信息安全技术 个人信息安全 第2部分：实施指南

1信息安全技术个人信息安全第2部分：实施指南DB21/T1628.1—2025界定的以及4个人信息2a)单一和组合个人信息：个人信息构成是单一自然人个体的数据元素，如姓名，或多个自然人个体的数据元素构成，如由姓名、身份证号码、手机号码等构成的组合形式个人b)显性和隐性个人信息：易于识别的个人信息，如显见的自然人个体的生物特征和需要借助某c)静态和动态个人信息：已经存在或过往、历史的个人信息，如教育经历和当前正在发生的个d)真实和虚拟个人信息：存在于现实世界中的真实的个人信息和存在于虚拟世界的虚拟的个人4.1.2形式a)完整的个人信息：由单个或多个可识别的数据元素构成的组合信息，可以描绘出完整的个人b)部分完整的个人信息：由单个或多个可识别的单一数据元素构成的信息，可以描绘出个人信个人信息匿名）。琐碎的个人信息，经精心收集、整理，有拼接、组合成相对或部分完整的d)敏感的个人信息：个人信息主体具有的特殊的个人隐私信息，如身体障碍、精神障碍、犯罪e)具有敏感性的个人信息：即个人信息敏感性。在社会、生活、工作中，个人信息主体的某些经常使用的、具有商业价值的个人信息，在处理、使用过程中产生敏感性，如手机号、银行4.2存在形态b)接受政府服务过程中，政府履行国家机关职责时获取c)接受提供的各种公共服务过程中，公共服务组织，如银行、医院、学校等，积累、沉淀的大d)接受各类商业组织提供服务的过程中，在各种商业、商务活动中，积累的大量含有个人信息e)各类网络行为过程中，如电子商务、网络金融、在线公共服务、搜索引擎等，积累、沉淀的f)基于泛在网络应用过程中，如物联网、车联网、各种智能设备联网等，直接、获取、产生、g)基于智能化应用过程中，如AI应用、智能驾驶、智能识别等3h)各类企业、经济组织在生产、经营过程中，累计了大量4.3记录形式a)文字：以文字形式描述个人信息的基本形态，可以纸媒介书写、保存，也可通过自动处理形b)数据：以数字、字符、符号等形式描述个人信息，可以自动或非自动处理方式保存、传递、4.4识别4.4.1形式b)个人信息主体已识别：可以确定自然人群体中某个特定的个体，获取、识别其a)直接识别：根据个人信息构成要素的唯一性可以直接识别个人信息主体，如可通过各种感官3)触觉：通过触觉系统接触、触摸、抚摸等辨别、感受与个人信息相关的敏感信息，识别b)间接识别：某些单一数据元素信息，可构成部分完整的个人信息，但不能直接识别、确认个d)部分个人信息不能直接识别个人信息主体，可借助合法、适当的科学技术手段参考、判断、4.5敏感性4.5.1一般意义敏感应是由个人信息构成要素的属性特征决定的，是自然人个体的应激特征。依据DB21/T1628.14这些个人信息构成要素在处理、使用、利用过程中，基于价值规律产生敏感性，但个人信息4.5.2双重性依据DB21/T1628.1—2025，b)个人信息构成要素的价值属性变化，如某些隐性个人信息构成要素（如指纹、基因、面部特4.5.3规则a)个人信息构成要素特征具有敏感性应定性为敏感个人信息，遵循DB21/T1628.1—2025敏感b)某些社会活动中产生的个人信息构成要素具有敏感性应定性为具有个人信息敏感性，遵循DB21/T1628.1—2025个人c)个人信息构成要素特征敏感性的双重性，不应改变个人信息构成要素的特征属性，应遵循DB21/T1628.1—2025敏感个人信息的相关规则，亦应遵循DB215个人信息主体5.1综述b)法律赋予民事主体资格，具有民事权利能力等。5.3.1特征5a)法律赋予的民事主体资格，享有民事权利并承担民事义务；b)具有独立的人格，享有自然人应有的人格权等。5.3.2义务b)个人维护自身人格权的同时，应接受法律允许的监督、审查，自觉遵守法律、主体的个人信息亦应是真实的自然人人格要素的映射，具有自然人个体的人格b)人格要素的商业化、非商业化使用，不应发生个人信息主体权益和权利转让；c)在个人信息主体授权许可范围内，可发生人格要素的个人信息权应是个人信息基于人格要素构成要件所赋予的法律b)基于人格要素的唯一性和私密性，个人信息应具有隐私权属性；c)基于精神性人格要素的财产权属性，个人信息应具有精神性利益等。6a)个人信息主体人格权的唯一性应是形成个人信息主体权益的基础；b)人格利益应是基于人格权形成的个人信息主体的人格权益；a)个人信息主体应主张并享有DB21/T1628.1—2025确立的知情、支配、质疑等个人信息主体a)个人信息生命周期内；a)合法、有效、独立的机关、企业、事业、社会团体等组织；遵循DB21/T1628.1—2025第8章，个人信息管理者应承担个人信息管理的相应责任，应基a)社会责任：个人信息主体明确同意并授权个人信息管理者管理个人信息，个人信息管理者应b)法律责任：个人信息主体明确同意并授权个人信息管理者管理个人信息，个人信息管理者应承担和履行的法律责任，包括民事责任、行政责任、刑事责任、赔偿责7遵循DB21/T1628.1第6章，a)社会义务：个人信息管理者为承担和履行社会责任，保障个人信息主体权益实施的行为和活b)法律义务：个人信息管理者为承担和履行法律责任，保障个人信息主体权益，应遵循的相关DB21/T1628.1—2025第b)个人信息管理者的细分角色，根据目的、动机、方法等的不同存在行为差异；个人信息管理者可细分为不同的行为角色，如个人信息处理者、个人信息控制者等：a)直接收集个人信息并处理、使用、利用，应具有DB21/T1628.1—2025确立的管理职责、责b)间接获取或接受提供个人信息用于处理、使用，可称为个人信息处理者；c)与b）类同的不同行为角色，可使用b)已具备相应的管理机制，包括组织、制度、人员管理、体b)组建个人信息管理相关责任主体，应是构建PISMS的首要任务；c)个人信息管理相关责任主体应在个人信息生命周期全过程实施符合相关法规、标准的管理，8c)组建个人信息管理责任主体，选择有能力的管理代表，并赋予相应权限，确保PISMd)为实施、运行PISMS所需人员、资金、信息、技术、环境等资源；提供切实可行的支持；i)批准个人信息管理相关责任主体的职责分配、个人信息管理方针、个人信息管理规章、个人b)代表最高管理者提出并制定个人信息管理计划；c)代表最高管理者负责个人信息管理责任主体的组建和日常工作；）；h)部署个人信息安全宣传，指导个人信息安全的培训和教育；k)PISMS实施、运行过程中的组织主体职责分解为具体、可操作的活动，并落实到相关责依据DB21/T1628.1—2025的9.2.2，个人信息管理相关责任a)宜指定宣传教育责任主体，在个人信息管9b)宜指定信息安全管理责任主体，在个人信息管理代表指导下开展个人信息安全管理工作。其4)改进、完善个人信息安全管理等；c)宜指定服务咨询责任主体，在个人信息管理代表领导下提供个人信息安全相关的服务。其主2)提供个人信息处理、使用建议和意4)沟通、交流；5)个人信息管理、安全相关事项、问题处理等d)个人信息管理责任主体，宜包括个人信息管理者从属的各机构、部门的负责人，并履行相应根据DB21/T1628.1—2025的8.2.2确立个人信息管理责任主体职a)宣传教育应注意协调部门、人员、管理、业务、资源及外部因素等；c)各责任主体具体责任人的职责，宜根据个人信息管理者需要确定等。应明确、清晰地定义、分配所有个人信息管理相关责任主体的a)职责定义、分配应与个人信息管理目标、方针一致；b)职责分配应形成相应职责说明的文件；d)已分配职责的人员，如将相关任务委托其他人员，仍应负有责任，并应确认被委托任务是否e)职责应随管理、业务的变化、内审意见等适时补充、改进和完善等。d)评价管理人员、工作人员的意识、行为、活动；9.1构建和管理a)确立个人信息管理责任主体，明确责任主体职责和相关责任主体的责任；c)制定个人信息管理方针（隐私政策阐1)根据管理和业务特征、个人信息安全相关法规、规范，制定个人信息管理应遵循的基本规章、PISMS运行规范和所有员工应3)制定个人信息安全宣传策略，在内、外部宣传个人信息安全的重要性和所采取的管理策4)制定个人信息安全培训教育计划，对全体员工实施个人信息安全相关知识的教育，并跟5)制定人员管理策略，明确个人信息相关管理人员的职责、权限等，及一般工作人员的岗g)管理过程。在个人信息管理过程中，采用相应的管理、技术手段，保证与目的的一致性、符2)个人信息处理过程的控制、管理，并根据不同的处理类型制定相应的规范、措施等；3)个人信息利用过程的控制、监督、管理，并根据不同的利用目的制定相应的规范和管控l)应急管理。建立应急预案，对可能发生的个人信息安全事件或个人信息安全事故，及时采取9.2协调a)各个部门个人信息管理的目的同一性、实施有效性；d)个人信息管理规章的充分性、有效性和适应性；e)个人信息安全宣传教育的针对性、完全性、有效9.3相关团体的联系a)获得关于个人信息安全的最新进展、最佳实践和更新知识；b)个人信息管理者应依据DB21/T1628.1—2025、本文件和DB21/T1628其它理者应依据实际明确原则实施的细节，以延），为个人信息安全管理体系实施、运行提供指导和支持的原b)个人信息管理者在构建PISMS时，应首先制定清晰、简洁、明确的个人信息管理方针（隐私政策），并在其内、外部公开发布，阐明个人信息管b)个人信息主体的权利；d)个人信息安全相关法规、规范的要求；e)个人信息管理采取的保护措施和方g)个人信息安全建议、意见的处理和反馈（应有相应的责任主体、联系方式等说明）；a)应随时间的变化或管理、业务、环境等发生重大变化时适时改进，以保证方针的适宜性和有b)个人信息管理代表应适时评估方针的适宜性和有效性，并根据时间、环境、管理、业务、技个人信息管理者依据DB21/T1628.a)层级和权责：个人信息管理者内部管理、业务层次和权限、责任等；b)确定个人信息管理形式、方法、策略及资源需要等；d)识别与个人信息管理相关的资源，包括信息系统、行政管理、业务流程、工作环境、外部环e)评估个人信息安全风险的方法和措f)个人信息生命周期的过程管理、控制技术及方法、措施等；g)评估管理状况和效果，包括管理目标、管理边界、管理方式、资源配置、体系建设和运行等h)评估计划的实施情况，包括计划执行过程中，随时检查、分析计划执行情况和计划执行完毕根据DB21/T1628.1—2025的9.1，应识别与管理、业务涉及个人信息部分关联的a)信息资产：个人信息数据库及相应文件、合同和协议；个人信息管理文档等个人信息管理者运营、服务涉及个人信息的数据、信息及相应的各种存储、保存介b)软件资产：系统软件、应用软件、智能应用软件、基于泛在网络应用软件、工具软件、开发工具、服务等支撑管理、业务运营的存储、处理信息c)硬件资产：保证管理、业务等运行的基础设施，如计算机设备、网络设备、通信设备、存储设备、智能识别设备、智能应用设备等及其它h)无形资产：姓名、荣誉、名誉、肖像等没有实体形i)服务：资源管理、数据通信等个人信息管理者基本规章是个人信息管理者及其全体工作人员实施PISMS应遵循的行为准则，依据DB21/T1628.1—2025的10.5，基本规章内容主要宜2)各责任主体、各责任主体责任人任命程4)各责任主体、各责任主体责任人的职责、责任；5)个人信息存储、保存规定（个人信息数）；6)个人信息收集、处理、使用、利用规则（个人信息生命周期管理）；注：如果个人信息管理者存在个人信息开发、交易等行为4)业务层安全管理措施；）；6)员工工作环境安全管理措施（包括出入管理、防灾管理、桌面管理等）；4)备案管理和使用；4)培训教育大纲、内容；3)内部审查内容（体系运行状况、各责任主体职责履行情况、责任人职责等）和措施；a)最高管理者和各级管理者；a)个人信息管理代表和PISMS各责任主体责任人，应有清晰的个人信息安全意识，明确管理权b)最高管理者和各级管理者，应接受个人信息管理代表的指导和监督，明确个人信息安全的意个人信息安全的宣传教育是实现个人信息管理者发展战略的重要手段，应依据DB21/T1628.1—a)应基于个人信息安全的目标、重要性，在内部开展有针对性的基本宣传和培训教育，主要应3)个人信息安全相关法规、规范及规4)个人信息主体的权益；8)违反个人信息安全相关法规、规范、规章的处理等；b)基于业务开展的需要，应在涉及个人信息的业务交往中，主动宣传个人信息管理的目的、措施、方法和规定，并做出保密承诺（如招聘网站、保险、银行、业务客c)应面向社会公开宣传实施个人信息管理的目的、措施、与个人信息管理者发展战略的关系、个人信息安全宣传教育的措施和方法，主要a)基本宣传和培训教育：3)培训教育的顺序应是：个人信息管理者的各级负责人，个人信息管理责任主体及相应责b)宣传形式：应利用形象宣传、广告宣传、业务交流、展览展示、网络媒介等各种宣传形式，2)较大型个人信息管理者宜根据实际采取分批实施、网上实施等多种形式；c)培训教育报告：应根据培训教育结果形成报告，上报个人信息管理代表，并不断改进和完善2)个人信息管理责任主体、内审责任主体责任人的个人信息安全意识；4)不合格人员的补充培训等。a)必须公开、公示个人信息时，应依据DB21/T1628.1—2025的9.8.b)如个人信息主体对公示内容提出疑义，或要求修改、删除、更新，个人信息管理者应采取必c)如个人信息主体不同意公开或公示，个人信息管理者不应以任何形式、任何方式公开、公示根据DB21/T1628.1—2025的9.8.4，个人信息管理过程中，应记录与个人信息相为的信息，并应根据DB21/T1628.1—2025的10.5.4建立备案管理制度。这b)规章、制度、法规、标准及相关文件；h)管理活动记录和统计；m)其它相关文件等。在个人信息生命周期内，保证服务管理质量应a)形成有效的管理机制，包括个人信息管理相关的环境、人员、设备、技术、信息等资源的管b)建立有效的服务管理体系——PISMS。基于DB21/T1628.1—2025第10章，在个人信息获取过程中a)特定、明确、合法的目的；d)收集公开的个人信息，亦应设定明确的目的等。c)被动收集个人信息是一种收集的特基于DB21/T1628.1—2025第11章，在个人信息处理过程中a)使用：基于收集目的的个人信息处理，包括编b)利用：因某种利益使用个人信息的处应依据DB21/T1628.1—2025和DB21/T1628其它部分，遵循PDCA的过程模式，实施PISMS全过a)个人信息生命周期的全过程管理；在个人信息生命周期内，构建、实施、运行、监控、过程管理和改进PISMS，应遵循图1所示PDCAa)计划（构建PISMS）：根据个人信息管理者的整体目标，确立个人信息管理目标和方针，实b)实施（实施和运行PISMS）：实施和运行PISMS；d)改进（完善和改进PISMS）：根据内审结果和其它相关信息，采取相应的预防、改进、完善a)个人信息管理者在个人信息获取过程中，应依据个人信息安全相关法规、规范、已确立的个人信息管理方针（隐私政策），保证个人信息安全c)个人信息管理者在个人信息获取过程中，应区别一般数据与个人信息的安全特征，并采取相a)主动式收集：个人信息主体基于工作、生活需要同意并主动提供，如人事信息、医疗信息、个人账户信息、购物（房、车等）、银行业务、电子商务、智能识b)被动式收集：个人信息主体在工作、生活、社会活动中，被要求提供个人信息，个人信息主体可选择直接提供，如网络应用、App、公共c)过度收集：是被动收集的特例，个人信息主体在工作、生活中被要求提供超出收集目的的个a)主动式收集：个人信息主体基于自身利益同意收集：1)事前收集：通过各种方式通知个人信息主体，并获得个人信息主体明确同意后，采用各2)事后收集：未经个人信息主体同意，采用各种合法、合规方法和手段非直接收集个人信息，获取个人信息后通过各种方式通知个人信息主体，并获得个人信息主体谅解和明确b)被动式收集：个人信息主体不知情或不能控制，并且事前、事后均未通知个人信息主体，未c)过度收集：个人信息主体知情或不知情（不能控制）采用各种方法和手段非直接过度收集个d)拼凑琐碎的、假名化的、匿名化的个人信息等。注：采用各种技术、方法被动收集个人信息，可形成扭曲遵循DB21/T1628.1—2025第10章的规则，任何类别、方式的个人信息收集，均应保证个人信息a)应基于特定、明确、合法的目的；b)应履行告知义务，将个人信息收集目的、范围、方法、手段、处理方式等，以各种形式清晰c)应采用科学、规范、合法的收集方法和手段，收集适度、适当：2)适当：应基于个人信息收集目的和个人信息管理原则使所收集的个人信息达到适用；2)向公共机构，如银行、保险等提供个人信息e)收集个人信息的方法和措施，应予以公f)如个人信息主体提出疑义，应停止任何类别、方式的个人信息收集。施，防止不正当收集个人信息，避免个人信息个人信息管理者应保证所拥有个人信息的准确性、完整性和时全体工作人员、客户、第三方客户、其他相关人a)全体工作人员、其他相关人员应了解：），2)明确各自的职责和授权及各部门间的协3)提供所需资源，以实施、运行、监控、改进、完善Pc)与客户涉及个人信息的业务交互时，应申明PISMS的必要性、方法和措施及客户d)接受委托、提供业务的第三方客户（包括跨境客户），也应遵从本文件，履行个人信息管理在个人信息收集过程中，应提供适当的安全保证，避免个人信息泄漏、滥收集、处理应基于明确、合法的目的，征得个2)拥有个人信息的第三方应提供合法说明，并获得个人信息主体授权；应遵循DB21/T1628.1—2025的10.4的规则，建立统一的个人信息数据库，保存、存储以各种形应遵循DB21/T1628.1—2025的11.1的规则，管控、检查个人信息处理过程，保证个人信息质量a)使用：基于特定、明确、合法的目的运用个人信息的行为，如编辑、加工、检索、存储、传b)利用：基于特定、明确、合法的目的和某种利益关系1)提供：向第三方提交合法、有效、适6)接受第三方委托基于特定、明确、合法的目的使用个人信息等；7)交换：不同角色个人信息管理者之间以个人信息为基本实物特征的有偿收益行为，存在利益转换：个人信息获取能力和处理活动交换，个人信息交换，个人信息收集方法、手c)利用：基于某种利益关系，使用个人信息的行为，应限定个人信息使用目的，保证个人信息1)交易：以个人信息为标的物出售，获得个人信息最大使用价值，获取最大利润的有偿收2)开发：通过分析、挖掘、加工等行为，获得个人信息最大使用价值，获取最大利润的有d)后处理：个人信息处理过程结束后的个人信息处理行为等。b)个人信息收集手段、方式合法，并明确告知个人信息主体；c)个人信息管理者应履行DB21/T1628.1—2025规定的个d)提供、委托、交换等个人信息利用行为应获得个人信息主体的授权；e)在提供、委托、交换等个人信息利用行为中，利益输送和转换不应损害个人信息主体的权益a)处理直接收集的个人信息，应限于收集目的范围内；d)个人信息跨境处理应评估安全风险，并依据风险等级评估相应的安全影响等。a)个人信息应是依特定、明确、合法的目的，经个人信息主体同意，采取适当、合法、有效的b)应征得个人信息主体明确同意，获得授权；c)如不能直接征得个人信息主体同意，应采取适当方式通知个人信息主体，并取得明确意见，d)未取得个人信息主体明确同意，不应a)通过各种方式获得个人信息主体表征信息的个人信息主体画像；e)网络共享资源、电子商务、网络空间等的各类活动获取的个人信息的分析、整理、筛选、挖a)应保证个人数据来源的合法、规范、有效；c)应保证个人信息主体画像方法、方式、手段、过程等合法、合规、规范；d)应保证个人信息主体权益不受侵犯等。个人信息深度开发是通过分析、整合、整理、挖掘、加工等获得个人信息主体深层次的信息：b)应明确个人信息深度开发的目的；e)应保证个人信息主体权益不受侵犯b)有特定需求的消费者主动的市场询购行为；c)个人信息交换在某种利益驱动下转换为交易等。a)基于主体权利：个人信息主体明确同意、b)基于商业利益：网络、短信、社会工程（诱惑、诈骗等非法行为）；a)信息不对称：应以各种适当的方式，将交易双方信息、交易目的、手段、范围、安全措施等b)合约不完全：在各种商业活动中，应严格个人信息主体与个人信息管理者之间的合约，规范c)重复利用：应尽可能减少个人信息的重复、多次使用，避免由此产生的信息失真、质量缺陷a)应履行DB21/T1628.1—2025规定的个人信息管理原则和个人信息管理者的b)应限定在法律许可范围内；c)应通知个人信息主体并征得个人信息主体明确同意；d)应保证个人信息主体权利唯一，仅仅发生个人信息使用权转让；在个人信息开发、交易中，应建立相应的安全机制，保证个人信息安a)应限定在个人信息主体同意的范围内；敏感的个人信息和个人信息的敏感性应是不同的个人信a)敏感的个人信息是个人信息主体不应示人的私密信息，一旦泄露可对个人信息主体产生未知b)个人信息的敏感性是个人信息主体在社会、生活、工作中经常使用，具有价值特征的个人信息，在个人信息收集、处理、使用、利用过程中，由于个人信息构成要素的价值特征形成个人信息的敏感性