DB15T 3660-2024個人信息保護規(guī)范

15PersonalinformationprotectionspecificationI II II請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。1個人信息保護規(guī)范本文件適用于規(guī)范個人信息處理者的個人信息以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然2參與個人信息處理活動的人員或機構，處理活動包括個人信由App開發(fā)運營者之外的其他法人實體提供，通過移動互聯(lián)網(wǎng)應用程序面向用戶提供服務的應用程a)應遵循合法、正當、必要和誠信原則，不應通過誤導、欺詐、脅迫等方式處理個人信息；b)應具有明確、合理的目的，并應與處理目的直接相關，采取對個人權益影響最小的方式；c)應遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍；d)應保證個人信息的質(zhì)量，避免因個人信息不準確、不完整對個人權益造成不利影響；3e)個人信息處理者應對個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全；f)除法律、行政法規(guī)另有規(guī)定外，個人信息處理者取得個人的同意方可處理個人信息。5總體框架總體框架圖如圖1所示。總體框架圖如圖1所示。總體要求正當必要誠信目的明確最小化公開適明準確完整安全知情同意管理職責及制度分類分級風險評估影響評估供應鏈管理教育培訓應急預案合規(guī)審計個人信息收集要求個人信息存儲要求個人信息傳輸要求個人信息加工要求個人信息使用要求個人信息公開要求個人信息提供要求個人信息刪除要求互聯(lián)網(wǎng)平臺要求App要求制度體系機構監(jiān)督平臺規(guī)則社會監(jiān)督App開發(fā)運營者要求App分發(fā)平臺要求App第三方服務提供者要求圖1總體框架本文件明確了個人信息處理的總體要求、綜合管理要求、個人信息全生命周期處理要求、互聯(lián)網(wǎng)平臺要求和App要求。個人信息處理活動總體上應滿足合法、必要、誠信、目的合理、公開、透明、保證質(zhì)量等原則。個人信息處理活動在管理上應滿足一些必要的條件，包括個人信息管理職責及制度的建立、實施個人信息保護安全教育和培訓、個人信息的分類分級、個人信息的風險評估、影響評估、合規(guī)審計、個人信息安全事件應急預案、個人信息處理供應鏈管理等。在個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等全生命周期處理的各個環(huán)節(jié)都應有針對性的要求。本文件還對互聯(lián)網(wǎng)平臺和App提出了相應的要求。個人信息全生命周期如圖2所示。DB15/T3660—20244共享要求出境要求5)按照GB/T35273—2020中11.1至11.3規(guī)定的要求履行職責。b)數(shù)據(jù)安全風險評估、個人信息安全影響評估、個人信息合規(guī)審計工作開展計劃；5a)應按照TC260-PG-20212A中5.2.1章節(jié)進行個人信息識別；b)應按照業(yè)務維度或其他維度對個人信息進行分類，常見個人信息見附錄A。a)對于一般個人信息的處理應符合本文件第7章中的基本安全要求；b)對于敏感個人信息的處理應同時符合本文件第7章中基本安全要求和敏感信息的相關要求；個人信息處理者按照國家和行業(yè)領域的分級標準對數(shù)據(jù)進行分級后，對于重要數(shù)據(jù)應開展數(shù)據(jù)安b)個人信息處理者可以采取以下手段開4)使用技術手段檢測防護措施的有效性。c)個人信息處理者應按照TC260-PG-20231A中第4章到第8章的規(guī)定要求開展數(shù)據(jù)安全風險評d)典型數(shù)據(jù)安全風險類別應按照TC260-PG-20231A中附錄A所列內(nèi)容。63)委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；5)其他對個人權益有重大影響的個人信息處理活動。委托符合條件的第三方評估機構開展評估工作，其流程及相關信息系統(tǒng)或程序應允許履行個c)履行個人信息保護職責的部門可以發(fā)起個人信息安全影響評估工作；d)開展個人信息安全影響評估時應采取以下手段：3)通過人工或者測試工具進行技術測試。6.5.1委托處理a)個人信息處理者應符合以下要求：1)在委托處理個人信息前應征得個人信息主體授權同意；2)在委托處理個人信息前應開展個人信息保護影響評估；4)應采用去標識化等方式對敏感個人信息進行脫敏處理；3)未經(jīng)個人信息處理者同意，不應轉(zhuǎn)委托第三方處理個人信息；76.5.2第三方產(chǎn)品接入a)通過第三方應用采集個人信息的，需告知個人信息主體并獲得授權；c)應與第三方應用提供者簽訂個人信息安全保護相關協(xié)議，包括但不限于收集的個人信息范圍、f)第三方應用應具備個人信息安全防護能力；g)第三方應用提供者應提供有效的個人信息安全受理機制、事件響應機制。a)個人信息處理者應制定并實施個人信息保護安全教育和培訓計劃，計劃內(nèi)容包括但不限于培c)個人信息保護培訓教育內(nèi)容，應包括但不限于：1)個人信息保護相關法律、法規(guī)、規(guī)范、標2)個人信息保護的重要性和必要性；3)個人信息保護培訓教育對象的職能和責任；5)違反個人信息保護相關標準可能引起的損害和后果等。6.7.1應急預案的制定個人信息處理者應制定個人信息安全事件應急預案，預案內(nèi)容包括但不a)指導思想和基本策略；b)對涉及個人信息處理的業(yè)務的風險評估和預測；d)應急組織架構、責任部門、角色職責、對應人員，應急響應人員的聯(lián)絡信息；f)人力資源、財力保障、物資保障、技術保障等各方面的保障措施。6.7.2應急預案的組織實施個人信息處理者應對制定的應急預案組織實施，包括但不86.7.3應急處置造成危害的，個人信息處理者可以不通知個a)個人信息處理者應定期開展個人信息保護合規(guī)審計；b)個人信息處理者可以自行或者委托符合條件的第三方機構開展個人信息保護合規(guī)審計；c)個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規(guī)審計的，應盡快按照要求選定專業(yè)機構進行個人信息保護合規(guī)審計，并將其出具的個人信息保護合規(guī)審計d)個人信息處理者應按照專業(yè)機構提出的整改建議進行整改，并將專業(yè)機構復核后的整改情況7.1.1基本安全要求b)收集外部機構個人信息前，應對外部機構個人信息的合法性、合規(guī)性進行鑒別；1)個人信息處理者的名稱或者姓名和聯(lián)系方式；2)個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；94)法律、行政法規(guī)規(guī)定應告知的其他事項。d)個人信息處理者履行上述告知事項義務后，還應滿足如下要求：1)上述事項發(fā)生變更的，個人信息處理者應將變更部分告知個人信息主體；3)有法律法規(guī)規(guī)定應保密的或者不需要告知個人信息主體的，個人信息處理者可以不告知4)緊急情況下為保護個人信息主體的生命健康和財產(chǎn)安全無法及時向個人告知的，個人信7.1.2敏感信息收集要求a)收集一般個人信息可以實現(xiàn)處理目的的，不應收集敏感個人信息；b)應僅在個人信息主體使用業(yè)務功能期間，收集該業(yè)務功能所需的敏感個人信息；d)除滿足基本安全要求的告知事項要求外，個人信息處理者還應向個人信息主體告知收集敏感個人信息的必要性以及對個人權益的影響；依照法律法規(guī)可以不向個人告知的除外；2)未成年人個人信息存儲的地點、期限及到期后的處理方式；3)對未成年人個人信息采取的安全保障措施；4)未成年人及其監(jiān)護人投訴、舉報的渠道、方式；6)未成年人及其監(jiān)護人拒絕個人信息處理規(guī)則的后果。7.2.1基本安全要求a)個人信息的保存期限應為實現(xiàn)處理目的所必要的最短時間，超出后應及時進行刪除或匿名化2)采用權限控制技術：實現(xiàn)對個人信息的訪問及使用權限最小化；4)采用隱私計算技術，實現(xiàn)在不暴露個人信息的前提下進行分析計算，達到“可用不可見”7.2.2敏感信息存儲要求a)存儲敏感個人信息時，應采用加密等去標識化安全措施；b)經(jīng)過加密、去標識化處理后的敏感個人信息應與解密密鑰、其異常情況進行及時響應，動態(tài)調(diào)整安全保護措施，按照就高從嚴原則設定安全保7.3.1基本安全要求a)應對個人信息數(shù)據(jù)傳輸通道兩端進行身份鑒別，確保信息傳輸雙方可信任；b)應采用校驗技術保證信息在傳輸過程中的完整性。7.3.2敏感信息傳輸要求a)傳輸敏感個人信息時，應采用加密等安全措施，防止個人信息在傳輸過程中被竊取或篡改；b)傳輸中實時記錄敏感個人信息的傳輸日志，包括傳輸時間、雙方身份信息等；7.4.1基本安全要求個人信息處理者在開展個人信息轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動過程中，應遵循以下要求：人信息主體的內(nèi)容相一致，不一致的應說明理由，并告知個人信c)委托第三方加工個人信息時，應遵循本文件第6.5.1章節(jié)所列要求；b)加工處理敏感個人信息前，應進行個人信息保護影響評估，并對處理情況進行記錄。a)應具有明確、合理的目的，并應與使用目b)應遵循公開、透明原則，公開個人信息使用規(guī)則，明示使用的目的、方式和范圍；h)應按照GB/T35273—2020中7.1至7.7規(guī)定的要求開展個人信息使用工作；a)應建立異常監(jiān)測預警和響應機制，對超出業(yè)務正常需求的異常操作(如息瀏覽查詢、下載、打印，非工作時間操作等)應c)不應使用敏感個人信息構建用戶畫像、用于b)個人信息處理者經(jīng)法律授權或具備合理事由確需公開時，應符合以下要求：1)應事前進行個人信息保護影響評估，并對公開情c)以下情形中，公開個人信息不必事先征得個人信息主體的授權2)為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需3)為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)公開個人信息的；4)在合理的范圍內(nèi)公開個人信息主體自行公開或者其他已經(jīng)合法公開的個人信息的；7.6.2敏感信息公開要求a)公開敏感個人信息前應向個人告知公開的必要性以及對個人權益的影響；b)未經(jīng)個人單獨同意，不應公開已識別的特定身份信息。7.7.1基本安全要求7.7.1.1三方要求7.7.1.1.1提供方要求b)提供個人信息前應開展個人信息保護影響評估，并依評估結(jié)果采取有效的防護措施；c)個人信息提供范圍應限于實現(xiàn)處理目的的最小范圍，如不需在接收方進行本地存儲而能滿足應用需求的，不應引導個人信息主體進行過d)應通過合同、協(xié)議等方式規(guī)定提供方、接收方、平臺方的責任和義務；要時個人信息提供方應解除與接收方的業(yè)務關系，并要求接收方及時刪除從個人信息提供方7.7.1.1.2接收方要求a)應與提供方、平臺方簽訂合同或協(xié)議明確責任和義務；c)應通過個人信息提供方獲取個人信息主體授權同意后方可存儲個人信息；e)變更原先告知的處理目的、處理方式的，應通過個人信息提供方重新取得個人同意。7.7.1.1.3平臺方要求a)應提供可靠的安全防護環(huán)境，并為個人信息提供方、接收方提供安全防護能力說明；c)應保證平臺方對提供方、接收方系統(tǒng)和數(shù)據(jù)的操作可被提供方、接收方核查；f)平臺方需將個人信息安全威脅信息及時傳達給提供方、接收方。7.7.1.2政務數(shù)據(jù)中的個人信息共享要求政務數(shù)據(jù)共享過程涉及個人信息時，對于個人信息提供方、接收方、平臺方的要求如下。a)對提供方的要求：2)在接收方為非政府單位性質(zhì)時，個人信息提供方處理個人信息時需獲得個人信息主體的人信息保護負責人審核同意，并由雙方簽訂5)個人信息內(nèi)部流轉(zhuǎn)時涉及個人信息敏感數(shù)據(jù)時需進行加密或脫敏處理，因業(yè)務處理的要6)提供方應采取有效的技術手段，確保個人信息安全及可溯源。3)接收方非必要不應對個人信息數(shù)據(jù)進行本地存儲，確需進行本地存儲的要和個人信息提4)接收方未經(jīng)提供方同意不應向第三方提供接收的個人信息。c)對平臺方的要求：2)平臺方首選通過數(shù)據(jù)接口方式提供個人信息共享交換，確需通過共享庫進行共享交換的，4)平臺方未經(jīng)提供方同意不應向第三方提供個人信息。7.7.1.3個人信息出境要求7.7.2敏感信息提供要求注：明示同意指個人信息主體通過書面、口頭等方式主動作出紙質(zhì)或電子形式的聲明，或者自主作出肯定性動作，對其個人信息進行特定處理作出明確授權的行為?？隙ㄐ詣幼靼▊€人信息主體主動勾選、主動點擊“同意”c)提供敏感個人信息前，需核驗接收方的個人信息保護能力不低于提供方；d)應采用通道加密方式傳輸敏感個人信息，宜采通道加密和內(nèi)容加密算法應符合有關行業(yè)技術標準與履行個人信息保護職責的部門有關規(guī)定7.8.1基本安全要求a)符合以下情形之一的，應及時刪除個人信息：1)處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；2)個人信息處理者停止提供產(chǎn)品或者服務，或者保存期限已屆滿；5)個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息；6)法律、行政法規(guī)規(guī)定的其他情形。將個人信息返還個人信息處理者或者予以刪除，不應保留；7.8.2敏感信息刪除要求b)應定期評估敏感個人信息刪除或匿名化處理效果，確保已刪除或匿名化處理的敏感個人信息b)應建立與個人信息相關的平臺規(guī)則、隱私政策和算法策略披露制度；d)應對接入其平臺的第三方產(chǎn)品和服務進行個人信息安全管理；e)未經(jīng)用戶同意不應將個人信息與來自第三方產(chǎn)品和服務的個人信息合并使用；f)不應以合并個人信息為目的，誘導或強迫用戶登錄并使用由第三方產(chǎn)品和服務；b)應僅在用戶使用業(yè)務功能期間，收集該業(yè)務功能所需的個人信息；e)不應采用批量申請授權等方式來誘導或強迫用戶一次性同意個人信息收集請求；f)不應在沒有用戶主動觸發(fā)業(yè)務功能的情況下頻繁申請授權，以免干擾用戶的正常使用；i)應采取有效的技術手段，確保個人信息安全。c)在沒有用戶同意或在缺乏合理業(yè)務場景的情況下，不應自行進行喚醒、調(diào)用、更新等行為；e)未經(jīng)用戶同意不應共享或轉(zhuǎn)讓收集到的個人信息。常