个人信息保护概论第九讲个人信息保护实践课件.ppt

1、个个人信息保人信息保护概论护概论第九第九讲讲个人信息保护实践个人信息保护实践构构建建个个人信息保人信息保护护体系体系1个个人信息保人信息保护认证护认证案例案例2个个人信息保人信息保护认证护认证体系体系1构建个人信息保护体系构建个人信息保护体系构建个人信息保护体系构建个人信息保护体系行业自律行业自律 制订制订大连大连软件及信息服务软件及信息服务业个人信息保护业个人信息保护规范规范 地方标淮地方标淮 制订辽宁省制订辽宁省个人信息保护个人信息保护规范规范 评价管理机制评价管理机制 事故申报和处事故申报和处理机制理机制 评价人员管理评价人员管理 评价机制评价机制 完善个人信息保护认证体系完善个人信息保

2、护认证体系 PIPA与与PMARK互认互认 大连软件行业协会大连软件行业协会构建个人信息保护体系构建个人信息保护体系个个人信息保人信息保护护保保护认证护认证体系体系大连信息产业个人信息保护评价大连信息产业个人信息保护评价PIPA基本流程：基本流程：组建相关机构组建相关机构 制定理规章制度制定理规章制度开展宣传和教育开展宣传和教育个人信息保护管个人信息保护管理自查理自查 实施个人信息保护实施个人信息保护经过规定时间的经过规定时间的试运行试运行依据相关法规标依据相关法规标准进行自查准进行自查履行评价申请程履行评价申请程序序 申报材料准备申报材料准备 评价申请评价申请 企业申请个人信息保护评价企业申

3、请个人信息保护评价 资格审查资格审查 确认评价条件确认评价条件 审批审批企业状况环境审企业状况环境审查查确认已实施个人确认已实施个人信息保护信息保护无相关重大事故无相关重大事故 无相关重大投诉无相关重大投诉 申报材料审查申报材料审查 其他需要的审查其他需要的审查 形成资格审查报形成资格审查报告告 组建现场评价组组建现场评价组 调查评估个人信调查评估个人信息保护现状息保护现状提出意见和建议提出意见和建议评价意见和报告评价意见和报告 审批通过审批通过 公示公示 评价机构接受企业个人信息保护评价申请评价机构接受企业个人信息保护评价申请 评价开始评价开始评价结束评价结束案例：某公司案例：某公司个个人信

4、息保人信息保护护管理机制（管理机制（1）个人信息保护方针个人信息保护方针文件编号：文件编号：版本号：版本号：制定日期：制定日期：修改日期：修改日期：制定人：制定人：审批人：审批人：公司名称：公司名称：公司公司（第一页）（第一页）案例：某公司案例：某公司个个人信息保人信息保护护管理机制（管理机制（1）（第二页）（第二页）版本号版本号制定制定/修改修改日期日期理由理由制作人制作人审批人审批人1.01.11.2制定与修改记录制定与修改记录案例：某公司案例：某公司个个人信息保人信息保护护管理机制（管理机制（1）（第三页）（第三页）XX公司个人信息保护方针公司个人信息保护方针本公司对公司客户信息、员工信

5、息等所涉及的个人信息，均严格遵守国家个人信息保护方面的相关法律法规。同时依照软件及信息服务业个人信息保护规范的要求制定本公司的个人信息保护方针，并遵照执行。方针的内容包括：1本公司向全体员工宣传个人信息保护的重要性和策略，加强每位员工对个人信息保护工作的配合和重视；认真贯彻执行本公司制定的个人信息保护基本规章制度和管理规定。2本公司在取得、使用、提供个人信息时，均采取合法、公正的手段，并事先征得信息主体的同意，在目的范围内使用。同时，实行相关安全保护措施。3本公司为了确保个人信息的安全，建立信息安全保护对策等安全措施，以防止对个人信息的非法访问以及个人信息的遗失、破坏、篡改、泄露等。4本公司在

6、与第三方共享个人信息时，须事先征得信息主体同意，并根据个人信息保护规范要求采取必要措施，防止由第三方泄露个人信息等。5本公司在信息主体提出对个人信息进行公开、修改、停止使用等要求时，将根据公司个人信息保护相关规定采取适当的方法实施相应的配合。6为了更好的实施公司个人信息保护相关规定，本公司建立个人信息保护管理系统的持续改善等相关措施。7将本方针文档化，贴于公司办公场所，让每位员工可以方便地看到、理解和执行达到众所周知。8本方针将通过公司的网站对外公布，使外界了解本公司的个人信息保护方针、政策。在工作当中涉及个人信息时，本公司也将主动向信息主体宣传公司个人信息保护的措施和规定。9本公司设立个人信

7、息保护窗口，指定专门负责人，负责接待社会各界提出的意见及建议。公司个人信息保护窗口负责人：联系电话：制定日期：年 月 日电子邮箱：修改日期：年 月 日 公司案例：某公司案例：某公司个个人信息保人信息保护护管理机制（管理机制（2）（第（第1页）页）总经理：总经理：文件编号：文件编号：某公司个人信息保护组织机构与责任规定某公司个人信息保护组织机构与责任规定版本号：版本号：制定日期：制定日期：修改日期：修改日期：审批人：审批人：制定人：制定人：企业名称：企业名称：公司公司案例：某公司案例：某公司个个人信息保人信息保护护管理机制（管理机制（2）（第（第2页）页）版本号版本号制定制定/修改修改日期日期理

8、由理由制作人制作人审批人审批人1.01.1PIPA认证认证提交提交1.21.2.11.2.21.3制定与修改记录制定与修改记录案例：某公司案例：某公司个个人信息保人信息保护护管理机制（管理机制（2）（第（第3页）页）目目 录录 1个人情息保护组织机构图个人情息保护组织机构图2，个人信息保护相关责任人的任命，个人信息保护相关责任人的任命3个人信息保护相关责任人名单个人信息保护相关责任人名单4个人信息保护相关责任人职责个人信息保护相关责任人职责案例：某公司案例：某公司个个人信息保人信息保护护管理机制（管理机制（2）（第（第4页）页）1.个人信息保护组织机构图本公司个人信息保护的机构设置如图1所示。

9、2个人信息保护相关责任人的任命21公司管理者由公司领导者担当。22个人信息保护负责人 公司领导者任命个人信息保护负责人。23监查负责人 公司领导者指定个人信息保护监查负责人，监查负责人可以在公司内部指定，也可以在外公司聘请。24各部门个人信息保护负责人个人情息保护负责人任命各部门个人信息保护负责人。25客户窗口负责人个人信息保护负责人任命客户窗口负责人。26培训教育负责人个人信息保护负责人任命培训教育负责人。27各部门安全负责人 各部门个人信息保护负责人任命各部门安全负责人。3个人信息保护相关责任人名单31 公司管理者、总经理：x x x32 个人信息保护负责人：x x x33 监查负责人；X

10、XX34各部门个人信息保护负责人 a)部门甲个人信息保护负责人：b)部门乙个人信息保护负责人：35客户窗口负责人：x x x3。6培训教育负责人：x x x4，个人信息保护相关责任人职责案例：某公司案例：某公司个个人信息保人信息保护护管理机制（管理机制（3）（第（第1页）页）文件编号：文件编号：某公司个人信息取得、使用、提供、委托某公司个人信息取得、使用、提供、委托、处理的管理规定、处理的管理规定版本号：版本号：制定日期：制定日期：修改日期：修改日期：审批人：审批人：制定人：制定人：企业名称：企业名称：公司公司案例：某公司案例：某公司个个人信息保人信息保护护管理机制（管理机制（3）（第（第2页

11、）页）版本号版本号制定制定/修改修改日期日期理由理由制作人制作人审批人审批人1.01.1PIPA认证认证提交提交1.21.2.11.2.21.3制定与修改记录制定与修改记录案例：某公司案例：某公司个个人信息保人信息保护护管理机制（管理机制（3）（第（第3页）页）目录目录1个人信息的定义和取得个人信息的定义和取得2个人信息的使用和提供个人信息的使用和提供3个人信息的委托个人信息的委托4个人信息的再委托个人信息的再委托5个人信息保管个人信息保管6保障信息主体权利保障信息主体权利7个人信息保护事故发生预防措施个人信息保护事故发生预防措施8意见及反馈意见及反馈案例：某公司案例：某公司个个人信息保人信息

12、保护护管理机制（管理机制（3）（第（第4页）页）个人信息的定义和取得11个人信息是指与存在个体相关的、并且可用于识别特定个体的信息。例如，姓名、生日、个人证件的号码、标志或其他记号、图像或录音及其他相关信息(包括某些单独使用时无法识别、但能够方便地与其他数据进行对照参考，并由此识别特定个人的信息)。个人信息不仅包括个体识别信息，还包括显示事实、判断或评价等的所有情报，包括个人身体状况、财务状况、工作类型或职务等。12取得的原则与范围121个人信息取得的原则 对个人信息的取得确立以下原则：a)限制搜集原则，在信息主体不知道或不能控制的状态下，不能进行信息的收集、存储和披露；b)资料内容完整正确原

13、则，收集的信息应该限于客观的事实，即必须是真实的；c)限制利用原则，不对与信息主体不相干的第三者泄露；d)目的明确化原则，仅限于与信息主体有关的用途；e)个人参与原则，个人有信息自主权，可参与个人信息资料制作的过程，但若取得个人书面同意，则视为同意放弃隐私权，准许他人搜集、利用；f)公开原则，个人信用信息资料应对本人公开；g)安全保护原则，数据库应有加密等安全措施防止个人资料被他人不当利用、篡改或灭失；h)责任原则，给个人信用信息主体造成损害需要承担赔偿等民事责任。122个人信息取得的范围个人信息取得之前应明确使用目的，并应征得信息主体的同意，在限定的目的范围内取得。从被公开的资料中取得个人信

14、息时也应明确使用目的。13取得的方法和手段 个人信息取得应采取适当的方法和合法公正的手段。14取得个人信息内容案例：某公司案例：某公司个个人信息保人信息保护护管理机制（管理机制（4）（第（第1页）页）文件编号：文件编号：某公司个人信息文档管理规定某公司个人信息文档管理规定 版本号：版本号：制定日期：制定日期：修改日期：修改日期：审批人：审批人：制定人：制定人：企业名称：企业名称：公司公司案例：某公司案例：某公司个个人信息保人信息保护护管理机制（管理机制（4）（第（第2页）页）版本号版本号制定制定/修改修改日期日期理由理由制作人制作人审批人审批人1.01.1PIPA认证认证提交提交1.21.2.

15、11.2.21.3制定与修改记录制定与修改记录案例：某公司案例：某公司个个人信息保人信息保护护管理机制（管理机制（4）（第（第3页）页）目目 录录1个人信息保护管理的实施个人信息保护管理的实施2个人信息保护管理体系的确立个人信息保护管理体系的确立3个人信息保护管理体系的导人和运用个人信息保护管理体系的导人和运用4个人信息保护管理体系的监护和修订个人信息保护管理体系的监护和修订5个人信息保护管理体系的维持及改善个人信息保护管理体系的维持及改善6个人信息保护管理体系文档的维持及改善个人信息保护管理体系文档的维持及改善7个人信息保护管理体系文档编号个人信息保护管理体系文档编号8个人信息管理个人信息管

16、理案例：某公司案例：某公司个个人信息保人信息保护护管理机制（管理机制（4）（第（第4页）页）1.个人信息保护管理的实施为使我公司的个人信息保护管理持续发挥作用，必须遵循PDCA循环改善过程，有组织地采取对策。个人信息保护管理的PDCA循环如图所示。2个人信息保护管理体系的确立 为了确立我公司的个人信息保护管理体系，首先要实行风险评估，加以对应。3个人信息保护管理体系的导人和运用为了导入和执行我公司的个人信息保护管理体系，还要实施个人信息保护研修。4个人信息保护管理体系的监护和修订 为了推进我公司的个人信息保护管理体系的监护和修订、我们要实施个人信息保护监查、风险评估的修订。根据个人信息保护管理

17、体系的监护和修订的结果、如有必要，则对个人信息保护管理体系的年度运营计划进行更新。5个人席息保护管理体系的维持及改善 承接前项、为了推进我公司的个人信息保护管理体系的维持及改善，必须定期采取改善措施和预防措施。此外，还要根据需要不定时的或定期的进行个人信息保护管理体系文书的修订和改善。6个人信息保护管理体系文档的维持及改善 要根据需要不定时的或定期进行个人信息保护管理体系文书的修订。根据每年实施一次以上风险评估的结果、有必要追加或者变更管理措施时 组织的系统环境发生变更时 生重大个人信息保护事故时7个人信息保护管理体系文档编号案例：某公司案例：某公司个个人信息保人信息保护护管理机制管理机制（）

18、（）（第（第1页）页）文件编号：文件编号：某公司个人信息技术物理安全管理措施某公司个人信息技术物理安全管理措施版本号：版本号：制定日期：制定日期：修改日期：修改日期：审批人：审批人：制定人：制定人：企业名称：企业名称：公司公司案例：某公司案例：某公司个个人信息保人信息保护护管理机制管理机制（）（）（第（第2页）页）版本号版本号制定制定/修改修改日期日期理由理由制作人制作人审批人审批人1.01.1PIPA认证认证提交提交1.21.2.11.2.21.3制定与修改记录制定与修改记录案例：某公司案例：某公司个个人信息保人信息保护护管理机制管理机制（）（）（第（第3页）页）目录目录1公司员工及外来人员

19、的出入管理及携带出公司员工及外来人员的出入管理及携带出公司的有关个人信息的管理公司的有关个人信息的管理2防止硬件设备被盗、破损、漏水、停电等防止硬件设备被盗、破损、漏水、停电等灾害的安全保护措施灾害的安全保护措施3数据备份制度数据备份制度4存储设备及媒介的管理、文件管理废弃制存储设备及媒介的管理、文件管理废弃制度度5访问权限的管理访问权限的管理6软件的管理及恶意软件的对策软件的管理及恶意软件的对策7PC机及网络管理机及网络管理8紧急事态的预防与处理紧急事态的预防与处理案例：某公司案例：某公司个个人信息保人信息保护护管理机制管理机制（）（）（第（第4页）页）1公司员工及外来人员的出入管理及携带出

20、公司的有关个人信息的管理规定11安全区域的区分 为妥善管理公司个人信息，办公场所从机密性的观点出发分为以下3 种信息安全区域。r蓝色区域J玄关、大会议室、小会议室 r黄色区域J办公区域、休息室(进入休息室需经过办公区域)r红色区域J办公区域、机房12出入办公室管理 r黄色区域J对个人每次出入进行认证方可进人。(每个人各自刷卡)r红色区域J出入都需对个人每次登录情况进行管理，并定期实施检 查。同时实行摄像头监控。(每个人各自刷卡)13识别工具的应用 为了更容易分别外部人员，件吊带等)。14来访者的对应平时员工需使用识别工具(员工证件、进入公司内时，需要借给客人客户用识别卡，并作好来访记录。(有

21、员工陪同的情况下，只有进入蓝色区域时，不需要。)黄色区域以上的地方原则上不得进入(不得已需要进入时，必须要 有员工陪同)。外来人员不得白公司带出个人信息，如需带出需经公司ICT委员会 确认使用目的在使用范围内，并规定返还时间，实行密码保管后方可带出。15物品搬入公司时的注意点 在蓝色区域搬人物品时要对其进行确认、接受，原则上不得将搬运人 员请人r黄色区域J以上的地方。1 离开座位、离开公司时都要彻底地清洁办公桌、清理屏幕。161清洁办公桌 禁止在办公桌上脚边放置个人信息 禁止将个人信息放置在打印机及传真的输出位置 162清理屏幕 离开电脑等信息处理器一定时问以上的话，请使用附有密码的 屏幕保护程序(推荐5分钟)，或采取退出系统、关掉电源等 方法。6清洁办公桌、屏幕清理