信息安全技术个人信息安全规范

第1篇第一条为了规范个人信息处理活动，保护个人信息权益，维护网络空间秩序，根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规，制定本规范。

第二条本规范适用于在中国境内开展个人信息处理活动的组织和个人，包括但不限于政府机关、企事业单位、社会组织、个体工商户等。

第三条个人信息处理活动应当遵循以下原则：1. 合法、正当、必要原则：收集、使用个人信息，应当遵循合法、正当、必要的原则，不得违反法律法规的规定。

2. 明确告知原则：收集、使用个人信息，应当向个人信息主体明确告知收集、使用的目的、方式和范围。

3. 最小化原则：收集、使用个人信息，应当限于实现处理目的的最小范围，不得过度收集、使用个人信息。

4. 安全保护原则：采取必要措施，确保个人信息安全，防止个人信息泄露、损毁、篡改。

5. 主体参与原则：个人信息主体对其个人信息享有知情权、决定权，个人信息处理活动应当尊重个人信息主体的权利。

第二章个人信息收集第四条收集个人信息，应当遵循以下要求：1. 明确目的：收集个人信息前，应当明确收集的目的，并确保收集的个人信息与目的具有直接关联。

2. 明确方式：收集个人信息，应当采取合法、正当的方式，不得采用欺骗、误导等手段。

3. 明确范围：收集个人信息，应当限于实现处理目的的最小范围，不得过度收集。

4. 明确同意：收集敏感个人信息，应当取得个人信息主体的明示同意。

第五条收集个人信息，应当采取以下措施：范围，并取得个人信息主体的同意。

2. 最小化原则：在收集个人信息时，应当遵循最小化原则，只收集实现处理目的所必需的个人信息。

3. 敏感个人信息：收集敏感个人信息，应当采取更严格的安全保护措施。

第三章个人信息使用第六条使用个人信息，应当遵循以下要求：1. 合法使用：使用个人信息，应当遵循合法、正当、必要的原则，不得违反法律法规的规定。

2. 明确目的：使用个人信息，应当限于实现处理目的，不得超出收集目的。

解析新版《个人信息安全规范》中的个人信息保护负责人制度2020-08-03《网络安全法》出台后，特别是2018年5月1日《信息安全技术 个人信息安全规范》（“旧版规范”）生效以来，不少企业已经搭建起个人信息保护制度框架。

数据合规体系是动态的有机体，需要静态的制度框架，更需要合规人员的动态推动，将制度融入商业决策与交易中。

即将于2020年10月1日生效的《信息安全技术 个人信息安全规范》（“新版规范”或“《安全规范》”）针对个人信息保护负责人的规定，较旧版规范而言更为具体且务实。

一、为什么要建立个人信息保护负责人制度个人信息保护负责人是指全面实施统筹组织公司个人信息保护工作、对个人信息安全负直接责任的公司人员。

设立个人信息保护负责人对企业落地数据合规制度至关重要。

具体而言，科学有效的个人信息保护负责人制度既可提高企业法律风险防御能力，亦可增强其核心竞争力。

（一）提高企业风险防御能力个人信息保护不力会给企业带来巨大损失：政府调查与处罚轻则迫使企业整改、重则颠覆既有商业模式、甚至导致企业与主要负责人承担刑事责任；个人信息安全事件如果不能及时、妥善处理，企业所面对的信任危机可能比处罚带来的社会影响更为深远；广大民众不断觉醒的个人信息保护意识更是促使企业时刻不得松懈。

个人信息保护负责人既可以帮助企业在日常工作中未雨绸缪又可能在危机事件中力挽狂澜，提高企业防御风险的综合能力。

2017年3月，有消费者认为其个人信息遭到泄露而将某航空公司起诉至法院。

法院综合认定被告存在泄露个人信息的高度可能，同时认为法律对经营者采取技术措施和其他必要措施保护消费者个人信息施以强制规定。

但是，被告未能证明其已履行法定的个人信息保护义务。

[1]2019年12月，同一家航空公司因类似事由被起诉，但法院认为被告在自身掌握信息阶段不存在泄露个人信息的事实。

原因在于，航空公司不仅对可查看订单信息的管理系统进行数据脱敏设置，还建立起严密的数据安全管理制度、就数据存储安全进行专门认证、与专业第三方进行合作。

如何正确处理个人信息人们在日常生活中，会产生大量的个人信息。

随着信息技术的不断发展，人们在互联网上输入大量个人信息，如账户、密码、身份证号码、家庭住址、电话号码等，个人信息的泄露也成为了一个严重的问题。

为了保护自己的隐私和安全，如何正确处理个人信息显得尤为重要。

一、合理使用个人信息在处理个人信息时，首要原则就是不要将个人信息乱用。

我们需要明确自己获取个人信息的目的和合法性，不得将个人信息用于超出目的的用途。

比如，邮箱列表是用来发送邮件的，而不能被用于广告或是其他商业目的。

此外，如果将来不需要某些个人信息，及时删除或销毁这些信息也是很重要的。

二、保护个人信息安全在日常生活中，我们需要注意保护我们的个人信息安全。

密码应该经常更改并且不能使用太过简单的密码，银行卡和信用卡信息需要保存在安全的地方，家庭住址和电话号码需要选择性地在公共场合公开。

在网络上，我们需要加强对个人账户安全的保护。

常规做法包括设置强密码，开启双层验证，不在不安全的网络环境下进行个人信息操作等。

避免用公共设备登录自己的账户信息等行为也应当常识。

三、不轻信未知信息将自己的个人信息输入到一些不安全的网站时，常常会发生身份盗窃的事件。

在互联网上，有各种声称能够免费获得各种资源和服务的网站，但是这些网站往往会滋生恶意软件、病毒等安全隐患。

在互联网上购物时，要确保这些购物网站的安全性，避免泄露个人账户信息，以保证自己的财产安全。

四、保持警惕，了解个人信息的权利我们需要保持警惕，不要轻易相信陌生人的谎言。

垃圾邮件、骗子电话等往往会通过伪装的形式来获取用户的个人信息。

当然，在我们拥有权利知道和访问自己的信息时，通过了解这些权利，也可帮助我们更好地保护自己。

要了解有关个人信息保护的法律，如何识别窃贼等安全知识。

了解自己的个人信息在哪些方面可以得到保护，以及当自己的个人信息被侵犯时，可以采取哪些措施来保护自己。

五、积极监控个人信息，及时发现泄露即使我们采取了一定的安全防措施，个人信息泄露的风险仍然存在。

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。

本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。

一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施;b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。

二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门;2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。

《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间；b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施；b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动；b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体；c) 对其所持有的个人信息进行删除或匿名化处理。

《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案；b) 应定期（至少每年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程；c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门；2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患；3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式；4) 按照本标准9.2的要求实施安全事件的告知。

信息安全技术个人信息安全规范随着信息技术的迅猛发展，个人信息安全已成为人们关注的焦点。

互联网的普及和应用为我们提供了极大便利的同时，也给个人信息安全带来了挑战。

个人信息的泄露可能导致各种不良后果，如财产损失、身份盗用、个人隐私被侵犯等。

因此，信息安全技术在保护个人信息安全方面起着至关重要的作用。

为了保障个人信息的安全，我们应该注重个人信息安全规范，遵守相关法律法规，加强自我保护意识，同时也要借助信息安全技术来加强个人信息保护。

本文将从个人信息安全规范出发，探讨信息安全技术在个人信息安全方面的作用，并给出一些个人信息安全规范的建议。

一、个人信息安全规范1.1身份信息保护个人身份信息是最为重要的个人信息之一，包括姓名、身份证号码、出生日期、家庭住址、电话号码等。

我们应当尽量避免将这些信息直接暴露在公共场合，避免被不法分子利用。

在网上购物、注册社交平台等活动时，不要轻易将个人身份信息泄露给不熟悉的网站或平台，选择使用一些比较正规的网站进行注册购物等活动，确保个人信息的安全。

1.2账号密码安全在网络时代，人们的生活越来越依赖于各种账号密码，如电子邮箱、社交平台、网上银行等。

我们应当妥善保管账号密码，不要使用过于简单的密码，最好使用字母数字混合的复杂密码，并定期修改密码以增加安全性。

同时，使用密码管理工具来帮助管理和保护密码也是个人信息安全的重要手段。

1.3网络交易安全在进行网上交易时，我们应当选择正规的第三方支付平台，确保支付安全。

不要随意点击不明链接或下载不明来源的软件，以免导致个人电脑被攻击，造成个人信息泄露。

同时，在进行网上购物时，要选择信誉良好的商家，避免上当受骗。

1.4防范网络诈骗网络诈骗是近年来比较常见的一种犯罪手段，包括钓鱼网站、虚假广告、网络欺诈等。

我们应当提高警惕，定期更新杀毒软件以及操作系统补丁，及时了解并学习最新的网络诈骗手段，不轻易相信陌生人发送的邮件、信息及鼓励转发分享的内容。

ICS35.020L 70 DB21 辽宁省地方标准DB21/T 1628.1—2016代替DB21/T 1628.1-2012信息安全 个人信息保护规范 Information Security-Specification for Personal Information Protection2016-09-27发布2016-11-27实施目次前言 (IV)引言 (V)1 范围 (1)2 规范性引用文件 (1)3 术语、定义和缩略语 (1)4 个人信息生命周期 (4)5 个人信息主体权利 (4)6 个人信息管理者 (4)7 个人信息管理 (5)8 管理机制 (7)9 个人信息获取 (10)10 个人信息处理 (11)11 安全管理 (13)12 过程管理 (15)13 例外 (16)14 认证 (17)参考文献 (18)前言DB21/T 1628分为8部分：——信息安全个人信息保护规范——信息安全个人信息安全管理体系实施指南——信息安全个人信息数据库管理指南——信息安全个人信息管理文档管理指南——信息安全个人信息安全风险管理指南——信息安全个人信息安全管理体系安全技术实施指南——信息安全个人信息安全管理体系内审实施指南——信息安全个人信息安全管理体系过程管理指南等。

本部分是DB21/T 1628的第1部分。

本部分按照GB/T 1.1-2009《标准化工作导则第1部分：标准的结构与编写》给出的规则起草。

本部分代替DB21/T 1628.1-2012《信息安全个人信息保护规范》。

与DB21/T 1628.1-2012相比，本部分除编辑性修改外，主要技术变化如下：——标准结构修改，构建个人信息安全管理框架；——标准粒度修订，剔除规章制度等部分过细的约束规则；——适当跟踪新技术的发展，增加部分相关规则，如移动设备等；——增加个人定义，以使个人信息定义更加严谨，精确地描述个人信息；——修订个人信息定义；——增加主体定义，以使个人信息主体定义更加严谨，精确地描述个人信息主体；——修订个人信息主体定义，更加严谨、规范地描述个人信息主体；——定义个人信息生命周期，制定基于个人信息生命周期的个人信息安全规则；——定义个人信息管理者的行为约束；——建立被动收集的约束规则；——增加个人安全管理规则，以适应新一代信息技术应用对个人信息主体的安全威胁。

网络信息安全法遵守规范随着互联网的迅猛发展，网络信息安全问题日益凸显，各类网络犯罪层出不穷，严重威胁着国家安全和公民个人信息的保护。

为了加强网络信息安全管理，维护网络空间秩序，我国于2017年6月1日正式实施了《中华人民共和国网络安全法》。

作为一名网络信息使用者，我们都应当遵守相关规范，确保我们的网络行为合法合规，保护自己和他人的合法权益。

一、合法获取网络信息根据网络信息安全法，我们在获取网络信息时，必须依法合规，遵循以下规范：1. 尊重法律法规：我们应当依法获取信息，不得传播制作、复制、发布违法信息，特别是那些煽动暴力、淫秽色情、恐怖主义等违法信息。

2. 尊重他人合法权益：在获取网络信息的过程中，尊重他人的合法权益，不得侵犯他人的隐私、名誉等权益，不得利用网络进行人肉搜索、网络暴力等有损他人利益的行为。

3. 自我保护意识：在网络信息的获取过程中，要有自我保护意识，避免泄露个人的敏感信息和隐私，不轻易透露自己的真实身份和个人资料。

二、保护个人信息安全个人信息的安全保护是网络信息安全的重要组成部分。

我们应当树立个人信息保护意识，遵守以下规范：1. 合理收集个人信息：个人信息的收集必须经过信息主体的明确同意，信息主体有权选择提供信息的范围和目的，并有权随时撤回同意。

2. 安全存储个人信息：个人信息的存储应当采用安全可靠的技术手段，保护个人信息的机密性和完整性，避免遭到非法获取、泄露和篡改。

3. 合理使用个人信息：个人信息的使用应当遵循合法、正当、必要的原则，不得超过采集信息的约定范围。

同时，我们也要提高警惕，避免个人信息被滥用或非法销售。

三、维护网络信息安全为了维护网络的正常运行和信息的安全，我们应当自觉遵守以下规范：1. 禁止网络攻击行为：不得从事各类网络攻击行为，如入侵他人计算机系统、网络钓鱼、拒绝服务攻击等。

同时，也不得为他人提供相关技术帮助。

2. 禁止网络传播虚假信息：不得制作、复制、发布虚假信息，不得传播谣言，尤其是那些对社会秩序和公共安全产生严重影响的虚假信息。

信息安全技术个人信息安全规范随着信息技术的快速发展，人们的个人信息越来越容易被泄露和滥用，个人信息安全问题日益凸显。

而个人信息的泄露和滥用可能会带来严重的经济损失和社会影响。

因此，加强个人信息安全保护已成为一项紧迫的任务。

信息安全技术是保障个人信息安全的重要手段之一。

下面我们将针对个人信息安全问题，制定个人信息安全规范，以保护个人信息安全。

一、密码安全1.1、设置复杂密码密码是最基本的个人信息安全措施之一。

在使用各类账号时，务必保证密码的复杂性，至少包含字母、数字、特殊字符等，并且长度不低于8位，同时尽量避免使用与个人信息相关的密码。

1.2、定期更换密码为了避免密码被破解或盗用，建议定期更换密码，特别是对于重要的账号，如银行、电子邮箱等。

1.3、不随意向他人透露密码无论是收到怀疑邮件，还是被电话骗取信息，都不要轻易向他人透露密码。

同时，不要将密码直接写在纸质文件或手机备忘录中。

二、网络安全2.1、防止网络钓鱼网络钓鱼是一种常见的非法获取个人信息的手段，常常通过虚假网站或邮件来骗取用户的账号和密码等信息。

因此，要提高警惕，避免点击不明链接，尤其是避免输入账号和密码等信息。

2.2、安装杀毒软件和防火墙在使用网络时，务必安装杀毒软件和防火墙，及时更新病毒库，提高个人信息的安全性。

2.3、勿轻易公开个人信息在网上进行交流和注册时，要尽量避免公开个人敏感信息，如身份证号码、家庭住址、联系方式等。

三、数据存储安全3.1、加密个人数据对于个人重要的数据文件，如身份证件、银行卡信息等，要进行加密处理，增加泄密风险。

3.2、合理备份数据在使用电脑和手机时，务必进行数据备份，以防数据丢失或被锁定等情况发生。

3.3、安全存储移动设备对于移动设备，如手机、U盘等，要注意安全存放，避免丢失或被盗。

四、短信和邮件安全4.1、警惕虚假短信避免点击虚假短信中的链接，以免导致个人信息泄露。

4.2、谨慎打开陌生邮件对于未知发件人的邮件，要谨慎打开附件和链接，以免受到电脑病毒侵害。

个人信息安全规范首先，我们需要意识到个人信息的重要性。

个人信息包括身份证号码、手机号码、银行卡号、家庭住址等，这些信息一旦泄露，可能会给我们带来严重的财产损失和生活困扰。

因此，我们要时刻提醒自己，个人信息就像我们的财产一样，需要妥善保护。

其次，我们要加强对个人信息安全的意识培养。

在日常生活中，我们要注意保护个人信息的安全，不要随意向陌生人透露个人信息，不要随便点击不明来源的链接，不要使用简单的密码等。

同时，要定期更改密码，及时更新安全防护软件，加强对个人信息安全的防范意识。

另外，我们要选择安全可靠的网络平台和服务商。

在使用网络服务时，要选择正规、有信誉的平台和服务商，不要随意下载不明来源的软件，不要轻信网上的虚假信息。

只有选择安全可靠的网络平台和服务商，才能更好地保护个人信息的安全。

此外，我们还要学会合理使用个人信息。

在网上注册账号时，要谨慎填写个人信息，不要填写过多不必要的个人信息，以免个人信息泄露。

在使用社交软件和网络平台时，要注意个人信息的保护，不要随意透露隐私信息，不要在公共场合公开个人信息，以免被不法分子利用。

最后，个人信息安全需要我们每个人共同来维护。

我们要加强对个人信息安全的宣传教育，提高广大人民群众的信息安全意识。

同时，政府和相关部门也要加大对个人信息安全的监管力度，建立健全个人信息安全保护制度，加强对个人信息的保护和管理，共同维护个人信息安全。

总之，个人信息安全规范是我们每个人都应该遵守的规则和准则。

只有加强对个人信息安全的重视，才能更好地保护个人信息的安全，防范个人信息泄露的风险，共同营造一个安全、和谐的网络环境。

希望每个人都能够牢记个人信息安全的重要性，自觉遵守个人信息安全规范，共同维护个人信息的安全。

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。

本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。

一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施;b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。

二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门;2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。

信息安全技术个人信息安全规范随着网络技术的不断发展，个人信息安全问题日益突出。

个人信息安全规范是指个人在使用网络及其他信息技术设备时，需要遵守的一系列安全条例和准则。

本文将从个人信息安全意识、密码安全、网络通信安全、文件信息安全等方面进行详细介绍，以帮助个人用户建立起良好的信息安全习惯。

一、个人信息安全意识1.了解个人信息的重要性个人信息包括个人身份证件、财产信息、通讯录信息、通信记录等敏感信息。

清楚了解个人信息的重要性，做到谨慎处理和妥善保护。

2.注意信息泄露的风险在使用网络进行信息交流或购物时，要注意个人信息可能被黑客、欺诈分子盗取、窃取的风险。

要提高警惕，采取有效措施保护个人信息的安全。

3.认识个人信息安全的责任每个人都有保护个人信息安全的责任，要做到不轻信陌生人的信息请求，不随意泄露他人的个人信息，积极参与维护个人信息安全的工作。

二、密码安全1.使用复杂密码在设置个人账户密码时，要采用大小写字母、数字、特殊符号等多种元素的组合，并且密码长度不少于8位，确保密码的强度。

2.定期更新密码为了避免密码被暴力破解、撞库攻击等方式获取，建议定期更新密码，建议每3个月更新一次。

3.不轻易泄露密码切勿将密码直接告知他人，不要将密码明文记录在便签、手机备忘录中，以免信息泄露。

4.不在公共设备上登录账户在网吧、公共电脑、无线网络等公共设备上，不要轻易登录个人账户，在使用时注意密码输入过程是否被他人窥视。

三、网络通信安全1.谨慎对待陌生链接收到来自陌生人的链接、附件时，要保持警惕，不轻易点击，避免因此导致电脑中毒、信息泄露等问题。

2.避免使用不安全的Wi-Fi在公共场所使用Wi-Fi时，要尽量避免连接不安全的Wi-Fi，以免被中间人攻击或数据被窃取。

3.使用加密通讯工具在网络通信中，尤其是涉及个人隐私信息的通讯时，要选择使用端到端加密的通讯工具，确保通讯内容不会被窃取、监控。

四、文件信息安全1.定期备份重要文件及时备份个人电脑中的重要文件，文件可以存储到云盘、移动硬盘等设备中，以免电脑故障、病毒攻击等导致文件丢失。

我国首个个人信息保护国家标准将于2013年2月1日起开始实施，该标准最显著的特点，就是将个人信息分为个人一般信息和个人敏感信息，并提出默许同意和明示同意的概念，而个人敏感信息就涉及个人隐私。

《信息安全技术个人信息保护指南》前言本指南由工业和信息化部信息安全协调司提出。

本指南由全国信息安全标准化技术委员会归口。

本指南起草单位：中国软件评测中心、大连软件行业协会、中国软件行业协会、中国互联网协会、中国通信企业协会通信网络安全专业委员会、北京金山安全软件有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京新浪互联信息服务有限公司、北京百合在线科技有限公司、上海花千树信息科技有限公司、北京百度网讯科技有限公司等单位。

本指南主要起草人：高炽扬、孙鹏、朱璇、严霄凤、朱信铭、曹剑。

引言伴随着信息技术的广泛应用和互联网的不断普及，个人信息在社会、经济活动中的地位日益凸显。

与此同时，滥用个人信息的现象随之出现，给社会秩序和人民切身利益带来了危害。

合理利用和有效保护个人信息已成为企业、个人和社会各界广泛关注的热点问题。

为提高个人信息保护意识，保护个人合法权益，促进个人信息的合理利用，指导和规范利用信息系统处理个人信息的活动，制定本指南。

个人信息保护指南1范围本指南明确了个人信息处理原则和个人信息主体的权利，提出了个人信息的收集、加工、转移、使用、屏蔽和删除等行为要求。

法律、行政法规已规定了个人信息处理有关事项的，从其规定。

本指南适用于利用信息系统处理个人信息的活动。

2术语和定义下列术语和定义适用于本指南。

2.1个人信息 personal information能够被知晓和处理、与具体自然人相关、能够单独或与其他信息结合识别该具体自然人的任何信息。

2.2个人信息主体 subject of personal information个人信息指向的自然人。

2.3个人信息管理者administrator of personal information对个人信息具有实际管理权的自然人或法人。

信息安全技术个人信息安全规范在当今数字化的时代，我们的生活变得越来越便利，但与此同时，个人信息安全问题也日益凸显。

从网上购物到社交媒体，从金融交易到医疗服务，我们在享受各种服务的过程中，不可避免地会留下大量的个人信息。

这些信息如果得不到妥善的保护，可能会给我们带来诸多麻烦，甚至威胁到我们的财产安全和人身安全。

因此，了解和遵循信息安全技术个人信息安全规范显得尤为重要。

首先，我们需要明确什么是个人信息。

个人信息指的是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

这包括但不限于姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

那么，为什么要重视个人信息安全规范呢？一方面，个人信息泄露可能导致骚扰电话、垃圾短信、诈骗邮件等的频繁骚扰，让我们的生活不得安宁。

另一方面，更严重的是，不法分子可能利用这些信息进行精准诈骗，或者盗刷信用卡、窃取账户资金等，给我们造成巨大的经济损失。

此外，个人信息的泄露还可能影响个人的声誉和信用，比如个人的隐私照片或视频被公开，会对个人的形象造成极大的损害。

为了保障个人信息安全，相关的技术规范应运而生。

在收集个人信息时，应当遵循合法、正当、必要的原则，并明确告知用户收集的目的、方式和范围。

例如，一个 APP 在收集用户的地理位置信息时，应当明确告知用户收集的原因是为了提供基于位置的服务，并且用户有权选择是否允许收集。

同时，收集的个人信息应当与实现产品或服务的业务功能有直接关联，不得过度收集。

在存储个人信息时，应当采取必要的安全措施，如加密存储、访问控制等。

加密技术可以将个人信息转化为一段难以理解的密文，即使数据被窃取，不法分子也难以获取其中的真实内容。

访问控制则可以限制只有授权人员能够访问和处理个人信息，降低信息被滥用的风险。

在使用个人信息时，应当遵循用户授权的范围和目的。

不得私自将用户的个人信息用于其他未经授权的用途。

信息安全技术敏感个人信息处理安全要求1范围本文件给出了敏感个人信息界定方法，规定了敏感个人信息处理安全要求。

本文件适用于规范个人信息处理者的敏感个人信息处理活动，也可为监管部门、第三方评估机构对个人信息处理者开展敏感个人信息处理活动进行监督、管理、评估提供参考。

2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。

其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2022信息安全技术术语GB/T35273—2020信息安全技术个人信息安全规范GB/T37964—2019信息安全技术个人信息去标识化指南GB/T37988—2019信息安全技术数据安全能力成熟度模型GB/T39725—2020信息安全技术健康医疗数据安全指南GB/T39335—2020信息安全技术个人信息安全影响评估指南3术语和定义GB/T25069-2022、GB/T35273—2020界定的以及下列术语和定义适用于本文件。

3.1个人信息personal information以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

[来源：GB/T35273—2020,3.1，有修改]3.2敏感个人信息sensitive personal information一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

[来源：GB/T35273—2020,3.2，有修改]3.3个人信息处理者personal information processor自主决定处理目的、处理方式的组织、个人。

[来源：GB/T35273—2020,3.4，有修改]个人信息主　3.4体personal information subject个人信息已识别或者可识别的自然人。

《个人信息安全规范》辨析郎庆斌1摘要：《个人信息安全规范》作为社会普适的标准，应以个人信息安全为目标，以管理为主线，以个人信息生命周期为导向，扎实基础，严谨规则，传递全社会适用的个人信息安全标准规则的意义，并与质量管理体系、服务管理体系、信息安全管理体系相互借鉴、融合，保证个人信息管理的科学性、有效性。

关键字：个人信息个人信息安全个人信息管理GB/T 35273-2017《信息安全技术个人信息安全规范》（以下简称规范）将于5月1日开始实施，这是我国社会生活中的一件大事，对规范全社会个人信息使用，具有深远意义。

然而，通观规范全文，存在太多的规则缝隙，因而，存在严重的安全风险、缺陷，甚至严重的缺陷。

试辨析规范，与起草者商榷。

一、标准题目1、题目与规则对应规范标题所传达的应是个人信息安全，依据标题，编制个人信息安全标准，应该如何建立规则，保障个人信息相对安全：a）明确个人信息存在形态、形式，建立个人信息安全模型；b）明确个人信息安全本质，建立个人信息管理模型；c）聚焦管理要素，达成管理结果，建立管理体系；d）明确个人信息生命周期，确立体系框架内的管理环节；e）基于ISMS的安全管理等等。

2、题目与内涵标准名称《信息安全技术个人信息安全规范》，应是普适的标准，可是，标准虽未明确限定为信息网络系统，然而，标准条文所传递的内涵，似乎如斯，应该如何理解？规范信息网络系统的个人信息处理本身没有问题，但是，如何界定标准的边界，特别是外部边界？依据标准名称，如何与信息网络系统之外的社会、生活、政治、经济等现实对标？如果仅仅限定为信息网络系统，如何保证个人信息来源的安全性、合法性（第5章仅限于一些收集的约束条件，并不明确个人信息源）；果以信息系统为基，放大到网络，如何保证个人信息安全（并不限于规范限定的条件）？在我国的国情中，存在大量的以纸质及其它形态媒介保存的个人信息，而这一部分恰恰是保护的重点（采集或录入恐怕都存在这种状况），如果仅限于信息网络系统处理个人信息（如规范制定的规则），如何防止信息系统处理个人信息向纸质及其它形态媒介转移，从而产生严重的边界效应，所谓暗度陈仓，多少非法使用可以假汝之名。

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。

本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。

一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施;b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。

二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门;2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。

解析新版《个人信息安全规范》中的个人信息保护负责人制度2020-08-03《网络安全法》出台后，特别是2018年5月1日《信息安全技术 个人信息安全规范》（“旧版规范”）生效以来，不少企业已经搭建起个人信息保护制度框架。

数据合规体系是动态的有机体，需要静态的制度框架，更需要合规人员的动态推动，将制度融入商业决策与交易中。

即将于2020年10月1日生效的《信息安全技术 个人信息安全规范》（“新版规范”或“《安全规范》”）针对个人信息保护负责人的规定，较旧版规范而言更为具体且务实。

一、为什么要建立个人信息保护负责人制度个人信息保护负责人是指全面实施统筹组织公司个人信息保护工作、对个人信息安全负直接责任的公司人员。

设立个人信息保护负责人对企业落地数据合规制度至关重要。

具体而言，科学有效的个人信息保护负责人制度既可提高企业法律风险防御能力，亦可增强其核心竞争力。

（一）提高企业风险防御能力个人信息保护不力会给企业带来巨大损失：政府调查与处罚轻则迫使企业整改、重则颠覆既有商业模式、甚至导致企业与主要负责人承担刑事责任；个人信息安全事件如果不能及时、妥善处理，企业所面对的信任危机可能比处罚带来的社会影响更为深远；广大民众不断觉醒的个人信息保护意识更是促使企业时刻不得松懈。

个人信息保护负责人既可以帮助企业在日常工作中未雨绸缪又可能在危机事件中力挽狂澜，提高企业防御风险的综合能力。

2017年3月，有消费者认为其个人信息遭到泄露而将某航空公司起诉至法院。

法院综合认定被告存在泄露个人信息的高度可能，同时认为法律对经营者采取技术措施和其他必要措施保护消费者个人信息施以强制规定。

但是，被告未能证明其已履行法定的个人信息保护义务。

[1]2019年12月，同一家航空公司因类似事由被起诉，但法院认为被告在自身掌握信息阶段不存在泄露个人信息的事实。

原因在于，航空公司不仅对可查看订单信息的管理系统进行数据脱敏设置，还建立起严密的数据安全管理制度、就数据存储安全进行专门认证、与专业第三方进行合作。