个人信息保护知识总结.doc

第一讲 概论一、信息：信息是人类生产活动、社会活动中的基本载体，承载以文字、符号、声音、图形、图像等形式，通过各种渠道传播的信号、消息、情报、资料、文档等内容。信息普遍存在于自然界、人类社会和人的思维之中。信息在我们的社会、生产等活动中无处不在，始终伴随着我们。信息贯穿人类社会的发展历史，是人类社会实践的深刻概括，并随着人类的发展进步而不断演变、发展 。五次信息相关的技术革命： 1. 从猿进化到人的重要标志，信息交流的手段和工具语言的创造和使用 2. 信息产生、传播、存储跨越时间和地域限制文字的出现 3. 扩大信息交流和传播的范围和容量，提高信息的可靠性造纸和印刷术的发明 4. 现代通信技术(电报、电话、广播、电视等)的发明、运用和普及，标志信息交流、传递手段的根本性变革 5. 计算机技术的发明、应用，与现代通信技术的结合突破了人类使用大脑及感觉器官加工、利用信息的能力，彻底改变了人类加工信息的手段。 二、信息的定义：狭义的信息定义 、可以定义为一种消息、情报、文档资料或数据；广义的信息定义 、可以定义为对各种事物的存在方式、运动状态和相互联系特征的表达和陈述，是自然界、人类社会和人类思维活动普遍存在的一种物质和事物的普遍属性。信息的基本要素与传播过程：信源：信息的主体。表示具有某种存在方式、运动状态和相互联系特征的源信息。信源反映了事务的客观存在，因此，信源与信源具有不同的内涵；信道：信源与信宿之间建立的传递通道。信宿：信息的接收者。是对信源的认知和理解； 信息的特征：1.信息是客观存在的。源于物质世界和人的思维、意识。信息反映了物质的特征、运动状态和内在的规律，反映了人的意识过程 2.信息是可再现的。通过识别、搜索、存储、传递、变换、显示、处理、复制等，信息可以独立于物质和思维存在，再现信息本体。3.信息是可共享的。信息是不可或缺的资源，收集、生成、压缩、更新和共享。可以根据信息分类设定共享条件。意识过程。 4.信息是可以控制的。可以根据信息的使用目的，确定信息处理范畴、处理方法。三：个人信息保护：个人信息主要体现在软件及信息服务业、金融保险业、医疗服务业、政府机关、电信业、教育、广告及印刷、劳动服务业、制造业等行业中，随着现代信息服务业的深入，正逐渐向全社会展开。社会、政治、经济等各个行业在计算机网络系统、相关软件及数据处理、社会生活的各个方面经常涉及个人信息的使用和处理。因此个人信息的保护尤为重要。 从个人信息保护对大连软件及信息服务业的影响可以窥见一般：1.产业整体表现为，信息服务业客户对加工信息发包谨慎；软件加工业客户不提供真实测试数据。2.客户向承接外包项目的企业提出个人信息保护的具体要求，并在合同中增加个人信息保护相关条款和违反规定的处罚。因有关个人信息保护不当所造成损失的处罚金额相当高。 OECD于1980年颁布的隐私保护和个人数据跨国流通指导原则中有关个人信息保护的八项原则：1.收集限制原则。个人信息的收集必须采取合理合法的手段，必须征得信息主体的同意； 2.信息质量原则。个人信息必须在利用目的范围内保持正确、完整及最新状况。3.目的明确化原则。个人信息收集目的要明确化；4.利用限制原则。对个人信息资料不得超出收集目的范围外利用5.案例保护原则。对个人信息的丢失、不当接触、破坏、利用、修改、公开等危险必须采取合理的案例保护措施加以保护。 6.公开原则。个人信息管理者必须用简单易懂的方法向公众公开个人信息保护的措施。7.个人参加原则。个人信息主体的权利：确认个人信息的来源、个人信息的保存等；收集、利用的质疑；修改、完善、补充、删除等。8.责任原则。个人信息管理者有责任遵循有效实施各项原则的措施。第二讲 个人信息的基本概念一、个人隐私(隐私权）隐私权是关于隐私的权利，是人的基本权利。美国学者布兰代斯和沃伦在其发表的著名的论隐私权中把隐私权界定为生活的权利和不受干扰的权利以保障人格的不可侵犯。现代的隐私观，包含三种形态：个人数据资料、个人生活、个人生活领域隐私权的基本权利：1、隐私知情权：属于个人隐私的、与公共利益无关的所有事情，权利人有权隐瞒。未经权利人允许，不能收集、公开和传播； 2、隐私控制权：权利人在不违反公共利益的前提下，有权根据个人的需要控制个人隐私的使用；可以利用个人隐私满足自身或他人。的精神和物质需要； 3、隐私选择权：权利人有权根据使用需求和使用目的决定公开或不允许知悉或利用个人隐私； 4、隐私维护权：公民个人的隐私享有不受非法侵害的权利。在受到非法侵害时，可以寻求司法保护，或要求侵权人停止侵权、直至赔偿损失。 隐私权侵权行为：盗用（盗用原告姓名、肖像等）；侵入（不法侵入原告的私人生活）；私事的公开（不合理公开涉及原告私生活的事情）；公共误认（公开原告不实的形象）。二、网络隐私权网络隐私权是个人在网络虚拟空间中生活安宁的权利和个人信息不被非法利用、收集、公开的权利；同时，个人能够控制和支配个人隐私的使用，决定个人生活和个人信息的现状、目的、范围等。网络隐私权具有传统隐私基本权利的特征。网络隐私权是传统隐私权在网络空间中的延伸，表现形式多为个人信息的收集、使用、利用。在网络空间中，个人信息是个人隐私的数字化形式。因此，网络隐私权的核心是个人信息的保护。 网络隐私权主要特征包括 1、网络隐私权的环境是互连网络或接入网络。个人的网络行为和活动、个人网站、发布信息、电子商务活动、电子邮件等产生的个人信息都可以很容易的采用现代信息技术手段监控、收集、利用。 2、网络隐私权的主体是双重的。网络是一个虚拟空间，任何人都可以以实名(现实生活中的自然人)，或匿名(现实生活中不存在，只存在于网络虚拟世界中)方式在网上活动。3、网络隐私权的客体也是双重的，网络隐私权的客体同网络隐私权的主体一样，也包括虚拟世界中虚拟个体的个人信息和私人领域。三、个人数据与个人信息个人数据：个人数据是已经识别或可以识别的与个人相关的所有资料，可以被计算机系统识别、存储、加工处理。个人数据的概念比较宽泛。个人信息：个人信息是具有属性特征的个人数据和经过加工处理的个人数据的集合。个人数据是个人信息的载体。个人信息的主体是拥有个人数据的个人。 个人数据主要包括：个人的自然情况：姓名、性别、肖像、出生日期、身高、体重、血型、生理特征、住宅、种族等；与个人相关的社会背景：受教育程度、工作经历、宗教及其他信仰、政治观点和倾向、社会关系等；家庭基本情况：婚姻状况、配偶、父母、子女等；其他：计算机储存的个人资料等；与个人相关的自然情况、日常生活、家庭、社交等。个人信息主要包括：个人数据；数据加工处理后的数据；记录、存储在网站数据库中的个人网络行为，及其在虚拟空间中所有活动轨迹的描述等数据资料。四、法律名称的使用：个人隐私（个人隐私一词来源于美国，在美国现行法律体系中，隐私是内涵和外延非常广泛的概念，在与美国属于同一法律体系、或受美国影响较大的国家中，在个人信息保护相关法律中，多采用“个人隐私”的概念）、个人数据（欧盟及受1995年欧盟个人数据保护指令影响的国家，多采用“个人数据”的概念。个人数据保护指令的基本原则包括：数据质量原则，数据处理合法化原则，告知原则，特殊类型数据处理原则）、个人信息（日本、韩国、俄罗斯等国多使用个人信息的概念。个人信息包含个人隐私，当与公共利益无关、与自然人个体相关的个人数据资料不愿公开时，则成为隐私，而个人信息并不完全涉及个人隐私）。五、个人信息的特征：主体特征：个人信息为个人信息的主体拥有。个人信息主体是其所拥有的个人信息可以作为数据收集、处理的自然人。个人信息主体享有人格权和法律赋予的义务，其所拥有的个人信息是可识别的，并可依据这些信息直接定位于特定的主体。 可识别特征：个人信息的可识别性，是通过个人信息的内容，经过判断可以确定个人信息的主体。可识别性是个人信息的重要特征，是明确个人信息内容和范畴的客观标准。 价值特征：个人信息的属性决定了个人信息是有价值的资源。由于个人信息具有的可识别特性，可以非常方便的了解个人信息主体的个人喜好、生活习惯、个人需求等，从而创造可能的获得利润的机会。个人信息具有的价值取向是个人信息的显著特征。 个人信息的类别：单一信息和组合信息：在个人信息构成中，单一数据元素可以称为单一信息，如姓名；由多个数据元素构成的数据单位，可以称为组合信息。 显性信息和隐性信息：易于识别的个人信息可以称为显性信息，隐性信息则是需要收集或采用某些技术手段才能获取的个人信息。 静态信息和动态信息：静态信息是个人信息主体已经存在的，或过往的、历史的信息，动态信息则是个人信息主体当前的信息，真实信息和虚拟信息：存在于现实世界中的个人信息主体的真实的信息和存在于网络虚拟世界中的虚拟的信息。六、个人信息的分类公开信息与隐秘信息：个人信息是可以直接或间接识别个人信息主体的信息，具有法律属性，且与人格利益密不可分。因此，个人信息具有私密性，一般不为人所知。通过特定、合法的途径，了解、掌握、利用个人信息，是明确目标的公开获取。以此为标准，个人信息可以分为公开的和隐秘的。 自动处理和非自动处理：个人信息自动处理是利用计算机系统及其相关和配套设备、计算机网络系统，按照一定的应用目的和规则进行个人信息的收集、加工、存储、传输、检索、咨询、交换等业务。 敏感信息和琐碎信息：个人信息是否涉及特殊的个人隐私，可以作为个人信息的一种分类敏感信息。而零散的、不重要的、如散碎纸片一般的，或散见与各处的个人信息则属于琐碎信息。七、个人信息保护范畴个人信息保护的内涵丰富、外延广泛。采用自动或非自动处理方式进行个人信息的收集、录人、加工、编辑、存储、管理、检索、咨询、交换、传输、输出、使用、委托或其他利用个人信息的行为，均在提供个人信息安全保护的范畴之内。第三讲 个人信息管理机制一、管理职能管理是由计划、组织、领导、控制所组成的一种职能活动，是指一定组织中的管理者，通过实施计划、组织、领导、控制等职能来协调他人的活动，使别人同自己一起实现既定目标的活动过程。 管理的职能：管理是由一些相互关联的活动组成的，这些相互关联的管理活动我们称之为管理的职能，是管理过程中各项活动应该担负和完成的基本任务。 管理职能的内容：计划、选择合适的组织目标，确定切实可行的行动方案并且有效地实现这些目标。 组织、建立一种能够促使人们为实现组织目标的任务分派和领导关系领导、指挥、激励和协调下属，使他们为实现组织目标而努力工作控制、建立准确的测评监控系统用以评价组织目标的完成情况。 二、个人信息保护管理体系建立个人信息保护管理体系的基本目的是满足个人信息管理的需要，指导企事业单位建立健全各类管理机制，协调各类资源，充分保障个人信息主体的权利，保障个人信息管理业务的稳定运行。个人信息保护管理体系的特点：1、唯一性：与特定组织的管理目标、业务流程、管理策略、过程特点、实践经验等结合。因而，不同组织的体系具有不同的特点；2、系统性：个人信息保护管理体系是组织内各种因素相互关联和作用的组合；3、有效性：应全面有效，满足个人信息保护相关法规的要求，保障个人信息主体的权益。也满足个人信息保护认证的要求；4、防御性：个人信息保护管理体系的实施，可以有效预防个人信息相关安全事件的发生；5、动态性：进行个人信息保护内部审核和个人信息保护认证，采用预防和纠正措施，改进和完善个人信息保护管理体系。三、个人信息保护管理机制管理机制是一个组织内部管理机构及其运行机理。它以管理机构为载体，包括： 管理机构的功能和目标、管理机构的动因、管理机制的约束最高管理者的职责：明确个人信息保护的方针、明确管理者代表、责任落实、资源分配、领导决策、持续改进个人信息保护的管理机构：个人信息保护负责人（代表管理者管理 各部门各项工作）、个人信息保护管理机构（负责组织的个人信息保护工作；负责机构中宣传教育工作；负责服务支持与用户的沟通工作）、个人信息保护监察机构（独立开展监督、检查、调查工作）管理制度：1、体系化：各个规章制度之间是相互有机联系的一个整体。不仅包括个人信息保护的各个方面，也包括组织内横向、纵向的管理关系；2、融合性：个人信息保护管理体系不是独立存在的，应与其他管理体系有机融合，才能有效执行，降低和控制风险；3、组织保障：基于组织的总体利益，统一管理、制定组织的个人信息保护相关管理制度和各个部门的管理细则，以形成制度的合力；4、告知：个人信息保护相关管理制度应以一定形式公示，或告知员工。 个人信息保护宣传的三种形式：1、基本宣传：主要是在组织的内部，宣传个人信息保护的基本知识、个人信息保护相关法规、个人信息保护的重要性、个人信息管理的基本策略等。2、业务宣传：在形象宣传、业务交往中，宣传组织的个人信息保护目的、个人信息管理措施、个人信息使用和处理方法及规定、个人信息安全措施等。3、社会宣传：在面向社会时，应积极宣传本组织的个人信息保护政策和措施，可以在各种媒介中增加相关的宣内容，如宣传资料、各种网络媒介等。个人信息管理的目标和原则：个人信息保护管理的目标是维护个人信息主体的合法权益不受损害。个人信息管理应该遵循以下基本原则：1、公平合理性原则：个人信息必须被公平合理的处理 2、合法性原则：所有的数据处理都必须具有法律依据 3、透明度原则：有助于建立信任，确保个人信息的准确性 4、安全性原则：采取必要的管理和技术措施，确保安全性5、独立的监管机构：独立的监管是有效保护个人信息的基础四、个人信息安全管理PDCA模式：P:个人信息保护管理体系的确立D:个人信息保护管理体系的导入和运用C:个人信息保护管理体系的监察和认证A:个人信息保护管理体系的改善第四讲 个人信息保护机制一、侵害个人信息现状在现代社会经济活动中，个人信息的无形的物质性财产权益日益重要。信息技术的迅猛发展 ，使得个人信息的收集、处理，愈加方便、容易，同时，对个人信息的侵害也愈加频繁，愈加呈现多样性。网络应用中的个人信息侵害（用户终端被植入木马程序后，就成为可以任意宰割的“肉鸡”。“肉鸡”被随意设置，用于各种用途； “肉鸡的个人数据资料被公开地、任意地买卖。基于网络的个人信息利用和收集，存在来自个人、网络服务商、生产厂商为主体的侵权行为）社会工程学与个人信息侵害（通过已公开的信息，或在平常的人际交往、工作关系中收集并累积个人情息、通过在公共场所进行市场调查、问卷调查等形式，获取个人信息、采用某种方式，与具有大客户群的单位建立联系，获取、累积个人信息、其他方式，如窃取的个人信息资料）现实生活中的个人信息侵害（A人是信息安全的核心，是“木桶效应”的短板，物理攻击：实施攻击的位置，如工作场所、网络环境、电话等；B在个人信息保护中，对社会工程学攻击的防护尤为重要，心理攻击：构建陷阱攻击的方式，如说服、友善、恭维、模仿等）在个人信息侵害事件中，社会工程学亦扮演着重要的角色。攻击者通过交谈、欺骗、引诱、伪装等各种形式，套取个人信息主体的敏感信息，社会工程学实施的基础是信任。利用人性的弱点进行各种形式的攻击，尝试与用户建立相对稳定的相互信任关系来地获取重要的敏感信息。通常有两种攻击形式。二、个人信息拥有者个人信息主体：个人信息主体是基于自然规律出生、具有生物学意义和法理人格，并被法律赋予民事主体资格的自然人。自然人与生俱来的个人信息，包括生理的、心理的和智力的，和在社会实践中形成的个人信息，包括社会的、经济的、家庭的等，与自然人个体紧密相关，为个人信息主体基于其生物学意义和法理人格所唯一拥有。享有个人信息知悉、支配和控制的权利。个人信息管理者：个人信息管理者是基于特定的目的，经个人信息主体明确同意、委托、授权，收集、占有、保存、管理、处理、利用个人信息的组织、机构或个人。个人信息管理是对个人信息资源及针对这些资源的活动和行为进行管理。个人信息资源是由个人信息主体、个人信息和针对个人信息采取的技术和手段有机构成。个人信息主体知悉、支配和控制的权利：1. 确认个人信息是否以明确地、易于理解地形式记载。在个人信息收集、管理、保存、处理、利用过程中，必须以明确、易于理解的形式记载；2. 确认个人信息的保存形式。个人信息应以文档形式保存，信息主体可以无限制地确认个人信息文档的存在、目的、利用情况、安全性等；3. 个人信息修正。如果个人信息不完整、不正确，或需要更新，个人信息主体有权适当修改、删除、完善，以保证个人信息的最新状态。4. 疑义和反对。个人信息主体对相关个人信息的利用目的、处理过程等有权提出疑义或反对意见。个人信息管理的职能：规划与人事次（在决策目标确定后，对个人信息管理行为的预先设计。根据决策和邦划，明确管理人员责任和职能）；评估（应随时对个人信息收集、利用的目的、范围、手段和方法、风险因素方面进行评估，提出修正或补救措施、应对策略）；协调与沟通（管理者与个人信息主体之间的关系，需要协商、调解，使双方和谐地配合，既保证个人信息主体的利益）；决策与组织（决策的内容主要是选择管理的目标，确定管理行为。组织是根据个人信息收集、利用的目的，有效管理、处理个人信息的行为或活动）；控制与监督（控制是对个人信息的管理活动、行为及后果实施制衡和修正，并对过程进行监督，保障个人信息主体的利益）。个人信息管理者的权利和义务：告知义务（个人信息管理者应将个人信息的利用目的处理方式、个人信息主体的相关权利等事项告知信息主体）；安全和保密（个人信息管理者必须对个人信息处理予以保密，并对个人信息处理、使用过程中的安全负责）；目的明确（个人信息管理者必须保证个人信息处理、使用的目的与个人信息主体的意愿一致，不能超目的、超范围处理、使用）；权利保障（个人信息管理者必须保障个人信息主体的权利，维护和实现个人信息主体的人格利益）。三、个人信息保护原则OECD个人信息保护八项原则：1.收集限制原则。个人信息的收集必须采取合理合法的手段，必须征得信息主体的同意；2.信息质量原则。个人信息必须在利用目的范围内保持正确、完整及最新状况。3.目的明确化原则。个人信息收集目的要明确化；4.利用限制原则。对个人信息资料不得超出收集目的范围外利用5.案例保护原则。对个人信息的丢失、不当接触、破坏、利用、修改、公开等危险必须采取合理的案例保护措施加以保护。 6.公开原则。个人信息管理者必须用简单易懂的方法向公众公开个人信息保护的措施。7.个人参加原则。个人信息主体的权利：确认个人信息的来源、个人信息的保存等；收集、利用的质疑；修改、完善、补充、删除等。8.责任原则。个人信息管理者有责任遵循有效实施各项原则的措施。个人信息保护原则：支配原则：个人信息主体有权决定如何利用个人信息。知情原则：个人信息主体有权知悉个人信息的收集、利用和处理情况。 在实践中，符合需求、可供操作的基本原则：安全保障原则（个人信息管理者应从管理、技术2个方面采取相应的措施，保障个人信息的安全）、参与原则（0ECD中称为“个人参与原则”。强调个人信息主体的权利）。四、个人信息收集基本概念：个人信息收集是基于自然人的人格权益，有目的、有计划、有选择地对特定个人采集信息的过程和行为模式；个人信息收集是个人信息保护的核心问题。个人信息收集的特征：目的性（必须有特定的、明确的和合法的目的，特定目的，必须是在法律允许范围内，针对某一特定的需要设定的）；条件性（收集个人信息，必须经个人信息主体确认，必须保证个人信息主体的人格权益 ，限定在特定的目的范围内，在法律允许的范围内 。必须是基于特定目的的需要）；质量性（保证是足够的，而不过度、是相关的而不多余，且不超过设定的目的范围；保证个人信息的准确性、完整性，并适时、随时更新、完善；在信息处理时方便识别个人信息主体）个人信息收集方法和手段：主动收集（个人信息主体主动提供的个人信息。在现实社会中，由于工作、生活中的各种需要，人们在买车、购房、保险、医疗、电话安装、办理各种会员卡、银行卡、优惠卡，以及电子商务等时，往往要求用户填写真实、详尽的个人信息等）；被动收集（通过各种网络技术和方法收集个人信息。随着信息技术的发展和普及，网络空间中，个人信息的覆盖率愈来愈高，个人信息的收集和处理也愈来愈方便、快捷。除主动收集方式外，其他个人信息的收集，多数是在个人信息主体不知情、或不能控制的情况下实施的）。个人信息收集分类：敏感信息收集、直接收集、间接收集 五、个人信息处理个人信息处理是收集、加工、编辑、存储、检索，及其他利用个人信息行为，或与个人信息利用相关的自动或非自动个人信息处置过程。个人信息处理必须满足一定的条件：必须经个人信息主体明确同意、便于个人信息主体识别、必须基于明确、合法的目的。个人信息存储：个人信息一般以文档的形式保存。多数个人信息的收集和处理是基于自动处理设备，因此，个人信息总是以文档形式存储在自动设备中。个人信息存储必须保证：个人信息的存储应基于特定、明确、合法的目的；个人信息的存储应基于特定、明确、合法的目的；个人信息存储必须保证个人信息的质量；必须保证个人信息存储的安全性；必须保证个人信息存储的安全性；个人信息存储应有明确的记录，并有专人负责。个人信息直接处理是个人信息管理者处理、利用所拥有的个人信息。 个人信息提供必须满足一定的条件：必须合法拥有个人信息主体的相关个人信息。必须保证个人信息主体的合法权益；必须获得个人信息主体的授权许可；必须保证个人信息的准确性、完整性和最新状态；必须获得第三方的书面承诺。个人信息委托：（五层含义）保证不会发生信息泄露或信息滥用；个人信息委托处理的管理；个人信息委托处理必须经个人信息主体明确同意；委托目的必须明确、合法；个人信息管理者是委托业务中的委托方。收集目的外的处理：在某些特殊情况下，需要超出收集目的范围处理、利用个人信息主体的相关个人信息。在这些特殊情况下，处理、利用个人信息，也需要基于一个特定、明确的目的（法律特别规定，保护国家安全、公共安全、国家利益，为增进公共利益，履行政府和公共职能，保护个人信息主体或公众的权利）二次开发和交易：个人信息二次开发（个人信息管理者将收集到的个人信息，根据特征、类别，按照一定的文式存储，构成综合的个人信息数据库。根据综合数据库反映出的不同的自然人群的个体特征和个人信息处理目的，对个人信息采取不同的处理方式，满足不同的个人信息管理者的需要）；个人信息交易（商业机构将相关的个人信息综合数据库，提供给其他不同的商业机构使用，是一种个人信息交易行为。个人信息交易包括个人信息管理者之间交换所掌握的个人信息、个人信息管理者出售所掌握的个人信息等）。六、个人信息保护安全机制信息安全管理体系(ISMS)是整体信息安全防护体系中重要的一部分，通过系统、全局的信息安全管理整体规划，确保用户所有信息资源和业务的安全与正常运行。ISMS是人、技术、管理的有机结合和有效实施物理安全（媒介安全：存储媒介本身及数据的安全等；设备安全：设备防盗、防毁、防信息泄露等；环境安全。场地,供电,空气调节及自然环境等）安全管理机制是按照整体信息安全防护系统的设计，为实施个人信息安全的管理和控制，依据威胁个人信息安全的内部规律和环境影响的有机联系，建构的安全防护系统。构建安全管理机制的核心是保证管理安全。技术安全是为保障信息安全采用的知识、专业、技术等方法和手段社会工程学是在人与人的交往中，利用人性的弱点，运用心理学知识，以交谈、欺骗、伤害等手段，获取利益的方式，是信息安全管理，特别是个人信息安全管理的软肋。社会工程学管理应基于社会工程学的特点，以人为本，构建社会工程学防御体系。七、个人信息保护模式行业自律模式：行业自律模式是一种民间的、保护网络隐私权的个人信息保护模式。通过行业内部的行为规则、规范、标准和行业协会的监督，实现行业内个人信息保护的自我规范、约束和完善。美国是行业自律模式的倡导者。存在两种形式：建议性行业指导、网络隐私认证计划 。法律保护模式：法律保护模式是由国家主导的立法模式。国家通过立法确定个人信息保护的各项基本原则和具体的法律规定等。具有代表性的是欧盟的模式。第五讲 个人信息保护应用一、电子政务与个人信息保护应用电子政务中个人信息的内涵：政府是社会信息资源的最大拥有者、使用者和提供者。在电子政务的建设、发展过程中，收集、获得了大量公民的个人信息，储存、建设了政府个人信息数据库。这些个人信息，在电子政务的环境中，极易被侵犯、不当使用。因此，电子政务环境中的个人信息保护，是电子政务建设和发展的基础。在我国的电子政务中一般包含：政府之间的、政府与企业等组织之间的以及政府与公民之间的电子政务。电子政务中个人信息的主要特征：多样化：政府行政职能的多元化，型不同，呈现出多样化。使收集、储存、管理、利用公众的个人信息类型不同，呈现出多样化。高风险：互联网在电子政务中的广泛应用已经打破了原有的地界、国界，个人信息一旦遭到侵犯，其传播速度快、覆盖面广、隐蔽性强，危害性极大。个人信息保护的利益冲突：公共利益和个人利益的冲突、公民权益与个人隐私的冲突。电子政务中的个人信息保护策略个人信息收集中的警示：在收集个人信息时，应当明确地告知公民收集个人信息的目的和用途、收集的依据以及收集和保证安全的方法，同时严格履行保护公民个人信息的义务；收集信息的种类和内容：网站在运行过程中所收集到的技术信息和个人信息，这两类信息的收集目的和具体内容，都应明确告知个人信息主体；个人信息的用途：当在其个人信息保护政位策中说明收集个人信息的用途；安全保护措施：除了网络安全外，加强政府网站管理，健全领导负责制、有明确的政策、明确的操作规程及员工对个人信息保护的意识和责任。二、政府信息公开与个人信息保护中华人民共和国政府信息公开条例关于政府信息公开的原则：应当遵循公正、公平、便民的原则，及时、准确地公开政府信息。应依照国家有关法律、法规对拟公开的政府信息进行审查。不得危及国家安全、公共安全、经济安全和社会稳定。应主动公开符合信息公开条例基本要求的内容。确定政府信息公开的主体是行政机关和法律、法规授权的具有管理公共事务职能的组织。政府信息公开中涉及的个人信息：管理过程中涉及的个人信息：国家机关在对外管理中对个人情息的收集、处理与利用。主要包括立法、司法和行政管理等机关的相关收集、处理与利用。政府机关在对内管理中对个人信息的收集、处理与利用。当前主要是指在人事管理和公务人员录用、培养等工作中对个人工作情况、家庭情况、成绩与品行等个人信息的收集、处理与利用。这些都已成为政府信息资源库的重要组成部分。服务过程中涉及的个人信息：服务过程中对个人信息的收集、处理与利用行为，主要是指提供公共服务的公法人、由国家控股的相关公司和社会非营利性组织，在其实施公共服务的过程中收集、处理、利用个人信息。提供公共服务的公法人包括三类：营利性的公法人，如银行、保险等，公益性的社会组织，如医院、学校等，中间性的社会组织，如校友会、行业协会等。政府信息公开过程中个人信息保护策略：基于公共利益的个人信息优先公开、基于商业利益的个人信息限制公开、基于个人利益的个人信息适当公开。三、电子商务与个人信息保护电子商务是基于互联网而开展的商务活动，与传统的商务活动有着内在的区别。电子商务运作的基础是信息网络、金融网络和配送网络的融合，所涉及的商业活动对象是企业、政府、消费者。其本质特征体现为：商务活动网络化、交易空间虚拟化、信用风险加剧。电子商务中的个人信息：个人信息：1.用户的注册信息，2.交易的订单信息，3.用于支付的支付信息信息来源：1.消费者提供的信息，2.网站自动获取的信息，3.搜索获得的信息，4.其他来源获得的信息， 表现形式：1.与用户交易、联系的基础数据；2.经整理、分析和二次开发，成为企业的商业资源；3.将个人信息作为特殊商品交换、提供、转让；4.以各种可能的方式收集、开发、加工、利用个人信息。电子商务中个人信息面临的威胁：收集和利用个人信息造成的威胁：经营者大量收集用户个人信息对消费者的人身权益构成威胁（1超范围收集个人信息2非法收集和使用个人信息）；个人信息的二次开发和交易的威胁（个人信息的二次开发利用，可能造成客户个人信息或商业机密的泄露。个人信息交易是目前最为严重的一种侵权行为）电子商务环境中个人信息保护策略：现阶段电子商务中个人信息保护应在借鉴先进国家个人信息保护经验及ECD个人信息保护八项原则的基础上，结合我国个人信息保护相关法律法规及电子商务网站个人信息保护的实际情况，应侧重考虑以下的个人信息保护策略：网站管理责任、自我防范意识、技术措施、安全控制、信息共享限制的承诺、Cookies的使用说明、个人信息管理的说明、信息收集使用限制、网站的自律政策声明。