信息安全技术 公共及商用服务信息系统个人信息保护指南 GBZ 28828-2012.pdf

GB/Z28828-2012目次前言I引言2规范性引用文件13术语和定义14个人信息保护概述24,1角色和职责2生2基本原则35信息处理过程中的个人信息保护5,1概述35.2收渠阶段45.3加工阶段.45,4转移阶段45.5明除阶段5参考文献6GB/Z28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南1范围本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程，为信息系统中个人信息处理不同阶段的个人信息保护提供指导。本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构，如电信、金融、医疗等领城的服务机构，开展信总系统中的个人信息保护工作。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/Z20986一2007信息安全技术信息安全事件分类分级指南3术语和定义GB/Z20986一2007中界定的以及下列术语和定义适用于文件。3.1信息系统information system计算机信息系统，由计算机（含移动通信终端）及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。注：改写GB/Z20986一2007，定义2.1.3.2个人信息personal information可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的算机数据。注：个人信息可以分为个人敏感信息和个人一般信息。3.3个人信息主体subject of personal information个人信息指向的自然人。3.4个人信息管理者administrator of personal information决定个人信息处理的目的和方式，实际控制个人信息并利用信息系统处理个人信息的组织和机构。3.5个人信息获得者receiver of personal information从信息系统获取个人信息，并对获得的个人信息进行处理的个人、组织和机构。1