个人信息保护指南(征求意见稿)

国家标准《信息安全技术个人信息安全影响评估指南》（征求意见稿）编制说明一、工作简况1.1任务来源GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用，其中，《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作，旨在发现、处置和持续监控个人信息处理过程中的安全风险。

2017年3月，在信安标委会议周，云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》。

本标准为自主制定标准，标准任务编号为：20180840-T-469。

1.2主要起草单位和工作组成员标准由颐信科技有限公司牵头，中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技（杭州）有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想（北京）有限公司、清华大学、阿里巴巴（北京）软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制，归口单位为全国信息安全标准化技术委员会（简称信息安全标委会，TC260）。

本标准主要起草人：洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。

1.3 主要工作过程1、2017年3月，在云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》，对个人信息安全影响评估方法、应用、政策和标准进行调研分析，确定标准化需求。

2、2017年5月初，成立正式的个人信息安全影响评估指南标准编制组，标准由颐信科技有限公司牵头，中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴（北京）软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心等组成标准编制组。

公安部、国家互联网信息办公室关于《国家网络身份认证公共服务管理办法（征求意见稿）》公开征求意见的公告文章属性•【公布机关】公安部,国务院研究室,公安部,公安部,国务院研究室•【公布日期】2024.07.26•【分类】征求意见稿正文公安部国家互联网信息办公室关于《国家网络身份认证公共服务管理办法（征求意见稿）》公开征求意见的公告为强化公民个人信息保护，推进并规范国家网络身份认证公共服务建设应用，加快实施网络可信身份战略，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规，公安部、国家互联网信息办公室等研究起草了《国家网络身份认证公共服务管理办法（征求意见稿）》，现向社会公开征求意见。

公众可以通过以下途径和方式提出意见建议：1.登录中华人民共和国司法部中国政府法制信息网（、），进入首页主菜单的“立法意见征集”栏目提出意见建议。

2.通过电子邮件将意见建议发送至：***************或************.cn。

3.通过信函将意见建议寄至：北京市东城区东长安街14号公安部，邮编：100741，或北京市西城区车公庄大街11号国家互联网信息办公室，邮编：100044。

来信请在信封上注明“国家网络身份认证公共服务管理办法征求意见”。

意见建议反馈截止时间为2024年8月25日。

附件：1.《国家网络身份认证公共服务管理办法（征求意见稿）》2.关于起草《国家网络身份认证公共服务管理办法（征求意见稿）》的说明公安部国家互联网信息办公室2024年7月26日国家网络身份认证公共服务管理办法（征求意见稿）第一条为实施网络可信身份战略，推进国家网络身份认证公共服务建设，保护公民身份信息安全，促进数字经济发展，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规，制定本办法。

个人信息保护指南征求意见稿随着信息技术的迅猛发展和互联网的普及应用，个人信息的收集、存储和使用越来越频繁，个人信息保护成为社会各界关注的重要议题。

为了加强个人信息保护工作，保障公民的个人信息安全，我国制定了《个人信息保护法》。

为了更好地贯彻该法，制定一部全面、系统的个人信息保护指南是必要的。

下文是个人信息保护指南征求意见稿，旨在征求广大公众对于指南的宝贵意见和建议。

第一章总则第一条目的和依据（一）为了规范个人信息的收集、存储、使用和提供行为，保护公民的合法权益，制定本指南。

（二）本指南依据《个人信息保护法》制定。

第二条适用范围本指南适用于国内各类组织、个人在收集、存储、使用和提供个人信息时的行为。

第三条基本原则（一）合法、正当、必要原则：个人信息的收集、存储、使用和提供应当遵循合法、正当和必要的原则。

（二）目的明确原则：个人信息的收集、存储、使用和提供应当明确目的，并在目的范围内进行。

（三）最小必要原则：个人信息的收集、存储、使用和提供应当与实现目的密切相关，且应符合最小必要原则。

（四）主动授权原则：个人信息的收集、存储、使用和提供应当事先征得个人的同意，原则上不得违背个人意愿。

（五）安全保护原则：个人信息的收集、存储、使用和提供应当采取安全保护措施，防止未经授权的访问、泄露、篡改和销毁。

...第六章个人信息跨境传输第二十三条跨境传输原则个人信息的跨境传输应当遵循以下原则：（一）知情同意原则：个人信息的跨境传输应当事先告知个人并征得其明示同意。

（二）信息接收方可靠性原则：个人信息的跨境传输应当确保接收方有充分的能力和条件保护个人信息的安全。

（三）国家监管参与原则：个人信息的跨境传输应当受到国家监管机构的监督和管理。

第二十四条个人敏感信息跨境传输个人敏感信息的跨境传输应当遵循以下原则：（一）个人明示同意原则：个人敏感信息的跨境传输应当明示告知个人并征得其明示同意。

（二）...第七章监督管理第三十五条政府监管（一）国家对个人信息的保护工作负主要责任，建立健全个人信息保护的法规制度和政策措施。

在新冠肺炎疫情的催化下，全球电子信息时代加速到来，我国的跨境数据流动制度体系在这样的时代背景下也进一步完善，随着2021年8月《个人信息保护法》的颁布，我国建立起从个别行业的立法要求到搭建起个人信息跨境流动的法律框架与体系，对个人数据的跨境流动做了较为全面且系统性的规定，在跨境数据流动评估方式和监管手段上与《数据安全法》和《网络安全法》保持了整体框架上的一致。

跨境数据流动之法律制度体系（一）国内法层面不同于世界上其他主要国家采用的评估方式，比如欧盟采用充分性认定，要求第三方国家对个人信息能确保提供适当水平的保护，俄罗斯、澳大利亚则采用企业担保的模式，要求数据控制者通过与数据接收者签订合同担保其遵守数据出口国的法律，日本则通过数据主体同意模式使得数据主体全权管理，国家不直接干涉，我国在对需跨境的个人信息进行评估时强调数据安全问题，因此主要采用安全评估的方式。

《个人信息保护法》第三十八条规定，个人信息处理者在向境外提供个人信息时应当满足的条件为通过国家网信部门组织的安全评估、进行个人信息保护认证和签订网信部门制定的标准合同。

第四十条在沿用了《网络安全法》和《数据安全法》关于关键信息基础设施规定的基础上，增加了对其所处理的个人信息的数量限制，要求达到国家网信部门规定数量的个人信息处理者应当将收集和产生的个人信息存储在境内。

为完善《网络安全法》《数据安全法》《个人信息保护法》中的规定，今年8月，国家正式公布了《关键信息基础设施安全保护条例》。

在该条例中，对关键信息基础设施的认定规则及设施运营者的责任义务进行了明确。

在今年10月网信办公布了《数据出境安全评估办法（征求意见稿）》，该办法对数据出境评估的原则、评估对象、评估事项、合同要求等做了详细规定。

而在对网络的利用以及网络数据安全的监督管理上，11月出台的《网络数据安全管理条例（征求意见稿）》建立数据分类分级保护制度，同时从数据跨境的条件、数据处理者义务等方面对数据跨境的规则进行了细化。

《个人信息保护法（草案）》视 角下5G数据安全的挑战及应对■董宏伟苗运卫袁艺I文在科技革命和产业变革的时代背景下，5G作为信息通信技术迭代的新一代产物，对 实现万物互联和推动数字经济具有重要意义。

然而，在给经济和社会带来深刻变革的同时，5G也面临着不同场景下的数据安全挑战。

数 据是基础性、战略性资源，事关国家安全、经济发展、社会治理和人民生活。

为应对其 中的安全问题，我国立法持续跟进。

《网络 安全法》《数据安全法（草案）》等的不断 出台，构建起数据战略的法治化基础，也为 5G数据安全提供法制保障。

个人信息是数据 中反映个人特征的内容，其安全不容忽视。

作为一部保障个人信息安全的法律，《个人 信息保护法（草案 >》（以下简称《草案》）于2020年10月公布，规定了个人信息保护的行为规范、权利规范和治理规范等内容，丰富并完善了数据安全的保护体系，成为保障5G数据安全的重要依据。

场戛E分下昀5G輝瑪幸全排珙5G相较前代移动通信技术而言进步巨大，速度、功耗、时延全面提升，因此基于 5G的应用也将更为广泛。

根据应用业务和信 息交互对象等区别，可将5G划分为三大应用 场景：增强型移动宽带（e M B B)、大规模机器类通信（m M TC)、超可靠低延迟通信 (URLLC)。

不同的应用场景划分将移动通 信带入了场景定制的时代，各种不同的5G数 据安全挑战也随之出现。

增强型移动宽带（eM BB)场景下的数据安全挑战5G的e M B B场景是前代移动通信技术中个人用户业务的进一步延伸，也最先满足 商用需求，其提供大带宽高速率的移动通信服务，实现对超高清音频、视频、增强现实与虚拟现实技术（A R/V R)等应用的支持。

在此场景下，既存的通信信息和移动终端等方面的数据安全问题将继续存在，且更高通 信速率会让数据安全威胁扩散得更加快速与广泛。

同时，此应用场景的对象为个人用户，中国电傕让37对个人信息的收集更加直接，汇聚的个人信 息将经过系统快速分析发挥个性化推荐等作 用，对个人信息的依赖将令其面对更多的安 全威胁。

个人信息出境安全评估办法（征求意见稿）第一条为保障数据跨境流动中的个人信息安全，根据《中华人民共和国网络安全法》等相关法律法规，制定本办法。

第二条网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息（以下称个人信息出境），应当按照本办法进行安全评估。

经安全评估认定个人信息出境可能影响国家安全、损害公共利益，或者难以有效保障个人信息安全的，不得出境。

国家关于个人信息出境另有规定的，从其规定。

第三条个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。

向不同的接收者提供个人信息应当分别申报安全评估，向同一接收者多次或连续提供个人信息无需多次评估。

每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。

第四条网络运营者申报个人信息出境安全评估应当提供以下材料，并对材料的真实性、准确性负责：（一）申报书。

（二）网络运营者与接收者签订的合同。

（三）个人信息出境安全风险及安全保障措施分析报告。

（四）国家网信部门要求提供的其他材料。

第五条省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后，应当组织专家或技术力量进行安全评估。

安全评估应当在15个工作日内完成，情况复杂的可以适当延长。

第六条个人信息出境安全评估重点评估以下内容：（一）是否符合国家有关法律法规和政策规定。

（二）合同条款是否能够充分保障个人信息主体合法权益。

（三）合同能否得到有效执行。

（四）网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。

（五）网络运营者获得个人信息是否合法、正当。

（六）其他应当评估的内容。

第七条省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时，将个人信息出境安全评估情况报国家网信部门。

网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的，可以向国家网信部门提出申诉。

第八条网络运营者应当建立个人信息出境记录并且至少保存5年，记录包括：（一）向境外提供个人信息的日期时间。

个人信息和重要数据出境安全评估办法（征求意见稿）第一条为保障个人信息和重要数据安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法利益，根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规，制定本办法。

第二条网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。

因业务需要，确需向境外提供的，应当按照本办法进行安全评估。

第三条数据出境安全评估应遵循公正、客观、有效的原则，保障个人信息和重要数据安全，促进网络信息依法有序自由流动。

第四条个人信息出境，应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区，并经其同意。

未成年人个人信息出境须经其监护人同意。

第五条国家网信部门统筹协调数据出境安全评估工作，指导行业主管或监管部门组织开展数据出境安全评估。

第六条行业主管或监管部门负责本行业数据出境安全评估工作，定期组织开展本行业数据出境安全检查。

第七条网络运营者应在数据出境前，自行组织对数据出境进行安全评估，并对评估结果负责。

第八条数据出境安全评估应重点评估以下内容：（一）数据出境的必要性；（二）涉及个人信息情况，包括个人信息的数量、范围、类型、敏感程度，以及个人信息主体是否同意其个人信息出境等；（三）涉及重要数据情况，包括重要数据的数量、范围、类型及其敏感程度等；（四）数据接收方的安全保护措施、能力和水平，以及所在国家和地区的网络安全环境等；（五）数据出境及再转移后被泄露、毁损、篡改、滥用等风险；（六）数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险；（七）其他需要评估的重要事项。

第九条出境数据存在以下情况之一的，网络运营者应报请行业主管或监管部门组织安全评估：（一）含有或累计含有50万人以上的个人信息；（二）数据量超过1000GB；（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；（四）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；（五）关键信息基础设施运营者向境外提供个人信息和重要数据；（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。

国家标准《信息安全技术个人信息安全影响评估指南》（征求意见稿）编制说明一、工作简况1.1任务来源GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用，其中，《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作，旨在发现、处置和持续监控个人信息处理过程中的安全风险。

2017年3月，在信安标委会议周，云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》。

本标准为自主制定标准，标准任务编号为：20180840-T-469。

1.2主要起草单位和工作组成员标准由颐信科技有限公司牵头，中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技（杭州）有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想（北京）有限公司、清华大学、阿里巴巴（北京）软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制，归口单位为全国信息安全标准化技术委员会（简称信息安全标委会，TC260）。

本标准主要起草人：洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。

1.3 主要工作过程1、2017年3月，在云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》，对个人信息安全影响评估方法、应用、政策和标准进行调研分析，确定标准化需求。

2、2017年5月初，成立正式的个人信息安全影响评估指南标准编制组，标准由颐信科技有限公司牵头，中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴（北京）软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心等组成标准编制组。

内蒙古农村信用社个人征信业务管理办法（征求意见稿）第一章总则第一条为保障中国人民银行个人信用信息基础数据库（以下简称个人征信系统）的数据安全和系统正常运行，规范全区农村信用社（含农合行，下同）个人征信业务的操作和管理，根据中国人民银行《个人信用信息基础数据库管理暂行办法》、《个人信用信息基础数据库金融机构用户管理办法（暂行）》等有关规定，结合农村信用社实际，制订本管理办法。

第二条本办法所称个人征信系统是通过采集、整理、保存个人信用信息，为商业银行和个人提供信用报告查询服务，为货币政策制定、金融监管和法律、法规规定的其他用途提供相关信息服务的数据库系统。

该系统由中国人民银行组织开发建设，中国人民银行征信服务中心（以下简称征信中心）具体负责日常运行和维护管理。

第三条农村信用社个人征信业务是指按照人民银行的有关要求向个人征信系统报送个人征信数据；根据人民银行授权建立用户体系，查询、使用个人信用数据库提供的个人信用报告和其他数据信息。

第四条本办法所称个人信用业务是指为个人客户办理的贷款、信用卡业务等信用业务和接受个人作担保人的业务。

第五条本办法所称个人信用信息包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息。

其中，个人基本信息是指自然人身份识别信息、职业和居住地址等信息；个人信贷交易信息是指商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活动中形成的交易记录；反映个人信用状况的其他信息是指除信贷交易信息之外的反映个人信用状况的相关信息。

第二章部门职责第六条全区农村信用社个人征信业务的管理，实行统一领导、分工负责的原则。

第七条自治区联社及各旗县联社（含农合行，下同）均应成立个人征信业务领导小组，统一领导全辖农村信用社个人征信业务的有关工作。

领导小组由承担信贷管理、信贷风险系统管理、银行卡、财务会计和科技信息等职能的部门组成。

并在个人征信业务的牵头部门设臵领导小组办公室。

第八条个人征信业务领导小组办公室负责协调全辖个人征信系统的运行管理、查询使用和数据报送工作。

全国信息安全标准化技术委员会关于国家标准《信息安全技术个人信息告知同意指南》征求意见稿征求意
见的通知
文章属性
•【公布机关】全国信息安全标准化技术委员会,全国信息安全标准化技术委员会,全国信息安全标准化技术委员会
•【公布日期】2020.01.20
•【分类】征求意见稿
正文
关于国家标准《信息安全技术个人信息告知同意指南》征求
意见稿征求意见的通知
各相关单位和专家：
经标准编制单位的辛勤努力，现已形成国家标准《信息安全技术个人信息告知同意指南》征求意见稿。

为确保标准质量，信安标委秘书处面向社会广泛征求意见。

恳切希望您对该标准提出宝贵意见。

并将意见于2020年03月20日前反馈给信安标委秘书处。

联系人：王姣136****5214****************
附件：
1.信息安全技术个人信息处理中告知和同意的实施指南-标准文本
2.信息安全技术个人信息处理中告知和同意的实施指南-意见汇总处理表
3.信息安全技术个人信息处理中告知和同意的实施指南-编制说明
全国信息安全标准化技术委员会
2020年01月20日。

个人信息保护法（草案二次审议稿）征求意见文章属性•【公布机关】全国人大常委会,全国人大常委会,全国人大常委会•【公布日期】2021.04.29•【分类】征求意见稿正文个人信息保护法（草案二次审议稿）征求意见第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法（草案二次审议稿）》进行了审议。

现将《中华人民共和国个人信息保护法（草案二次审议稿）》在中国人大网公布，社会公众可以直接登录中国人大网（）提出意见，也可以将意见寄送全国人大常委会法制工作委员会（北京市西城区前门西大街1号，邮编：100805。

信封上请注明个人信息保护法草案二次审议稿征求意见）。

征求意见截止日期：2021年5月28日。

中华人民共和国个人信息保护法(草案)(二次审议稿)目录第一章总则第二章个人信息处理规则第一节一般规定第二节敏感个人信息的处理规则第三节国家机关处理个人信息的特别规定第三章个人信息跨境提供的规则第四章个人在个人信息处理活动中的权利第五章个人信息处理者的义务第六章履行个人信息保护职责的部门第七章法律责任第八章附则第一章总则第一条为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,制定本法。

第二条自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。

第三条组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。

第四条个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

第五条处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。

国家互联网信息办公室关于《个人信息出境标准合同规定（征求意见稿）》公开征求意见的通知文章属性•【公布机关】国家互联网信息办公室,国家互联网信息办公室,国家互联网信息办公室•【公布日期】2022.06.30•【分类】征求意见稿正文国家互联网信息办公室关于《个人信息出境标准合同规定（征求意见稿）》公开征求意见的通知为了规范个人信息出境活动，保护个人信息权益，促进个人信息跨境安全、自由流动，依据《中华人民共和国个人信息保护法》，我办起草了《个人信息出境标准合同规定（征求意见稿）》，现向社会公开征求意见。

公众可通过以下途径和方式提出反馈意见：1.登录中华人民共和国司法部中国政府法制信息网（、），进入首页主菜单的“立法意见征集”栏目提出意见。

2.通过电子邮件将意见发送至：***************.cn。

3.通过信函将意见寄至：北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局，邮编：100048，并在信封上注明“个人信息出境标准合同规定征求意见”。

意见反馈截止时间为2022年7月29日。

国家互联网信息办公室2022年6月30日个人信息出境标准合同规定（征求意见稿）第一条为了规范个人信息出境活动，保护个人信息权益，促进个人信息跨境安全、自由流动，根据《中华人民共和国个人信息保护法》，制定本规定。

第二条个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第（三）项，与境外接收方订立合同向中华人民共和国境外提供个人信息的，应当按照本规定签订个人信息出境标准合同（以下简称“标准合同”）。

个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同，不得与标准合同相冲突。

第三条依据标准合同开展个人信息出境活动，应坚持自主缔约与备案管理相结合，防范个人信息出境安全风险，保障个人信息依法有序自由流动。

第四条个人信息处理者同时符合下列情形的，可以通过签订标准合同的方式向境外提供个人信息：（一）非关键信息基础设施运营者；（二）处理个人信息不满100万人的；（三）自上年1月1日起累计向境外提供未达到10万人个人信息的；（四）自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。

国家标准《信息安全技术大型互联网企业内设个人信息保护监督机构要求》（征求意见稿）编制说明一、工作简况1.1任务来源根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术大型互联网企业内设个人信息保护监督机构要求》由中国人民大学负责承办，计划号：20230793-T-469,标准由全国信息安全标准化技术委员会归口管理。

1.2制定背景2023年8月，我国《个人信息保护法》正式颁布，并于2023年11月正式实施。

其中，第58条被业界视为我国“互联网守门人”条款备受关注。

该条第一项要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。

2023年3月，全国信息安全标准化技术委员会发布《关于发布2023年度网络安全国家标准需求的通知》，将本标准纳入2023年网络安全国家安全标准需求项目。

2023年10月，全国信息安全技术标准化委员会发布《关于2023年网络安全国家标准项目立项的通知》，明确本标准由中国人民大学作为项目牵头单位负责标准编制工作。

1.3起草过程1.3.1草案阶段1、2023年3月，中国人民大学牵头组建标准前期研究工作小组，小组对大型互联网企业个人信息保护监督机构相关立法、实践等进行详细调研，形成相应标准草案，并准备申报材料。

2、2023年4月、2023年7月，中国人民大学标准编制组在全国信息安全标准化技术委员会进行标准申报汇报。

3、2023年10月，全国信息安全技术标准化委员会发布《关于2023年网络安全国家标准项目立项的通知》，同意本标准由中国人民大学作为项目牵头单位负责标准编制工作。

4、2023年11月-12月，中国人民大学对外公开征集标准参编单位，正式成立标准编制组，召开第一次工作组组内会议，并就标准草案内容向标准编制组内部征求意见，对标准内容进行更新完善。

国家标准《信息安全技术移动智能终端的移动互联网应用程序（App）个人信息处理活动管理指南》（征求意见稿）编制说明一、工作简况1、任务来源根据国家标准化管理委员会2021年下达的国家标准制修订计划，《信息安全技术移动智能终端的移动互联网应用程序（App）个人信息处理活动管理指南》由华为技术有限公司承办，计划号：XXXXXXXX-T-469。

该标准由全国信息安全标准化技术委员会归口管理。

2、标准编制的主要成员单位华为技术有限公司负责起草，中国电子技术标准化研究院、中国网络安全审查技术与认证中心、OPPO广东移动通信有限公司、维沃移动通信有限公司、北京小米移动软件有限公司、荣耀终端有限公司、北京三星通信技术研究有限公司等单位共同参与了该标准的起草工作。

3、主要工作过程2020年12月，撰写组成立，召开第一次小组讨论会，明确本规范对象和主要内容，确定了以移动终端操作系统为对象，以操作系统上涉及的APP收集使用个人信息相关管控为主要内容，并分配了相关工作。

2021年1月，编制组在“四部委APP治理小组”的工作基础上，分析APP 在个人信息保护方面常见问题，梳理出可通过操作系统增强的问题点；分析、梳理近年来主流操作系统在个人信息保护方面的增强点。

2021年3月，起草标准草案。

2021年8月15日，华为技术有限公司、中国电子技术标准化研究院、中国网络安全审查技术与认证中心等共同组成标准编制组，召开该标准编制启动工作会议。

会上讨论了对标准撰写思路的想法和意见；2021年9月至11月，标准编制组讨论并修改国家标准《信息安全技术移动智能终端的移动互联网应用程序（App）个人信息处理活动管理指南》（草案）；2021年11月11日，TC260 SWG-BDS工作组在北京组织召开了组内专家评审会。

专家组听取了标准编制组的工作汇报，审阅了相关文档，质询了有关问题。

2021年12月至2022年3月，根据2021年第二次会议讨论意见、以及编制组成员线下反馈意见形成征求意见稿，并组织编制组成员讨论征求意见稿。

穿透告知同意的迷雾：《个⼈信息告知同意指南（征求意见稿）》发布原创史宇航送法上⽹ 2⽉6⽇中国个⼈信息制度主要是以“告知同意”为基础构建，对个⼈信息的收集、处理均要求个⼈信息控制者向个⼈信息主体告知规则并获得同意。

但如何告知，如何才算获得了同意却是⼀个⾮常棘⼿的难题。

张新宝教授在《个⼈信息收集：告知同意原则适⽤的限制》⼀⽂中认为：很多情况下，⼿机App等互联⽹应⽤所谓的“告知”并不是真正的告知，⽤户的“同意”并⾮真正的“同意”，并且不乏⼤量⼿机App等互联⽹应⽤采取隐瞒⽅式获取⽤户同意的情形。

中国农历春节前，信安标委就《个⼈信息告知同意指南（征求意见稿）》开始征求意见。

在正式版本⽣效后，这份⽂件可能会是与《个⼈信息安全规范》（GB/T 35273-2017）同等重要甚⾄是更为重要的⼀份标准。

《个⼈信息告知同意指南（征求意见稿）》开始征求意见⽆疑是⼀个好的开始，有助于收集、处理个⼈信息的企业穿透迷雾，履⾏法律义务。

⼀、告知在告知同意⾥，“告知”与“同意”的定义⽆疑最为重要。

所谓告知，是指：“将与个⼈信息处理活动相关信息提供给个⼈信息主体，使其了解个⼈信息处理活动的有关规则。

”对告知同意的内容，我这⾥不想多谈，参考《个⼈信息安全规范》中隐私政策的模板或者翻译国外总部提供的隐私政策就能写的⼋九不离⼗，有些领域可能需要再加上⼉童个⼈信息保护的规则。

但隐私政策只是企业开展个⼈信息保护的第⼀步，更重要的是如何将隐私政策呈现到⽤户⾯前，并获取⽤户的同意，告知内容的⽅式、展⽰、适当性与告知的内容（隐私政策）的⽂本同样重要，甚⾄更为重要。

展现形式主要包括：对于展⽰的内容（通常是隐私政策），《个⼈信息告知同意指南（征求意见稿）》建议以个⼈信息主体视⾓的⽤户体验和权益保障。

⽐如，需明确标识或突出显⽰：涉及个⼈敏感信息的内容、内容发⽣重⼤变化的部分、将对个⼈信息主体产⽣重要的或易于引起异议或争端的内容靠前推送，以及针对特殊群体，提供除⽂本外的图⽚、语⾳或视频等对告知内容进⾏阐述。

个人信息保护建议书在当今信息化社会，个人信息的保护变得尤为重要。

随着互联网的普及和信息技术的发展，个人信息安全面临着越来越大的挑战。

因此，我们需要采取一些措施来保护自己的个人信息，避免个人信息泄露带来的种种问题。

在这篇文章中，我将提出一些建议，帮助大家更好地保护个人信息。

首先，我们需要注意在互联网上的个人信息保护。

在使用社交媒体、网上购物、网上银行等服务时，我们要注意保护自己的个人信息。

不要随意在网上填写个人信息，尤其是银行卡号、身份证号等敏感信息。

在设置密码时，要选择复杂的密码，不要使用简单的生日、电话号码等作为密码。

同时，定期更换密码也是很重要的。

其次，我们需要警惕电话诈骗和网络诈骗。

在接到陌生电话时，要谨慎对待，不要随意透露个人信息。

同时，要注意防范网络诈骗，不要随意点击陌生链接，不要随意泄露个人信息。

如果遇到可疑情况，要及时报警或向相关部门举报。

另外，我们还需要保护好自己的身份证件。

身份证是我们重要的身份证明，一旦丢失或被盗用，会给我们带来很大的麻烦。

因此，我们要妥善保管好自己的身份证件，不要随意将身份证复印件交给他人，不要随意丢弃旧的身份证件。

此外，我们还需要注意保护好自己的隐私。

不要随意在公共场合谈论个人隐私，不要在社交平台上公开个人隐私，避免给不法分子可乘之机。

同时，要注意保护好自己的家庭地址、家庭成员等信息，避免被不法分子盯上。

最后，我们还需要关注个人信息保护的相关法律法规。

法律是保护我们个人信息安全的有力武器，我们要了解相关法律法规，知晓自己的权利，一旦发生个人信息泄露等问题，要及时向相关部门求助，维护自己的合法权益。

总之，个人信息保护是每个人都需要关注的重要问题。

我们要提高个人信息保护意识，采取一些措施来保护自己的个人信息安全。

只有这样，我们才能更好地享受信息化社会带来的便利，避免个人信息泄露带来的种种问题。

希望大家都能重视个人信息保护，让自己的生活更加安全、便利。

电信和互联网用户个人信息保护规定(征求意见稿)第一章总则第一条为了保护电信和互联网用户的合法权益，维护网络信息安全，根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》等法律、行政法规，制定本规定。

第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动，应当遵守本规定。

第三条工业和信息化部和各省、自治区、直辖市通信管理局(以下统称"电信管理机构")依法对电信和互联网用户个人信息保护工作实施监督管理。

第四条本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的能够单独或者与其他信息结合识别用户的信息，包括用户姓名、出生日期、身份证件号码、住址等身份信息以及用户使用服务的号码、账号、时间、地点等日志信息。

第五条电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息，应当遵循合法、正当、必要的原则。

其在提供服务过程中收集、使用的用户个人信息的安全负责。

第七条国家鼓励电信和互联网行业开展用户个人信息保护自律工作。

第二章信息收集和使用规范第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则，并在其经营或者服务场所、网站等予以公布。

第九条未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。

电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，留存信息的期限，查询、更正信息的渠道以及拒绝提供信息的后果等事项。

电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息使用于其提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。

法律、行政法规对本条第一款至第三款规定的情形另有规定的，从其规定。