个人信息保护框架征求意见稿编制说明

标准起草工作组随着科技的进步和普及，我们的生活越来越数字化，在带来便利的同时，同样使得个人信息可以被大规模收集、分析和利用。许多公司依赖个人信息来进行精准的广告投放和用户定制服务，然而，过度收集和使用个人信息可能会威胁用户的隐私和自由。而个人信息泄露可能给个人和社会带来严重的经济损失和社会问题。因此，随着数据时代的来临，个人信息保护不仅关乎个人隐私和自由，也关乎社会稳定和公平。因此，确保个人信息的安全至关重要。党的十八大以来，党中央高度重视网络空间法治建设。习近平总书记多次强调，要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。我国在个人信息保护方面出台了《中华人民共和国网络求意见稿）》等多项法律法规和标准意见，以规范个人信息保护。为进一步落实个人信息保护，为个人信息保护在各流程环节的技术要求提供规范标准，出台《个人信息保护框架技术要求》团体标准具有实际意义。二、任务来源国际范围内，世界各国在个人信息保护方面不断增强立限制联邦政府机构在收集、使用和披露个人信息方面的权力。欧洲于1981年颁布的《个人数据自动化处理中的个人保护公约》，强调在公约缔约方的管辖范围内，每一个体的个人数据在被处理时均要得到保护。欧盟于2018年5月25日生效了《通用数据保护条例》，旨在统一欧盟成员国的个人数据保护标准，并强化个人数据保护措施。个人信息保护在世界范围内被更加重视。过，旨在维护国家网络安全，保护公民的合法权益，促进网络和信息化发展，规定个人信息的收集、使用等行为必须符合合法、正当、必要原则。《中华人民共和国个人信息保护法》于2021年审议通过，旨在保护个人信息安全，维护公民的合法权益，促进信息技术和经济社会发展，规定了个人信息的概念和范围，确保个人信息处理活动合法、正当、必要，明确了数据处理者的义务和责任，要求数据处理活动必须遵循合法、正当、必要、知情原则。个人信息保护在我国拥有法律支撑、具备法律意义。目前，国内外在个人信息保护框架技术方面还没有成熟的体系标准，为了规范需要应用个人信息保护框架技术的服务架构、服务内容、服务要求和服务接口等内容，进一步推动落实个人信息保护、维护公民合法权益、推动信息技术和国家社会发展，制定《个人信息保护框架技术要求》具备现实意义。三、编制过程1)2023年3月2日，团体标准编制正式启动，标准牵头单位汇总了前期的研究工作内容，确定了团体标准的研究内容、研究思路和分工。总结梳理已有内容，形成《个人信息保护框架技术要求》团体标准的框架。框架编制标准，形成了第一版标准草案。5)2023年5月25日，召开立项评审会，邀请专家对草案给出建议。版标准草案为基础不断改进，开展了多次内部讨论，针对标准内容进行调整整理。了标准草案的内部闭门研讨会。7）2025年4月，形成征求意见稿。四、主要内容技术指标确立本文件规定了个人信息保护框架技术要求的术语、服务架构、服务内容、服务要求和服务接口要求等内容，描述个人信息的保护框架，规定信息系统个人信息保护在分类分级、脱敏、删除、监管、评测、流转、取证、延伸控制等流程环节的技术要求。具体规定了脱敏技术、删除技术、技术监管、存证技术、违规事件通知等技术要求。脱敏技术：在脱敏控制集合生成、脱敏算法集合确定、脱敏控制集合更新各业务阶段，对个人信息执行脱敏所应遵循的技术要求。删除技术：在删除指令获取、待删除信息确定、删除算法确定、信息删除执行各业务阶段，对个人信息执行删除所应遵循的技术要求。监管技术：在监管要求获取、存证信息查询消息生成、存证信息监管信息生成、信息监管执行、监管评估、监管整改各业务阶段，对个人信息保护实行技术监管所应遵循的技术要求。存证技术：系统自存证的接口在设计和实现上所应遵循的技术要求。违规事件通知技术：系统在出现数据的违规使用时，个人信息控制者向主管监管部门通知违规事件信息所应遵循的技术要求。本标准可支撑对各类组织的个人信息处理活动的规范，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估，以及个人权益保障监管的设计、部署、应用及测评。本标准牵头单位为中国科学院信息工程研究所，参与单位包括西安电子科技大学、中国网络空间研究院、京东城市（北京）数字科技有限公司、浙江大学、北京市计算中心有限公司、国网信安(北京)科技有限公司、中国移动研究院等。五、与相关法律法规和国家标准的关系本标准的总体结构和编写方法按照GB/T1.1-2020《标准化工作导则第一部分：标准化文件的结构和起草规则》的规定执行。本标准参考的相关法律、法规和GB/T22239信息安全技术信息系统安全等级保护基本要求GB/T25069