2013年2月1日,中国’■第一组个人数据保护指南,信息安全技术公共和商业服务系统中的个人信息保护指南(“指导方针”)生效。该指南由工业和信息技术部(“MIIT”)发布,并申请除政府行政当局除外的所有组织和实体。

虽然没有约束力,但指引仍然澄清了收集个人信息的相关组织的关键程序,并提供了接受的监管标准,概述了如何收集,处理,转移和删除个人信息。

该指南提出了八个原则,即:(1)收集的明确目的,(2)可能的最短数据量,(3)收集的公开通知,(4)用户同意,(5)质量保证,(6)安全保障,(7)诚信和(8)问责制。该指南定义了个人信息,区分了“个人敏感信息”和“个人通用信息”,类似于欧盟数据保护方向95/46 / EC的规定。

虽然对如何获得的情况沉默,但指南要求在收集和处理个人信息之前从数据主题获得同意。对于一般个人信息,暗示同意就足够了,而对于敏感的个人信息,需要表达同意。此外,必须告知数据主体的收集目的,收集手段,实施安全保护措施以及在收集之前使用个人信息的范围。

根据指南,组织将被要求删除个人信息一旦达到其收集的目的。此外,禁止在未经监护人同意的情况下禁止在未来16岁以下未成年人的敏感个人信息。

该指南禁止未经授权从中国转移到离岸个人或组织的个人信息。仅在主题同意,国家法律法规的特定授权或相关和主管当局批准时允许跨境传输个人信息。