黄山市烟草专卖局（公司）个人信息保护暂行办法

第一章 总 则

第一条 为保护黄山市烟草专卖局（公司）管理及服务对象的合法权益，维护网络信息安全，根据《中华人民共和国网络安全法》、《信息安全技术个人信息安全规范》（GB/T 35273-2017）等法律、标准要求，制定本办法。

第二条 市局（公司）在开展各项业务过程中收集、保存、使用个人信息，适用本办法。

第三条 本办法所称个人信息，是指市局（公司）在开展管理和服务过程中所收集、保存和使用的，包括零售客户、烟农、消费者以及其他社会人员的个人信息，包括但不限于姓名、出生日期、身份证件号码、住址、电话号码、银行账号等。

第四条 市局（公司）个人信息保护工作由市局（公司）保密工作领导小组领导，按照“谁收集，谁负责；谁使用，谁管理”的原则进行管理维护。

第五条 市局（公司）在收集、保存、使用个人信息，遵循权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与的原则。

第二章 收集个人信息要求

第六条 未经个人信息主体同意，不得收集和使用其个人信息。

第七条 收集个人信息应满足合法性要求：不得欺诈、诱骗、强迫个人信息主体提供其个人信息；不得隐瞒产品或服务所具有的收集个人信息的功能；不得从非法渠道获取个人信息；不得收集法律法规明令禁止收集的个人信息。

第八条 收集个人信息应满足最小化要求，不得收集其管理和服务所必需以外的个人信息。

第九条 收集个人信息应取得对方授权同意：收集个人信息前，应向个人信息主体明确告知收集的个人信息类型，收集、使用个人信息的规则、目的，以及拒绝提供信息的后果等事项，并获得个人信息主体的授权同意。法律法规规定的无需征得个人信息主体授权同意的除外。

第三章 保存、使用个人信息要求

第十条 个人信息保存时间最小化：个人信息保存期限应为实现目的所必需的最短时间；超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

第十一条 个人敏感信息的传输和存储：传输和存储个人敏感信息时，应采用加密等安全措施；存储个人生物识别信息时，应采用技术措施处理后再进行存储。

第十二条 个人信息访问控制：对被授权访问个人信息的内部数据操作人员，应按照最小授权的原则，只能访问职责所需的最少够用的个人信息，且仅具备完成职责所需的最少的数据操作权限；对个人敏感信息的访问、修改等行为，在对角色权限控制的基础上，根据业务流程的需求触发操作授权。

第十三条 个人信息的展示：涉及通过网站、纸面等界面展示个人信息，应对需展示的个人涉密信息采取去标识化处理措施，降低个人信息在展示环节的泄露风险。

第十四条 个人信息的使用限制：

1、除业务所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人。

2、对所收集的个人信息进行加工处理而产生的信息，能够单独或与其他信息结合识别自然人个人身份，或者反映自然人个人活动情况的，应将其认定为个人信息，对其处理应遵循收集个人信息时获得的授权同意范围。

3、使用个人信息时，不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意。

第十五条 个人信息更正：个人信息主体发现市局（公司）所持有的该主体的个人信息有错误或不完整的，可以通过业务人员提出更正或补充信息请求，市局（公司）应及时予以更正或补充。

第十六条 当个人信息主体不再属于管理或服务对象范围后，应当停止对其个人信息的收集和使用。

第十七条 市局（公司）工作人员管理和服务中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。

第四章 个人信息安全事件处置

第十八条 安全事件应急处置和报告：

1、市局（公司）制定个人信息安全事件应急预案；

2、定期（每年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程；

3、发生个人信息安全事件后，应根据应急响应预案进行以下处置：记录事件内容，评估事件可能造成的影响，并采取必要措施控制事态，消除隐患；及时上报；实施安全事件的告知；及时更新应急预案。

第十九条 安全事件告知：及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时，应采取合理、有效的方式发布与公众有关的警示信息。

第五章  附则

第二十条      本办法由市局（公司）保密办负责解释。

第二十一条   本办法自印发之日起施行。