《(精品)个人信息保护复习资料 (2).ppt》由会员分享,可在线阅读,更多相关《(精品)个人信息保护复习资料 (2).ppt(154页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第一章第一章 概概论论信息信息1信息定信息定义2个个人信息保人信息保护护3国际间个人信息保护状况国际间个人信息保护状况 4信息信息信息是人类生产活动、社会活动中的基本载体,信息是人类生产活动、社会活动中的基本载体,承载以文字、符号、声音、图形、图像等形式,承载以文字、符号、声音、图形、图像等形式,通过各种渠道传播的信号、消息、情报、资料、通过各种渠道传播的信号、消息、情报、资料、文档等内容。信息普遍存在于自然界、人类社文档等内容。信息普遍存在于自然界、人类社会和人的思维之中。会和人的思维之中。信息在我们的社会、生产等活动中无处不在,信息在我们的社会、生产等活动中无处不在,始终伴随着我们。信息贯
2、穿人类社会的发展历始终伴随着我们。信息贯穿人类社会的发展历史,是人类社会实践的深刻概括,并随着人类史,是人类社会实践的深刻概括,并随着人类的发展进步而不断演变、发展的发展进步而不断演变、发展。第二次第二次五次信息相关的技术革命五次信息相关的技术革命 第一次第一次第三次第三次第四次第四次第五次第五次 从猿进化到人的重要标志,从猿进化到人的重要标志,信息交流的手段和工具信息交流的手段和工具语言语言的创造和使用的创造和使用 信息产生、传播、存储跨越信息产生、传播、存储跨越时间和地域限制时间和地域限制文字的出现文字的出现 扩大信息交流和传播的范围扩大信息交流和传播的范围和容量,提高信息的可靠性和容量,
3、提高信息的可靠性造纸和印刷术的发明造纸和印刷术的发明 现代通信技术现代通信技术(电报、电话、电报、电话、广播、电视等广播、电视等)的发明、运用和普的发明、运用和普及,标志信息交流、传递手段的及,标志信息交流、传递手段的根本性变革根本性变革 计算机技术的发明、应用,与现代计算机技术的发明、应用,与现代通信技术的结合突破了人类使用大脑及通信技术的结合突破了人类使用大脑及感觉器官加工、利用信息的能力,彻底感觉器官加工、利用信息的能力,彻底改变了人类加工信息的手段。改变了人类加工信息的手段。信息的定信息的定义义狭义的信息定义狭义的信息定义 广义的信息定义广义的信息定义 可以定义为一种消息、情报、文档资
4、料或数据可以定义为一种消息、情报、文档资料或数据 可以定义为对各种事物的存在方式、运动状态和相互联系特征的可以定义为对各种事物的存在方式、运动状态和相互联系特征的表达和陈述,是自然界、人类社会和人类思维活动普遍存在的一种物表达和陈述,是自然界、人类社会和人类思维活动普遍存在的一种物质和事物的普遍属性。质和事物的普遍属性。信息的基本要素信息的基本要素与与传传播播过过程程信道信道信源信源信宿信宿 信息的主体。信息的主体。表示具有某种存表示具有某种存在方式、运动状在方式、运动状态和相互联系特态和相互联系特征的源信息。信征的源信息。信源反映了事务的源反映了事务的客观存在,因此,客观存在,因此,信源与信
5、源具有信源与信源具有不同的内涵;不同的内涵;信源与信宿信源与信宿之间建立的传递之间建立的传递通道。通道。信息的接收者。信息的接收者。是对信源的认知是对信源的认知和理解;和理解;信息的特征信息的特征OneThreeTwoFour 信息是客观存在的。源于物信息是客观存在的。源于物质世界和人的思维、意识。信息质世界和人的思维、意识。信息反映了物质的特征、运动状态和反映了物质的特征、运动状态和内在的规律,反映了人的意识过内在的规律,反映了人的意识过程。程。信息是可再现的。通过识别、信息是可再现的。通过识别、搜索、存储、传递、变换、显示、搜索、存储、传递、变换、显示、处理、复制等,信息可以独处理、复制等
6、,信息可以独 立于物质和思维存在,立于物质和思维存在,再现信息再现信息.本体。本体。信息是可共享的。信信息是可共享的。信 息息 是不可或缺的资源,收集、生成、是不可或缺的资源,收集、生成、压缩、更新和共享。可以根据信压缩、更新和共享。可以根据信息分类设定共享条件。息分类设定共享条件。意识过程。意识过程。信息是可以控制的。可以信息是可以控制的。可以根据信息的使用目的,确定信根据信息的使用目的,确定信息处理范畴、处理方法。息处理范畴、处理方法。四个四个特征特征个个人信息保人信息保护护个人信息主要体现在软件及信息服务业、金融个人信息主要体现在软件及信息服务业、金融保险业、医疗服务业、政府机关、电信业
7、、教保险业、医疗服务业、政府机关、电信业、教育、广告及印刷、劳动服务业、制造业等行业育、广告及印刷、劳动服务业、制造业等行业中,随着现代信息服务业的深入,正逐渐向全中,随着现代信息服务业的深入,正逐渐向全社会展开。社会、政治、经济等各个行业在计社会展开。社会、政治、经济等各个行业在计算机网络系统、相关软件及数据处理、社会生算机网络系统、相关软件及数据处理、社会生活的各个方面经常涉及个人信息的使用和处理。活的各个方面经常涉及个人信息的使用和处理。因此个人信息的保护尤为重要。因此个人信息的保护尤为重要。个人信息保护个人信息保护其一其一其二其二 产业整体表现为,信息服务业客产业整体表现为,信息服务业
8、客户对加工信息发包谨慎;软件加工业户对加工信息发包谨慎;软件加工业客户不提供真实测试数据。客户不提供真实测试数据。客户向承接外包项目的企业提出客户向承接外包项目的企业提出个人信息保护的具体要求,并在合同个人信息保护的具体要求,并在合同中增加个人信息保护相关条款和违反中增加个人信息保护相关条款和违反规定的处罚。因有关个人信息保护不规定的处罚。因有关个人信息保护不当所造成损失的处罚金额相当高。当所造成损失的处罚金额相当高。从个人信息保护对大连软件及信息服务业的影响可以从个人信息保护对大连软件及信息服务业的影响可以窥见一般:窥见一般:国际间个人信息保护状况国际间个人信息保护状况 1颁颁布年代布年代国
9、国家家法法规规197319741984198619881995199619991999美国美国欧盟欧盟欧盟欧盟欧盟欧盟日本日本美国美国英国英国美国美国瑞典瑞典互联网保护个人隐私的政策互联网保护个人隐私的政策 Internet个人隐私保护的一般原则个人隐私保护的一般原则 电子通讯数据保护指令电子通讯数据保护指令个人数据保护指令个人数据保护指令个人信息保护法个人信息保护法电子通信隐私法电子通信隐私法数据保护法数据保护法隐私法隐私法数据法数据法123456789已制定了个人信息保护相关法规和标准的国家与地区已制定了个人信息保护相关法规和标准的国家与地区OECDOECD于于于于19801980年颁布的
10、隐私保护和个人数据跨年颁布的隐私保护和个人数据跨年颁布的隐私保护和个人数据跨年颁布的隐私保护和个人数据跨国流通指导原则中有关个人信息保护的八项原则国流通指导原则中有关个人信息保护的八项原则国流通指导原则中有关个人信息保护的八项原则国流通指导原则中有关个人信息保护的八项原则1收集限制原则。个人信息的收集必须采取合理合法的手段,必须征得信息主体的同意;2信息质量原则。个人信息必须在利用目的范围内保持正确、完整及最新状况。3目的明确化原则。个人信息收集目的要明确化;4利用限制原则。对个人信息资料不得超出收集目的范围外利用5案例保护原则。对个人信息的丢失、不当接触、破坏、利用、修改、公开等危险必须采取
11、合理的案例保护措施加以保护。6公开原则。个人信息管理者必须用简单易懂的方法向公众公开个人信息保护的措施。7个人参加原则。个人信息主体的权利:确认个人信息的来源、个人信息的保存等;收集、利用的质疑;修改、完善、补充、删除等。8责任原则。个人信息管理者有责任遵循有效实施各项原则的措施。第二第二第二第二讲讲 基本基本基本基本概概概概念念念念个个人人隐隐私私1网网络隐络隐私私权权2个个人人数数据据与个与个人信息人信息3法律名法律名称称的使用的使用4 Conclusion4个个人信息的特征人信息的特征5个个人信息的分人信息的分类类6个个人信息保人信息保护护范范畴畴7个个个个人人人人隐隐私私私私(隐隐私私
12、私私权权)隐私权是关于隐私的权利,是人的基本权利。隐私权是关于隐私的权利,是人的基本权利。美国学者布兰代斯和沃伦在其发表的著名的美国学者布兰代斯和沃伦在其发表的著名的论隐私权论隐私权中把隐私权界定为生活的权利和中把隐私权界定为生活的权利和不受干扰的权利以保障人格的不可侵犯。不受干扰的权利以保障人格的不可侵犯。现代的隐私观,包含三种形态:现代的隐私观,包含三种形态:个人数踞资料个人数踞资料个人生活个人生活个人生活领域个人生活领域隐私权的基本权利隐私权的基本权利隐私权的基本权利隐私权的基本权利隐私知情权隐私知情权隐私选择权隐私选择权隐私控制权隐私控制权隐私维护权隐私维护权 属于个人隐私的、与公共利
13、属于个人隐私的、与公共利益无关的所有事情,权利人有权益无关的所有事情,权利人有权隐瞒。未经权利人允许,不能收隐瞒。未经权利人允许,不能收集、公开和传播;集、公开和传播;权利人在不违反公共利益权利人在不违反公共利益的前提下,有权根据个人的需的前提下,有权根据个人的需要控制个人隐私的使用;可以要控制个人隐私的使用;可以利用个人隐私满足自身或他人。利用个人隐私满足自身或他人。的精神和物质需要;的精神和物质需要;权利人有权根据使用需权利人有权根据使用需求和使用目的决定公开或不求和使用目的决定公开或不允许知悉或利用个人隐私;允许知悉或利用个人隐私;公民个人的隐私享有不受公民个人的隐私享有不受非法侵害的权
14、利。在受到非法非法侵害的权利。在受到非法侵害时,可以寻求司法保护,侵害时,可以寻求司法保护,或要求侵权人停止侵权、直至或要求侵权人停止侵权、直至赔偿损失。赔偿损失。基本基本权利权利隐私权侵权行为隐私权侵权行为隐私权侵权行为隐私权侵权行为盗用盗用私事的公开私事的公开 侵入侵入公共误认公共误认 盗用原告姓名、肖像等;盗用原告姓名、肖像等;不法侵入原告的私人生活;不法侵入原告的私人生活;不合理公开涉及原告私不合理公开涉及原告私生活的事情;生活的事情;公开原告不实的形象公开原告不实的形象 侵权侵权行为行为网网网网络隐络隐私私私私权权网络隐私权是个人在网络虚拟空间中生活安宁网络隐私权是个人在网络虚拟空间
15、中生活安宁的权利和个人信息不被非法利用、收集、公开的权利和个人信息不被非法利用、收集、公开的权利;同时,个人能够控制和支配个人隐私的权利;同时,个人能够控制和支配个人隐私的使用,决定个人生活和个人信息的现状、目的使用,决定个人生活和个人信息的现状、目的、范围等。网络隐私权具有传统隐私基本权的、范围等。网络隐私权具有传统隐私基本权利的特征。利的特征。网络隐私权是传统隐私权在网络空间中的延伸,网络隐私权是传统隐私权在网络空间中的延伸,表现形式多为个人信息的收集、使用、利用。表现形式多为个人信息的收集、使用、利用。在网络空间中,个人信息是个人隐私的数字化在网络空间中,个人信息是个人隐私的数字化形式。
16、因此,网络隐私权的核心是个人信息的形式。因此,网络隐私权的核心是个人信息的保护。保护。网络隐私权主要特征包括网络隐私权主要特征包括网络隐私权主要特征包括网络隐私权主要特征包括 TwoOneThree 网络隐私权的网络隐私权的环境是互连网络或环境是互连网络或接入网络。个人的接入网络。个人的网络行为和活动、网络行为和活动、个人网站、发布信个人网站、发布信息、电子商务活动、息、电子商务活动、电子邮件等产生的电子邮件等产生的个人信息都可以很个人信息都可以很容易的采用现代信容易的采用现代信息技术手段监控、息技术手段监控、收集、利用。收集、利用。网络隐私权的网络隐私权的主体是双重的。网主体是双重的。网络是
17、一个虚拟空间,络是一个虚拟空间,任何人都可以以实任何人都可以以实名名(现实生活中的自现实生活中的自然人然人),或匿名,或匿名(现现实生活中不存在,实生活中不存在,只存在于网络虚拟只存在于网络虚拟世界中世界中)方式在网上方式在网上活动。活动。网络隐私权的网络隐私权的客体也是双重的,客体也是双重的,网络隐私权的客体网络隐私权的客体同网络隐私权的主同网络隐私权的主体一样,也包括虚体一样,也包括虚拟世界中虚拟个体拟世界中虚拟个体的个人信息和私人的个人信息和私人领域。领域。个人数据与个人信息个人数据与个人信息个人数据与个人信息个人数据与个人信息 个个人人数数据据个个人信息人信息个人数据是已经识别或可以识
18、别的与个人相关的所有个人数据是已经识别或可以识别的与个人相关的所有资料,可以被计算机系统识别、存储、加工处理。个人数资料,可以被计算机系统识别、存储、加工处理。个人数据的概念比较宽泛,据的概念比较宽泛,个人信息是具有属性特征的个人数据和经过加工处理个人信息是具有属性特征的个人数据和经过加工处理的个人数据的集合。个人数据是个人信息的载体。个人信的个人数据的集合。个人数据是个人信息的载体。个人信息的主体是拥有个人数据的个人。息的主体是拥有个人数据的个人。家庭基本情况:婚姻状况、配偶、父母、子女等;家庭基本情况:婚姻状况、配偶、父母、子女等;其他:计算机储存的个人资料等。其他:计算机储存的个人资料等
19、。个人的自然情况:姓名、性别、肖像、出生日期、个人的自然情况:姓名、性别、肖像、出生日期、身高、体重、血型、生理特征、住宅、种族等。身高、体重、血型、生理特征、住宅、种族等。与个人相关的社会背景:受教育程度、工作经历、与个人相关的社会背景:受教育程度、工作经历、宗教及其他信仰、政治观点和倾向、社会关系等宗教及其他信仰、政治观点和倾向、社会关系等与个人相关的自然情况、日常生活、家庭、社交等与个人相关的自然情况、日常生活、家庭、社交等个人数据与个人信息个人数据与个人信息个人数据与个人信息个人数据与个人信息个个人人数数据据主主要要包包括括:数据加工处理后的数据:数据加工处理后的数据:个人数据;个人数
20、据;记录、记录、存储在网站数据库中的个人网络行为,及其存储在网站数据库中的个人网络行为,及其在虚拟空间中所有活动轨迹的描述等数据资料。在虚拟空间中所有活动轨迹的描述等数据资料。个人数据与个人信息个人数据与个人信息个人数据与个人信息个人数据与个人信息个个人人信信息息主主要要包包括括:法律名法律名法律名法律名称称称称的使用的使用的使用的使用个个人人数数据据个人隐私个人隐私 个个人信息人信息个人隐私个人隐私一词来一词来源于美国,在美国现源于美国,在美国现行法律体系中,隐私行法律体系中,隐私是内涵和外延非常广是内涵和外延非常广泛的概念,在与美国泛的概念,在与美国属于同一法律体系、属于同一法律体系、或受
21、美国影响较大的或受美国影响较大的国家中,国家中,在个人信息在个人信息保护相关法律中,多保护相关法律中,多采用采用“个人隐私个人隐私”的的概念。概念。欧盟及受欧盟及受19951995年年欧盟欧盟个人数据保护个人数据保护指令指令影响的国家,影响的国家,多采用多采用“个人数据个人数据”的概念。的概念。个人数据个人数据保护指令保护指令的基本原的基本原则包括:则包括:数据质量原则数据质量原则 数据处理合法化原则数据处理合法化原则 告知原则告知原则 特殊类型数据处理原则特殊类型数据处理原则 日本、韩国、俄日本、韩国、俄罗斯等国多使用个人罗斯等国多使用个人信息的概念。个人信信息的概念。个人信息包含个人隐私,
22、当息包含个人隐私,当与公共利益无关、与与公共利益无关、与自然人个体相关的个自然人个体相关的个人数据资料不愿公开人数据资料不愿公开时,则成为隐私,而时,则成为隐私,而个人信息并不完全涉个人信息并不完全涉及个人隐私。及个人隐私。个人信息的特征个人信息的特征个人信息的特征个人信息的特征可识别特征可识别特征 主体特征主体特征 价值特征价值特征 个人信息为个人个人信息为个人信息的主体拥有。个信息的主体拥有。个人信息主体是其所拥人信息主体是其所拥有的个人信息可以作有的个人信息可以作为数据收集、处理的为数据收集、处理的自然人。个人信息主自然人。个人信息主体享有人格权和法律体享有人格权和法律赋予的义务,其所拥
23、赋予的义务,其所拥有的个人信息是可识有的个人信息是可识别的,并可依据这些别的,并可依据这些信息直接定位于特定信息直接定位于特定的主体。的主体。个人信息的可识个人信息的可识别性,是通过个人信别性,是通过个人信息的内容,经过判断息的内容,经过判断可以确定个人信息的可以确定个人信息的主体。可识别性是个主体。可识别性是个人信息的重要特征,人信息的重要特征,是明确个人信息内容是明确个人信息内容和范畴的客观标准。和范畴的客观标准。个人信息的属性个人信息的属性决定了个人信息是有决定了个人信息是有价值的资源。由于个价值的资源。由于个人信息具有的可识别人信息具有的可识别特性,可以非常方便特性,可以非常方便的了解
24、个人信息主体的了解个人信息主体的个人喜好、生活习的个人喜好、生活习惯、个人需求等,从惯、个人需求等,从而创造可能的获得利而创造可能的获得利润的机会。个人信息润的机会。个人信息具有的价值取向是个具有的价值取向是个人信息的显著特征。人信息的显著特征。个人信息的类别个人信息的类别个人信息的类别个人信息的类别单一信息和组合信息单一信息和组合信息静态信息和动态信息静态信息和动态信息显性信息和隐性信息显性信息和隐性信息真实信息与虚拟信息真实信息与虚拟信息在个人信息构成中,单一数在个人信息构成中,单一数据元素可以称为单一信息,如姓据元素可以称为单一信息,如姓名;由多个数据元素构成的数据名;由多个数据元素构成
25、的数据单位,可以称为组合信息。单位,可以称为组合信息。易于识别的个人信息可以称易于识别的个人信息可以称为显性信息,隐性信息则是需要为显性信息,隐性信息则是需要收集或采用某些技术手段才能获收集或采用某些技术手段才能获取的个人信息。取的个人信息。静态信息是个人信息主静态信息是个人信息主体已经存在的,或过往的、历体已经存在的,或过往的、历史的信息,动态信息则是个人史的信息,动态信息则是个人信息主体当前的信息,信息主体当前的信息,存在于现实世界中的个人信存在于现实世界中的个人信息主体的真实的信息和存在于网息主体的真实的信息和存在于网络虚拟世界中的虚拟的信息。络虚拟世界中的虚拟的信息。大致大致分为分为个
26、个个个人信息的分人信息的分人信息的分人信息的分类类公开信息与隐秘信息公开信息与隐秘信息 自动处理和非自动处理自动处理和非自动处理 敏感信息和琐碎信息敏感信息和琐碎信息 个人信息是可以直接或间接识别个人信息主体的信息,具有法律属性,且与人格利益密不可分。因此,个人信息具有私密性,一般不为人所知。通过特定、合法的途径,了解、掌握、利用个人信息,是明确目标的公开获取。以此为标准,个人信息可以分为公开的和隐秘的。个人信息自动处理是利用计算机系统及其相关和配套设备、计算机网络系统,按照一定的应用目的和规则进行个人信息的收集、加工、存储、传输、检索、咨询、交换等业务。个人信息是否涉及特殊的个人隐私,可以作
27、为个人信息的一种分类敏感信息。而零散的、不重要的、如散碎纸片一般的,或散见与各处的个人信息则属于琐碎信息。个人信息保护范畴个人信息保护范畴个人信息保护范畴个人信息保护范畴个人情息保护的内涵丰富、外延广泛。采用个人情息保护的内涵丰富、外延广泛。采用自动或非自动处理方式进行个人信息的收自动或非自动处理方式进行个人信息的收集、录人、加工、编辑、存储、管理、检集、录人、加工、编辑、存储、管理、检索、咨询、交换、传输、输出、使用、委索、咨询、交换、传输、输出、使用、委托或其他利用个人信息的行为,均在提供托或其他利用个人信息的行为,均在提供个人信息安全保护的范畴之内。个人信息安全保护的范畴之内。第三第三第
28、三第三讲讲 PIPI管理机制管理机制管理机制管理机制管理管理职职能能1个个人信息保人信息保护管理体系管理体系2 个个人信息管理机制人信息管理机制3个人信息管理的目标和原则个人信息管理的目标和原则 4管理管理管理管理职职能能能能管理的管理的概概念念管理的职能管理的职能 管理是由计划、组织、领导、控制所组成的一种职能管理是由计划、组织、领导、控制所组成的一种职能活动,是指一定组织中的管理者,通过实施计划、组织、活动,是指一定组织中的管理者,通过实施计划、组织、领导、控制等职能来协调他人的活动,使别人同自己一起领导、控制等职能来协调他人的活动,使别人同自己一起实现既定目标的活动过程。实现既定目标的活
29、动过程。管理是由一些相互关联的活动组成的,这些相互关联的管理是由一些相互关联的活动组成的,这些相互关联的管理活动我们称之为管理的职能,是管理过程中各项活动应管理活动我们称之为管理的职能,是管理过程中各项活动应该担负和完成的基本任务。该担负和完成的基本任务。计划计划选择合适的组织目标,确定切实可行的行动方案并且有效地实现这些目标。组织组织建立一种能够促使人们为实现组织目标的任务分派和领导关系控制控制建立准确的测评监控系统用以评价组织目标的完成情况。领导领导指挥、激励和协调下属,使他们为实现组织目标而努力工作管理管理管理管理职职能的能的能的能的内内内内容容容容个人信息保护管理体系个人信息保护管理体
30、系个人信息保护管理体系个人信息保护管理体系建立个人信息保护管理体系的基本目的是满建立个人信息保护管理体系的基本目的是满足个人信息管理的需要,指导企事业单位建足个人信息管理的需要,指导企事业单位建立健全各类管理机制,协调各类资源,充分立健全各类管理机制,协调各类资源,充分保障个人信息主体的权利,保障个人信息管保障个人信息主体的权利,保障个人信息管理业务的稳定运行。理业务的稳定运行。个人信息保护管理体系的特点个人信息保护管理体系的特点个人信息保护管理体系的特点个人信息保护管理体系的特点唯一性唯一性系统性系统性 有效性有效性 预防性预防性 动态性动态性 与特定组织的管理目标、业务流程、管理策略、过程
31、特点、实践经与特定组织的管理目标、业务流程、管理策略、过程特点、实践经验等结合。因而,不同组织的体系具有不同的特点验等结合。因而,不同组织的体系具有不同的特点 个人信息保护管理体系是组织内各种因素相互关联和作用的组合个人信息保护管理体系是组织内各种因素相互关联和作用的组合应全面有效,满足个人信息保护相关法规的要求,保障个人信息主应全面有效,满足个人信息保护相关法规的要求,保障个人信息主体的权益。也满足个人信息保护认证的要求体的权益。也满足个人信息保护认证的要求 个人信息保护管理体系的实施,可以有效预防个人信息相关安全事个人信息保护管理体系的实施,可以有效预防个人信息相关安全事件的发生件的发生
32、进行个人信息保护内部审核和个人信息保护认证,采用预防和纠正进行个人信息保护内部审核和个人信息保护认证,采用预防和纠正措施,改进和完善个人信息保护管理体系措施,改进和完善个人信息保护管理体系 个人信息保护管理机制个人信息保护管理机制个人信息保护管理机制个人信息保护管理机制管理机制是一个组织内部管理机构及其运管理机制是一个组织内部管理机构及其运行机理。它以管理机构为载体,包括:行机理。它以管理机构为载体,包括:管理机制的约束管理机制的约束 管理机构的动因管理机构的动因 管理机构的功能和目标管理机构的功能和目标 个人信息保护管理机制个人信息保护管理机制个人信息保护管理机制个人信息保护管理机制最高管理
33、者的职责最高管理者的职责 明明确确管管理理者者代代表表 明明确确个个人人信信息息保保护护的的方方针针 责责任任落落实实 资资源源分分配配 领领导导决决策策 持持续续改改进进 个人信息保护管理机制个人信息保护管理机制个人信息保护管理机制个人信息保护管理机制个人信息保护负责人个人信息保护负责人 个人信息保护管理机构个人信息保护管理机构 个个人人信信息息保保护护的的管管理理机机构构个人信息保护监察机构个人信息保护监察机构 负责机构中宣传教育工作负责服务支持与用户的沟通工作独立开展监督、检查、调查工作 代表管理者管理 各部门各项工作负责组织的个人信息保护工作 个人信息保护管理机制个人信息保护管理机制个
34、人信息保护管理机制个人信息保护管理机制体系化体系化 组织保障组织保障 融合性融合性告知告知 各个规章制度之间是相互有各个规章制度之间是相互有机联系的一个整体。不仅包括个机联系的一个整体。不仅包括个人信息保护的各个方面,也包括人信息保护的各个方面,也包括组织内横向、纵向的管理关系。组织内横向、纵向的管理关系。个人信息保护管理体系不个人信息保护管理体系不是独立存在的,应与其他管理是独立存在的,应与其他管理体系有机融合,才能有效执行,体系有机融合,才能有效执行,降低和控制风险降低和控制风险 基于组织的总体利益,基于组织的总体利益,统一管理、制定组织的个人信统一管理、制定组织的个人信息保护相关管理制度
35、和各个部息保护相关管理制度和各个部门的管理细则,以形成制度的门的管理细则,以形成制度的合力合力。个人信息保护相关管理个人信息保护相关管理制度应以一定形式公示,或制度应以一定形式公示,或告知员工。告知员工。管理管理制度制度 个人信息保护管理机制个人信息保护管理机制个人信息保护管理机制个人信息保护管理机制业务宣传业务宣传基本宣传基本宣传社会宣传社会宣传主要是在组织主要是在组织的内部,宣传个人的内部,宣传个人信息保护的基本知信息保护的基本知识、个人信息保护识、个人信息保护相关法规、个人信相关法规、个人信息保护的重要性、息保护的重要性、个人信息管理的基个人信息管理的基本策略等。本策略等。在形象宣传、在
36、形象宣传、业务交往中,宣传业务交往中,宣传组织的个人信息保组织的个人信息保护目的、个人信息护目的、个人信息管理措施、个人信管理措施、个人信息使用和处理方法息使用和处理方法及规定、个人信息及规定、个人信息安全措施等。安全措施等。在面向社会时,在面向社会时,应积极宣传本组织应积极宣传本组织的个人信息保护政的个人信息保护政策和措施,可以在策和措施,可以在各种媒介中增加相各种媒介中增加相关的官传内容,如关的官传内容,如宣传资料、各种网宣传资料、各种网络媒介等。络媒介等。个人信息保护宣传的三种形式个人信息保护宣传的三种形式个人信息管理的目标和原则个人信息管理的目标和原则个人信息管理的目标和原则个人信息管
37、理的目标和原则个人信息保护管理的目标是维护个人信息主个人信息保护管理的目标是维护个人信息主体的合法权益不受损害。为实现这一目的,个人体的合法权益不受损害。为实现这一目的,个人信息管理应该遵循以下基本原则:信息管理应该遵循以下基本原则:公平合理性原则公平合理性原则 个人信息必须被公平台理的处理个人信息必须被公平台理的处理 合法性原则合法性原则 所有的数据处理都必须具有法律依据所有的数据处理都必须具有法律依据 透明度原则透明度原则 有助于建立信任,确保个人信息的准确性有助于建立信任,确保个人信息的准确性 安全性原则安全性原则 采取必要的管理和技术措施,确保安全性采取必要的管理和技术措施,确保安全性
38、独立的监管机构独立的监管机构 独立的监管是有效保护个人信息的基础独立的监管是有效保护个人信息的基础 P P个人信息保护管理体系的确立 D D个人信息保护管理体系的导入和运用 A A个人信息保护管理体系的改善 C C个人信息保护管理体系的监察和认证 个人信息安全管理个人信息安全管理个人信息安全管理个人信息安全管理PDCAPDCA模式模式模式模式第四讲第四讲第四讲第四讲PIPPIP机制机制机制机制侵害个人信息现状侵害个人信息现状 1个人信息拥有者个人信息拥有者 2个人信息保护原则个人信息保护原则 3个人信息收集个人信息收集 4个人信息处理个人信息处理 个人信息保护安全机制个人信息保护安全机制 个人
39、信息保护模式个人信息保护模式 侵害个人信息现状侵害个人信息现状侵害个人信息现状侵害个人信息现状 在现代社会经济活动中,个人信息的无形的物质性财在现代社会经济活动中,个人信息的无形的物质性财产权益产权益日益重要日益重要。信息技术的迅猛发展信息技术的迅猛发展,使得个人信,使得个人信息的收集、处理,愈加方便、容易,同时,对个人信息的收集、处理,愈加方便、容易,同时,对个人信息的侵害也愈加频繁,愈加呈现多样性。息的侵害也愈加频繁,愈加呈现多样性。侵害个人信侵害个人信息现状息现状网络应用中的个网络应用中的个人信息侵害人信息侵害 社会工程学社会工程学与个人信息侵害与个人信息侵害 现实生活中现实生活中的个人
40、信息侵害的个人信息侵害 网络应用中的个人信息侵害网络应用中的个人信息侵害网络应用中的个人信息侵害网络应用中的个人信息侵害互联网搜索引擎互联网搜索引擎木马和肉鸡木马和肉鸡 Cookie的作用的作用个人信息收集、利用的侵权行为个人信息收集、利用的侵权行为 在网络应用中所存在着对个人信息的侵害在网络应用中所存在着对个人信息的侵害例如Google获取的海量用户信息,正在对用户的个人隐私构成威胁。同时,依据不同的目的,可以通过Coode收集到大量的个人信息,威胁个人隐私和信息安全。Cookie为网络服务商收集和利用个人信息提供了必要的技术支持,因而存在个人信息的不当使用和泄露的危险,威胁信息主体的个人隐
41、私权。用户终端被植入木马程序后,就成为可以任意宰割的“肉鸡”。“肉鸡被随意设置,用于各种用途;“肉鸡的个人数据资料被公开地、任意地买卖。基于网络的个人信息利用和收集,存在来自个人、网络服务商、生产厂商为主体的侵权行为 现实生活中的个人信息侵害现实生活中的个人信息侵害现实生活中的个人信息侵害现实生活中的个人信息侵害通过已公开的信息,或在通过已公开的信息,或在平常的人际交往、工作关平常的人际交往、工作关系中收集并累积个人情息系中收集并累积个人情息 通过在公共场所进行市场通过在公共场所进行市场调查、问卷调查等形式,调查、问卷调查等形式,获取个人信息获取个人信息 采用某种方式,与具有大采用某种方式,与
42、具有大客户群的单位建立联系,客户群的单位建立联系,获取、累积个人信息获取、累积个人信息 其他方式,如窃取的个其他方式,如窃取的个人信息资料人信息资料 造造成成个个人人信信息息泄泄露露、滥滥用用的的危危险险也也日日益益严严重重。出现在实出现在实生活中的生活中的对个人信对个人信息的侵害息的侵害ABCD心理攻击:心理攻击:构构建陷阱攻击的建陷阱攻击的方式,如说服、方式,如说服、友善、恭维、友善、恭维、模仿等模仿等 社会工程学与个人信息侵害社会工程学与个人信息侵害社会工程学与个人信息侵害社会工程学与个人信息侵害在个人信息侵害事件中,社会在个人信息侵害事件中,社会工程学亦扮演着重要的角色。攻击工程学亦扮
43、演着重要的角色。攻击者通过交谈、欺骗、引诱、伪装等者通过交谈、欺骗、引诱、伪装等各种形式,套取个人信息主体的敏各种形式,套取个人信息主体的敏感信息,感信息,人是信息安全人是信息安全的核心,是的核心,是“木桶效应木桶效应”的的短板短板 社会工程学实施的基础是信任。社会工程学实施的基础是信任。利用人性的弱点进行各种形式的攻利用人性的弱点进行各种形式的攻击,尝试与用户建立相对稳定的相击,尝试与用户建立相对稳定的相互信任关系来地获取重要的敏感信互信任关系来地获取重要的敏感信息。通常有两种攻击形式息。通常有两种攻击形式 物理攻击:物理攻击:实施实施攻击的位置,如攻击的位置,如工作场所、网络工作场所、网络
44、环境、电话等环境、电话等 在个人信息保在个人信息保护中,对社会护中,对社会工程学攻击的工程学攻击的防护尤为重要防护尤为重要 AABB个人信息拥有者个人信息拥有者个人信息拥有者个人信息拥有者个人信息主体个人信息主体 个人信息管理者个人信息管理者个人信息主体是基于自然规律出生、具有生物学意义和法理人格,个人信息主体是基于自然规律出生、具有生物学意义和法理人格,并被法律赋予民事主体资格的自然人。自然人与生俱来的个人信息,并被法律赋予民事主体资格的自然人。自然人与生俱来的个人信息,包括生理的、心理的和智力的,和在社会实践中形成的个人信息,包包括生理的、心理的和智力的,和在社会实践中形成的个人信息,包括
45、社会的、经济的、家庭的等,与自然人个体紧密相关,为个人信息括社会的、经济的、家庭的等,与自然人个体紧密相关,为个人信息主体基于其生物学意义和法理人格所唯一拥有。享有个人信息知悉、主体基于其生物学意义和法理人格所唯一拥有。享有个人信息知悉、支配和控制的权利,支配和控制的权利,个人信息管理者是基于特定的目的,经个人信息主体明确同意、个人信息管理者是基于特定的目的,经个人信息主体明确同意、委托、授权,收集、占有、保存、管理、处理、利用个人信息的组织、委托、授权,收集、占有、保存、管理、处理、利用个人信息的组织、机构或个人。机构或个人。个人信息管理是对个人信息资源及针对这些资源的活动个人信息管理是对个
46、人信息资源及针对这些资源的活动和行为进行管理。和行为进行管理。个人信息资源是由个人信息主体、个人信息和针对个人信息资源是由个人信息主体、个人信息和针对个人信息采取的技术和手段有机构成,个人信息采取的技术和手段有机构成,个人信息主体知悉、支配和控制的权利个人信息主体知悉、支配和控制的权利个人信息主体知悉、支配和控制的权利个人信息主体知悉、支配和控制的权利 OneThreeTwoFour确认个人信息是否以明确地、确认个人信息是否以明确地、易于理解地形式记载。在个人信易于理解地形式记载。在个人信息收集、管理、保存、处理、利息收集、管理、保存、处理、利用过程中,必须以明确、易于理用过程中,必须以明确、
47、易于理解的形式记载,解的形式记载,确认个人信息的保存形式。确认个人信息的保存形式。个人信息应以文档形式保存,信个人信息应以文档形式保存,信息主体可以无限制地确认个人信息主体可以无限制地确认个人信息文档的存在、目的、利用情况、息文档的存在、目的、利用情况、安全性等、安全性等o个人信息修正。如果个个人信息修正。如果个人信息不完整、不正确,或需要人信息不完整、不正确,或需要更新,个人信息主体有权适当修更新,个人信息主体有权适当修改、删除、完善,以保证个人信改、删除、完善,以保证个人信息的最新状态息的最新状态。疑义和反对。个人信息主疑义和反对。个人信息主体对相关个人信息的利用目的、体对相关个人信息的利
48、用目的、处理过程等有权提出疑义或反处理过程等有权提出疑义或反对意见对意见。主要主要包括包括控制与监督控制与监督 个人信息管理的职能个人信息管理的职能个人信息管理的职能个人信息管理的职能规划与人事规划与人事次次协调与沟通协调与沟通评估评估 在决策目标确定后,对个人在决策目标确定后,对个人信息管理行为的预勇设计。根据信息管理行为的预勇设计。根据决策和邦划,明确管理人员责任决策和邦划,明确管理人员责任和职能。和职能。控制是对个人信息的管理活动、控制是对个人信息的管理活动、行为及后果实施制衡和修正,并行为及后果实施制衡和修正,并对过程进行监督,保障个人信息对过程进行监督,保障个人信息.主体的利益。主体
49、的利益。管理者与个人信息主体之间管理者与个人信息主体之间的关系,需要协商、调解,使双的关系,需要协商、调解,使双方和谐地配合,既保证个人信息方和谐地配合,既保证个人信息主体的利益主体的利益。应随时对个人信息收集、利应随时对个人信息收集、利用的目的、范围、手段和方法、用的目的、范围、手段和方法、风险因素方面进行评估,提出修风险因素方面进行评估,提出修正或补救措施、应对策略,正或补救措施、应对策略,决策的内容主要是选择管理的目标,决策的内容主要是选择管理的目标,确定管理行为。组织是根据个人信息收确定管理行为。组织是根据个人信息收集、利用的目的,有效管理、处理个人集、利用的目的,有效管理、处理个人信
50、息的行为或活动。信息的行为或活动。决策与组织决策与组织 个人信息管理者的权利和义务个人信息管理者的权利和义务个人信息管理者的权利和义务个人信息管理者的权利和义务 权利保障权利保障 安全和保密安全和保密 目的明确目的明确 告知义务告知义务 个人信息管理者必须保障个个人信息管理者必须保障个人信息主体的权利,维护和实现人信息主体的权利,维护和实现个人信息主体的人格利益。个人信息主体的人格利益。个人信息管理者必须保证个个人信息管理者必须保证个人信息处理、使用的目的与个人人信息处理、使用的目的与个人信息主体的意愿一致,不能超目信息主体的意愿一致,不能超目的、超范围处理、使用。的、超范围处理、使用。个人信