国家标准《数据安全技术 基于个人请求的个人信息转移要求》（征求意见稿）编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《网络安全

技术个人信息转移技术要求》由北京理工大学负责承办，计划号：XXXXXXX。该

标准由全国网络安全标准化技术委员会归口管理。

1.2制定背景

2021年8月，我国《个人信息保护法》正式颁布，并于2021年11月正式实施。

其中，第四十五条有关“个人信息转移”的条款备受关注。2023年4月，全国信

息安全标准化技术委员会发布《关于发布2023年度第一批网络安全国家标准需求

的通知》，将本标准纳入2023年网络安全国家安全标准需求项目。

2023年9月，全国信息安全标准化技术委员会发布《关于2023年第一批网络

安全国家标准项目立项的通知》，明确本标准由北京理工作为项目牵头单位负责

标准编制工作。

1.3起草过程

1、2023年3月，北京理工大学牵头组建标准前期研究工作小组，小组对基

于个人信息转移要求有关的国内外法律法规、标准等进行详细调研，形成相应标

准草案，并准备申报材料。

2、2023年5月，北京理工大学编制组在全国信息安全标准化技术委员会进

行标准申报汇报。

3、2023年9月，全国信息安全标准化技术委员会发布《关于2023年第一

批网络安全国家标准项目立项的通知》，同意本标准由北京理工大学作为项目牵

头单位负责标准编制工作。

4、2023年10月-11月，北京理工大学对外公开征集标准参编单位，正式

成立标准编制组，召开第一次工作组组内会议，并就标准草案内容向标准编制组

内部征求意见，对标准内容进行更新完善。

5、2023年11月，标准编制组在2023年标准周大数据工作组上进行汇报，

1

通过组内成员单位投票。标准编制组根据意见进行认真修改后形成征求意见稿。

6、2024年1月，召开编制组会议，就标准内容和文本进行研讨、完善。

7、2024年2月，召开编制组会议，就标准内容和文本进行研讨、完善，形

成征求意见稿。

8、2024年3月，标准编制组在全国网络安全标准化技术委员会召开的专家

审查会上汇报标准编制情况和文本。专家组同意本标准发起公开征求意见。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本标准的编制遵循以下原则：

(1)先进性：标准反映当前《个人信息保护法》等最新法律要求以及个人

信息保护的先进技术水平；

(2)开放性：标准的编制、评审与使用具有开放性；

(3)适应性：标准结合我国国情；

(4)简明性：标准易于理解、实现和应用；

(5)中立性：公正、中立，不与任何利益攸关方发生关联；

(6)一致性：术语与国内外标准所用术语最大程度保持一致。

本标准通过明确个人信息主体请求转移其个人信息的适用和行使的条件、

可请求转移的个人信息范围，以及个人信息处理者在处理个人信息主体转移个人

信息的请求时应遵守的安全原则、流程和技术要求等，对个人信息处理者响应个

人信息主体转移信息请求的全流程作出明确规范，以实现个人对自身的个人信息

的携带要求。

2.2主要内容及其确定依据

本项目旨在于支撑《个人信息保护法》第四十五条对个人信息主体请求转

移其个人信息的落地实施，试图明确个人信息主体请求转移其个人信息的适用和

行使的条件、可请求转移的个人信息范围，以及个人信息处理者在处理个人信息

主体转移个人信息的请求时应遵守的安全原则、流程和技术要求，并提升个人信

息主体请求的便捷性、可互操作性问题。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会

效益、生态效益

3.1试验验证的分析、综述报告

2

标准在编制过程中，参与标准编制的各单位积极使用标准进行了试验应用，

标准适用的对象为受《个人信息保护法》管辖的个人信息处理者。具体来说，个

人信息处理者响应个人信息主体转移信息请求时，应遵守本标准中提出的技术要

求。

本标准预计在公开征求意见期间，开始试验验证工作。预计，个人信息处理

者将本标准的要求分项落实到合规、法务、业务等部门之中，并最终高效响应个

人信息转移的请求。预计，在试验应用过程中对个人信息转移要求的落地实践方

式进行探索，最后将实施经验转化为标准的具体内容，以增加标准的实用性。

3.2技术经济论证

虽然落实本标准提出的安全要求，在短期内给个人信息处理者增加了经济成

本，包括但不限于：新增合规人员的成本、响应流程开发过程的成本、接口设计、

安全风险评估成本等，但这些技术要求能够有效地增加个人信息主体对自身个人

信息的控制能力，能够增强服务群体整体以及公众舆论方面的接受度乃至认可度。

总的来说，该技术标准给企业带来正面的经济效应。

3.3预期的经济效益、社会效益和生态效益

该标准的社会效益在于保护个人对其个人信息的自主决策权，确保各个个人

信息处理者拉齐合规基线，并在此基础上促进商业方面的良性竞争。

该标准不涉及生态效益。

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、

样机的有关数据对比情况

目前基于个人请求的个人信息转移技术要求不存在对应的国际标准，也未见

其他国家制定了对应的技术标准。

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外

标准，并说明未采用国际标准的原因

当前，国际标准并没有基于个人请求的个人信息转移技术要求开展标准化工

作，其他国家也没有制定对应的技术标准，因此本标准制定工作中没有采用国际

标准或国外标准。

六、与现行相关法律、法规、规章及相关标准的协调性

本标准与现行法律、法规以及国家标准不存在冲突与矛盾。

3

本标准为《个人信息保护法》等法律法规的落地实施提供支撑，建议与国家

标准《信息安全技术个人信息安全规范》（GB/T35273-2020）等配套使用。

七、重大分歧意见的处理经过和依据

无。

八、涉及专利的有关说明

无。

九、实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期

的建议等措施建议

建议本标准作为推荐性国家标准发布实施。同时建议个人信息处理者建立

专门的响应请求工作组，根据本标准的要求制定相应的内部规范作为合规基线，

并每一年开展一次审计以查清合规差距。建议本标准在正式发布后的六个月后开

始实施。

十、其他应当说明的事项

无。

国家标准《数据安全技术基于个人请求的个人信息转移要求》

（征求意见稿）编制说明

国家标准《数据安全技术基