华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO27001信息安全管理体系认证咨询 > 个人信息主体的权利规定,iso27001信息安全管理体系证书申请办理

ISO27001认证:个人信息主体的权利规定,iso27001信息安全管理体系证书申请办理

文章录入:华道众合   文章来源:华道众合   添加时间:2022-11-22
1、个人信息查询
个人信息控制者应向个人信息主体提供查询下列信息的方法:
a)其所持有的关于该主体的个人信息或个人信息的类型;
b)上述个人信息的来源、所用于的目的;
c)已经获得上述个人信息的第三方身份或类型。
注:个人信息主体提出查询非其主动提供的个人信息时,个人信息控制者可在综合考虑不响应请求可能对个人信息主体合法权益带来的风险和损害,以及技术可行性、实现请求的成本等因素后,作出是否响应的决定,并给出解释说明。
2、个人信息更正
个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制者应为其提供请求更正或补充信息的方法。
3、个人信息删除
对个人信息控制者的要求包括:
a) 符合以下情形,个人信息主体要求删除的,应及时删除个人信息:
1) 个人信息控制者违反法律法规规定,收集、使用个人信息的;
2) 个人信息控制者违 反与个人信息主体的约定,收集、使用个人信息的。
b) 个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方及时删除;
c) 个人信息控制者违反法律法规规定或违反与个人信息主体的约定,公开披露个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止公开披露的行为,并发布通知要求相关接收方删除相应的信息。
4、个人信息主体撤回授权同意
对个人信息控制者的要求包括:
a) 应向个人信息主体提供撤回收集、使用其个人信息的授权同意的方法。撤回授权同意后,个人信息控制者后续不应再处理相应的个人信息;
b)应保障个人信息主体拒绝接收基于其个人信息推送商业广告的权利。对外共.享、转让、公开披露个人信息,应向个人信息主体提供撤回授权同意的方法。
注:撤回授权同意不影响撤回前基于授权同意的个人信息处理。
5、个人信息主体注销账户
对个人信息控制者的要求包括:
a)通过注册账户提供产品或服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且肪法简便易操作;
b) 受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理;
c) 注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型; 
d)注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人信息主体填写精确的历史操作记录作为注销的必要条件等;
注1:多个产品或服务之间存在必要业务关联关系的,例如,一旦注销某个产品或服务的账户,将会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的,需向个人信息主体进行详细说明。
注2:产品或服务没有独立的账户体系的,可采取对该产品或服务账号以外其他个人信息进行删除,并切断账户体系与产品或服务的关联等措施实现注销。
e)注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等;
f)个人信息主体注销账户后,应及时删除其个人信息或匿名化处理。因法律规规定需要留存个人信息的,不能再次将其用于日常业务活动中。
6、个人信息主体获取个人信息副本
根据个人信息主体的请求,个人信息控制者宜为个人信息主体提供获取以下类型个人信息副本的方法,或在技术可行的前提下直接将以下类型个人信息的副本传输给个人信息主体指定的第三方:
a) 本人的基本资料、身份信息;
b)本人的健康生理信息、教育工作信息。
7、响应个人信息主体的请求
对个人信息控制者的要求包括:
a)在验证个人信息主体身份后,应及时响应个人信息主体基于8.1~8.6提出的请求,应在三十天内或法律法规规定的期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径;
b)采用交互式页面 (如网站、移动互联网应用程序、客户端软件等)提供产品或服务的,宜直接设置便捷的交互式页面提供功能或选项,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利;
c)对合理的请求原则上不收取费用,但对一-定时期内多次重复的请求,可视情收取一定成本费用;
d)直接实现个人信息主体的请求需要付出高额成本或存在其他显著困难的,个人信息控制者应向个人信息主体提供替代方法,以保障个人信息主体的合法权益;
e)以下情行可不响应个人信息主体基于1~6提出的请求,包括:
1) 与个人信息控制者履行法律法规规定的义务相关的;
2) 与国家安全、国防安全直接相关的;
3) 与公共安全、公共卫生、重大公共利益直接相关的;
4) 与刑事侦查、起诉、审判和执行判决等直接相关的;
5) 个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的;
6) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
7) 响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;
8) 涉及商业秘密的。
f) 如决定不响应个人信息主体的请求,应向个人信息主体告知该决定的理由,并向个人信息主体提供投诉的途径。
8、投诉管理
个人信息控制者应建立投诉管理机制和投诉跟踪流程,并在合理的时间内对投诉进行响应。
 
想了解更多的关于ISO27001认证信息可以经常关注我们