政府机构、承包商和分包商负有保护个人信息的特定责任。

过去几十年间，随着技术进步，关于个人的信息被大量收集、存储和共享。与此同时，人们对美国政府收集、整合和使用公民及其他人员个人信息的行为日益担忧。民众不仅忧虑政府对这些信息的处理方式，数据黑客的兴起以及盗取个人信息后被恶意利用的手段也引发了极大关注。

关于这些个人信息，美国政府有责任在最佳情况下服务其公民，在最坏情况下不因信息安全措施不力而故意或无意地伤害公民。当政府共享这些数据时，其必须依赖的政府承包商也应遵循相同原则。 

 条例 

已制定具体法规以保护此类个人信息。 1974年《隐私法》规定了美国政府、其下属机构及政府承包商在为美国公民提供服务时，关于个人信息正当收集、汇总及使用的义务。该法案与规范美国政府承包商及分包商的《联邦采购条例》(FAR)补充条款协同运作，为这些主体在政府合同框架内收集、处理及共享个人信息设定了具体条件。 

个人信息及其风险 

根据法规，个人信息可涵盖广泛的数据类型，例如姓名、电子邮箱、社会保障号码、种族人口统计信息以及个人财务信息。此类信息主要存在两种滥用或误用方式：

• 政府机构可能利用它剥夺个人的权利，例如言论自由。 
• 恶意黑客可能窃取个人身份信息，通常意图以此实施诈骗并骗取钱财。 

收集与使用收集与使用 

基于这些原因，个人信息应受到管控。其管控措施应包括： 

• 仅为正当且特定目的而收集  
• 仅在实现收集目的所需的时间内予以保留 
• 仅可向依法或依合同获准接收该信息的其他方披露或共享。  
• 始终防范意外或蓄意的泄露 

此外，政府不应试图收集那些并非为个人服务而设计的个人数据；换言之，不应建立秘密数据库来追踪个人。

这些规则还涉及个人信息处理的要求，当维护这些信息的系统可能遭到破坏，或数据面临泄露风险时——无论这种泄露是无意、故意还是被盗所致。

如前所述，不仅政府机构须遵守这些规定，为其提供服务的承包商和分包商也必须遵循适当的个人数据保护措施。通常，承包商和分包商必须建立个人数据保护计划，其中应包含政策和程序，以确保个人数据的收集、维护、披露和共享等环节的合规性。

该计划的核心在于确保所有在政府合同框架下处理个人信息的员工都了解相关规定，掌握正确的处理流程，并知晓当数据面临特定风险时应采取的应对措施。

这些员工需要具备以下能力：

• 技术进步对个人信息构成的风险 
• 根据法律和政府合同，必须保护哪些数据？ 
• 如何正确收集、使用和保护这些数据 
• 在允许向他人披露或共享数据时 
• 当存储这些数据的技术系统遭遇可能危及其安全的事件时，应如何判断并采取何种应对措施 
• 当数据可能面临意外或不当访问与泄露风险时，应如何识别风险并采取应对措施 

政府承包商若不当使用或泄露此类数据，可能面临严厉处罚，包括暂停或取消政府合同资格。

公民的个人信息并非核机密、高级加密技术或导弹技术，无需不惜一切代价加以保护。然而，这些数据对相关个人而言具有重大意义，而处理这些数据的人员必须恪守高标准以确保其安全。

Syntrio二十余年来持续提供骚扰防治及其他合规培训，始终引领行业前沿。。我们创新的培训方法不仅着眼于帮助雇主规避法律风险，更致力于培养其在工作内外与人相处的准则——这种理念将显著改善人际关系，有效缓解职场中因不尊重和欺凌行为造成的压力。研究表明，这种深度培训相较于仅满足州/市最低标准的合规性培训，能产生更深远的影响。 我们期待尽快与贵机构成员沟通，向您展示我们如何逐个员工地改善企业文化。