DB15T 3660-2024个人信息保护规范

15PersonalinformationprotectionspecificationI II II请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。1个人信息保护规范本文件适用于规范个人信息处理者的个人信息以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然2参与个人信息处理活动的人员或机构，处理活动包括个人信由App开发运营者之外的其他法人实体提供，通过移动互联网应用程序面向用户提供服务的应用程a)应遵循合法、正当、必要和诚信原则，不应通过误导、欺诈、胁迫等方式处理个人信息；b)应具有明确、合理的目的，并应与处理目的直接相关，采取对个人权益影响最小的方式；c)应遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围；d)应保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响；3e)个人信息处理者应对个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全；f)除法律、行政法规另有规定外，个人信息处理者取得个人的同意方可处理个人信息。5总体框架总体框架图如图1所示。总体框架图如图1所示。总体要求正当必要诚信目的明确最小化公开适明准确完整安全知情同意管理职责及制度分类分级风险评估影响评估供应链管理教育培训应急预案合规审计个人信息收集要求个人信息存储要求个人信息传输要求个人信息加工要求个人信息使用要求个人信息公开要求个人信息提供要求个人信息删除要求互联网平台要求App要求制度体系机构监督平台规则社会监督App开发运营者要求App分发平台要求App第三方服务提供者要求图1总体框架本文件明确了个人信息处理的总体要求、综合管理要求、个人信息全生命周期处理要求、互联网平台要求和App要求。个人信息处理活动总体上应满足合法、必要、诚信、目的合理、公开、透明、保证质量等原则。个人信息处理活动在管理上应满足一些必要的条件，包括个人信息管理职责及制度的建立、实施个人信息保护安全教育和培训、个人信息的分类分级、个人信息的风险评估、影响评估、合规审计、个人信息安全事件应急预案、个人信息处理供应链管理等。在个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期处理的各个环节都应有针对性的要求。本文件还对互联网平台和App提出了相应的要求。个人信息全生命周期如图2所示。DB15/T3660—20244共享要求出境要求5)按照GB/T35273—2020中11.1至11.3规定的要求履行职责。b)数据安全风险评估、个人信息安全影响评估、个人信息合规审计工作开展计划；5a)应按照TC260-PG-20212A中5.2.1章节进行个人信息识别；b)应按照业务维度或其他维度对个人信息进行分类，常见个人信息见附录A。a)对于一般个人信息的处理应符合本文件第7章中的基本安全要求；b)对于敏感个人信息的处理应同时符合本文件第7章中基本安全要求和敏感信息的相关要求；个人信息处理者按照国家和行业领域的分级标准对数据进行分级后，对于重要数据应开展数据安b)个人信息处理者可以采取以下手段开4)使用技术手段检测防护措施的有效性。c)个人信息处理者应按照TC260-PG-20231A中第4章到第8章的规定要求开展数据安全风险评d)典型数据安全风险类别应按照TC260-PG-20231A中附录A所列内容。63)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；5)其他对个人权益有重大影响的个人信息处理活动。委托符合条件的第三方评估机构开展评估工作，其流程及相关信息系统或程序应允许履行个c)履行个人信息保护职责的部门可以发起个人信息安全影响评估工作；d)开展个人信息安全影响评估时应采取以下手段：3)通过人工或者测试工具进行技术测试。6.5.1委托处理a)个人信息处理者应符合以下要求：1)在委托处理个人信息前应征得个人信息主体授权同意；2)在委托处理个人信息前应开展个人信息保护影响评估；4)应采用去标识化等方式对敏感个人信息进行脱敏处理；3)未经个人信息处理者同意，不应转委托第三方处理个人信息；76.5.2第三方产品接入a)通过第三方应用采集个人信息的，需告知个人信息主体并获得授权；c)应与第三方应用提供者签订个人信息安全保护相关协议，包括但不限于收集的个人信息范围、f)第三方应用应具备个人信息安全防护能力；g)第三方应用提供者应提供有效的个人信息安全受理机制、事件响应机制。a)个人信息处理者应制定并实施个人信息保护安全教育和培训计划，计划内容包括但不限于培c)个人信息保护培训教育内容，应包括但不限于：1)个人信息保护相关法律、法规、规范、标2)个人信息保护的重要性和必要性；3)个人信息保护培训教育对象的职能和责任；5)违反个人信息保护相关标准可能引起的损害和后果等。6.7.1应急预案的制定个人信息处理者应制定个人信息安全事件应急预案，预案内容包括但不a)指导思想和基本策略；b)对涉及个人信息处理的业务的风险评估和预测；d)应急组织架构、责任部门、角色职责、对应人员，应急响应人员的联络信息；f)人力资源、财力保障、物资保障、技术保障等各方面的保障措施。6.7.2应急预案的组织实施个人信息处理者应对制定的应急预案组织实施，包括但不86.7.3应急处置造成危害的，个人信息处理者可以不通知个a)个人信息处理者应定期开展个人信息保护合规审计；b)个人信息处理者可以自行或者委托符合条件的第三方机构开展个人信息保护合规审计；c)个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的，应尽快按照要求选定专业机构进行个人信息保护合规审计，并将其出具的个人信息保护合规审计d)个人信息处理者应按照专业机构提出的整改建议进行整改，并将专业机构复核后的整改情况7.1.1基本安全要求b)收集外部机构个人信息前，应对外部机构个人信息的合法性、合规性进行鉴别；1)个人信息处理者的名称或者姓名和联系方式；2)个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；94)法律、行政法规规定应告知的其他事项。d)个人信息处理者履行上述告知事项义务后，还应满足如下要求：1)上述事项发生变更的，个人信息处理者应将变更部分告知个人信息主体；3)有法律法规规定应保密的或者不需要告知个人信息主体的，个人信息处理者可以不告知4)紧急情况下为保护个人信息主体的生命健康和财产安全无法及时向个人告知的，个人信7.1.2敏感信息收集要求a)收集一般个人信息可以实现处理目的的，不应收集敏感个人信息；b)应仅在个人信息主体使用业务功能期间，收集该业务功能所需的敏感个人信息；d)除满足基本安全要求的告知事项要求外，个人信息处理者还应向个人信息主体告知收集敏感个人信息的必要性以及对个人权益的影响；依照法律法规可以不向个人告知的除外；2)未成年人个人信息存储的地点、期限及到期后的处理方式；3)对未成年人个人信息采取的安全保障措施；4)未成年人及其监护人投诉、举报的渠道、方式；6)未成年人及其监护人拒绝个人信息处理规则的后果。7.2.1基本安全要求a)个人信息的保存期限应为实现处理目的所必要的最短时间，超出后应及时进行删除或匿名化2)采用权限控制技术：实现对个人信息的访问及使用权限最小化；4)采用隐私计算技术，实现在不暴露个人信息的前提下进行分析计算，达到“可用不可见”7.2.2敏感信息存储要求a)存储敏感个人信息时，应采用加密等去标识化安全措施；b)经过加密、去标识化处理后的敏感个人信息应与解密密钥、其异常情况进行及时响应，动态调整安全保护措施，按照就高从严原则设定安全保7.3.1基本安全要求a)应对个人信息数据传输通道两端进行身份鉴别，确保信息传输双方可信任；b)应采用校验技术保证信息在传输过程中的完整性。7.3.2敏感信息传输要求a)传输敏感个人信息时，应采用加密等安全措施，防止个人信息在传输过程中被窃取或篡改；b)传输中实时记录敏感个人信息的传输日志，包括传输时间、双方身份信息等；7.4.1基本安全要求个人信息处理者在开展个人信息转换、汇聚、分析等数据加工活动过程中，应遵循以下要求：人信息主体的内容相一致，不一致的应说明理由，并告知个人信c)委托第三方加工个人信息时，应遵循本文件第6.5.1章节所列要求；b)加工处理敏感个人信息前，应进行个人信息保护影响评估，并对处理情况进行记录。a)应具有明确、合理的目的，并应与使用目b)应遵循公开、透明原则，公开个人信息使用规则，明示使用的目的、方式和范围；h)应按照GB/T35273—2020中7.1至7.7规定的要求开展个人信息使用工作；a)应建立异常监测预警和响应机制，对超出业务正常需求的异常操作(如息浏览查询、下载、打印，非工作时间操作等)应c)不应使用敏感个人信息构建用户画像、用于b)个人信息处理者经法律授权或具备合理事由确需公开时，应符合以下要求：1)应事前进行个人信息保护影响评估，并对公开情c)以下情形中，公开个人信息不必事先征得个人信息主体的授权2)为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需3)为公共利益实施新闻报道、舆论监督等行为，在合理的范围内公开个人信息的；4)在合理的范围内公开个人信息主体自行公开或者其他已经合法公开的个人信息的；7.6.2敏感信息公开要求a)公开敏感个人信息前应向个人告知公开的必要性以及对个人权益的影响；b)未经个人单独同意，不应公开已识别的特定身份信息。7.7.1基本安全要求7.7.1.1三方要求7.7.1.1.1提供方要求b)提供个人信息前应开展个人信息保护影响评估，并依评估结果采取有效的防护措施；c)个人信息提供范围应限于实现处理目的的最小范围，如不需在接收方进行本地存储而能满足应用需求的，不应引导个人信息主体进行过d)应通过合同、协议等方式规定提供方、接收方、平台方的责任和义务；要时个人信息提供方应解除与接收方的业务关系，并要求接收方及时删除从个人信息提供方7.7.1.1.2接收方要求a)应与提供方、平台方签订合同或协议明确责任和义务；c)应通过个人信息提供方获取个人信息主体授权同意后方可存储个人信息；e)变更原先告知的处理目的、处理方式的，应通过个人信息提供方重新取得个人同意。7.7.1.1.3平台方要求a)应提供可靠的安全防护环境，并为个人信息提供方、接收方提供安全防护能力说明；c)应保证平台方对提供方、接收方系统和数据的操作可被提供方、接收方核查；f)平台方需将个人信息安全威胁信息及时传达给提供方、接收方。7.7.1.2政务数据中的个人信息共享要求政务数据共享过程涉及个人信息时，对于个人信息提供方、接收方、平台方的要求如下。a)对提供方的要求：2)在接收方为非政府单位性质时，个人信息提供方处理个人信息时需获得个人信息主体的人信息保护负责人审核同意，并由双方签订5)个人信息内部流转时涉及个人信息敏感数据时需进行加密或脱敏处理，因业务处理的要6)提供方应采取有效的技术手段，确保个人信息安全及可溯源。3)接收方非必要不应对个人信息数据进行本地存储，确需进行本地存储的要和个人信息提4)接收方未经提供方同意不应向第三方提供接收的个人信息。c)对平台方的要求：2)平台方首选通过数据接口方式提供个人信息共享交换，确需通过共享库进行共享交换的，4)平台方未经提供方同意不应向第三方提供个人信息。7.7.1.3个人信息出境要求7.7.2敏感信息提供要求注：明示同意指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。肯定性动作包括个人信息主体主动勾选、主动点击“同意”c)提供敏感个人信息前，需核验接收方的个人信息保护能力不低于提供方；d)应采用通道加密方式传输敏感个人信息，宜采通道加密和内容加密算法应符合有关行业技术标准与履行个人信息保护职责的部门有关规定7.8.1基本安全要求a)符合以下情形之一的，应及时删除个人信息：1)处理目的已实现、无法实现或者为实现处理目的不再必要；2)个人信息处理者停止提供产品或者服务，或者保存期限已届满；5)个人信息处理者违反法律、行政法规或者违反约定处理个人信息；6)法律、行政法规规定的其他情形。将个人信息返还个人信息处理者或者予以删除，不应保留；7.8.2敏感信息删除要求b)应定期评估敏感个人信息删除或匿名化处理效果，确保已删除或匿名化处理的敏感个人信息b)应建立与个人信息相关的平台规则、隐私政策和算法策略披露制度；d)应对接入其平台的第三方产品和服务进行个人信息安全管理；e)未经用户同意不应将个人信息与来自第三方产品和服务的个人信息合并使用；f)不应以合并个人信息为目的，诱导或强迫用户登录并使用由第三方产品和服务；b)应仅在用户使用业务功能期间，收集该业务功能所需的个人信息；e)不应采用批量申请授权等方式来诱导或强迫用户一次性同意个人信息收集请求；f)不应在没有用户主动触发业务功能的情况下频繁申请授权，以免干扰用户的正常使用；i)应采取有效的技术手段，确保个人信息安全。c)在没有用户同意或在缺乏合理业务场景的情况下，不应自行进行唤醒、调用、更新等行为；e)未经用户同意不应共享或转让收集到的个人信息。常