查、意识考核和技能考核b)应按照考核周期形成考核文档被考核人员应包括各个岗位的人?#20445;c)应对违反违背制定的安全策略和规定的人员进行惩戒d)应定期考查安全管理员、系?#24443;?#29702;员和网络管理员其对工作相关的信息安全基础知识、安全责任和惩戒措施、相关法律法规等的理解程度并对考核记录进行记录存档。4.4.4管理人员的教育培训a)应制定培?#23548;?#21010;并按计划对各岗位员工进行基本的安全意?#30563;?#32946;培训和岗位技能培训b)应制定安全教育和培?#23548;?#21010;文档明确培训方式、培训对象、培?#30340;?#23481;、培训时间和地点等培?#30340;?#23481;包含信息安全基础知识、岗位操作规程等c)应形成安全教育和培?#23548;?#24405;记录包含培训人员、培?#30340;?#23481;、培训结果等。4.4.5外部人员访问a)应建立关于物理环境的外部人员访问的安全措施1)制定外部人员?#24066;?#35775;问的设备、区域和信息的规定2)外部人员访?#26159;?#38656;要提出书面申请并获?#38376;迹?)外部人员访问被批准后应有专人全程陪同或监督并进行全程监控录像4)外部人员访问情况应登记备案。b)应建立关于网络通道的外部人员访问的安全措施1)制定外部人员?#24066;?#25509;入受控网络访问系统的规定2)外部人员访?#26159;?#38656;要提出书面申请并获?#38376;迹?)外部人员访?#36866;?#24212;进行身份认证4)应根据外部访问人员的身份划分不同的访问权限和访问内容5)应对外部访问人员的访?#36866;?#38388;进行限制6)对外部访问人员对个人信息的操作进行记录。5. 技术措施5.1基本要求个人信息处理系?#31216;?#23433;全技术措施应满足GB/T 22239相应等级的要求按照网络安全等级保护制度的要求履行安全保护义务保障网络免受干扰、破坏或者未经授权的访问防止网络数据泄露或者被窃娶篡改。5.2通用要求5.2.1通信网络安全5.2.1.1网络架构a)应为个人信息处理系统所处网络划分不同的网络区域并按照方便管理和控?#39057;?#21407;则为各网络区域分配地址b)个人信息处理系统应作为重点区域部署并设有边界防护措施。5.2.1.2通信传输a)应采用校验技术或密码技术保证通信过程中个人信息的完整性b)应采用密码技术保证通信过程中个人信息字?#20301;?#25972;个报文的保密性。5.2.2区域边界安全5.2.2.1边界防护a)应对跨越边界访问通信信息进行?#34892;?#38450;护b)应对非授权设备跨越边界行为进行检查或限制。5.2.2.2访问控制应在个人信息处理系统边界根据访问控制策略设置访问控制规则。5.2.2.3入侵防范应在个人信息处理系统边界部署入侵防护措施检测、防止或限制从外部、内部发起的网络攻击行为。5.2.2.4恶意代码防范应在个人信息处理系统的网络边界处对恶意代码进行检测和清除并维护恶意代码防护机?#39057;?#21319;级和更新。5.2.2.5安全审计a)应在个人信息处理系统的网络边界、重要网络节点进行安全审计审计应覆盖到每个用户、用户行为和安全事件b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功以及个人信息的范围、类型、操作方式、操作人、流转双方及其他与审计相关的信息c)应对审计记录进行保护定期备份并避免受到未预期的?#22659;?#20462;改或覆盖等d)审计记录的留存时间应符合法律法规的要求e)应能够对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。5.2.3计算环境安全5.2.3.1身份鉴别a)应对登录个人信息处理系统的用户进行身份标识和鉴别身份鉴别标识具有唯一性身份鉴别信息具有复杂度要求并定期更换b)个人信息处理系统应启用登?#38469;?#36133;处理功能采取诸如结束会话、限制非法登录次数和自动退出等措施c)个人信息处理系统进行远程管理?#20445;?#24212;采取措施防止身份鉴别信息在网络传输过程中被窃听d)个人信息处理系统应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别且其中一?#26088;?#21035;技术至少应使用密码技术来实现密码技术应符合国家密码主管部门规范。5.2.3.2访问控制a)应对登录个人信息处理系统的用户分配账户和权限b)个人信息处理系统应重命名或?#22659;?#40664;认账户修改默认账户的默认口令c)个人信息处理系统应及时?#22659;?#25110;停用多余的、过期的账户避免共享账户的存在d)个人信息处理系统应进行角色划分并授予管理用户所需的最小权限实现管理用户的权限分离e)个人信息处理系统应由授权主体配置访问控制策略访问控制策略应规定主体对客体的访?#20351;?#21017;f)个人信息处理系统的访问控?#39057;?#31890;度应达到主体为用户级或进程级客体为文件、数据库表级g)个人信息处理系统应对个人信息设置安全标记并控制主体对有安全标记资源的访问。5.2.3.3安全审计a)个人信息处理系统应启用安全审计功能并且审?#32856;?#30422;到每个用户应对重要的用户行为和重要的安全事件进行审计b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息c)应对审计记录进行保护进行定期备份并避免受到未预期的?#22659;?#20462;改或覆盖等d)审计记录的留存时间应符合法律法规的要求e)应对审计进程进行保护防止未经授权的中断。5.2.3.4入侵防范a)个人信息处理系统应遵循最小安装的原则只安装需要的组件和应用程序b)个人信息处理系统应关闭不需要?#21335;?#32479;服务、默认共享和高危端口c)个人信息处理系统应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制d)个人信息处理系统应能够发现存在的已知漏洞并在经过充分测试评估后及时修补漏洞e)个人信息处理系统应能够检测到对重要节点的入侵行为并进行防御并在发生?#29616;?#20837;侵事件时提供报警5.2.3.5恶意代码防范和程序可信执行应采取免受恶意代码攻击的技术措施或可信验证机制对系统程序、应用程序和重要配置文件/参数进行可信执行验证并在检测到其完整性受到破坏时采取?#25351;?#25514;施。5.2.3.6资源控制a)应限?#39057;?#20010;用户或进程对个人信息处理和存储设备系统资源的最大使用限度b)应提供重要节点设备的?#24067;?#20887;余保证系统的可用性c)应对重要节点进行监视包括监视CPU、硬盘、内存等资源的使?#20204;?#20917;d)应能够对重要节点的服务水平?#26723;?#21040;预先规定的最小值进行检测和报警。5.2.4应用和数据安全5.2.4.1身份鉴别a)个人信息处理系统应对登录的用户进行身份标识和鉴别该身份标识应具有唯一性鉴别信息应具有复杂度并要求定期更换b)个人信息处理系统应提供并启用登?#38469;?#36133;处理功能并在多次登录后采取必要的保护措施c)个人信息处理系统应强制用户首次登?#38469;?#20462;改初始口令当确定信息被泄露后应提供提示全部用户强制修改密码的功能在验证确认用户后修改密码d)用户身份鉴别信息丢失或失效?#20445;?#24212;采取技术措施保证鉴别信息重置过程的安全e)应采取静态口令、动态口令、密码技术、生物技术等两种或两种以上的组合鉴别技术对用户进行身份鉴别且其中一?#26088;?#21035;技术使用密码技术来实现。5.2.4.2访问控制a)个人信息处理系统应提供访问控制功能并对登录的用户分配账户和权限b)应重命名或?#22659;?#40664;认账户修改默认账户的默认口令c)应及时?#22659;?#25110;停用多余的、过期的账户避免共享账户的存在d)应授予不同账户为完成各自承担任务所需的最小权限在它们之间形成相互制约的关系e)应由授权主体配置访问控制策略访问控制策略规定主体对客体的访?#20351;?#21017;f)访问控?#39057;?#31890;度应达到主体为用户级客体为文件、数据库表级、记录或字段级g)个人信息应设置安全标记控制主体对有安全标记资源的访问。5.2.4.3安全审计a)个人信息处理系统应提供安全审计功能审计应覆盖到每个用户应对重要的用户行为和重要的安全事件进行审计b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息c)应对审计记录进行保护定期备份并避免受到未预期的?#22659;?#20462;改或覆盖等d)审计记录的留存时间应符合法律法规的要求e)应对审计进程进行保护防止未经授权的中断。5.2.4.4软件容错a)应提供个人信息的?#34892;?#24615;校验功能保证通过人机接口输入或通过通信接口输入的内容符合个人信息处理系统设定要求b)应能够发现个人信息处理系统软件组件可能存在的已知漏洞并能够在充分测试评估后及时修补漏洞c)应能够在故障发生?#20445;?#32487;续提供一部分功能并能够实施必要的措施。5.2.4.5资源控制a)在通信双方中的一方在一?#38382;?#38388;内未做任何响应?#20445;?#21478;一方应能够自动结束会话b)应对个人信息处理系统的最大并发会话连接数进行限制c)应能够对单个用户的多重并发会话进行限制。5.2.4.6数据完整性a)应采取校验技术或密码技术保证重要数据在传输过程中的完整性包括但不限于鉴别数据和个人信息b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性包括但不限于鉴别数据和个人信息。5.2.4.7数据保密性a)应采用密码技术保证重要数据在传输过程中的保密性包括但不限于鉴别数据和个人信息b)应采用密码技术保证重要数据在存储过程中的保密性包括但不限于鉴别数据和个人信息。5.2.4.8数据备份?#25351;a)应提供个人信息的本地数据备份与?#25351;?#21151;能定期对备份数据进行?#25351;?#27979;试保证数据可用性b)应提供异地实?#21271;?#20221;功能利用通信网络将重要数据实?#21271;?#20221;至备份场地c)应提供重要数据处理系统的热冗余保证系统的高可用性。5.2.4.9剩余信息保护a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除b)应保证存有个人信息的存储空间被释放或重新分配前得到完全清除。5.3扩展要求5.3.1云计算安全扩展要求a)应确保个人信息在云计算平台中存储于中国境内如需出境应遵循国家相关规定b)应使用校验技术或密码技术保证虚拟机迁移过程?#26657;?#20010;人信息的完整性并在检测到完整性受到破坏时采取必要的?#25351;?#25514;施c)应使用密码技术保证虚拟机迁移过程?#26657;?#20010;人信息的保密性防止在迁移过程中的个人信息泄露。5.3.2物联网安全扩展要求物联网感知节点设备采集信息回传应采用密码技术保证通信过程中个人信息的保密性。6. 业务流程6.1收集个人信息的收集行为应满足以下要求a)个人信息收集前应当遵循合法、正当、必要的原则向被收集的个人信息主体公开收集、使用规则明示收集、使用信息的目的、方式和范围等信息b)个人信息收集应获得个人信息主体的同意和授权不应收集与其提供的服务无关的个人信息不应通过捆绑产品或服务各项业务功能等方式强迫收集个人信息c)个人信息收集应执行收集前签署的约定和协议不应超范围收集d)不应大规模收集或处理我国公民的种族、民族、政治观点、宗教信仰等敏感数据e)个人生物识别信息应仅收集和使用摘要信息避免收集其原始信息f)应确保收集个人信息过程的安全性1收集个人信息之前应有对被收集人进行身份认证的机制该身份认证机制应具有相应安全性2收集个人信息?#20445;?#20449;息在传输过程中应进行?#29992;?#31561;保护处理3收集个人信息?#21335;?#32479;应落实网络安全等级保护要求4收集个人信息时应有对收集内容进行安全检测和过滤的机制防止非法内容提交。6.2保存个人信息的保存行为应满足以下要求a)在境内运营中收集和产生的个人信息应在境内存储如需出境应遵循国家相关规定b)收集到的个人信息应采取相应的安全?#29992;?#23384;储等安全措施进行处理c)应对保存的个人信息根据收集、使用目的、被收集人授权设置相应的保存时限d)应对保存的个人信息在超出设置的时限后予以?#22659;e)保存信息的主要设备应对个人信息数据提供备份和?#25351;?#21151;能确保数据备份的频率和时间间隔并使用不少于以下一种备份手段1)具有本地数据备份功能2)将备份介?#24335;?#34892;场外存放3)具有异地数据备份功能。6.3应用个人信息的应用应满足以下要求a)对个人信息的应用应符合与个人信息主体签署?#21335;?#20851;协议和规定不应超范围应用个人信息注经过处理无法识别特定个人?#20063;?#33021;复原的个人信息数据可以超出与信息主体签署?#21335;?#20851;使用协议和约定但应提供?#23454;?#30340;保护措施进行保护。b)个人信息主体应拥有控制本人信息的权限包括1)?#24066;?#23545;本人信息的访问2)?#24066;?#36890;过?#23454;?#26041;法对本人信息的修改或?#22659;?#21253;括纠正不准确和不完整的数据并保证修改后的本人信息具备真实性和?#34892;?#24615;c)完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用可事先不经用户明确授权但应确保用户有反对或者拒绝的权利如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用或跨网络运营者使用应经用户明确授权方可使用其数据d)应对个人信息的接触者设置相应的访问控制措施包括1)对被授权访问个人信息数据的工作人员按照最小授权的原则只能访?#39318;?#23569;够用的信息只具有完成职责所需的最少的数据操作权限2)对个人信息的重要操作设置内部审批流程如批量修改、拷?#30784;?#19979;载等3)对特定人员超限制处理个人信息时配置相应的责任人或负责机构进行审批并对这种行为进行记录。e)应对必须要通过界面如?#20801;?#23631;幕、纸面展示的个人信息进行去标识化的处理。6.4?#22659;a)个人信息在超过保存时限之后应进行?#22659;?#32463;过处理无法识别特定个人?#20063;?#33021;复原的除外b)个人信息持有者如有违反法律、行政法规的规定或者双方的约定收集、使用其个人信息?#20445;?#20010;人信息主体要求?#22659;?#20854;个人信息的应采取措施予以?#22659;c)个人信息相关存储设备将存储的个人信息数据进行?#22659;?#20043;后应采取措施防止通过技术手?#20301;指苅d)?#28304;?#20648;过个人信息的设备在进行新信息的存储?#20445;?#24212;将之前的内容全部进行?#22659;e)废弃存储设备应在进行?#22659;?#21518;再进行处理。6.5第三方委托处理a)在对个人信息委托处理?#20445;?#19981;应超出该信息主体授权同意的范围b)在对个人信息?#21335;?#20851;处理进行委托?#20445;?#24212;对委?#34892;?#20026;进行个人信息安全影响评估c)对个人信息进行委托处理?#20445;?#24212;签订相关协议要求受托方符合本文件d)应向受托方进行对个人信息数据的使用和访问的授权e)受托方对个人信息?#21335;?#20851;数据进行处理完成之后应?#28304;?#20648;的个人信息数据的内容进行?#22659;?.6共享和转让个人信息原则上不得共享、转让。如存在个人信息共享和转让行为?#20445;?#24212;满足以下要求a)共享和转让行为应经过合法性、必要性评估b)在对个人信息进行共享和转让时应进行个人信息安全影响评估应对受让方的数据安全能力进行评估确保受让方具备足够的数据安全能力并按?#25484;?#20272;结果采取?#34892;?#30340;保护个人信息主体的措施c)在共享、转?#20204;?#24212;向个人信息主体告知转让该信息的目的、规模、公开范围数据接收方的类型等信息d)在共享、转?#20204;?#24212;得到个人信息主体的授权同意与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外e)应记录共享、转让信息内容将共享、转?#20204;?#20917;中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记f)在共享、转让后应了解接收方对个人信息的保存、使?#20204;?#20917;和个人信息主体的权利例如访问、更正、?#22659;?#27880;销等g)当个人信息持有者发生?#23637;此?#20860;并、重组、破产等变更?#20445;?#20010;人信息持有者应向个人信息主体告知有关情况并继续履行原个人信息持有者的责任和义务如变更个人信息使用目的?#20445;?#24212;重新取得个人信息主体的明示同意。6.7公开披露个人信息原则上不得公开披露。如经法律授权或具备合理事由确需公开披露?#20445;?#24212;充?#31181;?#35270;风险遵守以下要求a)事先开展个人信息安全影响评估并依评估结果采取?#34892;?#30340;保护个人信息主体的措施b) 向个人信息主体告知公开披露个人信息的目的、类型并事?#26085;?#24471;个人信息主体明示同意与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外c) 公开披露个人敏感信息前除6.7 b中告知的内容外还应向个人信息主体告知涉及的个人敏感信息的内容d) 准确记录和保存个人信息的公开披露的情况包括公开披露的日期、规模、目的、公开范围等e)承担因公开披露个人信息对个人信息主体合法权益造成损害?#21335;?#24212;责任f)不得公开披露个人生物识别信息和基因、疾病等个人生理信息g)不得公开披露我国公民的种族、民族、政治观点、宗教信仰等敏感数据分析结果。7. 应急处置7.1应急机制和预案a)应建立健全网络安全风?#25484;?#20272;和应急工作机制在个人信息处理过程中发生应急事件?#26412;?#26377;上报有关主管部门的机制b)应制定个人信息安全事件应急预案包括应急处理流程、事件上报流程等内容c)应定期至少每半年一次组织内部相关人员进行应急响应培训和应急演练使其掌握岗位职责和应急处置策略和规程留存应急培训和应急演练记录d)应定期对原有的应急预案重新评估修订完善。7.2处置和响应a)发现网络存在较大安全风险应采取措施进行整改消除隐?#36857;?#21457;生安全事件时,应及时向公安机关报告协助开展调查和取证工作尽快消除隐?#36857;b)发生个人信息安全事件后应记?#38469;?#20214;内容包括但不限于发现事件的人员、时间、地点涉及的个人信息及人数发生事件?#21335;?#32479;名称对其他互联系统的影响是否已联系执法机关或有关部门c)应对安全事件造成的影响进行调查和评估采取技术措施和其他必要措施消除安全隐?#36857;?#38450;止危害扩大d)应按ゞ国家网络安全事件应急预案〃等相关规定及时上报安全事件报告内容包括但不限于涉及个人信息主体的类型、数量、内容、性质等总体情况事件可能造成的影响已采取或将要采取的处置措施事件处置相关人员的联系方式e)应将事件的情况告知受影响的个人信息主体并及时向社会发布与公众有关的警示信息。

                                        责任编辑李兰松
                                        本文已经过优化?#20801;G?#26597;看原文请点击以下链接
                                        查看原文http://www.cbdio.com/BigData/2019-04/22/content_6088089.htm

                                        看图学经济more

                                        院校点评more

                                        京ICP备11001960号  京ICP证090565号 京公网安备1101084107号 论坛法律顾问?#21644;?#36827;律师知识产权保护声明免责及隐私声明   主办单位人大经济论坛 版权所有
                                        联系QQ2881989700  邮箱[email protected]
                                        合作咨询电话(010)62719935 广告合作电话13661292478刘老师

                                        ?#31471;?#30005;话(010)68466864 不良信息处理电话(010)68466864
                                        采臼11僉励恠米夕燕