XXX个人信息内部管理制度和操作规程

一、个人信息保护内部管理制度

第一条为加强公民个人信息保护，避免个人信息泄露和违法违规使用风险隐患，根据《民法典》《网络安全法》《数据安全法》《个人信息保护法》等法律法规制定本制度和操作规程。

第二条本办法所说的个人信息是指以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

第三条本制度和操作规程适用于XXX各内设机构业务开展和全体干部职工工作学习工作全过程。

第四条按照“谁主管谁负责、谁运维谁负责、谁使用谁负责，谁公开谁负责”的原则明确个人信息保护责任人，严格落实线上线下个人信息保护责任。工作业务中不得违法收集、使用、公开公民个人信息，不得泄露、公开他人隐私。

第五条加强行业指导，督促管理服务对象履行公民个人信息保护责任，特别是具有信息系统的服务对象，督促他们不得违法违规收集、存储、使用、加工、传输、提供、公开、删除个人信息，不得泄露、公开他人隐私。

第六条因工作原因确需收集个人信息的，需经当事人同意，当事人不同意的不得收集，在业务活动中收集的公民个人信息必须严格保密，非工作必要或未经当事人同意，不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人隐私，依法收集的个人信息不得泄露、篡改、毁损，不得出售或者非法向他人提供。

第七条加强对本单位网站、APP、小程序、公众号、邮箱、群组的管理（只用列出单位有的信息系统），做好信息系统网络安全防范措施，依法加强对用户发布个人信息相关信息的审核。互联网群组建立者、管理者应当履行个人信息管理责任，依据法律法规、用户协议和平台公约，规范群组网络行为和信息发布。

第八条未经授权不得通过微博、AAA、QQ、网站及抖音、快手等社交媒体和视频平台制作、转发、传播包含内部个人信息和隐私的图文音视频，涉个人信息的消息和敏感数据必须经过匿名化或脱敏处理后方可发布。