个人信息保护国家标准体系(2025版)
AI智能总结
(征求意见稿) 全国网络安全标准化技术委员会秘书处2025年8月 前言 根据中央网信办、原国家质检总局、国家标准委联合印发的《关于加强国家网络安全标准化工作的若干意见》(中网办发文〔2016〕5号)(简称《若干意见》)规定,经中央网络安全和信息化领导小组同意,建立统一权威的网络安全国家标准工作机制,全国信息安全标准化技术委员会(简称“信安标委”或“TC260”)在国家标准委的领导下,在中央网信办的统筹协调和有关网络安全主管部门的支持下,对网络安全国家标准进行统一技术归口,统一组织申报、送审和报批。《若干意见》同时指出,信安标委要持续完善网络安全标准体系,加快开展关键信息基础设施保护、数据安全、个人信息保护、关键信息技术产品等领域的标准研究和制定工作。2024年,为贯彻落实中央网络安全和信息化工作会议关于构建大网络安全工作格局的要求,在信安标委基础上组建全国网络安全标准化技术委员会(简称“网安标委”),网络安全国家标准化工作统筹协调机制进一步加强。 近年来,随着《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规相继出台,我国数据安全政策法规体系日趋完善,对数据安全标准化工作提出更高要求。《数据安全法》明确提出“国家推进数据开发利用技术和数据安全标准体系建设”,体现了开展数据安全标准体系建设工作的重要性。数据安全作为《若干意见》的重点任务方向,网安标委一直高度重视数据安全标准研究和制定工作。2016年,为支撑国家大数据发展行动纲 要等国家战略需求,网安标委成立“大数据安全标准特别工作组”(SWG-BDS),开始研制数据安全和个人信息保护国家标准。2024年,该工作组更名为“数据安全标准工作组”(WG8),并报国标委同意,新增“数据安全技术”开头的标准名称,用于标识数据安全、个人信息保护国家标准。截至2025年7月,网安标委在数据安全和个人信息保护领域已制定发布42项国家标准,正在制修订2项强制性国家标准和18项推荐性国家标准,同时配套研制发布3项委员会技术文件和21项网络安全标准实践指南,初步构建了数据安全和个人信息保护标准体系,为支撑数据安全政策法规落地实施、护航产业数字化转型提供了安全规范。 为积极适应新形势新要求,更好发挥数据安全标准化工作的基础性、规范性、引领性作用,网安标委秘书处在梳理数据安全国家标准研制现状、分析数据安全标准需求的基础上,遵循标准体系建设客观规律,按照国家标准GB/T 13016-2018《标准体系构建原则和要求》,组织编制了《数据安全国家标准体系(2025版)》《个人信息保护国家标准(2025版)》,以更好指导下一步数据安全和个人信息保护国家标准研制,为有效保障数据安全、促进数字经济高质量发展提供安全标准依据。 目录 前言......................................................I一、标准体系编制原则.....................................1二、标准体系思路和框架...................................2三、标准体系主要内容.....................................5(一)基础共性标准......................................5(二)个人信息保护技术标准..............................6(三)个人信息保护管理与权益保障标准....................7(四)个人信息保护测评和认证标准........................8(五)产品和服务个人信息保护标准........................9(六)行业与应用个人信息保护标准.......................11四、下一步标准化工作建议................................13附件1现有个人信息保护标准文件..........................14 一、标准体系编制原则 以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大和二十届二中、三中全会精神,坚持网络安全为人民、网络安全靠人民,深入落实《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规和政策文件要求,建立健全个人信息保护国家标准体系,加快弥补关键基础标准短板,强化重点急需标准供给,着力推动标准应用实施和国际标准化工作,保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用, (一)统筹规划,全面布局。统筹高质量发展和高水平安全,全面梳理政策法规、产业发展、安全风险等方面的标准需求,以标准“快、优、强”为导向,以满足个人信息保护管理需求、提升个人信息保护合规水平、促进个人信息合理利用为目标,开展个人信息保护标准分类分级管理,建立健全与个人信息保护政策法规相配套、可规范引导产业个人信息处理活动、保障公民个人信息权益的个人信息保护国家标准体系。 (二)基础先立,急用先行。聚焦个人信息保护重点工作和技术产业发展需要,加快制修订个人信息处理安全、敏感个人信息、个人信息保护技术、个人信息权益保障等基础通用标准;同时,重点考虑亟待解决的产业高质量发展难题和个人信息保护合规隐患,结合不同各行业领域和新技术新应用的标准需求,加强个人信息保护标准供给,推进重点急需标准研制。 (三)注重实效,开放合作。健全完善标准制修订、试点验证、宣贯培训、应用推广、实施评价等标准化工作机制,持 续强化标准影响力、不断提升标准应用效果;坚持标准高水平开放发展,积极开展国际交流合作,加强隐私保护和消费者隐私设计领域的国际标准化工作,主动对接国际高标准经贸规则,推动具有我国先进技术成果的标准“走出去”,并促进实施应用效果好的国际标准在我国落地应用。 二、标准体系思路和框架 依据《网络安全法》《个人信息保护法》《网络数据安全管理条例》等个人信息保护政策法规,综合考虑个人信息保护在监督管理、产业规范、问题风险、技术发展、国际接轨等方面的标准化需求,建立健全个人信息保护国家标准体系。该体系在数据安全国家标准体系的基础上,以个人信息权益保护为核心,涉及与个人信息紧密相关的组织、产品、服务、系统、活动、技术、管理等标准化对象,涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等处理活动,保障个人信息的知情权、决定权、限制处理、拒绝处理等权利。 个人信息保护国家标准体系由基础共性、个人信息保护技术、个人信息保护管理与权益保障、个人信息保护测评和认证、产品和服务个人信息保护、行业与应用个人信息保护六大类标准组成,如图1所示。其中,基础共性标准作为个人信息保护标准体系的基础,为标准体系中其他部分提供支撑;个人信息保护技术标准用于明确个人信息保护技术的框架、规范和指南;个人信息保护管理与权益保障标准用于明确个人信息保护管理相关内容,给出个人信息主体权益保障的要求、方法和指南;个人信息保护测评和认证标准用于规范个人信息保护的检测评估、合规审计、安全认证等工作;产品和服务个人信息保护 标准在基础共性、个人保护技术、个人信息保护管理与权益保障标准之上,用于明确移动应用、网络平台服务等典型产品和服务的个人信息保护要求和指南;行业与应用个人信息保护标准位于个人信息保护标准体系最上层,是在其他标准的基础上,面向重点行业领域和新兴技术应用开展个人信息保护标准研制。 三、标准体系主要内容 (一)基础共性标准 基础共性标准为个人信息处理通用规则、敏感个人信息处理规则、标准体系中其他部分提供基础支撑,包括术语、个人信息处理安全、敏感个人信息保护三个子类标准,如图2所示。 1.术语 主要规范个人信息保护相关概念和术语定义,标准的术语定义应与个人信息保护政策法规的概念描述保持一致。 2.个人信息处理安全 主要规定个人信息处理的基本原则和保护要求,给出个人信息的识别规则和方法等。 3.敏感个人信息保护 主要明确敏感个人信息识别和界定,规定敏感个人信息处理的通用安全要求、特定类型敏感个人信息的特殊处理要求等。 (二)个人信息保护技术标准 个人信息保护技术标准主要明确个人信息保护的技术框架、规范和指南等,包括去标识化和匿名化、个人信息保护设计两个子类标准,如图3所示。 1.去标识化和匿名化 主要围绕个人信息去标识化和匿名化,明确去标识化、匿名化的技术指南、效果评估、实施规范等。 2.个人信息保护设计 主要围绕个人信息保护设计(隐私设计)和个人信息安全工程(隐私工程),明确产品服务在需求、设计、开发、测试、发布阶段的个人信息安全工程化指南和评价方法,并结合典型产品服务的隐私设计需求,给出隐私设计要点和参考等。 (三)个人信息保护管理与权益保障标准 个人信息保护管理与权益保障标准用于明确个人信息保护管理相关要求,给出个人信息主体权益保障的要求、方法和指南,包括个人信息保护管理、个人信息权益保障两个子类标准,如图4所示。 1.个人信息保护管理 主要规定个人信息保护管理相关要求和指南,包括针对大型互联网企业、小型处理者等不同规模和类型的个人信息处理者的标准,以及个人信息保护负责人、个人信息安全应急等管理方面的标准。 2.个人信息权益保障 主要明确保障个人信息主体各项权益的要求和指南,包括个人信息处理规则(隐私政策)、告知同意、自动化决策、个人信息主体权利、未成年人保护等标准。 (四)个人信息保护测评和认证标准 个人信息保护测评和认证标准主要明确个人信息安全测评的相关评估方法、审计依据、认证依据等,包括影响评估、合规审计、应用检测、出境认证四个子类,如图5所示。 1.影响评估 围绕个人信息保护影响评估,主要明确影响评估的基本 原理、实施流程、评估方法等。 2.合规审计 围绕个人信息保护合规审计,针对个人信息处理者自行开展合规审计、按照部门要求委托专业机构开展合规审计的工作需要,明确个人信息保护合规审计的基本原则、总体要求、实施流程、内容和方法、专业机构能力要求及相关配套实践指南等。 3.应用检测 主要制定应用程序个人信息安全检测标准,明确检测流程、检测方法、判定规则等。 4.出境认证 主要针对个人信息出境个人信息保护认证、粤港澳大湾区个人信息跨境安全互认的工作需求,明确认证的依据标准、评价指标等。 (五)产品和服务个人信息保护标准 产品和服务个人信息保护标准在基础共性、个人信息保护技术、个人信息保护管理与权益保障三类标准之上,聚焦产品和服务的个人信息保护违法违规问题,明确常见产品和服务的个人信息保护要求和指南,包括移动应用、云计算服务、网络平台服务、智能终端、线下消费场景、其他产品和服务六个子类,如图6所示。 1.移动应用 主要聚焦移动互联网应用生态的个人信息保护问题,明确移动互联网应用程序(App)、软件开发工具包(SDK)、应用商店、移动智能终端操作系统、移动智能终端预置应用等相关方的个人信息保护要求和指南。 2.云计算服务 主要围绕公有云的个人信息保护需求,给出公有云个人信息保护指南,明确保护目标和措施等。 3.网络平台服务 主要针对即时通信、快递物流、网上购物、网络支付、网络音视频、网络约车等典型网络平台服务,明确相关个人 信息保护要求和指南。 4.智能终端 主要针对智能穿戴、智能家居、学习终端、儿童手表等各类智能终端设备的个人信息保护需求,明确相关终端产品的个人信息处理规则、保护要求、测评方法和实践指南等。 5.线下消费场景 主要针对收集个人信息的常见线下消费场景的个人信息保护需求,明确相关场景的个人信息处理规则、保护要求、测评方法和实践指南等,如自动售卖、扫码点餐、出行乘车、入场停车、商超支付、扫码充电、房屋租赁等场景。 6.其他产品和服务 明确上述类别之外的其他产品和服务的个人信息处理规则、保护要求和实践指南等。 (六)行业与应用个人信息保护标准
