（正式版）DB15∕T 3660-2024 《个人信息保护规范》

152024-09-06发布 1 1 1 2 3 4 4 5 5 6 6 7 7 8 8 8 9 I本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。个人信息保护规范本文件适用于规范个人信息处理者的个人信息GB/T35273—2020信息安全技术个人信息安GB/T37964信息安全技术个人信息去标识化GB/T39335—2020信息安全技术个人信息安全影响评估GB/T41391—2022信息安全技术移动互联网应用程序（App）收集个人信息基本TC260—PG—20212A网络安全标准实践指南网络数据分类TC260—PG—20231A网络安全标准实践指南网络数据安全风险评估实GB/T35273、GB/T39335、GB/T4139以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然12参与个人信息处理活动的人员或机构，处理活动包括个人信息的收集、存储、使用为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的通过应用商店、应用市场、网站等方式提供App下载、升相对于用户和App以外的，为App提供软件开发工由App开发运营者之外的其他法人实体提供，通过移动互联网a)应遵循合法、正当、必要和诚信原则，不b)应具有明确、合理的目的，并应与处理目的直接相关，采取对个人权益影响最小的方式；c)应遵循公开、透明原则，公开个d)应保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响；3e)个人信息处理者应对个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全；f)除法律、行政法规另有规定外，个人信息处理者取得个人的同意方可处理个人信息。5总体框架总体框架图如图1所示。图1总体框架本文件明确了个人信息处理的总体要求、综合管理要求、个人信息全生命周期处理要求、互联网平台要求和App要求。个人信息处理活动总体上应满足合法、必要、诚信、目的合理、公开、透明、保证质量等原则。个人信息处理活动在管理上应满足一些必要的条件，包括个人信息管理职责及制度的建立、实施个人信息保护安全教育和培训、个人信息的分类分级、个人信息的风险评估、影响评估、合规审计、个人信息安全事件应急预案、个人信息处理供应链管理等。在个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期处理的各个环节都应有针对性的要求。本文件还对互联网平台和App提出了相应的要求。个人信息全生命周期如图2所示。4加工主体审核明确告知图2个人信息全生命周期个人信息全生命周期包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息全生命周期都应遵守相应的要求。6综合管理要求6.1管理职责及制度6.1.1管理职责个人信息处理者应该履行个人信息保护职责，具体如下：a)应指定个人信息保护负责人，负责个人信息保护工作；b)应公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门；c)个人信息保护负责人应履行的职责包括但不限于；1)组织开展数据安全风险评估、个人信息安全影响评估、个人信息合规审计工作；2)组织开展个人信息保护宣传教育培训工作；3)与履行个人信息保护职责的部门保持沟通，上报数据安全风险评估、个人信息安全影响评估、个人信息合规审计、事件处置等情况；4)积极配合履行个人信息保护职责的部门的监督检查工作，提供相关材料，协助检查人员进入其生产经营场所调查情况；5)按照GB/T35273—2020中11.1至11.3规定的要求履行职责。6.1.2管理制度个人信息处理者应制定个人信息保护内部管理制度和操作规程，包括但不限于：a)个人信息保护工作的方针、目标、原则；b)数据安全风险评估、个人信息安全影响评估、个人信息合规审计工作开展计划；c)个人信息处理供应链管理制度；d)个人信息保护宣传教育和培训计划；e)个人信息安全事件应急处置制度；5g)个人信息保护负责人及相关人员履职评价制度。a)应按照TC260-PG-20212A中5.2.1章节进行个人信息识别；b)应按照业务维度或其他维度对个人信息进行分类，常见个人信息见附录A。a)对于一般个人信息的处理应符合本文件第7章中的基本安全要求；b)对于敏感个人信息的处理应同时符合本文件第7章中基本安全要求和敏感信息的相关要求；个人信息处理者按照国家和行业领域的分级标准对数据进行分级后，对于重要数据应开展数据安2)由履行个人信息保护职责的部门发起数据安全风c)个人信息处理者应按照TC260-PG-20231A中第4章到第8章的规定要求开展数据安全风险评d)典型数据安全风险类别应按照TC260-PG-20231A中附录A所列内容。委托符合条件的第三方评估机构开展评估工作，其流程及相关信息系统或程序应允许履行个c)履行个人信息保护职责的部门可以发起个人信息安全影响评估工作；d)开展个人信息安全影响评估时应采取以下手段：a)个人信息处理者应符合以下要求：注：不必征得个人信息主体的授权同意的情形，按照GB/T352b)受委托者应符合以下要求：6a)通过第三方应用采集个人信息的，需告知个人信息主体并获得授权；f)第三方应用应具备个人信息安全防护能力；g)第三方应用提供者应提供有效的个人信息安全受理机制、事件响应机制。a)个人信息处理者应制定并实施个人信息保护安全教育和培训计划，计划内容包括但不限于培c)个人信息保护培训教育内容，应包括但不限于：3)个人信息保护培训教育对象的职能个人信息处理者应制定个人信息安全事件应急预案，预案内容包括但不a)指导思想和基本策略；b)对涉及个人信息处理的业务的风险评估和预测；c)根据风险评估结果，按照GB/T20986对个人信息安全事件进d)应急组织架构、责任部门、角色职责、对应人员，应急响应人员的联络信息；f)人力资源、财力保障、物资保障、个人信息处理者应对制定的应急预案组织实施，包括但不7造成危害的，个人信息处理者可以不通知个a)个人信息处理者应定期开展个人信息保护合规审计；b)个人信息处理者可以自行或者委托符合条件的第三方c)个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的，应尽快按照要求选定专业机构进行个人信息保护合规审计，并将其出具的个人信息保护合规审计d)个人信息处理者应按照专业机构提出的整改建议进行整改，并将专业机构复核后的整改情况b)收集外部机构个人信息前，应对外部机构个2)个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；8d)个人信息处理者履行上述告知事项义务后，还应满足如下要求：1)上述事项发生变更的，个人信息处理者应3)有法律法规规定应保密的或者不需要告知个人信息主体的，个人信息处理者可以不告知4)紧急情况下为保护个人信息主体的生命健康和财产安全无法及时向个人告知的，个人信b)应仅在个人信息主体使用业务功能期间，d)除满足基本安全要求的告知事项要求外，个人信息处理者还应向个人信息主体告知收集敏感个人信息的必要性以及对个人权益的影响；依照法律法规可以不向个人告知的除外；2)未成年人个人信息存储的地点、期限及到期后的处理方式；3)对未成年人个人信息采取的安全保4)未成年人及其监护人投诉、举报的渠道、方式；6)未成年人及其监护人拒绝个人信息处理规则的后果。a)个人信息的保存期限应为实现处理目的所必要的最短时间，超出后应及时进行删除或匿名化92)采用权限控制技术：实现对个人信息的访问及使用权限最小化；4)采用隐私计算技术，实现在不暴露个人信息的前提下进行分析计算，达到异常情况进行及时响应，动态调整安全保护措施，按照就高从严原则设定安全保b)传输中实时记录敏感个人信息的传输日志，包括传输时间、双方身份信息等；个人信息处理者在开展个人信息转换、汇聚、分析等数据加工活动过程中，应遵循以下要求：人信息主体的内容相一致，不一致的应说明理由，并告知个人信b)在加工个人信息时，应做好全程管控工作c)委托第三方加工个人信息时，应遵循本文件第6.5.1章节所列要求；b)加工处理敏感个人信息前，应进行个人信息保护影响评估，并对处理情a)应具有明确、合理的目的，并应与使用目的直接相关，采取对个b)应遵循公开、透明原则，公开个人信息使用规则，明示使用的目的、方式和范围；c)应保证个人信息的质量，避免因个人信息不准确、不完整h)应按照GB/T35273—2020中7.1至7.7规定的要求开展个人信息使用工作；a)应建立异常监测预警和响应机制，对超出业务正常需求的异常操作(如频繁、大量敏感个人信息浏览查询、下载、打印，非工作时间操作等)应采取中断操作，并通过邮件、消息、弹窗等c)不应使用敏感个人信息构建用户画像、用于b)个人信息处理者经法律授权或具备合理事由确需公开时，应符合以下要求：1)应事前进行个人信息保护影响评估，并对公开情c)以下情形中，公开个人信息不必事先征得个人信息主体的授权同意：2)为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需a)公开敏感个人信息前应向个人告知公开的必要性以及对个人权益的影响；b)未经个人单独同意，不应公开已识b)提供个人信息前应开展个人信息保护影响评估，并依评估结果采取有效的防护措施；c)个人信息提供范围应限于实现处理目的的最小范围，如不需在接收方进行本地存储而能满足应用需求的，不应引导个人信息主体进行过要时个人信息提供方应解除与接收方的业务关系，并要求接收方及时删除从个人信息提供方注：不必征得个人信息主体的授权同意的情形，按照GB/T352c)应通过个人信息提供方获取个人信息主体授权同意后方可存储个人信息；e)变更原先告知的处理目的、处理方式的，应通过个人信息提供方重新取得个人同意。a)应提供可靠的安全防护环境，并为个人信息提供方、接收方提供安全防护能力说明；c)应保证平台方对提供方、接收方系统和数据的操作可被提供方、接收方核查；f)平台方需将个人信息安全威胁信息及时传达给提供方、接收方。政务数据共享过程涉及个人信息时，对于个人信息提供方、接收方、平台方的要求如下。a)对提供方的要求：2)在接收方为非政府单位性质时，个人信息提供方处理个人信息时需获得个人信息主体的人信息保护负责人审核同意，并由双方签订5)个人信息内部流转时涉及个人信息敏感数据时需进行加密或脱敏处理，因业务处理的要3)接收方非必要不应对个人信息数据进行本地存储，确需进行本地存储的要和个人信息提4)接收方未经提供方同意不应向第三方提供接收的个人信息。4)平台方未经提供方同意不应向第三方提供个人信息。注：明示同意指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。肯定性动作包括个人信息主体主动勾选、主动点击“同意”c)提供敏感个人信息前，需核验接收方的个人信息保护能力不低于提供方；通道加密和内容加密算法应符合有关行业技术标准与履行个人信息保护职责的部门有关规定2)个人信息处理者停止提供产品或者服务，或者保存期限已届满；将个人信息返还个人信息处理者或者予以删除，不应保留；b)应定期评估敏感个人信息删除或匿名化处理效果，确保