GBT 35273-2017-信息安全技术-个人信息安全规范

国家标准《信息安全技术个人信息安全影响评估指南》（征求意见稿）编制说明一、工作简况1.1任务来源GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用，其中，《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作，旨在发现、处置和持续监控个人信息处理过程中的安全风险。

2017年3月，在信安标委会议周，云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》。

本标准为自主制定标准，标准任务编号为：20180840-T-469。

1.2主要起草单位和工作组成员标准由颐信科技有限公司牵头，中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技（杭州）有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想（北京）有限公司、清华大学、阿里巴巴（北京）软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制，归口单位为全国信息安全标准化技术委员会（简称信息安全标委会，TC260）。

本标准主要起草人：洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。

1.3 主要工作过程1、2017年3月，在云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》，对个人信息安全影响评估方法、应用、政策和标准进行调研分析，确定标准化需求。

2、2017年5月初，成立正式的个人信息安全影响评估指南标准编制组，标准由颐信科技有限公司牵头，中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴（北京）软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心等组成标准编制组。

个人信息保护国标
个人信息保护是当今社会中非常重要的一个议题，国家标准对
于个人信息保护起着至关重要的作用。

在中国，个人信息保护的国
家标准是《信息安全技术个人信息安全规范》（GB/T 35273-2020）。

该标准规定了个人信息的范围、基本原则、个人信息的处理、个人信息安全保护的措施等内容。

从范围来看，国家标准明确了个人信息的范围，包括但不限于
个人身份信息、个人财产信息、个人生物识别信息、个人行踪信息等。

这些信息在使用、存储和传输过程中需要受到严格的保护。

在基本原则方面，国家标准强调了个人信息处理应当遵循合法、正当、必要的原则，明确了信息主体知情同意、目的明确、最小必要、确保信息准确性等原则，保障个人信息不被非法获取和滥用。

此外，国家标准还规定了个人信息处理的规范，包括信息的收集、存储、使用、传输等环节都需要建立相应的制度和控制措施，
确保个人信息的安全。

个人信息保护国家标准的制定和实施，对于企业和组织来说，
意味着需要建立健全的个人信息保护制度和技术措施，保障个人信
息的安全。

对于个人来说，也提醒我们应当增强个人信息保护意识，合理、谨慎地对待自己的个人信息，避免个人信息被泄露和滥用。

总的来说，个人信息保护国家标准的实施对于促进信息化建设、保护个人隐私、维护社会稳定都具有重要意义，需要各方共同遵守
和落实。

脱敏技术国标脱敏技术国标是我国为了保护数据安全和隐私而制定的一系列标准。

在国内外法律法规的推动下，我国对数据保护的要求越来越高。

以下是一些与脱敏技术相关的国标：1. 《GB/T 22081-2016 信息安全技术信息安全风险评估规范》：该标准规定了信息安全风险评估的基本原则、方法和要求，其中包括数据脱敏技术的应用。

2. 《GB/T 35273-2017 信息安全技术个人信息安全规范》：该标准明确了个人信息安全的基本要求，包括数据脱敏、加密等技术的应用。

3. 《GB/T 39786-2020 信息安全技术云计算服务安全指南》：该标准针对云计算服务的安全问题，提出了数据脱敏、数据隔离等技术要求。

4. 《GB/T 37988-2019 信息安全技术信息安全事件管理规范》：该标准规定了信息安全事件的分类、报告、处理和评估等要求，其中涉及到数据脱敏技术的应用。

5. 《GB/T 25069-2010 信息安全技术术语》：该标准对信息安全领域的术语进行了规范，包括数据脱敏、加密、解密等技术的定义。

6. 《GB/T 20984-2007 信息安全技术信息安全风险评估实施指南》：该标准提供了信息安全风险评估的实施方法，包括数据脱敏技术的应用。

7. 《GB/T 19668.1-2017 信息技术安全技术信息安全保障工程总体规划与设计》：该标准规定了信息安全保障工程的总体规划与设计方法，涉及到数据脱敏、数据加密等技术的应用。

8. 《GB/T 19668.2-2017 信息技术安全技术信息安全保障工程实施指南》：该标准提供了信息安全保障工程的实施指南，包括数据脱敏、数据加密等技术的应用。

这些国标为我国企业和个人在数据保护方面提供了指导，要求企业采取相应的技术手段，如数据脱敏、加密等，以确保数据安全和合规。

在实际应用中，企业需根据自身情况和需求，参照相关国标，制定合适的数据保护策略。

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。

本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。

一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施;b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。

二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门;2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。

《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间；b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施；b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动；b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体；c) 对其所持有的个人信息进行删除或匿名化处理。

《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案；b) 应定期（至少每年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程；c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门；2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患；3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式；4) 按照本标准9.2的要求实施安全事件的告知。

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。

本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。

一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施;b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。

二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门;2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。

2018.02 / 23国家大事ation 信安标委1月16日， 全国信息安全标准化技术委员会秘书处（以下简称“信安标委秘书处”）针对近期披露的CPU熔断和幽灵漏洞，组织相关厂商和安全专家，编制发布了《网络安全实践指南—CPU熔断和幽灵漏洞防范指引》（以下简称《防范指引》）。

据介绍，本次披露的漏洞属于芯片级漏洞，主用户等，给出了详细的防范指引，并提供了部分厂商安全公告和补丁链接。

1月24日，《信息安全技术 个人信息安全规范》(GB/T35273-2017)(以下简称《规范》)正式发布，内容涵盖个人信息的收集、保存、使用、共享转让以及安全事件处置等方面内容。

该《规范》将于2018年5月1日实施。

在个人信息收集方面，《规范》要求，不得欺诈、诱骗、强迫个人信息主体提供其个人信息；不得隐瞒产品或服务所具有的收集个人信息的功能；不得从非法渠道获取个人信息；不得收集法律法规明令禁止收集的个人信息。

对于个人敏感信息的收集，《规范》指出，应取得个人信息主体的明示同意，应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。

个人信息原则上不得共享、转让。

个人信息控制着确需共享、转让时，应充分重视风险，共享、转让个人信息，非因收购、兼并、重组原因的也应遵守《规范》提出的具体要求。

发布《网络安全实践指南—CPU 国家标准《信息安全技术 个人信息安全规范》获批发布1月17日，全国公安机关、工商部门网络传销违法犯罪活动联合整治工作部署会召开。

此次联合整治行动，重点查处以下四类网络传销活动：一是以“消费返利”“资金互助”“虚拟货币”“投资理财”“网络游戏”等为幌子的网络传销活动；二是假借“慈善”“扶贫”“创新”“均富”“军民融合”等名义，故意歪曲国家有关政策的网络传销活动；三是侵害学生、低保、残疾人员等弱势群体的网络传销活动；四是跨境操纵实施的网络传销活动。

同时，对于网络传销组织的核心成员、骨干分子、“职业化”参与人以及协助转移资金、提供网站设计和部署开展网络传销违法犯罪活动联合整治两部门。

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。

本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。

一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施;b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。

二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门;2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。

个人信息保护认证实施规则1适用范围本规则依据《中华人民共和国认证认可条例》制定，规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。

2 认证依据个人信息处理者应当符合GB/T 35273《信息安全技术个人信息安全规范》的要求。

对于开展跨境处理活动的个人信息处理者，还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。

上述标准、规范原则上应当执行最新版本。

3 认证模式个人信息保护认证的认证模式为：技术验证+ 现场审核+ 获证后监督4 认证实施程序4.1 认证委托认证机构应当明确认证委托资料要求，包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。

认证委托人应当按认证机构要求提交认证委托资料，认证机构在对认证委托资料审查后及时反馈是否受理。

认证机构应当根据认证委托资料确定认证方案，包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等，并通知认证委托人。

4.2 技术验证技术验证机构应当按照认证方案实施技术验证，并向认证机构和认证委托人出具技术验证报告。

4.3 现场审核认证机构实施现场审核，并向认证委托人出具现场审核报告。

4.4 认证结果评价和批准认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价，作出认证决定。

对符合认证要求的，颁发认证证书；对暂不符合认证要求的，可要求认证委托人限期整改，整改后仍不符合的，以书面形式通知认证委托人终止认证。

如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时，认证不予通过。

4.5 获证后监督4.5.1 监督的频次认证机构应当在认证有效期内，对获得认证的个人信息处理者进行持续监督，并合理确定监督频次。

4.5.2 监督的内容认证机构应当采取适当的方式实施获证后监督，确保获得认证的个人信息处理者持续符合认证要求。

金融脱敏技术标准
金融脱敏技术是一种数据处理技术，旨在保护敏感信息，如个人身份信息、财务信息、交易记录等，在金融行业中广泛应用。

下面是金融脱敏技术的主要标准和规范：
1. 《GB/T 35273-2017 金融信息服务筛选和脱敏规范》：该标准提出了金融信息服务中敏感数据的筛选和脱敏规范，包括数据分类、筛选规则、脱敏方法、脱敏效果等方面的要求。

2. PCI-DSS：此标准是全球各大银行卡公司共同制定的支付卡数据安全标准，要求金融机构在处理银行卡数据时必须采用脱敏技术，同时还规定了脱敏技术的具体实现方法和效果要求。

3. GDPR：欧盟采用的一项保护个人数据的法律，规定企业必须采用有效的脱敏技术来保护个人数据隐私，并确保经过处理后的数据仍然具有一定的匿名性。

4. ISO 27001：这是一个信息安全管理标准，它要求企业在处理金融数据时，必须采取有效的脱敏技术来保护数据安全，并设计相应的安全保障措施来防范数据泄露和攻击。

5. CNAS-RL06：这是中国合格评定国家认可委员会制定的数据安全评估标准，其中包括了金融机构在处理敏感数据时需要遵守的脱敏技术规范和数据保护措施。

总之，金融脱敏技术的标准和规范有很多，这些标准和规范为金融机构提供了具体的技术实现方案和具体的实践指导，帮助金融机构更好地处理敏感数据和保护用户信息隐私。

国家标准《信息安全技术个人信息安全影响评估指南》（征求意见稿）编制说明一、工作简况1.1任务来源GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用，其中，《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作，旨在发现、处置和持续监控个人信息处理过程中的安全风险。

2017年3月，在信安标委会议周，云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》。

本标准为自主制定标准，标准任务编号为：20180840-T-469。

1.2主要起草单位和工作组成员标准由颐信科技有限公司牵头，中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技（杭州）有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想（北京）有限公司、清华大学、阿里巴巴（北京）软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制，归口单位为全国信息安全标准化技术委员会（简称信息安全标委会，TC260）。

本标准主要起草人：洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。

1.3 主要工作过程1、2017年3月，在云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》，对个人信息安全影响评估方法、应用、政策和标准进行调研分析，确定标准化需求。

2、2017年5月初，成立正式的个人信息安全影响评估指南标准编制组，标准由颐信科技有限公司牵头，中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴（北京）软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心等组成标准编制组。

个人金融信息保护技术规1 围本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规性要求。

本标准适用于提供金融产品和服务的金融业机构，并为安全评估机构开展安全检查与评估工作提供参考。

2 规性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 22239-2019信息安全技术网络安全等级保护基本要求GB/T 25069-2010信息安全技术术语GB/T 31186.2-2014银行客户基本信息描述规第2部分：名称GB/T 31186.3-2014银行客户基本信息描述规第3部分：识别标识GB/T 35273-2017信息安全技术个人信息安全规JR/T 0068-2020网上银行系统信息安全通用规JR/T 0071 金融行业信息系统信息安全等级保护实施指引JR/T 0092-2019移动金融客户端应用软件安全管理规JR/T 0149-2016中国金融移动支付支付标记化技术规JR/T 0167-2018云计算技术金融应用规安全技术要求3术语和定义GB/T 25069-2010，GB/T 35273-2017界定的以及下列术语和定义适用于本文件。

3.1金融业机构financial industry institutions本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构，以及涉及个人金融信息处理的相关机构。

3.2个人金融信息personal financial information金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。

注1：本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。

个人敏感信息包括个人敏感信息包括个人财产信息、个人健康生理信息、个人生物特征信息、个人身份信息、网络身份信息等信息。

按照《GBT 35273-2017 信息安全技术个人信息安全规范》解释来说，个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

通常情况下，14 岁以下（含）儿童的个人信息和自然人的隐私信息属于个人敏感信息。

1、个人财产信息：银行账号、鉴别信息 (口令)、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息2、个人健康生理信息：个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以及与个人身体健康状况产生的相关信息等3、个人生物识别信息：个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等4、个人身份信息：身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等5、网络身份标识信息：系统账号、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等6、其他信息：个人电话号码、性取向、婚史、宗教信仰、未公开的犯罪记录、通讯记录及内容、行踪、网页浏览记录、住宿信息、准确定位信息等。

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表本人。

本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。

如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 @qq 举报，一经查实，本站将立刻删除。