信息安全技术个人信息安全规范

第1篇第一条为了规范个人信息处理活动，保护个人信息权益，维护网络空间秩序，根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规，制定本规范。

第二条本规范适用于在中国境内开展个人信息处理活动的组织和个人，包括但不限于政府机关、企事业单位、社会组织、个体工商户等。

第三条个人信息处理活动应当遵循以下原则：1. 合法、正当、必要原则：收集、使用个人信息，应当遵循合法、正当、必要的原则，不得违反法律法规的规定。

2. 明确告知原则：收集、使用个人信息，应当向个人信息主体明确告知收集、使用的目的、方式和范围。

3. 最小化原则：收集、使用个人信息，应当限于实现处理目的的最小范围，不得过度收集、使用个人信息。

4. 安全保护原则：采取必要措施，确保个人信息安全，防止个人信息泄露、损毁、篡改。

5. 主体参与原则：个人信息主体对其个人信息享有知情权、决定权，个人信息处理活动应当尊重个人信息主体的权利。

第二章个人信息收集第四条收集个人信息，应当遵循以下要求：1. 明确目的：收集个人信息前，应当明确收集的目的，并确保收集的个人信息与目的具有直接关联。

2. 明确方式：收集个人信息，应当采取合法、正当的方式，不得采用欺骗、误导等手段。

3. 明确范围：收集个人信息，应当限于实现处理目的的最小范围，不得过度收集。

4. 明确同意：收集敏感个人信息，应当取得个人信息主体的明示同意。

第五条收集个人信息，应当采取以下措施：范围，并取得个人信息主体的同意。

2. 最小化原则：在收集个人信息时，应当遵循最小化原则，只收集实现处理目的所必需的个人信息。

3. 敏感个人信息：收集敏感个人信息，应当采取更严格的安全保护措施。

第三章个人信息使用第六条使用个人信息，应当遵循以下要求：1. 合法使用：使用个人信息，应当遵循合法、正当、必要的原则，不得违反法律法规的规定。

2. 明确目的：使用个人信息，应当限于实现处理目的，不得超出收集目的。

解析新版《个人信息安全规范》中的个人信息保护负责人制度2020-08-03《网络安全法》出台后，特别是2018年5月1日《信息安全技术 个人信息安全规范》（“旧版规范”）生效以来，不少企业已经搭建起个人信息保护制度框架。

数据合规体系是动态的有机体，需要静态的制度框架，更需要合规人员的动态推动，将制度融入商业决策与交易中。

即将于2020年10月1日生效的《信息安全技术 个人信息安全规范》（“新版规范”或“《安全规范》”）针对个人信息保护负责人的规定，较旧版规范而言更为具体且务实。

一、为什么要建立个人信息保护负责人制度个人信息保护负责人是指全面实施统筹组织公司个人信息保护工作、对个人信息安全负直接责任的公司人员。

设立个人信息保护负责人对企业落地数据合规制度至关重要。

具体而言，科学有效的个人信息保护负责人制度既可提高企业法律风险防御能力，亦可增强其核心竞争力。

（一）提高企业风险防御能力个人信息保护不力会给企业带来巨大损失：政府调查与处罚轻则迫使企业整改、重则颠覆既有商业模式、甚至导致企业与主要负责人承担刑事责任；个人信息安全事件如果不能及时、妥善处理，企业所面对的信任危机可能比处罚带来的社会影响更为深远；广大民众不断觉醒的个人信息保护意识更是促使企业时刻不得松懈。

个人信息保护负责人既可以帮助企业在日常工作中未雨绸缪又可能在危机事件中力挽狂澜，提高企业防御风险的综合能力。

2017年3月，有消费者认为其个人信息遭到泄露而将某航空公司起诉至法院。

法院综合认定被告存在泄露个人信息的高度可能，同时认为法律对经营者采取技术措施和其他必要措施保护消费者个人信息施以强制规定。

但是，被告未能证明其已履行法定的个人信息保护义务。

[1]2019年12月，同一家航空公司因类似事由被起诉，但法院认为被告在自身掌握信息阶段不存在泄露个人信息的事实。

原因在于，航空公司不仅对可查看订单信息的管理系统进行数据脱敏设置，还建立起严密的数据安全管理制度、就数据存储安全进行专门认证、与专业第三方进行合作。

如何正确处理个人信息人们在日常生活中，会产生大量的个人信息。

随着信息技术的不断发展，人们在互联网上输入大量个人信息，如账户、密码、身份证号码、家庭住址、电话号码等，个人信息的泄露也成为了一个严重的问题。

为了保护自己的隐私和安全，如何正确处理个人信息显得尤为重要。

一、合理使用个人信息在处理个人信息时，首要原则就是不要将个人信息乱用。

我们需要明确自己获取个人信息的目的和合法性，不得将个人信息用于超出目的的用途。

比如，邮箱列表是用来发送邮件的，而不能被用于广告或是其他商业目的。

此外，如果将来不需要某些个人信息，及时删除或销毁这些信息也是很重要的。

二、保护个人信息安全在日常生活中，我们需要注意保护我们的个人信息安全。

密码应该经常更改并且不能使用太过简单的密码，银行卡和信用卡信息需要保存在安全的地方，家庭住址和电话号码需要选择性地在公共场合公开。

在网络上，我们需要加强对个人账户安全的保护。

常规做法包括设置强密码，开启双层验证，不在不安全的网络环境下进行个人信息操作等。

避免用公共设备登录自己的账户信息等行为也应当常识。

三、不轻信未知信息将自己的个人信息输入到一些不安全的网站时，常常会发生身份盗窃的事件。

在互联网上，有各种声称能够免费获得各种资源和服务的网站，但是这些网站往往会滋生恶意软件、病毒等安全隐患。

在互联网上购物时，要确保这些购物网站的安全性，避免泄露个人账户信息，以保证自己的财产安全。

四、保持警惕，了解个人信息的权利我们需要保持警惕，不要轻易相信陌生人的谎言。

垃圾邮件、骗子电话等往往会通过伪装的形式来获取用户的个人信息。

当然，在我们拥有权利知道和访问自己的信息时，通过了解这些权利，也可帮助我们更好地保护自己。

要了解有关个人信息保护的法律，如何识别窃贼等安全知识。

了解自己的个人信息在哪些方面可以得到保护，以及当自己的个人信息被侵犯时，可以采取哪些措施来保护自己。

五、积极监控个人信息，及时发现泄露即使我们采取了一定的安全防措施，个人信息泄露的风险仍然存在。

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。

本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。

一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施;b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。

二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门;2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。

《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间；b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施；b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动；b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体；c) 对其所持有的个人信息进行删除或匿名化处理。

《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案；b) 应定期（至少每年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程；c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门；2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患；3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式；4) 按照本标准9.2的要求实施安全事件的告知。

信息安全技术个人信息安全规范随着信息技术的迅猛发展，个人信息安全已成为人们关注的焦点。

互联网的普及和应用为我们提供了极大便利的同时，也给个人信息安全带来了挑战。

个人信息的泄露可能导致各种不良后果，如财产损失、身份盗用、个人隐私被侵犯等。

因此，信息安全技术在保护个人信息安全方面起着至关重要的作用。

为了保障个人信息的安全，我们应该注重个人信息安全规范，遵守相关法律法规，加强自我保护意识，同时也要借助信息安全技术来加强个人信息保护。

本文将从个人信息安全规范出发，探讨信息安全技术在个人信息安全方面的作用，并给出一些个人信息安全规范的建议。

一、个人信息安全规范1.1身份信息保护个人身份信息是最为重要的个人信息之一，包括姓名、身份证号码、出生日期、家庭住址、电话号码等。

我们应当尽量避免将这些信息直接暴露在公共场合，避免被不法分子利用。

在网上购物、注册社交平台等活动时，不要轻易将个人身份信息泄露给不熟悉的网站或平台，选择使用一些比较正规的网站进行注册购物等活动，确保个人信息的安全。

1.2账号密码安全在网络时代，人们的生活越来越依赖于各种账号密码，如电子邮箱、社交平台、网上银行等。

我们应当妥善保管账号密码，不要使用过于简单的密码，最好使用字母数字混合的复杂密码，并定期修改密码以增加安全性。

同时，使用密码管理工具来帮助管理和保护密码也是个人信息安全的重要手段。

1.3网络交易安全在进行网上交易时，我们应当选择正规的第三方支付平台，确保支付安全。

不要随意点击不明链接或下载不明来源的软件，以免导致个人电脑被攻击，造成个人信息泄露。

同时，在进行网上购物时，要选择信誉良好的商家，避免上当受骗。

1.4防范网络诈骗网络诈骗是近年来比较常见的一种犯罪手段，包括钓鱼网站、虚假广告、网络欺诈等。

我们应当提高警惕，定期更新杀毒软件以及操作系统补丁，及时了解并学习最新的网络诈骗手段，不轻易相信陌生人发送的邮件、信息及鼓励转发分享的内容。

ICS35.020L 70 DB21 辽宁省地方标准DB21/T 1628.1—2016代替DB21/T 1628.1-2012信息安全 个人信息保护规范 Information Security-Specification for Personal Information Protection2016-09-27发布2016-11-27实施目次前言 (IV)引言 (V)1 范围 (1)2 规范性引用文件 (1)3 术语、定义和缩略语 (1)4 个人信息生命周期 (4)5 个人信息主体权利 (4)6 个人信息管理者 (4)7 个人信息管理 (5)8 管理机制 (7)9 个人信息获取 (10)10 个人信息处理 (11)11 安全管理 (13)12 过程管理 (15)13 例外 (16)14 认证 (17)参考文献 (18)前言DB21/T 1628分为8部分：——信息安全个人信息保护规范——信息安全个人信息安全管理体系实施指南——信息安全个人信息数据库管理指南——信息安全个人信息管理文档管理指南——信息安全个人信息安全风险管理指南——信息安全个人信息安全管理体系安全技术实施指南——信息安全个人信息安全管理体系内审实施指南——信息安全个人信息安全管理体系过程管理指南等。

本部分是DB21/T 1628的第1部分。

本部分按照GB/T 1.1-2009《标准化工作导则第1部分：标准的结构与编写》给出的规则起草。

本部分代替DB21/T 1628.1-2012《信息安全个人信息保护规范》。

与DB21/T 1628.1-2012相比，本部分除编辑性修改外，主要技术变化如下：——标准结构修改，构建个人信息安全管理框架；——标准粒度修订，剔除规章制度等部分过细的约束规则；——适当跟踪新技术的发展，增加部分相关规则，如移动设备等；——增加个人定义，以使个人信息定义更加严谨，精确地描述个人信息；——修订个人信息定义；——增加主体定义，以使个人信息主体定义更加严谨，精确地描述个人信息主体；——修订个人信息主体定义，更加严谨、规范地描述个人信息主体；——定义个人信息生命周期，制定基于个人信息生命周期的个人信息安全规则；——定义个人信息管理者的行为约束；——建立被动收集的约束规则；——增加个人安全管理规则，以适应新一代信息技术应用对个人信息主体的安全威胁。