信息保护办法

第一章 总则

第一条 为切实保护北京卫联心脑血管疾病防治基金会（以下简称为“基金会”）业务活动中涉及的捐赠者和受助人等个人信息安全和个人合法权益，履行基金会的个人信息保护义务，根据《慈善法》、《公益事业捐赠法》、基金会管理条例》、《慈善组织信息公开办法》等法律、行政法规的有关规定和基金会章程，特制定本办法。

第二条 本办法所称的个人信息处理活动，是指基金会业务活动中涉及收集、保存、使用、公开披露个人信息的活动。

第三条 本办法所称的个人信息，是指以电子或者其他方式记录的，能够单独或者与其他信息结合，识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、出生日期、身份证件号码，个人生物识别信息、住址、通信通讯、联系方式、通信记录和内容、账号密码、财产信息、信用信息、行踪轨迹、住宿信息、健康生理信息等。

第四条 本办法所称的个人敏感信息，是指一旦泄露、非法使用或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等个人信息，包括民族、宗教信仰、个人生物识别信息、财产信息、信用信息、行踪轨迹、健康生理信息等。其中：

（一）财产信息包括：银行账号、存款信息（包括资金数量、支付收款记录等）、交易和消费记录、流水记录等；

（二）健康生理信息包括：个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以及与个人身体健康状况产生的相关信息等；

（三）行踪轨迹包括：乘坐交通工具的票证购买信息和票证信息等；

（四）个人生物识别信息包括：个人基因、血液、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。

第五条 基金会及各相关方（包括但不限于捐赠方、执行方、志愿者等服务提供者）进行个人信息处理活动，应遵循以下基本原则：

（一） 目的明确原则:基金会及各相关方在个人信息处理活动中，应当具有合法、正当、必要、明确的个人信息处理目的；

（二） 选择同意原则：基金会及各相关方在个人信息处理活动中，必须向个人信息主体十分明确告知个人信息处理的目的、方式、范围、规则等，由个人信息主体通过书面（电子或纸质形式）声明或主动做出肯定性动作（主动勾选，主动点击“同意”、“注册”、“发送”、“拨打”等），做出明确同意授权；

（三）最少够用原则：除与个人信息主体另有约定外，基金会及各相关方只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时根据约定删除个人信息；

（四）权责一致原则：基金会及各相关方在个人信息处理活动中造成个人信息主体合法权益损害的，应依法承担相应的责任；

（五）公开透明原则：基金会及各相关方应当以明确、易懂和合理的方式，对处理个人信息的范围、目的、规则等进行公开，并接受外部监督；

（六）确保安全原则：基金会及各相关方应当具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性；

第六条 基金会业务活动各相关方不得非法收集、保存、使用、共享、转让、公开披露个人信息。

第二章 个人信息的收集

第七条 个人信息收集，是指基金会或相关方获得个人信息的行为，包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集，以及通过共享、搜集公开信息间接获取等方式。

第八条 基金会业务活动各相关方仅限于依照与基金会签署的项目服务性质的协议约定范围内，为实施与执行项目工作需要，依法收集个人信息。

第九条 基金会及各相关方收集个人信息应当满足合法性要求，不得从事下列行为，收集个人信息：

（一）违反法律、行政法规要求；

（二）采用欺诈、诱骗、强迫手段；

（三）隐瞒产品或服务所具有的收集个人信息的功能；

（四）从非法渠道获取；

（五）收集法律、行政法规明令禁止收集的个人信息。

第十条 符合以下情形之一，基金会或各相关方收集、使用个人信息无需征得个人信息主体的授权同意：

（一）与国家安全、国防安全直接相关的；

（二）与公共安全、公共卫生及重大公共利益直接相关的；

（三）紧急情况下为保护自然人的生命健康和财产安全所必需的；

（四）所收集的个人信息是个人信息主体自行向社会公众公开的；

（五）从合法公开披露的信息中收集个人信息的；

（六）根据个人信息主体要求签订和履行合同及合同性文件所必需的；

（七）法律、行政法规规定的其他情形。

第十一条 基金会及各相关方收集个人敏感信息时，应取得个人信息主体的明示同意，并确保个人信息主体的明示同意是其在完全知情的基础上自愿的、具体的、清晰明确的意思表示。

第十二条 基金会及各相关方通过主动提供或自动采集方式收集个人敏感信息的，应当向个人信息主体告知所提供服务的核心业务功能及所必需收集的个人敏感信息，并明确告知拒绝提供或拒绝同意将带来的影响。应当保障个人信息主体有选择是否提供或同意自动采集的权利。

第十三条 基金会及各相关方收集年满 18 周岁但为限制民事行为能力人的个人信息前，应征得其监护人的明示同意；收集不满18周岁的未成年人个人信息前，应征得其监护人的明示同意。

第三章 个人信息的保存

第十四条 坚持个人信息保存时间最小化原则，基金会对个人信息保存期限应为实现目的所必需的最短时间，超出上述个人信息保存期限后，基金会及业务活动各相关方应对个人信息进行删除。个人信息删除，是指实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态。基金会对个人信息的保存期限，应当遵照法律、行政法规和基金会相关规章制度执行。

第十五条 基金会收集个人信息后，应当立即进行去标识化处理，并将去标识化后的数据与可用于恢复识别个人的信息分开存储，确保在后续的个人信息处理中不重新识别个人。去标识化，是指通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别特定自然人的过程。

第十六条 基金会传输和存储个人敏感信息时，应采用加密等安全措施。

第十七条 在项目任务停止或结束后，基金会及业务活动各相关方应当及时停止继续收集个人信息的活动，将项目任务停止或结束的通知以逐一送达或公告的形式通知个人信息主体。

第四章 个人信息的使用

第十八条 基金会及业务活动各相关方应当采取个人信息访问控制措施，保障个人信息安全。个人信息访问控制措施包括

（一）对被授权访问个人信息的内部数据操作人员，应按照最小授权的原则，使其只能访问职责所需的最少够用的个人信息，且仅具备完成职责所需的最少的数据操作权限；

（二）对个人信息包括批量修改、拷贝、下载等重要操作，应设置内部审批流程；

（三）对安全管理人员、数据操作人员、财务人员等的不同角色进行分离设置；

（四）如确因工作需要，需授权特定人员超权限处理个人信息的，应由个人信息保护责任人进行审批，并记录在册；

（五）对个人敏感信息的访问、修改等行为，在对角色的权限控制基础上，根据业务流程的需求触发操作权。

第十九条 涉及通过界面展示个人信息的（如显示屏幕、纸面），基金会及业务活动各相关方应对需展示的个人信息采取去标识化处理等措施，降低个人信息在展示环节的泄露风险。在个人信息展示时，应当防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。

第二十条 基金会及业务活动各相关方使用个人信息时，不得超出与收集个人信息时所声称目的具有直接或合理关联的范围。因业务需要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意。将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述，属于与收集目的具有合理关联的范围之内。但对外提供学术研究或描述的结果时，应对结果中所包含的个人信息进行去标识化处理。

第二十一条 基金会及业务活动各相关方应向个人信息主体提供访问下列信息的方法：

（一）其所持有的关于该主体的个人信息或类型；

（二）上述个人信息的来源、所用于的目的；

（三）已经获得上述个人信息的第三方身份或类型。

个人信息主体提出访问非其主动提供的个人信息时，基金会或执行方可在综合考虑不响应请求可能对个人信息主体合法权益带来的风险和损害，以及技术可行性，实现请求的成本等因素后，做出是否响应的决定，并给出解释说明。

第二十二条 个人信息主体发现基金会及业务活动各相关方所持有的该主体的个人信息有错误或不完整的，基金会及业务活动各相关方应为其提供请求更正或补充信息的方法。

第二十三条 基金会及业务活动各相关方，应当按照下列要求，做好个人信息删除工作：

（一）符合以下情形的，个人信息主体要求删除的，应及时删除个人信息：

1、违反法律、行政法规规定，收集、使用个人信息的；

2、违反与个人信息主体约定，收集、使用个人信息的；

3、个人撤回同意；

4、约定的保存期限届满或处理目的已经实现；

5、法律、行政法规规定的其他情形。

（二）违反法律、行政法规规定或违反与个人信息主体的约定向第三方共享，转让个人信息，且个人信息主体要求删除的，应立即停止共享、转让的行为，并通知第三方及时删除；

（三）违反法律、行政法规规定或与个人信息主体的约定，公开披露个人信息，且个人信息主体要求删除的，应立即停止公开披露的行为，并发布通知要求相关接收方删除相应的信息。

（四）项目任务停止或结束，业务活动各相关方按照本办法规定要求予以删除。

第二十四条 个人信息主体撤回同意的，基金会及业务活动各相关方后续不得再处理相应的个人信息；

第二十五条 基金会应建立个人行使权利的申请受理和理制，由专人负责跟踪流程，并在合理的时间内，对申诉进行响应。

第五章 个人信息的委托处理、共享、转让、公开披露

第二十六条 委托处理个人信息时，应遵守以下要求；

（一）基金会作出委托行为，不得超出已征得个人信息主体授权同意的范围或遵守本办法关于收集个人信息时的授权同意规定的情形。

（二）基金会应对委托行为进行个人信息安全影响评估。确保受委托者具备相应的信息安全能力，提供了足够的安全保护水平。个人信息安全影响评估，是指针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。

（三）受托者因特殊原因未按照委托者的要求处理个人信息，应及时向基金会反馈。

（四）基金会应当通过合同等方式规定受委托者的责任和义务，对受托者进行监督。

（五）基金会应准确记录和保存委托处理个人信息的情况。

第二十七条 受托者受基金会委托处理个人信息时，应遵守以下要求：

（一）严格按照基金会的要求处理个人信息；

（二）受托者确需再次委托时，应事先征得基金会的授权；

（三）协助基金会响应个人信息主体基于本办法提出的请求；

（四）受托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件，应及时向基金会反馈；

（五）在委托关系解除时及时删除个人信息。

第二十八条 个人信息原则上不得共享、转让。

除本办法另有规定外，基金会及业务活动各相关方不得与任何第三方共享或者向任何第三方转让个人信息。业务活动各相关方只能依照本办法规定向基金会转让所控制的信息。

第二十九条 个人信息公开披露，是指向社会或不特定人群发布信息的行为。基金会业务活动各相关方不得公开披露个人信息。基金会履行法定义务或经法律授权或具备合理事由确需公开披露时，应充分重视风险，并依据《北京卫联心脑血管疾病防治基金会信息公开制度》实施。

第三十条 在中华人民共和国境内业务中收集和产生的个人信息向境外提供的，基金会或执行方应当按照相关法律、行政法规规定执行。

第六章 个人信息的安全事件处置

第三十一条 基金会及业务活动各相关方，应按照下列要求，对个人信息安全事件进行应急处置和报告。

（一）制定个人信息安全事件应急预案；

（二）定期组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程；

（三）发生个人信息安全事件后，基金会及业务活动各相关方应根据应急响应预案进行以下处置：

1、记录事件内容，包括但不限于发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门；

2、评估事件可能造成的影响，并采取必要措施控制事态，除隐患；

3、按有关规定及时上报，报告内容包括但不限于涉及个人

信息主体的类型、数量、内容、性质等总体情况，事件可能造成

的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式；

4、对处置结果进行归档备查。

（四）根据相关法律、行政法规变化情况，以及事件处置情况，及时更新应急预案。

第三十二条 基金会及业务活动各相关方在发生安全事件时，应当及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时，应采取合理、有效的方式发布与公众有关的警示信息。

第三十三条 安全事件告知内容应包括但不限于安全事件的内容和影响、已采取和将要采取的处置措施、个人信息主体自主防范和降低风险的建议、针对个人信息主体提供的补救措施、安全事件处置负责人的联系方式等。

第七章 个人信息管理要求

第三十四条 基金会及业务活动各相关方应当明确责任部门与人员:

（一）明确其法定代表人或主要负责人对个入信息安全负全面领导责任，包括为个人信息安全工作提供人力、财力、物力保障等；

（二）明确个人信息保护工作机构，基金会信息保护工作部门为合规监察部；

（三）个人信息保护负责人和个人信息保护部门应履行的职责包括但不限于:

1、全面统筹实施基金会/企业内部的个人信息安全工作，对个人信息安全负直接责任:

2、应建立、维护和更新基金会/企业所持有的个人信息清单（包括个人信息的类型、数量、来源、接收方等）和授权访问策略；

3、开展个人信息安全影响评估；

4、组织开展个人信息安全培训。

第八章 法律责任

第三十五条 基金会工作人员违反本办法规定收集、保存、使用共享、转让、公开披露以及非法买卖个人信息的，应当承担基金会个人信息主体因此产生的全部经济、行政和法律责任，基金会有权即时解除劳动合同。

第三十六条 基金会业务活动各相关方违反本办法规定收集、保存、使用、共享、转让、公开披露以及非法买卖个人信息的，应当承担基金会及个人信息主体因此产生的全部经济、行政和法律责任，基金会有权立即终止相关协议。