个人信息保护标准指南第一章总则第1条目的本指南的目的是规定《个人信息保护法》(以下简称“法”)第12条第1款关于个人信息的处理标准，侵害个人信息的类型及预防措施等具体事项。

第2条术语定义1 “个人信息的处理”对个人信息进行收集，生成，联系，联动，记录，存储，持有，加工，编辑，检索，输出，更正，恢复，利用，提供，公开，销毁，以及除此之外的类似行为。

2 “个人信息控制者”是指出于商业目的根据法第2条第4款处理个人信息以管理个人信息文件的任何公共机构，营利组织和非营利组织，例如协会、校友会、个人等。

3 “公共机构”，是指依照法第2条第6款及《个人信息保护法执行令》(以下简称“执行令”)第2条的机构。

4 “社会团体”是以学校，地区，企业，网络社区等为单位组成的，为进行志愿服务，兴趣，政治，宗教等共同关心或目标人群之间的联谊而成立的各种同学会，同好会，乡友会，班常会及社团等。

5 “个人信息保护责任人”是指对个人信息处理人员的个人信息处理工作负责，属于执行令第32条第2款的人员。

6 “个人信息处理者”，是指在个人信息控制者的指导和监督下，负责处理个人信息的雇员，派遣员工，兼职人员等。

7 “个人信息处理系统”是指系统地配置为处理个人信息的应用系统，例如数据库系统。

8 “影像信息处理设备”是指持续设置在特定空间内，对人或事物的影像等进行拍摄或通过有线无线网络传输的一切装置，包括执行令第3条所规定的闭路电视及网络摄像机。

9 “个人影像信息”是指根据影像信息处理设备拍摄处理的影像信息中，涉及个人肖像，行为等，能够识别该个人信息的有关影像。

10 “影像信息处理设备的经营者”是指依照法第25条第1款的规定，安装并运营影像信息处理设备的人。

11 “公共场所”，是指公园、道路、地铁、商场内部、停车场等不特定或者多数人接近或者通行不受限制的场所。

第3条适用范围本指南适用于操作所有类型的个人信息文件（例如电子文件，印刷材料和纸质文件）的个人信息控制者。

第4条个人信息保护原则1 个人信息控制者应明确处理个人信息的目的，并限于其目的的必要范围内，合法、正当地收集最低限度的个人信息。

2 个人信息控制者应在处理个人信息目的所必要的范围内适当地处理个人信息，不得将其用于目的之外的其他用途。

3 个人信息控制者应在个人信息处理目的必要范围内，保障个人信息的准确性、完整性和最新性。

4 个人信息控制者应根据个人信息的处理方法和种类，考虑信息主体的权利被侵犯的可能性和风险程度，安全地管理个人信息。

5 个人信息控制者应披露个人信息处理政策等个人信息处理相关事项，保障信息主体的请求查阅权等权利。

6 个人信息控制者应当采取对信息主体私生活的侵害程度降到最低的方法处理个人信息。

7 当匿名处理个人信息可能时，个人信息控制者应当尽可能以匿名方式处理个人信息。

8 个人信息控制者应遵守和实施本法律及相关法规规定的责任和义务，以努力获得信息主体的信任。

第5条与其他指南的关系中央管理机构负责人规定了与管辖范围内的个人信息处理有关的个人信息保护指南时，必须遵守这些指南。

第二章个人信息处理标准第一节个人信息的处理第6条个人信息的收集和使用1 个人信息的“收集”不仅意味着直接从信息主体接收姓名，地址和电话号码等个人信息，而且意味着获得有关信息主体所有类型的个人信息。

2 有下列各项情形之一的，个人信息处理者可以收集个人信息，也可以在收集的目的范围内利用该信息。

（1）事先征得信息主体的同意时；（2）当法律明确规定或允许收集和使用个人信息时；（3）当法律对个人信息控制者施加特定义务时，如果不收集和使用个人信息，则个人信息控制者不可能或非常困难地履行其职责时；（4）公共机构在不收集和使用个人信息的情况下，不可能或非常困难地执行法律法规规定的相关任务时；（5）在不收集，不使用个人信息的情况下，与信息主体订立合同或根据合同内容履行义务是不可能或非常困难的；（6）信息主体或其法定代理人不能做出意思表示，或地址不明等无法获得事先同意，且被明确认为是为了信息主体或第三者紧急的生命、身体、财产利益所必要时；（7）为实现个人信息控制者的合法利益所必要，且明显优先于信息主体的权利时。

此时，仅限于与个人信息控制者的合法利益具有相当的关联性，且不超过合理范围。

3 当个人信息控制者从信息主体获得名片或类似媒体(以下称“名片”)，针对收集个人信息时提供名片等情况，只能在其同意的认可范围内使用。

4 当个人信息控制者从公共媒体或互联网主页(以下简称“网站”)等公共媒体或场所收集个人信息时，信息主体明确表示同意或根据互联网主页上显示的内容等表示同意的，只能在其同意的认可范围内使用。

5 个人信息控制者只有在作为合同另一方的信息主体通过代理人进行法律行为或为意思表示时，才可以收集和使用代理人的个人信息，以确认代理人的代理权。

6 劳动者与用人单位签订劳动合同时，根据“劳动基准法”，未经劳动者同意，可以收集和使用个人信息，用于支付工资、教育、颁发证书和员工福利。

第7条提供个人信息1 提供个人信息是指实物转让个人信息存储介质、包含个人信息的印刷品和小册子、通过网络传输个人信息以及对个人信息的限制；是指任何导致个人信息转让或者共同使用的行为，例如允许第三人访问、在个人信息控制者和第三人之间共享个人信息等。

2 法第17条中的“第三方”一词是指除信息主体和个人信息控制者以外的所有收集和持有信息主体个人信息的人，信息主体的代理人(仅限于该机构范围内的代理人)和法第26条第2款下的受托人除外(下文同样适用)。

第8条为其他目的使用和提供个人信息1 个人信息控制者为法第18条第2款收集目的以外的目的向第三方提供个人信息的，应当向接收个人信息方提供使用目的、使用方式、使用期限、使用类型等，或者应当以文件(包括电子文件，下同)的形式提出请求，准备保障个人信息安全所需的具体措施。

在这种情况下，收到请求方应采取相应措施，并将此事书面通知提供个人信息的个人信息控制者。

2 根据该法第18条第2款收集目的以外的目的向第三方提供个人信息的应澄清接收个人信息方与采取措施确保个人信息安全的责任之间的关系。

3 当个人信息控制者根据法第18条第3款向信息主体通知接收个人信息方时，必须提供姓名(如果是公司或组织，则提供名称)和联系信息。

第9条从信息主体以外收集的个人信息的收集来源等告知1 当个人信息控制者处理从信息主体以外处收集的个人信息时，除非有正当理由，否则在信息主体提出请求后3天内，必须将法第20条第1款中的所有事项告知信息主体。

但是，如果它属于下列任何一项，则不必向信息主体进行告知：（1）需要通知的个人信息，包含在符合法第23条第2款规定情形之一的个人信息档案中。

（2）因告知而有可能危害他人生命，身体健康，或者可能不正当地侵害他人财产和其他利益的；2 如个人信息控制者按照第1款的但书，拒绝信息主体的请求，除非有正当理由，否则须在信息主体提出请求日起3天内，必须将拒绝理由及资料通知请求者。

第10条销毁个人信息的方式和程序1 当个人信息控制者变得不必要使用个人信息时，如个人信息的保留期已过、个人信息的处理目的已经达到、服务被取消、业务被终止等，除非有正当理由，必须在5天内销毁存储的个人信息。

2 执行令第16条第1款中的“不可能恢复”一词，是指根据当前技术水平，按照社会惯例，以适当成本采取措施销毁个人信息的方式。

3 个人信息控制者必须记录和管理个人信息的销毁。

4 销毁个人信息后，个人信息保护责任人必须对销毁结果进行确认。

5 公共机构销毁个人信息档案，适用第55条、第56条的规定。

第11条依照法律法规保存个人信息1 如果个人信息控制者必须按照法第21条第1款的规定保存个人信息而不销毁个人信息，则应通过物理或技术方法分别进行保存和管理。

2 在根据第1款分别保存和管理个人信息的情况下，必须使信息主体知道有关个人信息或个人信息文件是依照法律法规通过个人信息处理政策进行存储和管理的。

第12条如何获得同意1 当个人信息控制者收到信息主体同意处理个人信息时，必须对未经信息主体同意便可以处理的个人信息和需要信息主体同意方可处理的个人信息进行分类。

在这种情况下，可以不经同意就处理的个人信息的证明责任将由个人信息控制者承担。

2 有下列情况之一的，个人信息控制者必须将法第18条第3款规定的事项通知信息主体并征得同意。

（1）在收集和使用个人信息的情况下，该信息不属于法第15条第1款2至6项；（2）根据法第18条第2款的规定，出于收集目的以外的目的使用或提供个人信息的情况；（3）根据该法第22条第3款促销商品或服务，或请求销售商品或服务；（4）需要办理居民身份证号码以外的唯一识别信息，且法律上没有处理该唯一识别信息的依据时；（5）需要处理敏感信息，且法律中没有处理该敏感信息的依据时。

3 个人信息控制者必须明确告知信息主体，如果其打算处理第2款之内的个人信息，信息主体可以选择同意或拒绝同意。

4 根据法第15条第1款第2至6项未经数据当事人同意收集个人信息的情况下，个人信息控制者应努力告知信息主体收集个人信息的法律依据。

5 当个人信息控制者根据执行令第17条第1款第2项以电话方式记录同意内容时，必须将该录音通知信息主体。

6 当个人信息控制者为经营社会团体而收集下列任何一项所指的个人信息时，可在未经信息主体同意的情况下收集和使用个人信息：（1）社会团体名称、会员联系方式，以及社会团体章程规定的与共同利益或者共同目标有关的个人事项；（2）社会团体会员费等维持联谊所需费用的支付情况；（3）有关社团成员参与及活动详情的事宜；（4）社团成员希望告知其他成员的生日、品味、家庭等事项，以促进其他社会团体成员之间的相互友谊和和谐。

7. 个人信息控制者为取得信息主体同意而拟备同意书时，必须遵守“撰写收集及提供个人信息同意书指南”。

第13条法定代理人的同意1 个人信息控制者根据法令第17条第3款收集法定代理人的姓名和联系方式时，必须告知未成年人身份和联系方式，以及收集法定代理人的姓名和联系方式的原因。

2 个人信息控制者仅应根据法第22条第5款收集法定代理人的个人信息用于征得法定代理人的同意，如果法定代理人拒绝同意或未确认同意，则必须在收集之日起5日内销毁。

第14条在无法获得信息主体事先同意的情况下如果个人信息控制者未经信息主体事先同意，按照法第15条第1款第5项和第18第2款第3项的规定收集、使用或提供个人信息，应必须在原因解除后立即停止处理个人信息，并告知信息主体未经事先同意收集、使用或提供个人信息的事实，以及使用的原因和细节。

第15条对个人信息处理者的监督1 个人信息控制者必须将个人信息处理者的活动范围限制在最小限度内，并将个人信息处理者的个人信息处理范围限制在业务范围内。