处理个人信息内部管理制度和操作规程.docx

《处理个人信息内部管理制度和操作规程.docx》由会员分享，可在线阅读，更多相关《处理个人信息内部管理制度和操作规程.docx（8页珍藏版）》请在第一文库网上搜索。

1、处理个人信息内部管理制度及操作规程为贯彻落实总体国家安全观，健全网络安全和数据安全体系，加强个人信息保护，防止未经授权的访问以及个人信息泄露、篡改、丢失，确保个人信息处理活动符合法律、行政法规的规定,特制定本制度和操作规程。一、个人信息处理原则（一）符合下列情形之一的，个人信息处理者方可处理个人信息：1取得个人同意的；2 .为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订集体合同所必需的；3 .为履行法定职责或者法定义务所必需的；4 .为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需的；5 .为公共利益实施新闻报道、舆论监督等行为

2、，在合理的范围内处理个人信息的；6 .依照中华人民共和国个人信息保护法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息的；7 .法律、行政法规规定的其他情形。依照中华人民共和国个人信息保护法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。（二）基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人的同意。（三）基于个人同意处理个人信息的，个人有权撤回其同意

3、。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。（四）个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。（五）个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：1 .个人信息处理者的名称或者姓名和联系方式；2 .个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；3 .法律、行政法规规定应当告知的其他事项。（六）个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，

4、可以不向个人告知个人信息处理者的名称或者姓名和联系方式。紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应在紧急情况消除后及时告知。（七）两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使中华人民共和国个人信息保护法规定的权利。（A）个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理

5、个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。未经个人信息处理者同意，受托人不得转委托他人处理个人信息。（九）个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。（十）个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。（十一）个人信息处理者不得公开其处理的个人信息，取

6、得个人单独同意的除外。（十二）敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。（十三）为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。（十四）为履行法定职责处理个人信息

7、，应当依照中华人民共和国个人信息保护法履行告知义务。（十五）处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助。二、个人在个人信息处理活动中的权利（一）个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。（二）个人有权向个人信息处理者查阅、复制其个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的除外。（三）个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更

8、正、补充。（四）有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：1处理目的已实现、无法实现或者为实现处理目的不再必要的；2 .个人信息处理者停止提供产品或者服务，或者保存期限已届满的；3 .个人撤回同意的；4 .个人信息处理者违反法律、行政法规或者违反约定处理个人信息的；5 .法律、行政法规规定的其他情形。（五）自然人死亡的，其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。三、个人信息处理者的义务（一）个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以

9、及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：1对个人信息实行分类管理；2 .采取相应的加密、去标识化等安全技术措施；3 .合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；4 .法律、行政法规规定的其他措施。（二）处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。（三）个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。（四）有下列情形之一的，个人信息处理者应当事前进

10、行个人信息保护影响评估，并对处理情况进行记录：1处理敏感个人信息；5 .利用个人信息进行自动化决策；6 .委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；7 .向境外提供个人信息；8 .其他对个人权益有重大影响的个人信息处理活动。（五）个人信息保护影响评估应当包括下列内容：1个人信息的处理目的、处理方式等是否合法、正当、必要;2.对个人权益的影响及安全风险；3,所采取的保护措施是否合法、有效并与风险程度相适应。（六）发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。（七）接受委托处理个人信息的受托人，应当按

11、照本法和有关法律、行政法规的规定，采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行本法规定的义务。四、操作规程（一）操作流程：处理个人信息时，必须严格按照个人信息管理制度执行，认真履行个人义务，并采取措施确保在信息处理过程中不出现安全隐患。（二）授权使用：在处理个人信息时，要明确授权的范围及相关操作，只有授权人员才可以进行个人信息的处理。（三）记录保存：在处理个人信息时，应记录个人信息处理过程中的所有操作，并对处理过程实施完整、可查的数据记录，以便应对突发事件。（四）定期复查：应定期对个人信息人员的处理活动进行审查，并根据相关事件的发生，及时更新个人信息管理制度，确保个人信息处理流程的安全性。五、附则本制度中下列用语的含义：（一）个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。（二）自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。（三）去标识化，是指个人信息进过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。