《信息安全技术 基于个人信息的自动化决策安全要求》编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全

技术基于个人信息的自动化决策安全要求》由北京理工大学负责承办，计划号：

20230253-T-469。该标准由全国信息安全标准化技术委员会归口管理。

1.2制定背景

2021年8月，我国《个人信息保护法》正式颁布，并于2021年11月正式实施。

其中，第二十四条有关“自动化决策”条款备受关注。2022年3月，全国信息安

全标准化技术委员会发布《关于发布2022年度网络安全国家标准需求的通知》，

将本标准纳入2022年网络安全国家安全标准需求项目。

2022年10月，全国信息安全标准化技术委员会发布《关于2022年网络安全国

家标准项目立项的通知》，明确本标准由北京理工作为项目牵头单位负责标准编

制工作。

1.3起草过程

1、2022年2月，北京理工大学牵头组建标准前期研究工作小组，小组对基

于个人信息的自动化决策要求有关的国内外法律法规、标准等进行详细调研，形

成相应标准草案，并准备申报材料。

2、2022年4月，北京理工大学编制组在全国信息安全标准化技术委员会进

行标准申报汇报。

3、2022年10月，全国信息安全标准化技术委员会发布《关于2022年网络

安全国家标准项目立项的通知》，同意本标准由北京理工大学作为项目牵头单位

负责标准编制工作。

4、2022年11月-12月，北京理工大学对外公开征集标准参编单位，正式

成立标准编制组，召开第一次工作组组内会议，并就标准草案内容向标准编制组

内部征求意见，对标准内容进行更新完善。

5、2022年12月，标准编制组在2022年标准周大数据工作组上进行汇报，

1

通过组内成员单位投票。标准编制组根据意见进行认真修改后形成征求意见稿。

6、2023年4月，召开编制组会议，就标准内容和文本进行研讨、完善。

8、2023年6月，标准编制组在2023年全国信息安全标准化技术委员会标

准周大数据工作组进行汇报。根据意见进行认真修改。

9、2023年7月，参加征求意见稿专家审查会，经评审专家投票一致通过，

同意该标准面向社会发起公开征求意见。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本标准的编制遵循以下原则：

(1)先进性：标准反映当前《个人信息保护法》等最新法律要求以及个人

信息保护的先进技术水平；

(2)开放性：标准的编制、评审与使用具有开放性；

(3)适应性：标准结合我国国情；

(4)简明性：标准易于理解、实现和应用；

(5)中立性：公正、中立，不与任何利益攸关方发生关联；

(6)一致性：术语与国内外标准所用术语最大程度保持一致。

本标准通过“数据安全”和“服务安全”两个维度，对个人信息处理者自

动化决策活动开展过程中涉及的数据处理环节安全保护要求作出明确规范，同时

对自动化决策在实践应用层面如何充分保障用户权利、避免侵害用户权利作出指

导，以实现明确个人信息处理者在进行自动化决策及相关应用的典型场景中数据

安全和个人信息保护义务要求的整体目的。

2.2主要内容及其确定依据

本项目旨在于支撑《个人信息保护法》第二十四条对利用个人信息进行自

动化决策的要求的落地实施，试图明确个人信息处理者在进行自动化决策及相关

应用的典型场景中数据安全和个人信息保护义务要求，并解决自动化决策开展过

程中存在的不透明性、决策责任人缺失导致结果准确性不足、对个人权益造成显

著影响等问题。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会

效益、生态效益

3.1试验验证的分析、综述报告

2

标准在编制过程中，参与标准编制的各单位积极使用标准进行了试验应用，

标准适用的对象为受《个人信息保护法》管辖的个人信息处理者。具体来说，个

人信息处理者“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者

经济、健康、信用状况等，并进行决策”时，应遵守本标准中提出的安全要求。

在试验验证本标准时，个人信息处理者将本标准的要求分项落实到合规、法务、

业务等部门之中，并最终由法务部门来评估对个人合法权益造成损害风险的大

小。根据风险大小，法务部门联合技术部门做出了关于特定产品、服务、功能等

上线与否或做出何种修改的决定。在试验应用过程中对自动化决策安全要求的落

地实践方式进行探索，最后将实施经验转化为标准的具体内容，以增加标准的实

用性。

3.2技术经济论证

虽然落实本标准提出的安全要求，在短期内给个人信息处理者增加了经济成

本，包括但不限于：新增合规人员的成本、调整算法模型和计算机程序开发过程

的成本、安全风险自评估的成本等，但这些安全要求能够有效地增加具有自动化

决策功能的新产品、新应用、新业务在个人信息主体、服务群体整体以及公众舆

论方面的接受度乃至认可度，降低个人信息处理者处理纠纷、争议等方面的成本。

总的来说，该技术标准给企业带来正面的经济效应。

3.3预期的经济效益、社会效益和生态效益

该标准的社会效益在于保护具有自动化决策功能的新产品、新应用、新业务

所服务的个人、群体的合法权益，确保各个个人信息处理者拉齐合规基线，并在

此基础上促进商业方面的良性竞争。

该标准不涉及生态效益。

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、

样机的有关数据对比情况

目前基于个人信息的自动化决策安全要求不存在对应的国际标准，也未见其

他国家制定了对应的技术标准。

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外

标准，并说明未采用国际标准的原因

当前，国际标准并没有对基于个人信息的自动化决策安全要求开展标准化工

作，其他国家也没有制定对应的技术标准，因此本标准制定工作中没有采用国际

3

标准或国外标准。

六、与现行相关法律、法规、规章及相关标准的协调性

本标准与现行法律、法规以及国家标准不存在冲突与矛盾。

本标准为《个人信息保护法》等法律法规的落地实施提供支撑，建议与国家

标准《信息安全技术个人信息安全规范》（GB/T35273-2020）等配套使用。

七、重大分歧意见的处理经过和依据

无。

八、涉及专利的有关说明

无。

九、实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期

的建议等措施建议

建议本标准作为推荐性国家标准发布实施。同时建议个人信息处理者建立

专门的合规工作组，根据本标准的要求制定相应的内部规范作为合规基线。在上

线具有自动化决策的新功能或新应用前，基于合规基线开展内部的安全风险自评

估。在具有自动化决策功能的新产品、新应用、新业务上线后，每一年开展一次

安全风险自评估。建议本标准在正式发布后的六个月后开始实施。

十、其他应当说明的事项

无。

《信息安全技术基于个