公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布
《互联网个人信息安全保护指南》
为深入贯彻落实《网络安全法》,指导个人信息持有者构建完善公民个人信息安全保护管理制度和技术举措,有效防范侵害公民个人信息违法行为,保障网路数据安全和公民合法权益,公安机关结合侦办侵害公民个人信息网路犯罪案件和安全监督管理工作中把握的情况,会同北京网络行业协会和公安部第三研究所等单位,研究拟定了《互联网个人信息安全保护手册》。
现即将发布,供互联网企业、联网单位在个人信息安全保护工作中参考借鉴。
《互联网个人信息安全保护指南》从“下载中心”下载。(下载后文件名添加.doc后缀)
互联网个人信息安全保护手册
引言
为有效防范侵害公民个人信息违法行为,保障网路数据安全和公民合法权益,公安机关结合侦办侵害公民个人信息网路犯罪案件和安全监督管理工作中把握的情况,组织北京市网络行业协会和公安部第三研究所等单位相关专家,研究起草了《互联网个人信息安全保护手册》,供互联网服务单位在个人信息保护工作中参考借鉴。
1 范围
本文件制订了个人信息安全保护的管理机制、安全技术举措和业务流程。
适用于个人信息持有者在个人信息生命周期处理过程中举办安全保护工作参考使用。本文件适用于通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的更改单)适用于本文件。
GB/T 25069—2010 信息安全技术 术语
GB/T 35273—2017 信息安全技术 个人信息安全规范
GB/T 22239 信息安全技术 网络安全等级保护基本要求(信息系统安全等级保护基本要求)
3 术语和定义
3.1
个人信息
以电子或则其他形式记录的才能单独或则与其他信息结合辨识自然人个人身分的各类信息,包括但不限于自然人的姓名、出生日期、身份护照号码、个人生物辨识信息、住址、电话号码等。
[中华人民共和国网络安全法,第七十六条(五)]
注:个人信息还包括通讯通信联系方法、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
3.2
个人信息主体
个人信息所标示的自然人。
[GB/T 35273-2017,定义3.3]
3.3
个人信息持有
对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。
3.4
个人信息持有者
对个人信息进行控制和处理的组织或个人。
3.5
个人信息搜集
获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等手动采集,以及通过共享、转让、搜集公开信息间接获取等形式。
[GB/T 35273-2017,定义3.5]
3.6
个人信息使用
通过手动或非手动方法对个人信息进行操作,例如记录、组织、排列、存储、改编或变更、检索、咨询、披露、传播或以其他方法提供、调整或组合、限制、删除等。
3.7
个人信息删掉
在实现日常业务功能所涉及的系统中清除个人信息的行为,使其保持不可被检索、访问的状态。
[GB/T 35273-2017,定义3.9]
3.8
个人信息生命周期
包括个人信息持有者搜集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程。
3.9
个人信息处理系统
处理个人信息的计算机信息系统,涉及个人信息生命周期一个或多个阶段(收集、保存、应用、委托处理、共享、转让和公开披露、删除)。
4 管理机制
4.1 基本要求
个人信息处理系统的安全管理要求应满足GB/T 22239相应等级的要求。
4.2 管理制度
4.2.1 管理制度内容
a) 应制订个人信息保护的总体方针和安全策略等相关规章制度和文件,其中包括本机构的个人信息保护工作的目标、范围、原则和安全框架等相关说明;
b) 应制订工作人员对个人信息日常管理的操作规程;
c) 应完善个人信息管理制度体系,其中包括安全策略、管理制度、操作规程和记录表单;
d) 应制订个人信息安全风波应急预案。
4.2.2 管理制度制订发布
a) 应指定专门的部门或人员负责安全管理制度的制订;
b) 应明晰安全管理制度的制订程序和发布形式,对拟定的安全管理制度进行论证和审定,并产生论证和评审记录;
c) 应明晰管理制度的发布范围,并对发文及确认情况进行登记记录。
4.2.3 管理制度执行落实
a) 应对相关制度执行情况进行审批登记;
b) 应保存记录文件,确保实际工作流程与相关的管理制度内容相同;
c) 应定期汇报总结管理制度执行情况。
4.2.4 管理制度评审改进
a) 应定期对安全管理制度进行评审,存在不足或须要改进的给以修订;
b) 安全管理制度评审应产生记录,如果对制度做过修订,应更新所有下发的相关安全管理制度。
4.3 管理机构
4.3.1 管理机构的岗位设置
a) 应设置指导和管理个人信息保护的工作机构,明确定义机构的职责;
b) 应由最高管理者或授权专人负责个人信息保护的工作;
c) 应明晰设置安全主管、安全管理各个方面的负责人,设立审计管理员和安全管理员等岗位,清晰、明确定义其职责范围。
4.3.2 管理机构的人员配置
a) 应明晰安全管理岗位人员的配备,包括数目、专职还是兼职情况等;配备负责数据保护的专门人员;
b) 应完善安全管理岗位人员信息表,登记机房管理员、系统管理员、数据库管理员、网络管理员、审计管理员、安全管理员等重要岗位人员的信息,审计管理员和安全管理员不应担任网路管理员、系统管理员、数据库管理员、数据操作员等岗位。
4.4 管理人员
4.4.1 管理人员的录用
a) 应筹建专门的部门或人员负责人员的录用工作;
b) 应明晰人员录用时对人员的条件要求,对被录用人的身分、背景和专业资格进行审查,对技术人员的技术技能进行考评;
c) 录用后应签订相应的针对个人信息的保密合同;
d) 应完善管理文档,说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等);
e) 应记录录用人身分、背景和专业资格等,记录审查内容和审查结果等;
f) 应记录录用人录用时的技能考评文档或记录,记录考评内容和考评结果等;
g) 应签署保密合同,其中包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。
4.4.2 管理人员的脱岗
a) 人员脱岗时应申领调职手续,签署调职后个人信息保密义务的承诺书,防范内部职工、管理员因工作缘由非法持有、披露和使用个人信息;
b) 应对将要脱岗人员具有控制方式,及时中止脱岗人员的所有访问权限,取回其身分认证的配件,诸如身分护照、钥匙、徽章以及机构提供的软硬件设备;采用生理特点进行访问控制的,需要及时删掉生理特点录入的相关信息;
c) 应产生对脱岗人员的安全处理记录(如交还身分护照、设备等的登记记录);
d) 应具有根据辞职程序代办调职手续的记录。
4.4.3 管理人员的考评
a) 应筹建专人负责定期对接触个人信息数据工作的工作人员进行全面、严格的安全审查、意识考评和技能考评;
b) 应根据考评周期产生考评文档,被考评人员应包括各个岗位的人员;
c) 应对违背违反拟定的安全策略和规定的人员进行惩戒;
d) 应定期考查安全管理员、系统管理员和网路管理员其对工作相关的信息安全基础知识、安全责任和惩戒举措、相关法律法规等的理解程度,并对考评记录进行记录存档。
4.4.4 管理人员的教育培训
a) 应制订培训计划并按计划对各岗位职工进行基本的安全意识教育培训和岗位技能培训;
b) 应制订安全教育和培训计划文档,明确培训方法、培训对象、培训内容、培训时间和地点等,培训内容包含信息安全基础知识、岗位操作规程等;
c) 应产生安全教育和培训记录,记录包含培训人员、培训内容、培训结果等。
4.4.5 外部人员访问
a) 应完善关于物理环境的外部人员访问的安全举措:
1) 制定外部人员准许访问的设备、区域和信息的规定;
2) 外部人员访问前须要提出书面申请并获得批准;
3) 外部人员访问被批准后应有专人全程随同或监督,并进行全程监控录相;
4) 外部人员访问情况应登记备案。
b) 应完善关于网路通道的外部人员访问的安全举措:
1) 制定外部人员容许接入受控网路访问系统的规定;
2) 外部人员访问前须要提出书面申请并获得批准;
3) 外部人员访问时应进行身分认证;
4) 应按照外部访问人员的身分界定不同的访问权限和访问内容;
5) 应对外部访问人员的访问时间进行限制;
6) 对外部访问人员对个人信息的操作进行记录。
5 技术举措
5.1 基本要求
个人信息处理系统其安全技术举措应满足GB/T 22239相应等级的要求,按照网路安全等级保护制度的要求,履行安全保护义务,保障网路免受干扰、破坏或则未经授权的访问,防止网路数据泄漏或则被泄露、篡改。
5.2 通用要求
5.2.1 通信网路安全
5.2.1.1 网络构架
a) 应为个人信息处理系统所处网路界定不同的网路区域,并根据便捷管理和控制的原则为各网路区域分配地址;
b) 个人信息处理系统应作为重点区域布署,并设有边界防护举措。
5.2.1.2 通信传输
a) 应采用校准技术或密码技术保证通讯过程中个人信息的完整性;
b) 应采用密码技术保证通讯过程中个人信息数组或整个报文的保密性。
5.2.2 区域边界安全
5.2.2.1 边界防护
a) 应对跨越边界访问通讯信息进行有效防护;
b) 应对非授权设备跨越边界行为进行检测或限制。
5.2.2.2 访问控制
应在个人信息处理系统边界依据访问控制策略设置访问控制规则。
5.2.2.3 入侵防范
应在个人信息处理系统边界布署入侵防护举措,检测、防止或限制从外部、内部发起的网路功击行为。
5.2.2.4 恶意代码防范
应在个人信息处理系统的网路边界处对恶意代码进行检查和消除,并维护恶意代码防护机制的升级和更新。
5.2.2.5 安全审计
a) 应在个人信息处理系统的网路边界、重要网路节点进行安全审计,审计应覆盖到每位用户、用户行为和安全风波;
b) 审计记录应包括风波的日期和时间、用户、事件类型、事件是否成功,以及个人信息的范围、类型、操作方法、操作人、流转双方及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份并防止遭到未预期的删掉、修改或覆盖等;
d) 审计记录的存留时间应符合法律法规的要求;
e) 应才能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据剖析。
5.2.3 计算环境安全
5.2.3.1 身份鉴定
a) 应对登陆个人信息处理系统的用户进行身分标示和鉴定,身份鉴定标示具有唯一性,身份鉴定信息具有复杂度要求并定期更换;
b) 个人信息处理系统应启用登陆失败处理功能,采取例如结束会话、限制非法登入次数和手动退出等举措;
c) 个人信息处理系统进行远程管理时,应采取举措避免身分鉴定信息在网路传输过程中被监听;
d) 个人信息处理系统应采用口令、密码技术、生物技术等两种或两种以上组合的鉴定技术对用户进行身分鉴定,且其中一种鉴定技术起码应使用密码技术来实现,密码技术应符合国家密码主管部门规范。
5.2.3.2 访问控制
a) 应对登陆个人信息处理系统的用户分配帐户和权限;
b) 个人信息处理系统应重命名或删掉默认帐户,修改默认帐户的默认口令;
c) 个人信息处理系统应及时删掉或停用多余的、过期的帐户,避免共享帐户的存在;
d) 个人信息处理系统应进行角色界定,并授予管理用户所需的最小权限,实现管理用户的权限分离;
e) 个人信息处理系统应由授权主体配置访问控制策略,访问控制策略应规定主体对客体的访问规则;
f) 个人信息处理系统的访问控制的细度应达到主体为用户级或进程级,客体为文件、数据库表级;
g) 个人信息处理系统应对个人信息设置安全标记,并控制主体对有安全标记资源的访问。
5.2.3.3 安全审计
a) 个人信息处理系统应启用安全审计功能,并且审计覆盖到每位用户,应对重要的用户行为和重要的安全风波进行审计;
b) 审计记录应包括风波的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,进行定期备份并防止遭到未预期的删掉、修改或覆盖等;
d) 审计记录的存留时间应符合法律法规的要求;
e) 应对审计进程进行保护,防止未经授权的中断。
5.2.3.4 入侵防范
a) 个人信息处理系统应遵守最小安装的原则,只安装须要的组件和应用程序;
b) 个人信息处理系统应关掉不需要的系统服务、默认共享和高危端口;
c) 个人信息处理系统应通过设定终端接入形式或网路地址范围对通过网路进行管理的管理终端进行限制;
d) 个人信息处理系统应才能发觉存在的已知漏洞,并在经过充分测试评估后,及时修复漏洞;
e) 个人信息处理系统应才能测量到对重要节点的入侵行为并进行防御,并在发生严重入侵风波时提供报案;
5.2.3.5 恶意代码防范和程序可信执行
应采取免受恶意代码功击的技术举措或可信验证机制对系统程序、应用程序和重要配置文件/参数进行可信执行验证,并在测量到其完整性遭到破坏时采取恢复举措。
5.2.3.6 资源控制
a) 应限制单个用户或进程对个人信息处理和储存设备系统资源的最大使用限度;
b) 应提供重要节点设备的硬件冗余,保证系统的可用性;
c) 应对重要节点进行监视,包括监视CPU、硬盘、内存等资源的使用情况;
d) 应才能对重要节点的服务水平增加到预先规定的最小值进行检查和报案。
5.2.4 应用和数据安全
5.2.4.1 身份鉴定
a) 个人信息处理系统应对登陆的用户进行身分标示和鉴定,该身分标示应具有唯一性,鉴别信息应具有复杂度并要求定期更换;
b) 个人信息处理系统应提供并启用登陆失败处理功能,并在多次登陆后采取必要的保护举措;
c) 个人信息处理系统应强制用户首次登陆时更改初始口令,当确定信息被泄漏后,应提供提示全部用户强制更改密码的功能,在验证确认用户后更改密码;
d) 用户身分鉴定信息遗失或失效时,应采取技术举措保证鉴定信息重置过程的安全;
e) 应采取静态口令、动态口令、密码技术、生物技术等两种或两种以上的组合鉴定技术对用户进行身分鉴定,且其中一种鉴定技术使用密码技术来实现。
5.2.4.2 访问控制
a) 个人信息处理系统应提供访问控制功能,并对登陆的用户分配帐户和权限;
b) 应重命名或删掉默认帐户,修改默认帐户的默认口令;
c) 应及时删掉或停用多余的、过期的帐户,避免共享帐户的存在;
d) 应授予不同帐户为完成各自承当任务所需的最小权限,在它们之间产生互相掣肘的关系;
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
f) 访问控制的细度应达到主体为用户级,客体为文件、数据库表级、记录或字段级;
g) 个人信息应设置安全标记,控制主体对有安全标记资源的访问。
5.2.4.3 安全审计
a) 个人信息处理系统应提供安全审计功能,审计应覆盖到每位用户,应对重要的用户行为和重要的安全风波进行审计;
b) 审计记录应包括风波的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,并防止遭到未预期的删掉、修改或覆盖等;
d) 审计记录的存留时间应符合法律法规的要求;
e) 应对审计进程进行保护,防止未经授权的中断。
5.2.4.4 软件容错
a) 应提供个人信息的有效性校准功能,保证通过人机接口输入或通过通讯插口输入的内容符合个人信息处理系统设定要求;
b) 应才能发觉个人信息处理系统软件组件可能存在的已知漏洞,并才能在充分测试评估后及时修复漏洞;
c) 应才能在故障发生时,继续提供一部分功能,并才能施行必要的举措。
5.2.4.5 资源控制
a) 在通讯双方中的一方在一段时间内未做任何响应时,另一方应才能手动结束会话;
b) 应对个人信息处理系统的最大并发会话连接数进行限制;
c) 应才能对单个用户的多重并发会话进行限制。
5.2.4.6 数据完整性
a) 应采取校准技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴定数据和个人信息;
b) 应采用校准技术或密码技术保证重要数据在储存过程中的完整性,包括但不限于鉴定数据和个人信息。
5.2.4.7 数据保密性
a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴定数据和个人信息;
b) 应采用密码技术保证重要数据在储存过程中的保密性,包括但不限于鉴定数据和个人信息。
5.2.4.8 数据备份恢复
a) 应提供个人信息的本地数据备份与恢复功能,定期对备份数据进行恢复测试,保证数据可用性;
b) 应提供异地实时备份功能,利用通讯网路将重要数据实时备份至备份场地;
c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。
5.2.4.9 剩余信息保护
a) 应保证鉴定信息所在的储存空间被释放或重新分配前得到完全消除;
b) 应保证存有个人信息的储存空间被释放或重新分配前得到完全消除。
5.3 扩展要求
5.3.1 云计算安全扩充要求
a) 应确保个人信息在云估算平台中储存于中国境内,如需出境应遵守国家相关规定;
b) 应使用校准技术或密码技术保证虚拟机迁移过程中,个人信息的完整性,并在测量到完整性遭到破坏时采取必要的恢复举措;
c) 应使用密码技术保证虚拟机迁移过程中,个人信息的保密性,防止在迁移过程中的个人信息窃取。
5.3.2 物联网安全扩充要求
物联网感知节点设备采集信息回传应采用密码技术保证通讯过程中个人信息的保密性。
6 业务流程
6.1 收集
个人信息的搜集行为应满足以下要求:
a) 个人信息搜集前,应当遵守合法、正当、必要的原则向被搜集的个人信息主体公开搜集、使用规则,明示搜集、使用信息的目的、方式和范围等信息;
b) 个人信息搜集应获得个人信息主体的同意和授权,不应搜集与其提供的服务无关的个人信息,不应通过捆绑产品或服务各项业务功能等方法逼迫搜集个人信息;
c) 个人信息搜集应执行搜集前签订的约定和合同,不应超范围搜集;
d) 不应大规模搜集或处理我国公民的种族、民族、政治观点、宗教信仰等敏感数据;
e) 个人生物辨识信息应仅搜集和使用摘要信息,避免搜集其原始信息;
f) 应确保搜集个人信息过程的安全性:
1) 收集个人信息之前,应有对被搜集人进行身分认证的机制,该身分认证机制应具有相应安全性;
2) 收集个人信息时,信息在传输过程中应进行加密等保护处理;
3) 收集个人信息的系统应落实网路安全等级保护要求;
4) 收集个人信息时应有对搜集内容进行安全检查和过滤的机制,防止非法内容递交。
6.2 保存
个人信息的保存行为应满足以下要求:
a) 在境内营运中搜集和形成的个人信息应在境内储存,如需出境应遵守国家相关规定;
b) 收集到的个人信息应采取相应的安全加密储存等安全举措进行处理;
c) 应对保存的个人信息按照搜集、使用目的、被搜集人授权设置相应的保存期限;
d) 应对保存的个人信息在超出设置的期限后给以删掉;
e) 保存信息的主要设备,应对个人信息数据提供备份和恢复功能,确保数据备份的频度和时间间隔,并使用不多于以下一种备份手段:
1) 具有本地数据备份功能;
2) 将备份介质进行场外储存;
3) 具有异地数据备份功能。
6.3 应用
个人信息的应用应满足以下要求:
a) 对个人信息的应用,应符合与个人信息主体签订的相关合同和规定,不应超范围应用个人信息;
注:经过处理难以辨识特定个人且不能复原的个人信息数据,可以超出与信息主体签订的相关使用合同和约定,但应提供适当的保护举措进行保护。
b) 个人信息主体应拥有控制本人信息的权限,包括:
1) 允许对本人信息的访问;
2) 允许通过适当方式对本人信息的更改或删掉,包括纠正不确切和不完整的数据,并保证更改后的本人信息具备真实性和有效性;
c) 完全借助自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明晰授权,但应确保用户有反对或则拒绝的权力;如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用,或跨网路运营者使用,应经用户明晰授权方可使用其数据;
d) 应对个人信息的接触者设置相应的访问控制举措,包括:
1) 对被授权访问个人信息数据的工作人员根据最小授权的原则,只能访问最少够用的信息,只具有完成职责所需的最少的数据操作权限;
2) 对个人信息的重要操作设置内部审批流程,如批量更改、拷贝、下载等;
3) 对特定人员超限制处理个人信息时配置相应的责任人或负责机构进行审批,并对这些行为进行记录。
e) 应对必须要通过界面(如显示屏幕、纸面)展示的个人信息进行去标识化的处理。
6.4 删除
a) 个人信息在超过保存期限过后应进行删掉,经过处理难以辨识特定个人且不能复原的除外;
b) 个人信息持有者如有违背法律、行政法规的规定或则双方的约定搜集、使用其个人信息时,个人信息主体要求删掉其个人信息的,应采取举措给以删掉;
c) 个人信息相关储存设备,将储存的个人信息数据进行删掉以后应采取举措避免通过技术手段恢复;
d) 对储存过个人信息的设备在进行新信息的储存时,应将之前的内容全部进行删掉;
e) 废弃储存设备,应在进行删掉后再进行处理。
6.5 第三方委托处理
a) 在对个人信息委托处理时,不应超出该信息主体授权同意的范围;
b) 在对个人信息的相关处理进行委托时,应对委托行为进行个人信息安全影响评估;
c) 对个人信息进行委托处理时,应签署相关合同要求受托方符合本文件;
d) 应向受托方进行对个人信息数据的使用和访问的授权;
e) 受托方对个人信息的相关数据进行处理完成以后,应对储存的个人信息数据的内容进行删掉。
6.6 共享和出售
个人信息原则上不得共享、转让。如存在个人信息共享和出售行为时,应满足以下要求:
a) 共享和出售行为应经过合法性、必要性评估;
b) 在对个人信息进行共享和出售时应进行个人信息安全影响评估,应对受让方的数据安全能力进行评估确保受让方具备足够的数据安全能力,并根据评估结果采取有效的保护个人信息主体的举措;
c) 在共享、转让前应向个人信息主体告知出售该信息的目的、规模、公开范围数据接收方的类型等信息;
d) 在共享、转让前应得到个人信息主体的授权同意,与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和裁定执行等直接相关的情形除外;
e) 应记录共享、转让信息内容,将共享、转让情况中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记;
f) 在共享、转让后应了解接收方对个人信息的保存、使用情况和个人信息主体的权力,例如访问、更正、删除、注销等;
g) 当个人信息持有者发生竞购、兼并、重组、破产等变更时,个人信息持有者应向个人信息主体告知有关情况,并继续履行原个人信息持有者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。
6.7 公开披露
个人信息原则上不得公开披露。如经法律授权或具备合理事由确需公开披露时,应充分注重风险,遵守以下要求:
a) 事先举办个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的举措;
b) 向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意,与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和裁定执行等直接相关的情形除外;
c) 公开披露个人敏感信息前,除6.7 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;
d) 准确记录和保存个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;
e) 承担因公开披露个人信息对个人信息主体合法权益导致损害的相应责任;
f) 不得公开披露个人生物辨识信息和基因、疾病等个人生理信息;
g) 不得公开披露我国公民的种族、民族、政治观点、宗教信仰等敏感数据剖析结果。
7 应急处置
7.1 应急机制和预案
a) 应构建完善网路安全风险评估和应急工作机制,在个人信息处理过程中发生应急风波时具有上报有关主管部门的机制;
b) 应制订个人信息安全风波应急预案,包括应急处理流程、事件上报流程等内容;
c) 应定期(至少每半年一次)组织内部相关人员进行应急响应培训和应急演习,使其把握岗位职责和应急处置策略和规程,留存应急培训和应急演习记录;
d) 应定期对原有的应急预案重新评估,修订构建。
7.2 处置和响应
a) 发现网路存在较大安全风险,应采取举措,进行整改,消除隐患;发生安全风波时应及时向公安机关报告,协助举办调查和取证工作,尽快去除隐患;
b) 发生个人信息安全风波后,应记录风波内容,包括但不限于:发现风波的人员、时间、地点,涉及的个人信息及人数,发生风波的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
c) 应对安全风波导致的影响进行调查和评估,采取技术举措和其他必要举措,消除安全隐患,防止害处扩大;
d) 应按《国家网路安全风波应急预案》等相关规定及时上报安全风波,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能导致的影响,已采取或即将采取的处置举措,事件处置相关人员的联系方法;
e) 应将风波的情况告知受影响的个人信息主体,并及时向社会发布与公众有关的警示信息。