《个人信息保护框架（征求意见稿）》

T/CSACXXXXX—XXXX I 22规范性引用文件 23术语和定义 24个人信息保护框架技术要求 44.1个人信息保护框架概述 44.2分类分级技术要求 54.3采集技术要求 54.4脱敏技术要求 54.5存储技术要求 64.6共享技术要求 64.7交易技术要求 74.8出境技术要求 74.9流转技术要求 84.10删除技术要求 94.11溯源技术要求 94.12合规审计技术要求 94.13监管技术要求 5个人信息保护监管接口技术要求 5.1存证技术要求 5.2违规事件通知技术要求 参考文献 T/CSACXXXXX—XXXX本标准按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》给出的规则起草。请注意本文件的其他内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任本文件由中国网络空间安全协会提出并归口。本文件起草单位：本文件主要起草人：T/CSACXXXXX—XXXX2个人信息保护框架技术要求本标准规定了个人信息保护框架技术要求的术语、服务架构、服务内容、服务要求和服务接口要求等内容。a）该标准描述了个人信息的保护框架，规定信息系统个人信息保护在采集到销毁全生命周期、跨系统全流程控制与保护、全程存证取证与溯源、平台/流转/出境/留存/交易/共享/合规审计/分类分级管理等流程环节的技术要求，包含隐私信息系统的体系架构、场景抽象、隐私流转控制与审计、隐私脱敏操作选取、隐私存储、监管、隐私保护效果评估、隐私信息删除等环节的技术要求，以及支撑高能效、高并发等普适性等方面的技术要求。该标准适用于各类组织规范其个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。b）本标准适用于个人权益保障监管的设计、部署、应用及测评。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T35273-2020信息安全技术个人信息安全规范3术语和定义3.1个人信息personalinformation是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包含个人信息本身及其衍生信息,不包括匿名化处理后的信息。3.2敏感个人信息sensitivepersonalinformation敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。注：敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融3.3个人信息主体videosurveillancesystem个人信息主体是指个人信息所识别或者关联的自然人。3.4个人信息处理者personalinformationprocessor3T/CSACXXXXX—XXXX个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。注：与GB/T35273-2020中3.5个人信息保护personalinformationprotection泛在共享场景下，保证个人信息在产生、感知、发布、传播、存储、处理、使用、销毁等全生命周期内的受控使用和有效管理，保护个人信息中包含的敏感个人信息，包括但不限于迭代脱敏、按需保护、多副本完备删除、违规侵权判定与追踪溯源、有效监管等环节。3.6删除delete是指采用技术、人工等手段去除个人信息并保障其难以恢复，删除包括：全部删除、部分删除。3.7脱敏desensitization通过采用有失真且不可逆的方法对信息进行保护，使脱敏后的信息无法与个人信息主体关联起来。3.8删除对象deleteobject是指删除动作的客体，包括个人信息的正本信息、多副本信息、正本信息的一部分、副本信息的一部分以及正本信息与副本信息的全部或者部分的组合。3.9删除等级deletelevel是指对删除对象可恢复程度和难度的量化分级。按照可恢复出实质内容的百分比和熵占比、恢复过程所需的设备成本、时间成本与技术复杂程度等情况，并结合各应用系统实际需要，划分删除等级。删除等级划分的合理性由删除评估来决定，并随着恢复技术的发展动态调整。3.10多副本信息multiplecopiesinformation是指同一个人信息存储于不同管理域、信息系统的多拷贝。3.11多备份信息multiplebackupinformation是指同一个人信息存储于同一个管理域或者同一个信息系统内的多拷贝。3.12分散存储信息distributedstorageinformation是指同一个人信息拆分后分布式存储于不同存储设备/系统中的部分。3.13完备删除completedelete是指删除个人信息的正本信息、多副本信息、分散存储信息和多备份信息。3.14监管方regulatoryparty指负责个人信息安全的国家相关监管部门。3.15删除意图deleteintention是指个人信息主体对自身个人信息何时何地何条件何等级下的删除需求，删除意图包括：删除对象、T/CSACXXXXX—XXXX4删除时间、删除空间、删除等级等内容，以及个人信息主体的个性化约束条件。3.16删除指令deleteinstructions基于删除通知构造的、程序可识别可执行的删除命令。3.17分类分级categorizationandrating分类分级可以用于确定信息中的隐私信息，还可以用于确定隐私信息的隐私程度，分类分级可以是当前主体所执行的操作，也可以是信息传播全生命周期中处在当前主体之前的任意主体所执行的操作，在分类分级的过程中，形成了分类分级存证信息，即分类分级对应的操作存证信息。3.18监管regulation监管者基于监管要求生成存证信息，确定对应的监管信息，据此执行面向监管要求的信息监管，得到监管结果，由此保证针对信息流转过程中各个模块的信息操作进行及时有效的监管。3.19全生命周期full-lifecycle涵盖隐私数据在泛在共享场景下产生、感知、发布、传播、存储、处理、使用、销毁等各个环节。在各个环节不是单指在某个信息系统中，而是在泛在共享场景下多副本处于不同信息系统当中所有的环节。3.20迭代脱敏iterativedesensitization泛在共享环境下对个人信息在全生命周期各环节脱敏操作进行迭代控制。根据信息主体或提供方传递过来的脱敏控制信息，结合接收方的保护能力、当前处理方与接收方之间的约定，来调整脱敏控制操作。迭代脱敏能够对信息传输全生命周期中各个主体的信息进行脱敏，有效实现单次/多次转发的脱敏控制，避免因短板效应导致的隐私数据泄露，实现多次转发时的全流程迭代脱敏控制，适应信息所属主体和每一个信息接收主体脱敏保护能力差异化的跨系统、生态圈分享等场景。3.21多副本完备删除redundancycompletedeletion删除个人信息在所有信息系统中的所有副本。在泛在共享场景下，信息在不同信息系统留存，呈现出多副本的特征，即使进行不同的脱敏，也会呈现出脱敏程度的差异性，因此全部删除所有副本才能从根本上防止隐私泄露并彻底落实删除权。3.22存证信息evidencepreservationinformation存证信息包括脱敏存证信息、删除存证信息、流转存证信息、采集存证信息、使用存证信息、存储存证信息、分类分级存证信息、联动存证信息、监管审计存证信息。4个人信息保护框架技术要求4.1个人信息保护框架概述个人信息保护框架能够对个人信息的全生命周期的多环节操作进行协同处理。多环节包括收集、分类分级、脱敏、使用、流转、存储、删除、存证、联动、监管和审计等，基于当前环节的操作意图和其前序操作的操作存证信息确定操作要求，前序操作指的是当前操作之前对个人信息执行的操作，操作存T/CSACXXXXX—XXXX5证信息由各主体基于各主体对信息的操作和监管要求生成。基于操作要求，对个人信息执行当前操作，并生成操作存证信息。4.2分类分级技术要求4.2.1分类分级原则合法合规、最小必要、透明、安全、动态调整、一致性和责任。4.2.2类目定义是将数据根据其性质、用途和敏感程度进行分类，以便更有效地管理和保护。分类通常基于数据的类型、来源、用途和法律要求。4.2.3类目命名与编码对每个类目进行命名、编码。4.2.4类目划分根据类目将个人信息分为不同的类目。4.2.5等级定义是将数据根据其敏感程度、重要性和风险进行分级，以便确定不同的保护措施和访问权限。分级通常基于数据的敏感性、重要性和对组织的影响。4.2.6等级划分根据登记划分将个人信息分为不同的等级。4.3采集技术要求4.3.1采集原则最小必要、合法性、透明性等原则。4.3.2告知同意告知同意的内容包括：a)....采集目的：明确告知个人信息主体采集数据的具体目的，如市场调研、用户注册、服务提供b)....采集范围：详细说明将采集哪些个人信息，如姓名、电话号码、电子邮件地址、位置信息等；c)....采集方式：告知个人信息主体数据采集的具体方式，如通过表单填写、自动收集等；d)....使用方法：说明个人信息将如何被使用，包括个人信息的存储、处理、共享和传输方式；e)....保留期限：告知个人信息主体数据将被保留多长时间，以及到期后的处理方式；f)....主体权利：告知个人信息主体其享有的权利，如访问、更正、删除个人信息的权利，以及撤回同意的权利。4.4脱敏技术要求T/CSACXXXXX—XXXX64.4.1脱敏控制集合生成获取当前信息，获取脱敏控制集合，脱敏控制集合基于脱敏意图确定。其步骤包括：接收用户输入；响应于用户输入，确定用户输入对应的脱敏意图；基于当前信息、脱敏意图和预建脱敏知识图谱库等，确定脱敏要求；基于脱敏意图、预建脱敏知识图谱库、脱敏要求以及接收到的脱敏控制集合等，对当前信息进行敏感信息识别，得到当前信息的敏感信息识别结果；基于当前信息、脱敏要求和敏感信息识别结果，确定脱敏控制集合。4.4.2脱敏算法集合确定基于脱敏控制集合，确定脱敏算法集合；基于脱敏算法集合，对当前信息进行脱敏，并确定脱敏测评结果。若脱敏测评结果满足脱敏控制集合中的脱敏要求，则发布；否则，基于脱敏测评结果，更新脱敏算法集合，并基于更新后的脱敏算法集合对当前信息进行再次脱敏，直至脱敏测评结果满足脱敏要求。4.4.3脱敏控制集合更新基于脱敏控制集合、当前信息、脱敏后的信息等，更新脱敏控制集合。4.5存储技术要求4.5.1存储原则最小必要原则、用户同意原则等。4.5.2存储方式加密存储、数据备份、基于硬件的安全存储等。4.6共享技术要求4.6.1共享原则合法合规、最小必要、透明、用户同意、互惠互利和责任等原则。4.6.2共享定义数据共享是指在不同用户、系统、组织或部门之间共享数据，以便多个用户或系统可以访问和使用同一数据集。4.6.3共享目的促进数据的广泛使用和协同工作，提高数据的利用价值，支持业务流程的优化和决策支持。4.6.4共享过程个人信息共享过程包括：a)个人信息准备：对个人信息进行清洗、整理和脱敏，确保个人信息的质量和合规性；b)共享机制：建立个人信息共享机制，如共享目录、API接口等，确保个人信息可以被多个用户或系统访问；c)访问控制：设置访问控制，确保只有授权用户可以访问共享个人信息；d)个人信息使用：用户或系统访问和使用共享个人信息，支持业务流程和决策；T/CSACXXXXX—XXXX7e)个人信息更新：定期更新共享个人信息，确保个人信息的时效性和准确性。4.6.5共享主体个人信息共享的主体包括：a)个人信息主体：拥有个人信息并希望共享个人信息的组织或个人；b)个人信息处理者：需要个人信息并希望访问和使用共享个人信息的组织或个人。4.6.6共享场景个人信息共享的场景包括：a)内部共享：企业内部不同部门之间的个人信息共享，支持协同工作和业务流程优化；b)跨组织共享：不同企业或组织之间的个人信息共享，支持业务合作和数据协同。4.7交易技术要求4.7.1交易原则最小必要、告知同意原则。4.7.2信息类型参与交易的个人信息的类型包括：a)真实身份类：可识别自然人真实身份的信息，如姓名、住址、工作单位、职位、及身份证号码、签证授权编号等可标识自然人真实身份的数据及相关的证照扫描件、图片、影印件等；b)网络身份类：用户在网络空间的身份标识信息，虽不可直接识别用户自然人身份，但结合其他手段或数据可与用户真实身份相关的信息，如个人的手机号/微信号/QQ号/支付宝账号/微博账号/邮箱地址等；c)个人基本资料类：用户的一般信息，如年龄、性别、职业、国籍等；d)生物特征数据：与用户身体的生物学特征有关、能够唯一识别个体的数据，如指纹、声纹等特征数据。4.7.3评估个人信息交易评估包括以下方面：a)评估应遵循科学、客观、公正的原则；b)明确评估方和被评估方的职责和义务；c)根据具体场景选择合适的评估指标；d)制定详细的评估计划，确保评估工作的顺利进行；e)按照评估计划实施评估，记录评估过程和结果；f)根据评估结果，形成评估结论，并提出改进建议。4.8出境技术要求4.8.1出境原则自愿性、市场化、社会化服务原则。4.8.2适用情形T/CSACXXXXX—XXXX8个人信息出境包括以下方面：a)非关键信息基础设施运营者；b)处理个人信息不满100万人的；c)自上年1月1日起累计向境外提供个人信息不满10万人的；d)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。4.8.3备案个人信息处理者应当在标准合同生效之日起10个工作日内，通过数据出境申报系统备案，系统网址为。4.8.4评估个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估，重点评估以下内容：a)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；b)出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；c)境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；d)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；e)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；f)其他可能影响个人信息出境安全的事项。4.9流转技术要求4.9.1流转原则合法合规、最小必要、安全、透明、可靠性、一致性和责任等原则。4.9.2流转定义数据流转是指数据在不同系统、组织或部门之间的流动和传输过程。4.9.3流转目的实现数据的传输和处理，确保数据在不同环节中的可用性和一致性，支持业务流程的连续性和数据的完整性。4.9.4流转过程个人信息流转过程包括：a)个人信息采集：从个人信息源采集个人信息。b)个人信息处理：对个人信息进行清洗、整理和转换，确保个人信息的可用性；c)个人信息传输：将个人信息传输到目标系统或组织；d)个人信息存储：将个人信息存储在目标系统中，确保个人信息的安全性和完整性；e)个人信息使用：在目标系统中使用数据，支持业务流程和决策。4.9.5流转主体T/CSACXXXXX—XXXX9个人信息流转主体包括：a)个人信息源：提供个人信息的系统或组织；b)个人信息目标：接收个人信息的系统或组织；c)个人信息传输者：负责个人信息传输的中间系统或服务。4.9.6流转场景个人信息流转场景包括：a)业务流程自动化：在企业内部，个人信息在不同系统之间的流转，支持业务流程的自动化和连续性；b)个人信息集成：在不同系统之间进行个人信息集成，确保个人信息的一致性和完整性；c)个人信息迁移：将个人信息从一个系统迁移到另一个系统，支持系统升级和个人信息整合。4.10删除技术要求获取删除指令，删除指令基于删除意图确定；基于删除指令进行信息查找，得到删除指令对应的待删除信息，待删除信息基于当前信息确定；基于删除指令、待删除信息等，确定删除算法；基于删除算法，删除待删除信息。该技术能够实现信息传输全流程过程中的信息删除，从而保证信息删除的完全性。在此过程中，基于删除意图下的删除指令执行删除操作，能够保证信息传输路径上的每一个主体都能按照删除意图完成信息删除，由此可保证信息删除操作执行的合规性、高效性和有效性。4.10.1删除指令获取基于删除意图确定获取删除指令。4.10.2待删除信息确定基于删除指令进行信息查找，得到删除指令对应的待删除信息，待删除信息基于当前信息确定。4.10.3删除算法确定基于删除指令和/或待删除信息，确定删除算法。4.10.4信息删除执行在确定用于执行删除操作的删除算法之后，即可基于该删除算法删除定位好的待删除信息，即当前主体完成了删除意图下的删除操作。4.11溯源技术要求4.11.1基本原则科学、客观、公正的原则，以及溯源结果的准确性和可靠性。4.11.2溯源管理建立数据溯源管理机制，确保数据泄露事件能够被有效追溯。定期对数据溯源机制进行评估和优化，确保其有效性和可靠性。4.12合规审计技术要求T/CSACXXXXX—XXXX4.12.1基本原则科学、客观、公正等原则。4.12.2合规审计管理合规审计管理主要包括：a)审计制度：建立完善的审计制度，确保审计工作的规范化和制度化。b)审计流程：明确审计流程，确保审计工作的有序进行。c)审计岗位：设立专门的审计岗位，确保审计工作的专业性和独立性。d)审计人员：配备专业的审计人员，确保审计工作的质量和效果。e)审计对象：明确审计对象，确保审计工作的针对性和有效性。f)审计方法：采用科学的审计方法，确保审计工作的准确性和可靠性。g)审计报告：编写详细的审计报告，确保审计结果的透明性和可追溯性。h)审计问题整改：提出审计问题整改建议，确保审计结果的有效应用。i)审计评估：对审计结果进行评估，确保审计工作的持续改进。4.13监管技术要求基于所述监管要求生成存证信息查询消息，并获取所述存证信息查询消息对应的监管信息。4.13.1监管要求获取监管要求可以体现为对于参与信息传输流程中的各个节点上各个模块的信息操作的监管要求，例如各个节点上的模块可执行的信息操作包括脱敏、删除、流转、采集、存储、分类分级、存证、联动、监管等。4.13.2存证信息查询消息生成基于监管要求生成存证信息查询消息。4.13.3存证信息监管信息生成获取存证信息查询消息对应的监管信息，监管信息是基于存证信息查询消息和存证信息确定的，存证信息由各模块基于各模块对应的信息操作、监管要求生成等。4.13.4信息监管执行基于监管要求，从反映各模块对应的信息操作的存证信息中，确定监管信息，据此执行面向监管要求的信息监管，由此保证针对信息流转过程中各个模块的信息操作进行及时有效的监管。4.13.5监管评估基于监管存证集合、监管结果、侵权事件、侵权事件处置结果、侵权事件处置反馈结果中的一种或多种任意组合，应用监管方案评估指标体系进行监管评估，得到监管评估结果。监管评估结果内容包括：a)合规结论/不合规结论；b)有效结论/无效结论。T/CSACXXXXX—XXXX4.13.6监管整改基于监管存证集合、监管结果、侵权事件、侵权事件处置结果、侵权事件处置反馈结果和监管评估结果中的一种或多种任意组合，生成监管整改要求