《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)隱私保護(hù)安全要求》

ICS35.040

CCSL80

T/CI

團(tuán)體標(biāo)準(zhǔn)

T/CIXXX—2023

信息安全技術(shù)

健康醫(yī)療數(shù)據(jù)隱私保護(hù)安全要求

Informationsecuritytechnology—healthmedicaldataprivacyprotectionsecurity

requirements

（征求意見稿）

2023-XX-XX發(fā)布2023-XX-XX實(shí)施

中國(guó)國(guó)際科技促進(jìn)會(huì)發(fā)布

T/CIXXX—2023

信息安全技術(shù)健康醫(yī)療數(shù)據(jù)隱私保護(hù)安全要求

1范圍

本文件規(guī)定了健康醫(yī)療數(shù)據(jù)隱私保護(hù)安全的總則、職責(zé)、數(shù)據(jù)采集保護(hù)、數(shù)據(jù)存儲(chǔ)保護(hù)、數(shù)據(jù)處理、

數(shù)據(jù)使用和技術(shù)支撐。

本文件適用于健康醫(yī)療數(shù)據(jù)隱私保護(hù)安全的監(jiān)督、管理和評(píng)估。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T37964信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化指南

GB/T39725—2020信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南

GM/T0054信息系統(tǒng)密碼應(yīng)用基本要求

3術(shù)語和定義

GB/T39725—2020界定的以及下列術(shù)語和定義適用于本文件。

3.1

個(gè)人信息personalinformation

能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息。

注：包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息，住址和電話號(hào)碼等。

3.2

個(gè)人信息主體personalinformationsubject

個(gè)人信息所標(biāo)識(shí)或關(guān)聯(lián)的自然人。

3.3

匿名化anonymization

通過對(duì)個(gè)人信息的技術(shù)處理，使得個(gè)人信息主體無法被識(shí)別或者關(guān)聯(lián)，且處理后的信息不能被復(fù)原，

的過程。

注：個(gè)人信息經(jīng)匿名化處理后所得的信息不屬于個(gè)人信息。

3.4

去標(biāo)識(shí)化de-identification

通過對(duì)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識(shí)別或者關(guān)聯(lián)個(gè)人信息主體的

過程。

注：建立在個(gè)體基礎(chǔ)之上，保留了個(gè)體顆粒度，采用假名、加密、哈希函數(shù)等技術(shù)手段替代對(duì)個(gè)人信息的標(biāo)識(shí)。

3.5

敏感數(shù)據(jù)sensitivedata

由權(quán)威機(jī)構(gòu)確定的受保護(hù)的信息數(shù)據(jù)。

注：敏感信息數(shù)據(jù)的泄露、修改、破壞或丟失會(huì)對(duì)人或事產(chǎn)生可預(yù)知的損害。

7

T/CIXXX—2023

3.6

個(gè)人健康醫(yī)療數(shù)據(jù)personalhealthdata

單獨(dú)或者與其他信息結(jié)合后能夠識(shí)別特定自然人或者反應(yīng)特定自然人生理或心理健康的相關(guān)電子

數(shù)據(jù)。

3.7

健康醫(yī)療數(shù)據(jù)healthdata

個(gè)人健康醫(yī)療數(shù)據(jù)以及由個(gè)人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)電子數(shù)據(jù)，如匿名化

處理后的個(gè)人健康醫(yī)療數(shù)據(jù)。

注：個(gè)人健康醫(yī)療數(shù)據(jù)涉及個(gè)人過去、現(xiàn)在或者將來的身體或精神健康狀況、接受的醫(yī)療保健服務(wù)和支付的醫(yī)療保

健服務(wù)費(fèi)用等。

3.8

脫敏desensitization

通過模糊化等方法處理原始數(shù)據(jù)，以實(shí)現(xiàn)屏蔽敏感數(shù)據(jù)且屏蔽后的數(shù)據(jù)不可逆向恢復(fù)的數(shù)據(jù)保護(hù)方

式。

4總則

4.1目標(biāo)

針對(duì)健康醫(yī)療數(shù)據(jù)隱私保護(hù)宜采取合理的管理和技術(shù)保障措施，目標(biāo)如下：

a)保障健康醫(yī)療數(shù)據(jù)的保密性、完整性和可用性；

b)確保健康醫(yī)療數(shù)據(jù)使用和披露過程的合法性和合規(guī)性，保護(hù)個(gè)人信息安全、公眾利益和國(guó)家

安全；

c)保障健康醫(yī)療數(shù)據(jù)在符合上述安全要求的前提下滿足業(yè)務(wù)發(fā)展需求。

4.2范疇

健康醫(yī)療數(shù)據(jù)共享過程中涉及到符合GB/T39725—2020中數(shù)據(jù)分類分級(jí)范圍內(nèi)的所有健康醫(yī)療數(shù)

據(jù)，包括但不限于個(gè)人屬性數(shù)據(jù)。

4.3原則

4.3.1權(quán)責(zé)一致原則

對(duì)個(gè)人信息主體合法權(quán)益造成的損害應(yīng)承擔(dān)責(zé)任。

4.3.2目的明確原則

具有合法、正當(dāng)、必要、明確的個(gè)人信息處理目的。

4.3.3選擇同意原則

向個(gè)人信息主體明示個(gè)人信息處理目的、方式、范圍、規(guī)則等，征求其授權(quán)同意。

4.3.4最小必要原則

除與個(gè)人信息主體另有約定外，只處理滿足個(gè)人信息主體授權(quán)同意的、目的所需的最少個(gè)人信息類

型和數(shù)量。目的達(dá)成后，應(yīng)及時(shí)根據(jù)約定刪除個(gè)人信息。

4.3.5公開透明原則

7

T/CIXXX—2023

以明確、易懂和合理的方式公開處理個(gè)人信息的范圍、目的、規(guī)則等，并接受外部監(jiān)督。

4.3.6確保安全原則

具備與所面臨的安全風(fēng)險(xiǎn)相匹配的安全能力，并采取足夠的管理措施和技術(shù)手段，保護(hù)個(gè)人信息的

保密性、完整性、可用性。

4.3.7主體參與原則

向個(gè)人信息主體提供能夠訪問、更正、刪除其個(gè)人信息，以及撤回同意、注銷賬戶等方法。

4.4隱私保護(hù)的參與方

健康醫(yī)療數(shù)據(jù)共享過程中數(shù)據(jù)流通符合GB/T39725—2020中6.4的流通使用場(chǎng)景規(guī)定，健康醫(yī)療數(shù)

據(jù)共享過程中應(yīng)加強(qiáng)對(duì)個(gè)人信息的保護(hù)。

5職責(zé)

5.1數(shù)據(jù)提供方

數(shù)據(jù)提供方對(duì)數(shù)據(jù)共享中的隱私保護(hù)承擔(dān)的職責(zé)包括但不限于：

a)對(duì)其提供的所有數(shù)據(jù)的流通和使用行為的合規(guī)性負(fù)責(zé)；

b)確保提供的所有數(shù)據(jù)不涉及隱私信息；

c)當(dāng)提供的數(shù)據(jù)涉及隱私信息時(shí)，應(yīng)按GB/T37964規(guī)定先對(duì)其進(jìn)行匿名化、去標(biāo)識(shí)化等技術(shù)處

理，確保數(shù)據(jù)不涉及隱私信息且無法復(fù)原后，方可進(jìn)入流通環(huán)節(jié)；

d)明確數(shù)據(jù)的適用范圍、使用期限和權(quán)利限制等；

e)確保數(shù)據(jù)的存儲(chǔ)、發(fā)布和傳輸過程中的安全性，防止數(shù)據(jù)泄露、算改和刪除等；

f)對(duì)因隱私泄露而對(duì)個(gè)人信息主體造成傷害的行為承擔(dān)主要責(zé)任。

5.2數(shù)據(jù)使用方

數(shù)據(jù)使用方對(duì)數(shù)據(jù)共享中的隱私保護(hù)承擔(dān)的職責(zé)包括但不限于：

a)按數(shù)據(jù)提供方界定的數(shù)據(jù)適用范圍、使用期限和權(quán)利限制等合法、合規(guī)使用數(shù)據(jù)：

b)當(dāng)在數(shù)據(jù)使用過程中發(fā)現(xiàn)隱私信息時(shí)，立即向數(shù)據(jù)提供方報(bào)告或向有關(guān)主管部門報(bào)告：

c)確保數(shù)據(jù)存儲(chǔ)、使用過程中的安全性，防止數(shù)據(jù)泄露、纂改和刪除等：

d)對(duì)因使用數(shù)據(jù)而導(dǎo)致隱私信息泄露所產(chǎn)生的后果承擔(dān)主要責(zé)任：

e)按照約定方式使用完成或規(guī)定期限結(jié)束后，銷毀數(shù)據(jù)且不可被恢復(fù)。

5.3數(shù)據(jù)共享平臺(tái)運(yùn)營(yíng)商

數(shù)據(jù)共享平臺(tái)運(yùn)營(yíng)商對(duì)數(shù)據(jù)共享中的隱私保護(hù)承擔(dān)的職責(zé)義務(wù)應(yīng)包括但不限于：

a)制定平臺(tái)隱私政策，確保交易主體的合法權(quán)益；

b)設(shè)立隱私保護(hù)管理部門，負(fù)責(zé)平臺(tái)隱私保護(hù)工作的日常管理和實(shí)施；

c)制定隱私保護(hù)管理制度，明確平臺(tái)運(yùn)營(yíng)商，共享主體的職責(zé)義務(wù)及懲罰措施；

d)建立隱私保護(hù)管理機(jī)制，包括但不限于：

1)數(shù)據(jù)共享許可機(jī)制：確保共享主體獲得數(shù)據(jù)共享許可資格后，允許其參與共享；

2)數(shù)據(jù)流轉(zhuǎn)登記機(jī)制：做好數(shù)據(jù)交易信息記錄備案，確保每次數(shù)據(jù)流轉(zhuǎn)都有記錄可追湖；

3)隱私泄露投訴舉報(bào)機(jī)制：積極響應(yīng)和解決投訴舉報(bào)，明確投訴解決途徑和舉報(bào)獎(jiǎng)勵(lì)制度。

e)組織開展隱私保護(hù)宣傳培訓(xùn)活動(dòng)；

7

T/CIXXX—2023

f)加強(qiáng)數(shù)據(jù)審核管理，發(fā)現(xiàn)國(guó)家法律法規(guī)禁止發(fā)布或傳輸?shù)男畔r(shí)，依法采取必要處置措施，

并向有關(guān)主管部門報(bào)告；

g)積極配合有關(guān)主管部門依法履行職責(zé)時(shí)開展的各項(xiàng)工作。

5.4個(gè)人信息主體

個(gè)人信息主體對(duì)數(shù)據(jù)交易中的隱私保護(hù)享有的權(quán)利包括但不限于：

a)有權(quán)提出撤銷、刪除和銷毀共享中涉及的個(gè)人隱私信息；

b)個(gè)人信息主體認(rèn)為共享活動(dòng)違反相關(guān)國(guó)家法律法規(guī)規(guī)定，侵犯其合法權(quán)益的，有權(quán)依法維權(quán)；

c)因隱私信息泄露而對(duì)個(gè)人信息主體造成傷害的，個(gè)人信息主體有權(quán)提出賠償請(qǐng)求。

6數(shù)據(jù)采集保護(hù)

6.1數(shù)據(jù)采集的合法性

數(shù)據(jù)采集的合法性要求如下：

a)不應(yīng)該以欺詐、誘騙、誤導(dǎo)的方式收集個(gè)人信息；

b)不應(yīng)該隱瞞產(chǎn)品或服務(wù)所具有的收集個(gè)人信息功能和用途；

c)在收集用戶個(gè)人信息時(shí)，應(yīng)充分說明采集個(gè)人數(shù)據(jù)信息的目的和方式。

6.2數(shù)據(jù)采集的最小必要

數(shù)據(jù)采集的最小必要要求如下：

a)收集的個(gè)人信息的類型應(yīng)與服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)；

注：直接關(guān)聯(lián)是指沒有上述個(gè)人信息的參與，服務(wù)的功能無法實(shí)現(xiàn)。

b)自動(dòng)采集個(gè)人信息的頻率應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率；

c)間接獲取個(gè)人信息的數(shù)量應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量。

6.3數(shù)據(jù)采集授權(quán)

數(shù)據(jù)采集授權(quán)要求如下：

a)收集個(gè)人信息時(shí)，應(yīng)向個(gè)人信息主體告知收集、使用個(gè)人信息的目的、方式和范圍等規(guī)則，

并獲得個(gè)人信息主體的授權(quán)同意；

注：如產(chǎn)品或服務(wù)僅提供一項(xiàng)收集、使用個(gè)人信息的業(yè)務(wù)功能時(shí)，可通過個(gè)人信息保護(hù)政策的形式，實(shí)現(xiàn)向個(gè)人信

息主體的告知；產(chǎn)品或服務(wù)提供多項(xiàng)收集、使用個(gè)人信息的業(yè)務(wù)功能的，除個(gè)人信息保護(hù)政策外，在實(shí)際開始

收集特定個(gè)人信息時(shí)，向個(gè)人信息主體提供收集、使用該個(gè)人信息的目的、方式和范圍。

b)收集個(gè)人敏感信息前，應(yīng)征得個(gè)人信息主體的明示同意，并應(yīng)確保個(gè)人信息主體的明示同意

是其在完全知情的基礎(chǔ)上自主給出的、具體的、清晰明確的意愿表示；

c)收集個(gè)人生物識(shí)別信息前，應(yīng)單獨(dú)向個(gè)人信息主體告知收集、使用個(gè)人生物識(shí)別信息的目的、

方式和范圍，以及存儲(chǔ)時(shí)間等規(guī)則，并征得個(gè)人信息主體的明示同意；

注：個(gè)人生物識(shí)別信息包括個(gè)人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識(shí)別特征等。

d)收集年滿14周歲的未成年人的個(gè)人信息前，應(yīng)征得未成年人或其監(jiān)護(hù)人的明示同意；不滿14

周歲的未成年人，應(yīng)征得其監(jiān)護(hù)人的明示同意；

e)間接獲取個(gè)人信息時(shí)：

1)應(yīng)要求個(gè)人信息提供方說明個(gè)人信息來源，并對(duì)其個(gè)人信息來源的合法性進(jìn)行確認(rèn)；

2)應(yīng)了解個(gè)人信息提供方已獲得的個(gè)人信息處理的授權(quán)同意范圍，包括使用目的，個(gè)人信

息主體是否授權(quán)同意轉(zhuǎn)讓、共享、公開披露、刪除等；

7

T/CIXXX—2023

3)如開展業(yè)務(wù)所需進(jìn)行的個(gè)人信息處理活動(dòng)超出已獲得的授權(quán)同意范圍的，應(yīng)在獲取個(gè)人

信息后的合理期限內(nèi)或處理個(gè)人信息前，征得個(gè)人信息主體的明示同意，或通過個(gè)人信

息提供方征得個(gè)人信息主體的明示同意；

f)個(gè)人信息主體不授權(quán)同意使用、關(guān)閉或退出特定業(yè)務(wù)功能時(shí)，不應(yīng)暫停個(gè)人信息主體自主選

擇使用的其他業(yè)務(wù)功能，或降低其他業(yè)務(wù)功能的服務(wù)質(zhì)量；

g)不應(yīng)以改善服務(wù)質(zhì)量、提升使用體驗(yàn)、研發(fā)新產(chǎn)品、增強(qiáng)安全性等為由，強(qiáng)制要求個(gè)人信息

主體同意收集個(gè)人信息。

6.4數(shù)據(jù)采集制度

應(yīng)對(duì)數(shù)據(jù)采集制定必要的制度措施，內(nèi)容應(yīng)包括但不限于：

a)個(gè)人信息控制者的基本情況，包括主體身份、聯(lián)系方式；

b)收集、使用個(gè)人信息的業(yè)務(wù)功能，以及各業(yè)務(wù)功能分別收集的個(gè)人信息類型。涉及個(gè)人敏感

信息時(shí)，應(yīng)明確標(biāo)識(shí)或突出顯示；

c)個(gè)人信息收集方式、存儲(chǔ)期限、涉及數(shù)據(jù)出境情況等個(gè)人信息處理規(guī)則；

d)對(duì)外共享、轉(zhuǎn)讓、公開披露個(gè)人信息的目的、涉及的個(gè)人信息類型、接收個(gè)人信息的第三方

類型，以及各自的安全和法律責(zé)任；

e)個(gè)人信息主體的權(quán)利和實(shí)現(xiàn)機(jī)制，如查詢方法、更正方法、刪除方法、注銷賬戶的方法、撤

回授權(quán)同意的方法、獲取個(gè)人信息的方法、對(duì)信息系統(tǒng)自動(dòng)決策結(jié)果進(jìn)行投訴的方法等；

f)提供個(gè)人信息后可能存在的安全風(fēng)險(xiǎn)，及不提供個(gè)人信息可能產(chǎn)生的影響；

g)遵循的個(gè)人信息安全基本原則，具備的數(shù)據(jù)安全能力，以及采取的個(gè)人信息安全保護(hù)措施，

必要時(shí)可公開數(shù)據(jù)安全和個(gè)人信息保護(hù)相關(guān)的合規(guī)證明；

h)處理個(gè)人信息主體詢問、投訴的渠道和機(jī)制，以及外部糾紛解決機(jī)構(gòu)及聯(lián)絡(luò)方式。

7數(shù)據(jù)存儲(chǔ)保護(hù)

7.1存儲(chǔ)時(shí)間

7.1.1個(gè)人信息存儲(chǔ)期限應(yīng)為實(shí)現(xiàn)個(gè)人信息主體授權(quán)使用的目的所必需的最短時(shí)間。

注：法律法規(guī)另有規(guī)定或者個(gè)人信息主體另行授權(quán)同意的除外。

7.1.2超出上述個(gè)人信息存儲(chǔ)期限后，應(yīng)對(duì)個(gè)人信息進(jìn)行刪除或匿名化處理。

7.2去標(biāo)識(shí)化處理

收集個(gè)人信息后，個(gè)人信息控制者宜立即進(jìn)行去標(biāo)識(shí)化處理，并采取技術(shù)和管理方面的措施，將可

用于恢復(fù)識(shí)別個(gè)人的信息與去標(biāo)識(shí)化后的信息分開存儲(chǔ)并加強(qiáng)訪問和使用的權(quán)限管理。

7.3敏感信息的存儲(chǔ)

7.3.1存儲(chǔ)個(gè)人敏感信息時(shí)，應(yīng)采用加密等安全措施。采用密碼技術(shù)時(shí)宜符合GM/T0054規(guī)定的密碼

技術(shù)，對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)保護(hù)。

7.3.2個(gè)人生物識(shí)別信息應(yīng)與個(gè)人身份信息分開存儲(chǔ)。

7.3.3不應(yīng)存儲(chǔ)原始個(gè)人生物識(shí)別信息（如樣本、圖像等），可采取的措施包括但不限于：

a)僅存儲(chǔ)個(gè)人生物識(shí)別信息的摘要信息；

b)在采集終端中直接使用個(gè)人生物識(shí)別信息實(shí)現(xiàn)身份識(shí)別、認(rèn)證等功能；

c)在使用面部識(shí)別特征、指紋、掌紋、虹膜等實(shí)現(xiàn)識(shí)別身份、認(rèn)證等功能后刪除可提取個(gè)人生

物識(shí)別信息的原始圖像。

7

T/CIXXX—2023

8數(shù)據(jù)處理

8.1數(shù)據(jù)脫敏

數(shù)據(jù)脫敏安全要求包括：

a)應(yīng)建立數(shù)據(jù)脫敏規(guī)范，明確需要脫敏處理的應(yīng)用場(chǎng)景和處理方法；

b)應(yīng)支持基于規(guī)則的數(shù)據(jù)靜態(tài)脫敏；

c)應(yīng)提供面向使用者的定制化數(shù)據(jù)脫敏功能，可基于場(chǎng)景需求自定義脫敏規(guī)則；

d)應(yīng)提供數(shù)據(jù)脫敏處理過程日志記錄，滿足數(shù)據(jù)脫敏處理安全審計(jì)要求。

8.2數(shù)據(jù)分析

數(shù)據(jù)分析安全要求包括：

a)應(yīng)對(duì)數(shù)據(jù)分析結(jié)果進(jìn)行二次風(fēng)險(xiǎn)評(píng)估，確保衍生數(shù)據(jù)不超過原始數(shù)據(jù)的授權(quán)范圍和安全使用

要求；

b)應(yīng)對(duì)利用多源數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析的過程進(jìn)行日志記錄，以備對(duì)分析結(jié)果質(zhì)量、真實(shí)性和合

規(guī)性進(jìn)行數(shù)據(jù)溯源；

c)應(yīng)對(duì)利用數(shù)據(jù)分析算法輸出的結(jié)果進(jìn)行風(fēng)險(xiǎn)評(píng)估，避免分析結(jié)果輸出中包含可恢復(fù)的個(gè)人信

息、重要數(shù)據(jù)等數(shù)據(jù)和結(jié)構(gòu)標(biāo)識(shí)，從而防止個(gè)人信息、重要數(shù)據(jù)等敏感信息的泄漏；

d)應(yīng)對(duì)平臺(tái)數(shù)據(jù)分析算法的變更進(jìn)行風(fēng)險(xiǎn)評(píng)估。

8.3數(shù)據(jù)處理環(huán)境

數(shù)據(jù)處理環(huán)境安全要求包括：

a)數(shù)據(jù)處理系統(tǒng)或平臺(tái)應(yīng)與身份及訪問管理平臺(tái)實(shí)現(xiàn)聯(lián)動(dòng)，用戶在使用數(shù)據(jù)處理系統(tǒng)或平臺(tái)前

已獲得了授權(quán)；

b)應(yīng)保證對(duì)不同數(shù)據(jù)使用者在數(shù)據(jù)處理平臺(tái)中的數(shù)據(jù)、系統(tǒng)功能、會(huì)話、調(diào)度和運(yùn)營(yíng)環(huán)境等資

源實(shí)現(xiàn)隔離控制；

c)應(yīng)建立數(shù)據(jù)處理日志管理工具，記錄用戶在數(shù)據(jù)處理平臺(tái)上的加工操作，以備后期追溯；

d)應(yīng)對(duì)用戶在數(shù)據(jù)處理平臺(tái)上對(duì)數(shù)據(jù)的操作開展定期審計(jì)，確定用戶對(duì)數(shù)據(jù)的加工未超出前期

申請(qǐng)數(shù)據(jù)時(shí)的目的。

9數(shù)據(jù)使用

9.1訪問控制

9.1.1對(duì)被授權(quán)訪問個(gè)人信息的人員，應(yīng)建立最小授權(quán)的訪問控制策略，使其只能訪問職責(zé)所需的最

小必要的個(gè)人信息，且僅具備完成職責(zé)所需的最少的數(shù)據(jù)操作權(quán)限。

9.1.2對(duì)個(gè)人信息的重要操作應(yīng)設(shè)置內(nèi)部審批流程，如進(jìn)行批量修改、拷貝、下載等重要操作。

9.1.3對(duì)安全管理人員、數(shù)據(jù)操作人員、審計(jì)人員的角色應(yīng)進(jìn)行分離設(shè)置。

9.1.4授權(quán)特定人員超權(quán)限處理個(gè)人信息時(shí)，應(yīng)經(jīng)個(gè)人信息保護(hù)責(zé)任人或個(gè)人信息保護(hù)工作機(jī)構(gòu)進(jìn)行

審批，并記錄留檔。

9.1.5對(duì)個(gè)人敏感信息的訪問、修改等操作行為，宜在對(duì)角色權(quán)限控制的基礎(chǔ)上，按照業(yè)務(wù)流程的需

求觸發(fā)操作授權(quán)。

示例：當(dāng)收到客戶投訴，投訴處理人員才可訪問該個(gè)人信息主體的相關(guān)信息。

9.2展示限制

7

T/CIXXX—2023

涉及通過界面（如顯示屏幕、紙面）展示個(gè)人信息時(shí)，個(gè)人信息控制者宜對(duì)需展示的個(gè)人信息采取

去標(biāo)識(shí)化處理，降低個(gè)人信息在展示環(huán)節(jié)的泄露風(fēng)險(xiǎn)。

示例：在個(gè)人信息展示時(shí)，防止內(nèi)部非授權(quán)人員及個(gè)人信息主體之外的其他人員未經(jīng)授權(quán)獲取