15 个人信息管理原则 - 大连医科大学附属第二医院.docVIP

文件编号：YDEY-PMS-GD-01 大连医科大学附属二院 个人信息基本管理规定 第v1.0版 制定日期：2015年11月 实施日期：2015年11月 制定人： 个人信息安全专家组 审批人：CIO协会 管理手册的修改记录 版本号 修改 条款 修改内容简述 修改人/日期 审批人/日期 V1.0 初次创建 2015-11 2015-11 总则 本管理规定有九部分内容组成，它与《收集、使用、提供等管理规定》、《安全管理规定》、《风险管理规定》构成了本医院个人信息安全管理体系的管理手册。 本管理规定是保障个人信息安全管理的《收集、使用、提供等管理规定》、《安全管理规定》、《风险管理规定》三个管理规定有效实施的基本管理规定，对与个人信息相关的基本术语、管理原则、组织机构的建立与职责、体系文档的管理、宣传教育及内审的实施、意见（或建议）及应急事故的处理、及违反个人信息保护管理制度的处罚等内容制定了相应的管理制度。 目录 第一部分 基本要求 第二部分 组织机构建立及责任 第三部分 体系文件控制与管理 第四部分 宣传教育 第五部分 内审 第六部分 意见与建议的处理 第七部分 处罚 第八部分 事故应急处理 第九部分 持续改进 第一部分 基本要求 1.1目的 明确本院个人信息安全管理体系建立和运行的依据，对个人信息保护涉及的术语定义、个人信息管理的基本原则等内容进行了明确的阐述和要求。 1.2适用范围 本医院个人信息安全管理体系覆盖： 医院下属各部门 医院全体员工（包括正式员工、临时工、兼职人员） ③ 医院业务中涉及的所有个人信息 1.3 依据 依据辽宁省质量技术监督局发布的《信息安全 个人信息保护规范》DB21/T1628.1-2012人信息 与特定个人相关、并可识别该个人的数据、图像、声音等，包括不能直接确认，但与其他信息对照、参考、分析仍可间接识别特定个人的信息.2 个人信息 可通过个人信息识别的特定的人.3个人信息管理者 获个人信息主体授权，基于特定、明确、合法目的，管理个人信息的机关、企业、事业、社会团体等组织及个人。 1.4.4 个人信息管理 计划、组织、协调、控制个人信息及相关资源、环境、管理体系等的相关活动或行为。 1.4.5 个人信息安全管理体系（PMS） 个人信息管理活动或行为的结果。基于个人信息管理目标、整合目标、方针、原则、方法、过程、审核、改进等管理要素，及实现要素的方法和过程，提高个人信息管理有效的系统。 1.4.6 个人信息主体同意 个人信息管理活动或行为与个人信息主体意愿一致，个人信息主体明确表示赞成。表达形式包括： a）个人信息主体以书面形式同意； b）个人信息主体以可鉴证的、有规范记录的、满足书面形式要求的非书面形式同意。 注：下述情况视为个人信息主体同意： a)由监护人代表未成年的或无法做出正确判断的成年个人信息主体表达的意愿； b)个人信息管理者与个人信息主体签订合同中确认了相关个人信息处理的规定，个人信息主体同意履行合同。 1.4.7 个人信息处理 自动或非自动处置个人信息的过程，如收集、加工、编辑、存储、检索、交换等及其它使用行为或活动。 1.4.8 个人信息收集 基于特定、明确、合法的目的获取个人信息的行为。 1.4.8.1 直接收集 征得个人信息主体同意，直接从个人信息主体收集个人信息。应向个人信息主体提供的信息包括： 个人信息保护负责人的相关信息； 个人信息收集、处理、使用的目的、方法； 接受并管理该个人信息的第三方的相关信息； 个人信息主体拒绝提供相关个人信息可能会产生的后果； 个人信息主体的查询、修正、反对等相关权利； 个人信息安全和必威体育官网网址承诺； 后处理方式。 1.4.8.2 间接收集 非直接地收集个人信息时，也应保证个人信息主体知悉并同意。间接收集必须保证个人信息主体利益不受侵害。 1.4.8.3 收集例外 不允许收集、处理、使用敏感的个人信息。经个人信息主体同意，或法律特别规定的例外，但应采取特别的保护措施。敏感的个人信息包括： 有关思想、宗教、信仰，种族、血缘的事项； 有关身体障碍、精神障碍、犯罪史及相关可能造成社会歧视的事项； 有关政治权利的事项； 有关健康、医疗及性生活的相关事项等。 1.4.8.4 法律例外 基于以下目的的例外，可以不必事先征得个人信息主体同意，但应以据相关法律，或经由专门机构确定： ⑴法律特别规定的； ⑵保护国家安全、公共安全、国家利益、制止刑事犯罪； ⑶保护个人信息主体或公众的权利、生命、健康、财产等重大利益等