解读国标GBT 《信息安全技术个人信息安全规范》

个人信息保护国标
个人信息保护是当今社会中非常重要的一个议题，国家标准对
于个人信息保护起着至关重要的作用。

在中国，个人信息保护的国
家标准是《信息安全技术个人信息安全规范》（GB/T 35273-2020）。

该标准规定了个人信息的范围、基本原则、个人信息的处理、个人信息安全保护的措施等内容。

从范围来看，国家标准明确了个人信息的范围，包括但不限于
个人身份信息、个人财产信息、个人生物识别信息、个人行踪信息等。

这些信息在使用、存储和传输过程中需要受到严格的保护。

在基本原则方面，国家标准强调了个人信息处理应当遵循合法、正当、必要的原则，明确了信息主体知情同意、目的明确、最小必要、确保信息准确性等原则，保障个人信息不被非法获取和滥用。

此外，国家标准还规定了个人信息处理的规范，包括信息的收集、存储、使用、传输等环节都需要建立相应的制度和控制措施，
确保个人信息的安全。

个人信息保护国家标准的制定和实施，对于企业和组织来说，
意味着需要建立健全的个人信息保护制度和技术措施，保障个人信
息的安全。

对于个人来说，也提醒我们应当增强个人信息保护意识，合理、谨慎地对待自己的个人信息，避免个人信息被泄露和滥用。

总的来说，个人信息保护国家标准的实施对于促进信息化建设、保护个人隐私、维护社会稳定都具有重要意义，需要各方共同遵守
和落实。

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。

本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。

一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施;b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。

二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门;2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。

信息安全技术个人信息安全规范在当今信息化社会，个人信息安全问题备受关注。

随着网络技术的不断发展和普及，个人信息安全面临着越来越多的挑战。

为了保障个人信息安全，我们需要遵守一定的规范和技术要求。

首先，个人信息安全技术规范包括密码安全规范、网络安全规范、数据安全规范等方面。

在日常生活和工作中，我们需要注意密码的安全性，避免使用简单的密码，定期更换密码，并且不要将密码告知他人。

此外，网络安全也是至关重要的，我们需要安装杀毒软件、防火墙等安全工具，不轻易点击不明链接，避免上网时泄露个人信息。

在数据安全方面，我们需要备份重要数据，定期清理无用数据，避免数据丢失或泄露。

其次，个人信息安全技术规范需要遵守相关法律法规，保护个人隐私。

在信息采集、存储和传输过程中，我们需要遵守相关法律法规，不得擅自收集、使用他人个人信息，保护个人隐私不受侵犯。

同时，个人信息安全技术规范也需要遵守公司内部规定，加强信息安全管理，保护公司和个人信息安全。

此外，个人信息安全技术规范还需要加强个人信息安全意识，提高信息安全保护能力。

我们需要不断学习信息安全知识，提高对信息安全风险的认识，增强信息安全保护意识，避免随意泄露个人信息。

同时，我们还需要加强信息安全技能培训，提高信息安全保护能力，做到在信息安全事件发生时能够及时、有效地应对。

综上所述，个人信息安全技术规范是保障个人信息安全的重要手段。

我们需要遵守密码安全规范、网络安全规范、数据安全规范，遵守相关法律法规和公司内部规定，加强个人信息安全意识，提高信息安全保护能力。

只有这样，我们才能更好地保护个人信息安全，避免个人信息被泄露、滥用，确保个人信息安全。

信息安全技术规范的落实需要我们每个人的共同努力，让我们共同致力于个人信息安全，共同维护信息安全的大环境。

个人信息保护认证实施规则解读摘要：1.背景介绍2.个人信息保护认证实施规则的制定目的和适用范围3.认证的基本原则和要求4.认证依据和标准5.对跨境处理活动的要求6.认证制度的意义和影响7.结论正文：一、背景介绍随着信息技术的飞速发展，个人信息保护问题愈发凸显。

为了更好地保护个人信息，我国于2021 年11 月1 日起施行了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），该法明确规定了个人信息处理者的责任和义务，并要求国家网信部门统筹协调有关部门推进个人信息保护工作。

二、个人信息保护认证实施规则的制定目的和适用范围为了贯彻落实《个人信息保护法》的相关规定，国家互联网信息办公室（以下简称网信办）于2022 年11 月4 日联合有关部门发布了《个人信息保护认证实施规则》（以下简称《实施规则》）。

《实施规则》旨在规范个人信息处理活动，促进个人信息合理利用，保障个人信息安全。

《实施规则》适用于个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动。

三、认证的基本原则和要求个人信息处理者应当符合gb/t 35273《信息安全技术个人信息安全规范》的要求。

对于开展跨境处理活动的个人信息处理者，还应当符合tc260-pg-20222a《个人信息跨境处理活动安全认证规范》的要求。

四、认证依据和标准个人信息处理者应当依据相关标准和规范进行认证。

认证依据包括但不限于：《信息安全技术个人信息安全规范》、《个人信息跨境处理活动安全认证规范》等。

五、对跨境处理活动的要求开展跨境处理活动的个人信息处理者需要符合更为严格的安全认证要求，以确保个人信息在跨境传输过程中的安全。

六、认证制度的意义和影响个人信息保护认证制度对于规范个人信息处理活动、提高个人信息保护水平具有重要意义。

同时，该制度对于促进个人信息合理利用，保障个人信息安全等方面也产生了积极影响。

七、结论《个人信息保护认证实施规则》的制定和实施，有助于加强个人信息保护，提高个人信息处理活动的规范化水平，为个人信息安全提供有力保障。

国家标准《信息安全技术个人信息安全影响评估指南》（征求意见稿）编制说明一、工作简况1.1任务来源GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用，其中，《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作，旨在发现、处置和持续监控个人信息处理过程中的安全风险。

2017年3月，在信安标委会议周，云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》。

本标准为自主制定标准，标准任务编号为：20180840-T-469。

1.2主要起草单位和工作组成员标准由颐信科技有限公司牵头，中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技（杭州）有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想（北京）有限公司、清华大学、阿里巴巴（北京）软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制，归口单位为全国信息安全标准化技术委员会（简称信息安全标委会，TC260）。

本标准主要起草人：洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。

1.3 主要工作过程1、2017年3月，在云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》，对个人信息安全影响评估方法、应用、政策和标准进行调研分析，确定标准化需求。

2、2017年5月初，成立正式的个人信息安全影响评估指南标准编制组，标准由颐信科技有限公司牵头，中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴（北京）软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心等组成标准编制组。

国标19777
《国标19777》是一项关于信息安全的国家标准，它的全称是《信息安全技术个人身份识别通用规范》。

该标准的目的是确保个人身份识别系统的安全性，以保护个人信息和防止身份盗窃等安全威胁。

《国标19777》规定了个人身份识别系统的基本要求。

这包括身份验证、密码管理、访问
控制等方面的规定，以确保系统的可靠性和安全性。

该标准还规定了个人身份信息的存储和传输要求，以防止信息泄露和非法访问。

《国标19777》强调了个人隐私权的保护。

根据该标准，个人身份识别系统应该尽量减少
对个人信息的收集和使用，并采取必要的措施保护个人信息的安全。

这样可以保护个人隐私，防止个人信息被滥用或泄露。

《国标19777》还规定了个人身份识别系统的安全管理要求。

这包括制定安全策略和规程、进行安全培训和意识教育、建立安全审计和监控机制等。

这些措施有助于提高系统的安全性，并及时发现和应对安全威胁。

《国标19777》是一项重要的信息安全标准，它为个人身份识别系统的安全提供了指导和
规范。

遵守该标准可以保护个人信息的安全，防止身份盗窃和其他安全威胁。

因此，个人身份识别系统的设计和实施应该遵循《国标19777》的要求，以确保信息安全和个人隐私
的保护。

《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间；b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施；b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动；b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体；c) 对其所持有的个人信息进行删除或匿名化处理。

《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案；b) 应定期（至少每年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程；c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门；2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患；3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式；4) 按照本标准9.2的要求实施安全事件的告知。

解读《个人金融信息保护技术规范》之信息分级管理詹昊、宋迎、韦飞2020年2月20日，全国金融标准化技术委员会公布了《个人金融信息保护技术规范》（JR/T 0171——2020）（以下简称“《规范》”）。

《规范》是中国人民银行发布的金融行业推荐性标准（并非强制性标准），是在《信息安全技术个人信息安全规范》（GB/T 35273——2017，以下简称“《个人信息安全规范》”）等国家标准基础上对个人金融信息的保护作出的细化规定，基本遵循了《个人信息安全规范》关于收集、传输、存储、使用、删除、销毁等信息生命周期全部环节的基本要求。

《规范》较为引人瞩目的是对个人金融信息采取了分级管理的方式，本文主要就此进行研讨。

一、个人金融信息的范围根据《规范》第4.1条，个人金融信息具体指以下信息：二、个人金融信息分级管理机制《规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别，即采用了分级管理机制：三、个人金融信息全生命周期中分级管理的特别规定《规范》以个人金融信息收集、传输、存储、使用、删除、销毁等生命周期作为维度，对个人金融信息提出了具体合规性要求，其中各个周期对C3、C2类别的信息有不同于其他个人金融信息的特别规定。

四、《规范》与其他标准性文件信息分级管理的衔接数据分类分级管理是《中华人民共和国网络安全法》对网络运营者的基本要求之一。

实践中企业也会采取一定方式按照数据重要性、敏感程度对数据采取分类分级的方式进行管理。

目前已生效的法律法规和标准文件中除了将个人信息区分为“个人敏感信息”和“儿童个人信息”外，没有进一步分级的细化要求。

2018年底金融标准化技术委员会公布的《支付信息保护技术规范》（送审稿）则采取了与本《规范》类似的信息分级机制。

《支付信息保护技术规范》将支付信息按敏感程度从低到高分为C1、C2、C3、C4四个类别，具体指：•C4类别主要为于金融交易的用户鉴别与授权信息。