解读国标T信息安全技术个人信息安全规范

个人信息保护国标
个人信息保护是当今社会中非常重要的一个议题，国家标准对
于个人信息保护起着至关重要的作用。

在中国，个人信息保护的国
家标准是《信息安全技术个人信息安全规范》（GB/T 35273-2020）。

该标准规定了个人信息的范围、基本原则、个人信息的处理、个人信息安全保护的措施等内容。

从范围来看，国家标准明确了个人信息的范围，包括但不限于
个人身份信息、个人财产信息、个人生物识别信息、个人行踪信息等。

这些信息在使用、存储和传输过程中需要受到严格的保护。

在基本原则方面，国家标准强调了个人信息处理应当遵循合法、正当、必要的原则，明确了信息主体知情同意、目的明确、最小必要、确保信息准确性等原则，保障个人信息不被非法获取和滥用。

此外，国家标准还规定了个人信息处理的规范，包括信息的收集、存储、使用、传输等环节都需要建立相应的制度和控制措施，
确保个人信息的安全。

个人信息保护国家标准的制定和实施，对于企业和组织来说，
意味着需要建立健全的个人信息保护制度和技术措施，保障个人信
息的安全。

对于个人来说，也提醒我们应当增强个人信息保护意识，合理、谨慎地对待自己的个人信息，避免个人信息被泄露和滥用。

总的来说，个人信息保护国家标准的实施对于促进信息化建设、保护个人隐私、维护社会稳定都具有重要意义，需要各方共同遵守
和落实。

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。

本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。

一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施;b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。

二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门;2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。

De 3ICS 35.040L 80信息安全技术信息系统安全等级保护定级指南Information security technology-Classification guide for classified protection of information system中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布GB/T 22240—2008目次目次 (I)前言...................................................................................................................................................................... I I 引言.. (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 定级原理 (1)4.1 信息系统安全保护等级 (1)4.2 信息系统安全保护等级的定级要素 (2)4.2.1 受侵害的客体 (2)4.2.2 对客体的侵害程度 (2)4.3 定级要素与等级的关系 (2)5 定级方法 (3)5.1 定级的一般流程 (3)5.2 确定定级对象 (4)5.3 确定受侵害的客体 (5)5.4 确定对客体的侵害程度 (5)5.4.1 侵害的客观方面 (6)5.4.2 综合判定侵害程度 (6)5.5 确定定级对象的安全保护等级 (7)6 等级变更 (8)IGB/T 22240—2008II 前言（略）GB/T 22240—2008引言依据国家信息安全等级保护管理规定制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T 22239—2008《信息系统安全等级保护基本要求》；——国家标准《信息系统安全等级保护实施指南》；——国家标准《信息系统安全等级保护测评准则》。

国家标准《信息安全技术个人信息安全影响评估指南》（征求意见稿）编制说明一、工作简况1.1任务来源GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用，其中，《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作，旨在发现、处置和持续监控个人信息处理过程中的安全风险。

2017年3月，在信安标委会议周，云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》。

本标准为自主制定标准，标准任务编号为：20180840-T-469。

1.2主要起草单位和工作组成员标准由颐信科技有限公司牵头，中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技（杭州）有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想（北京）有限公司、清华大学、阿里巴巴（北京）软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制，归口单位为全国信息安全标准化技术委员会（简称信息安全标委会，TC260）。

本标准主要起草人：洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。

1.3 主要工作过程1、2017年3月，在云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》，对个人信息安全影响评估方法、应用、政策和标准进行调研分析，确定标准化需求。

2、2017年5月初，成立正式的个人信息安全影响评估指南标准编制组，标准由颐信科技有限公司牵头，中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴（北京）软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心等组成标准编制组。

解读《个人金融信息保护技术规范》之信息分级管理詹昊、宋迎、韦飞2020年2月20日，全国金融标准化技术委员会公布了《个人金融信息保护技术规范》（JR/T 0171——2020）（以下简称“《规范》”）。

《规范》是中国人民银行发布的金融行业推荐性标准（并非强制性标准），是在《信息安全技术个人信息安全规范》（GB/T 35273——2017，以下简称“《个人信息安全规范》”）等国家标准基础上对个人金融信息的保护作出的细化规定，基本遵循了《个人信息安全规范》关于收集、传输、存储、使用、删除、销毁等信息生命周期全部环节的基本要求。

《规范》较为引人瞩目的是对个人金融信息采取了分级管理的方式，本文主要就此进行研讨。

一、个人金融信息的范围根据《规范》第4.1条，个人金融信息具体指以下信息：二、个人金融信息分级管理机制《规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别，即采用了分级管理机制：三、个人金融信息全生命周期中分级管理的特别规定《规范》以个人金融信息收集、传输、存储、使用、删除、销毁等生命周期作为维度，对个人金融信息提出了具体合规性要求，其中各个周期对C3、C2类别的信息有不同于其他个人金融信息的特别规定。

四、《规范》与其他标准性文件信息分级管理的衔接数据分类分级管理是《中华人民共和国网络安全法》对网络运营者的基本要求之一。

实践中企业也会采取一定方式按照数据重要性、敏感程度对数据采取分类分级的方式进行管理。

目前已生效的法律法规和标准文件中除了将个人信息区分为“个人敏感信息”和“儿童个人信息”外，没有进一步分级的细化要求。

2018年底金融标准化技术委员会公布的《支付信息保护技术规范》（送审稿）则采取了与本《规范》类似的信息分级机制。

《支付信息保护技术规范》将支付信息按敏感程度从低到高分为C1、C2、C3、C4四个类别，具体指：•C4类别主要为于金融交易的用户鉴别与授权信息。

国标t26760-2011
国标t26760-2011是指“信息技术网络安全个人信息安全规范”。

该规范是为了规范个人信息在网络上的安全保护而制定的规范。

下面将从规范的内容和意义等方面进行阐述和介绍。

该规范主要包括以下几个方面：
1. 适用范围：规范适用于管理、获取、使用、存储、传输、处理和维护涉及个人信息的各类组织和个人。

2. 术语和定义：规范规定了个人信息、个人敏感信息、个人信息主体等相关术语和定义，为规范实施提供了基础。

3. 个人信息安全保护原则：规范强调了信息保密原则、信息收集原则、信息使用原则、信息安全原则等，对保护个人信息提供了指导和保障。

4. 个人信息安全保护体系要求：规范建立了个人信息安全保护体系，包括组织管理、安全技术措施、安全事件管理、安全应急管理等多个环节。

5. 个人信息安全保护措施：规范列举了个人信息安全保护措施，包括信息安全管理制度、网络安全设备、密码措施、备份管理、存储设施安全等，以减少安全风险。

6. 个人信息安全风险评估和大数据应用安全评估：规范对组织和个人开展风险评估提供了指导，同时，也对大数据应用安全
评估提出了要求。

该规范的实施对于保障个人信息安全具有重要作用，决定着个人信息在互联网时代的安全和保障。

规范的制定使得个人信息安全保护可以更加规范和科学，全面提高个人信息安全保护意识和能力。

总的来说，国标t26760-2011的出台和实施，为加强互联网时代下的个人信息保护，保障公民的权利，促进经济的健康有序发展提供了重要依据和基础。

在实际生活和工作中，组织和个人应严格执行相关规则，在信息技术应用中更注重个人信息的保护，同时也为此做出必要的投资和措施。

ACADEMIC RESEARCH 学术研究摘要：论文从各数据平台对个人信息保护缺失现状入手，分析了多个存在的风险点，通过分析解读相关法律条款，首先引导从业者从思想意识层面，认识到保护个人信息安全的重要性、急迫性与严肃性，然后介绍了一种基于数据加密的个人信息保护方案。

关键词：个人信息保护；密钥管理；加密方案一、前言近年来，各大知名平台数据泄漏事件时常登上热搜榜单，如华住酒店集团、网易163/126邮箱、顺丰快递、学信网等。

据不完全统计，国家互联网应急中心（CNCERT）通过公开渠道获得疑似泄露的数据库就多达数十个，涉及账号、密码数亿条[1]。

国外的Facebook、领英（LinkedIn）和谷歌等也多次发生用户信息泄露事件，每次均涉及数千万的个人账户[2]。

对此，人们不禁要问，在万物互联的今天，上传到网上的海量个人信息数据，到底还安全么？通常来讲，正规平台对用户的信息都会有较为完善的保护措施。

如最常见的用户密码，都会以不可逆加密的方式进行存储。

但如果仅用常规的MD5加密函数，也会给黑客可乘之机。

从以前的彩虹表，到现在的MD5解密网站，都是利用穷举字符组合的方式，通过建立明文——密文对应查询数据库（容量均是数以万亿计），从而可以对MD5、SHA1等全球通用的公开的加密算法进行反向查询，因此简单的密码组合使用常规的MD5加密同样存在相当大的风险。

而对于其他信息，如用户名、手机号、收货地址、身份证号等，各系统通常则不会有过多的保护手段，做得比较好的平台，会额外使用安全密码或短信验证码进行二次核验，但这些措施也仅限对前端有效，一旦遇到拖库级的泄漏事件，未进行加密存储的数据将毫无安全可言。

二、法规要求根据《中华人民共和国网络安全法》的定义：个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。

本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。

一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施;b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。

二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门;2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。

信息安全技术国标信息安全技术国标（GB/T）是我国在信息安全领域的技术标准，对于规范和指导信息安全技术的发展具有重要意义。

信息安全技术国标主要包括信息安全管理、密码技术、网络安全、应用安全、安全评估等多个方面，下面就信息安全技术国标展开详细介绍。

一、信息安全管理信息安全管理是信息安全工作的基础，也是国标中一个重要的领域。

信息安全管理国标主要围绕着信息安全体系建设、安全管理机制和安全管理要求等方面进行规范。

信息安全体系建设要求建立完整的信息安全管理体系，并结合实际情况，制定有效的信息安全政策和流程。

而安全管理机制要求规范组织机构安全架构、安全培训和管理流程等内容，确保信息资产得到有效管理和保护。

安全管理要求还包括了安全检查、安全事件处理和安全改进等方面的规范，以应对信息安全管理过程中出现的问题和风险。

二、密码技术密码技术是信息安全领域的核心技术之一，国标中也对密码技术进行了相关规范。

包括了密码算法的选择、密码产品的设计和开发、密码产品测试和安全评估等多个方面。

密码算法的选择要求采用国家规定的安全密码算法，并指导密码算法在各个领域的具体应用。

而密码产品的设计和开发要求规范密码产品的安全设计和实现，并对密码产品的开发过程进行详细的说明。

密码产品测试和安全评估则是确保密码产品的安全性和可靠性的重要环节，需要满足国家相关的测试要求和标准。

三、网络安全网络安全国标涵盖了网络安全基本要求、网络防护技术和网络安全事件处理等内容。

其中网络安全基本要求要求对网络安全的基本概念和基本框架进行详细规范，为网络安全工作提供了基本依据。

而网络防护技术则是对网络安全防护的技术手段和方法进行了规范，包括了网络边界防护、入侵检测、网络安全监控等多方面内容。

网络安全事件处理要求也对网络安全事件的分类、处理流程和信息报送等方面进行了详细规范，以确保网络安全事件得到及时、有效的处理。

四、应用安全应用安全主要包括了应用系统安全要求、安全设计和开发、应用系统安全测试等方面内容。

信息安全技术敏感个人信息处理安全要求1范围本文件给出了敏感个人信息界定方法，规定了敏感个人信息处理安全要求。

本文件适用于规范个人信息处理者的敏感个人信息处理活动，也可为监管部门、第三方评估机构对个人信息处理者开展敏感个人信息处理活动进行监督、管理、评估提供参考。

2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。

其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2022信息安全技术术语GB/T35273—2020信息安全技术个人信息安全规范GB/T37964—2019信息安全技术个人信息去标识化指南GB/T37988—2019信息安全技术数据安全能力成熟度模型GB/T39725—2020信息安全技术健康医疗数据安全指南GB/T39335—2020信息安全技术个人信息安全影响评估指南3术语和定义GB/T25069-2022、GB/T35273—2020界定的以及下列术语和定义适用于本文件。

3.1个人信息personal information以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

[来源：GB/T35273—2020,3.1，有修改]3.2敏感个人信息sensitive personal information一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

[来源：GB/T35273—2020,3.2，有修改]3.3个人信息处理者personal information processor自主决定处理目的、处理方式的组织、个人。

[来源：GB/T35273—2020,3.4，有修改]个人信息主　3.4体personal information subject个人信息已识别或者可识别的自然人。

《个人信息安全规范》辨析郎庆斌1摘要：《个人信息安全规范》作为社会普适的标准，应以个人信息安全为目标，以管理为主线，以个人信息生命周期为导向，扎实基础，严谨规则，传递全社会适用的个人信息安全标准规则的意义，并与质量管理体系、服务管理体系、信息安全管理体系相互借鉴、融合，保证个人信息管理的科学性、有效性。

关键字：个人信息个人信息安全个人信息管理GB/T 35273-2017《信息安全技术个人信息安全规范》（以下简称规范）将于5月1日开始实施，这是我国社会生活中的一件大事，对规范全社会个人信息使用，具有深远意义。

然而，通观规范全文，存在太多的规则缝隙，因而，存在严重的安全风险、缺陷，甚至严重的缺陷。

试辨析规范，与起草者商榷。

一、标准题目1、题目与规则对应规范标题所传达的应是个人信息安全，依据标题，编制个人信息安全标准，应该如何建立规则，保障个人信息相对安全：a）明确个人信息存在形态、形式，建立个人信息安全模型；b）明确个人信息安全本质，建立个人信息管理模型；c）聚焦管理要素，达成管理结果，建立管理体系；d）明确个人信息生命周期，确立体系框架内的管理环节；e）基于ISMS的安全管理等等。

2、题目与内涵标准名称《信息安全技术个人信息安全规范》，应是普适的标准，可是，标准虽未明确限定为信息网络系统，然而，标准条文所传递的内涵，似乎如斯，应该如何理解？规范信息网络系统的个人信息处理本身没有问题，但是，如何界定标准的边界，特别是外部边界？依据标准名称，如何与信息网络系统之外的社会、生活、政治、经济等现实对标？如果仅仅限定为信息网络系统，如何保证个人信息来源的安全性、合法性（第5章仅限于一些收集的约束条件，并不明确个人信息源）；果以信息系统为基，放大到网络，如何保证个人信息安全（并不限于规范限定的条件）？在我国的国情中，存在大量的以纸质及其它形态媒介保存的个人信息，而这一部分恰恰是保护的重点（采集或录入恐怕都存在这种状况），如果仅限于信息网络系统处理个人信息（如规范制定的规则），如何防止信息系统处理个人信息向纸质及其它形态媒介转移，从而产生严重的边界效应，所谓暗度陈仓，多少非法使用可以假汝之名。

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。

本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。

一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施;b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。

二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门;2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。

实施不满一年，《个人信息安全规范》要改了！——2019版《个人信息安全规范（草案）》解读安杰律师事务所杨洪泉2018年5月1日生效的《信息安全技术—个人信息安全规范》（GB/T35273—2017）（下称“《标准》”）无疑是我国个人信息保护领域最重要的国家标准。

尽管《标准》仅是国家推荐标准，但在我国尚未出台《个人信息保护法》、且其他法律（包括《网络安全法》）缺乏具体可操作的个人信息保护规则的情况下，《标准》自其颁布之日，已成为企业个人信息保护合规工作可实际依赖的唯一标准。

由于相关监管部门似乎也将《标准》作为衡量企业个人信息保护水平的重要标尺，《标准》已隐隐成为具有一定权威性和约束力的“准法律”。

2019年2月1日，全国信息安全标准化技术委员会公布了《信息安全技术个人信息安全规范（草案）》（下称“《草案》”）全文，面向社会公开征求意见（意见反馈截止日期为2019年3月3日）。

如此重要的文件在实施尚不足一年的情况下即迎来首次修订，实属罕见也颇有深意。

本文就《草案》中的九大重要修改详细解读如下：一、增加“不得强迫收集个人信息”的要求在实践中，个人信息控制者将“用户同意隐私政策”与“用户使用其产品或服务”强制绑定的情况较为常见。

用户即便不同意提供某些个人信息、或不同意隐私政策中的某些条款，但为使用产品或服务也只能无奈勾选同意。

针对此类情况，《草案》规定了个人信息控制者不得强迫收集个人信息的具体要求：当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不得违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。

对个人信息控制者的要求包括：a)不得通过捆绑产品或服务各项业务功能的方式，要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求；b)应根据个人信息主体主动填写、点击、勾选等自主行为，作为产品或服务的业务功能开启或开始收集个人信息的条件，并提供关闭或退出业务功能的途径或方式。

ICS35.020L70 DB21 辽宁省地方标准DB 21/ T1628.1—2012代替DB21/T1628-2008信息安全 个人信息保护规范 Information Security-Specification for Personal Information Protection2012-2-7发布2012 - 03 - 07实施目次前言 (IV)引言 (1)1范围 (2)2术语、定义和缩略语 (2)3个人信息管理原则 (4)3.1 目的明确 (4)3.2 主体权利 (4)3.3 信息质量 (4)3.4 合理限制 (4)3.5 安全保障 (4)4个人信息主体权利 (4)4.1 知情权 (4)4.2 支配权 (4)4.3 质疑权 (4)5个人信息管理者义务 (5)5.1 管理责任 (5)5.2 权利保障 (5)5.3 目的明确 (5)5.4 告知 (5)5.5 质量保证 (5)5.6 保密性 (5)6个人信息管理 (5)6.1 目的 (5)6.2 计划 (5)6.3 组织 (5)6.4 控制 (6)6.5 协调 (6)7个人信息安全管理体系（PISMS） (6)8个人信息管理方针 (6)9个人信息管理相关机构及职责 (6)9.1最高管理者 (6)9.2 个人信息管理机构 (6)9.2.1 宣传教育 (7)9.2.2 个人信息安全 (7)9.2.3 服务台 (7)9.3 PISMS内审机构 (7)10个人信息管理机制 (7)10.1管理制度 (8)10.1.1基本规章 (8)10.1.2管理细则 (8)10.1.3其它管理规定 (8)10.2宣传 (8)10.2.1基本宣传 (8)10.2.2业务宣传 (8)10.2.3社会宣传 (8)10.3培训教育 (8)10.3.1计划 (8)10.3.2对象 (9)10.3.3内容 (9)10.4公示 (9)10.5个人信息数据库管理 (9)10.5.1保存 (9)10.5.2时限 (9)10.5.3备案 (9)10.6个人信息管理文档 (9)10.6.1记录 (9)10.6.2备案 (10)10.7人员管理 (10)10.7.1相关人员 (10)10.7.2工作人员 (10)10.7.3激励 (10)11个人信息管理过程 (10)11.1收集 (10)11.1.1目的 (10)11.1.2限制 (10)11.1.3类别 (10)11.1.3.1直接收集 (10)11.1.3.2间接收集 (11)11.2处理 (11)11.3利用 (11)11.3.1提供 (11)11.3.1.1合法性 (11)11.3.1.2权益保障 (11)11.3.1.3授权许可 (11)11.3.1.4质量保证 (11)11.3.1.5安全承诺 (11)11.3.2委托 (11)11.3.2.1范围限定 (11)11.3.2.2委托信用 (12)11.3.3其它 (12)11.3.3.1二次开发 (12)11.3.3.2交易 (12)11.4使用 (12)11.5后处理 (12)11.5.1质量 (13)11.5.2销毁 (13)12个人信息安全管理 (13)12.1风险管理 (13)12.2物理环境管理 (13)12.3工作环境管理 (13)12.4网络行为管理 (13)12.5IT环境安全 (13)12.6个人信息数据库安全 (13)12.6.1管理安全 (13)12.6.2使用安全 (14)12.6.3备份和恢复 (14)13PISMS内审 (14)13.1管理 (14)13.2计划 (14)13.3实施 (14)14过程改进 (14)14.1服务台管理 (14)14.2跟踪和监控 (14)14.3持续改进 (15)15应急管理 (15)16例外 (15)16.1收集例外 (15)16.2法律例外 (15)17评价 (15)前言本标准代替DB21/T 1628—2008《个人信息保护规范》。