亚太经济合作组织（APEC）的作用与影响

　　7.信息控制者应负责上述原则的落实并予以证明。

同时，条例还根据以上原则制定了具体规则：

1.合法处理的情形包括：信息主体同意以特定目的处理其个人信息，16周岁以下儿童需征得其父母同意；为履行合同或依信息主体请求；信息控制者为履行法定义务；为保护信息主体或其他自然人的重要权利；为实现公共利益或履行法律赋予的职权；在不超越信息主体基本权利和自由的前提下为保障信息控制者或第三方的合法利益。

2.同意规则：要求“同意”应是信息主体自愿作出的明确、知情且清晰的意思表示；信息控制者对信息主体的同意负有证明责任；如果同意是以书面声明的方式作出且声明还包括其他事项，则同意事项应以易于理解且与其他事项能够显著区别的形式呈现，否则声明不具约束力；信息主体可随时撤回同意，并应在作出同意前被告知此项权利，撤回同意与作出同意应同样容易；评估信息主体的同意是否基于自由意志作出，特别是合同的履行是以信息主体的同意为前提条件，但该信息处理行为并非履行合同所必需。

3.信息主体的权利包括：访问和知情权，信息主体能够访问其信息并获得副本，以及信息控制者身份信息、信息种类、处理目的及其合法基础、收集依据及不提供的法律后果、信息来源、存储期限、信息主体享有的权利、信息是否用于自动化决策分析机制及该机制的决策逻辑、信息是否被披露给其他接收者（包括第三国和国际组织）等；更正权，信息主体有权要求信息控制者及时更正不准确的信息；拒绝权，信息主体有权拒绝信息控制者处理其个人信息（除非信息控制者有合法的理由抗辩），并可以随时拒绝以直接营销为目的对其个人信息的处理；限制处理权，在信息准确性存疑需进一步确认、信息处理非法但信息主体反对删除、信息控制者已不需要信息但因信息主体提起诉讼或应诉而保留、信息控制者因反对信息主体行使拒绝权但尚需确认其抗辩理由等情形下，信息主体有权限制信息控制者对其个人信息的处理；删除权（被遗忘权），在信息对处理目的而言已无必要、信息主体撤回同意或行使拒绝权、信息被非法处理、依法应当删除、信息主体是儿童等情形下，信息主体有权要求信息控制者及时删除其个人信息，包括信息控制者已公开披露的信息；信息可携带权，当信息控制者是基于信息主体的同意或合同约定并以自动化方式处理信息时，信息主体有权获取其信息并将这些信息提供给其他信息控制者而不受限制；自主决定权，信息主体有权不受基于自动化决策分析机制而作出的决定的限制，并应保障其要求人为干预以表达观点和质疑的权利。

4.信息控制者的义务包括：信息控制者在决定和实施信息处理时应以有效的方法实施适当的技术和管理措施，如将匿名化机制和信息最小化机制融入处理中；应确保在默认情形下，处理的信息对特定目的而言是必要的，在无人为介入时无法被不特定的人所访问；应采取的技术和管理措施包括对信息假名化或加密，保持信息系统的完整性、保密性和可用性，发生事故后的恢复能力，定期测试评估措施的有效性等；信息控制者在信息处理前，特别是采用新技术时，应对处理操作方式进行影响评估；信息控制者应记录处理活动的有关信息；信息控制者应在发生信息泄露时通知监管机构和信息主体。

2005年，APEC在OECD指南的基础上制定了隐私框架，提出个人信息保护的九项原则：

1.防止损害原则。应基于防止个人信息滥用设计个人信息保护制度；此外，具体义务应考虑因滥用个人信息导致的风险，补救措施应与个人信息收集、使用、转移行为产生损害的可能性和严重程度成比例。

2.告知原则。个人信息控制者应就个人信息方面的应用和政策提供清晰且容易查阅的声明，包括个人信息被收集的事实、收集目的、披露对象的类型、控制者的身份及地址，以及个人查阅、更正其信息和限制其信息被使用或披露的途径和方式；应采取合理可行的措施确保在收集时或收集前已提供上述告知，否则，应在条件具备后尽快提供告知；公开信息的收集和使用可不提供告知。(www.xing528.com)

3.收集限制原则。应采取合法、正当的方式收集与目的相关的个人信息，并在适当的情况下告知个人或取得其同意。

4.目的一致原则。除已取得个人同意、为个人提供其要求的产品或服务、法律另有规定的情形外，个人信息的使用应限于与收集目的相一致或相关的范围内。

5.选择原则。在适当的情况下，应提供清晰的、明显的、易理解且可负担的机制，便于个人对收集、使用、披露其个人信息进行选择；收集公开信息可不提供此类机制。

6.完整性原则。为达到必要的使用目的，个人信息应准确、完整并及时更新。

7.安全保护原则。个人信息控制者应采取适当的安全措施防止发生诸如丢失或未经授权的访问、损毁、使用、修改或泄露、滥用等风险；所采取的安全措施应与损害发生的概率和严重程度、信息的敏感程度和保存环境相适应，并对保护措施进行定期审查和评估。

8.查阅和更正原则。个人可从个人信息控制者处确认其是否持有本人的个人信息，在提供充分身份证明后可在合理期限内、以适当的费用（如收费）、合理的方式和易理解的形式获取有关其个人信息的通知，可以对信息的准确性提出异议并在适当的情况下更正、补充或删除其信息；个人信息控制者应提供查阅和更正的机会，但如果存在提供查阅的成本明显不合理或与个人隐私受侵害的风险不成比例、法律另有规定或为保护商业秘密、可能会侵害他人隐私等情形，可以拒绝提供但应说明理由，个人可对该拒绝提出异议。

9.责任原则。个人信息控制者应确保上述原则得以实施。向第三方转移个人信息应取得个人同意并确保第三方能够采取与本框架相一致的保护措施。