遵义市国防动员办公室关于印发《遵义市国防动员办公室 个人信息保护管理制度及操作规程》的通知

遵义市国防动员办公室

个人信息保护管理制度及操作规程

一、个人信息保护管理制度

为保护个人信息权益，规范个人信息的处置，按照《中华人民共和国民法典》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》及《中华人民共和国数据安全法》等法律法规要求，结合本单位工作实际，制定本制度。

第一条适用范围

本制度适用于市国动办机关各科（直属事业单位）单位涉及的个人信息收集、存储、使用、加工、传输、提供、公开及删除等各环节。

第二条根据国家法律法规和国家标准，本制度中个人信息是指以电子或者其它方式记录的能够单独或者与其它信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括但不限于如下信息：姓名、出生日期、身份证件号码、电话号码、电子邮箱、家庭住址、个人生物识别信息、银行账号、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康信息、交易信息等。

第三条应遵循的原则

（一）合法原则：不得违反相关法律、法规的规定；

（二）最小必要原则：在满足工作必要需求前提下，在最小范围内收集、存储、使用个人信息，对于个人信息的处理，采用最小操作权限划分，不得超范围处置个人信息；

（三）安全原则：在收集、存储、使用个人信息时，要严格遵守法律规定，采取有效措施加强对个人信息保护，保障个人信息的保密性及安全性，避免个人信息泄露、损毁和丢失，确保个人信息安全；

（四）知情同意原则：办机关各科（直属事业单位）在工作业务中使用到的个人信息，应依法依规进行采集，并应明确告知相关个人，由个人自愿同意后，方可使用。

第四条机关各科（直属事业单位）负责人是本科室（单位）个人信息保护工作第一责任人，按照“谁收集、谁负责”“谁使用、谁负责”“谁发布、谁负责”的原则责任到人，保障本科室（单位）个人信息安全。

第五条机关各科（直属事业单位）要加强政府信息公开保密审查工作，强化上网人员的保密教育和管理，增强其防范意识和保密观念，坚决杜绝上网人员非法网上存储、处理、传递、公开个人信息。

第六条因工作原因确需收集个人信息的，需经当事人同意，当事人不同意的不得收集。在业务活动中收集的公民和法人个人信息必须严格保密，非工作必要或未经当事人同意，不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人隐私。依法收集的个人信息不得泄露、篡改、毁损，不得出售或者非法向他人提供。

第七条加强对本单位网站、公众号、邮箱、工作群组的管理，做好网络安全防范措施，依法加强对用户发布个人信息相关信息的审核。互联网及相关平台的群主、管理者应当履行个人信息管理责任，依据法律法规、用户协议和平台公约，规范群组网络行为和信息发布。

第八条未经授权不得通过单位及个人微博、微信、QQ、网站及抖音、快手等社交媒体和视频平台制作、转发、传播包含内部个人信息和隐私的图文音视频，涉个人信息的消息和敏感数据必须经过匿名化或脱敏处理后方可发布。

第九条对网传信息要科学甄别，转发网络信息要选择公开的官方权威信源渠道，来源不明的信息不轻信，未经证实的信息不转发，共同维护健康有序的网络环境和社会秩序。

第十条工作生活场景中要注意个人信息保护，不随意下载、注册不正规和来源不明的网站、APP、小程序等网络平台；不随意刷脸和扫描来源不明的二维码；管理好U盘、光盘等移动存储介质和废弃的电脑，不随意丢弃；不随意填写不正规的调查问卷；丢弃快递包装时，销毁快递单据上的个人信息；不随意丢弃火车票、机票、车票、船票等涉及个人信息数据的票据；到打印店打印材料后，要求删除相关信息；修理手机、电脑、服务器等信息系统时，提醒修理者不得下载和泄露数据；接不明电话时，不随意透露联系方式等个人信息；参与活动或礼品赠送等不随意留下下联系方式；加强安保等各类涉及个人信息登记记录本管理，不随意丢弃。

第十一条一旦发现泄露公民个人信息或者散布他人隐私的，应当及时采取删除等处置措施，保存有关记录，并向有关主管部门报告。

二、个人信息操作规程

第十二条个人信息操作处理（收集、存储、使用、加工、传输、提供、公开、删除等环节）的基本原则如下：

（一）遵循合法、正当、必要和诚信原则；

（二）采取对个人权益影响最小的方式，限于实现处理目的的最小范围原则；

（三）处理个人信息应当遵循公开、透明原则；

（四）处理个人信息应当保证个人信息质量原则；

（五）采取必要措施确保个人信息安全原则。

第十三条收集

首先，要保证收集的目的与方式是合法、正当、必要、诚信的；其次，范围要限于实现处理目的的最小范围，不得过度收集个人信息；再次，处理个人信息，需要得取得个人授权的同意，需要强调的是该同意应当由个人在充分知情的前提下自愿、明确作出。对敏感个人信息、跨境个人信息处理、向其他数据处理者提供个人信息的，需要取得个人的单独同意书。

第十四条传输

个人信息处理者需采取安全措施，如加密、去标识化、权限控制、防泄露监测等防止未经授权的访问以及个人信息泄露、篡改、丢失。若数据需要跨境传输，则需要经过国家网信办数据出境安全评估。

第十五条存储

在境内收集的个人信息的应当存储在境内；确需向境外提供的，应当进行安全评估。存储时亦需采取加密、去标识化、权限控制等安全措施，防止未经授权的访问以及个人信息泄露、篡改、丢失。

个人信息的保存期限应当为实现处理目的所必要的最短时间。

第十六条使用

在处理个人信息时，需采取以下措施：

（一）对个人信息实行分类管理；

（二）采取相应的加密、去标识化等安全技术措施；

（三）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

（四）制定并组织实施个人信息安全事件应急预案。

第十七条删除

有下列情形之一的，个人信息处理者应当主动删除个人信息，个人信息处理者未删除的，个人有权请求删除：

（一）处理目的已实现、无法实现或者为实现处理目的不再必要；

（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；

（三）个人撤回同意；

（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息。

若是存在第三方管理，在委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还或者予以删除，不得保留。

第十八条本制度及操作规程由遵义市国防动员办公室负责最终解释。

第十九条本制度及操作规程自印发之日起施行。