截至2024年9月,全国网络安全标准化技术委员会(TC260)在个人信息保护方面,已经制定发布《个人信息安全规范》《移动互联网应用程序(App)收集个人信息基本要求》等17项国家标准,正在制订《敏感个人信息处理安全要求》《个人信息保护合规审计要求》等10项国家标准。
现有个人信息保护标准的应用框架如下图所示:
(一)基础应用级
基础应用级个人信息保护标准,主要包括3项通用个人信息保护标准和5项特定对象的个人信息保护标准,如下表所示:
标准名称 | 标准编号/状态 | 主要适用对象 | 相关 安全义务 |
个人信息安全规范 | GB/T 35273-2020 | 个人信息处理者、第三方评估机构 | 个人信息处理 |
敏感个人信息处理安全要求 | 报批稿 | 个人信息处理者 | 敏感个人信息处理 |
移动互联网应用程序(App)收集个人信息基本要求(基础级) | GB/T 41391-2022 | App运营者、第三方评估机构 | 移动应用个人信息安全 |
生物特征识别信息保护基本要求(基础级) | GB/T 40660-2021 | 生物识别信息处理者 | 生物识别信息安全 |
人脸识别数据安全要求(基础级) | GB/T 41819-2022 | 人脸识别数据处理者 | 生物识别信息安全 |
步态识别数据安全要求(基础级) | GB/T 41773-2022 | 步态识别数据处理者 | 生物识别信息安全 |
基因识别数据安全要求(基础级) | GB/T 41806-2022 | 基因数据及关联信息处理者 | 生物识别信息安全 |
声纹识别数据安全要求(基础级) | GB/T 41807-2022 | 声纹数据处理者 | 生物识别信息安全 |
(二)规范应用级
规范应用级个人信息保护标准,主要包括8项通用个人信息保护标准和8项特定对象的个人信息保护标准,如下表所示:
标准名称 | 标准编号/状态 | 主要适用对象 | 相关 安全义务 |
个人信息处理中告知和同意的实施指南 | GB/T 42574-2023 | 个人信息处理者 | 告知同意 |
个人信息去标识化指南 | GB/T 37964-2019 | 个人信息处理者 | 去标识化 |
个人信息保护合规审计要求 | 征求意见稿 | 个人信息处理者、第三方专业机构 | 个人信息保护合规审计 |
个人信息安全影响评估指南 | GB/T 39335-2020 | 个人信息处理者、第三方评估机构 | 个人信息保护影响评估 |
基于个人信息的自动化决策安全要求 | 报批稿 | 个人信息处理者 | 自动化决策 |
个人信息跨境处理活动安全认证要求 | 报批稿 | 个人信息处理者、接收方 | 个人信息跨境安全 |
互联网平台及产品服务个人信息处理规则 | 报批稿 | 个人信息处理者 | 个人信息处理规则 |
移动互联网应用程序(App)收集个人信息基本要求(规范级) | GB/T 41391-2022 | App运营者、第三方评估机构 | 移动应用个人信息安全 |
移动互联网应用程序(APP)个人信息安全测评规范 | GB/T 42582-2023 | 第三方评估机构、App运营者 | 移动应用个人信息安全 |
移动互联网应用程序(App)软件开发工具包(SDK)安全要求 | GB/T 43435-2023 | SDK运营者 | 移动应用个人信息安全 |
移动智能终端预置应用软件基本安全要求 | GB/T 43445-2023 | 移动智能终端提供者 | 移动应用个人信息安全 |
生物特征识别信息保护基本要求(规范级) | GB/T 40660-2021 | 生物识别信息处理者 | 生物识别信息安全 |
人脸识别数据安全要求(规范级) | GB/T 41819-2022 | 人脸识别数据处理者 | 生物识别信息安全 |
步态识别数据安全要求(规范级) | GB/T 41773-2022 | 步态识别数据处理者 | 生物识别信息安全 |
基因识别数据安全要求(规范级) | GB/T 41806-2022 | 基因数据及关联信息处理者 | 生物识别信息安全 |
声纹识别数据安全要求(规范级) | GB/T 41807-2022 | 声纹数据处理者 | 生物识别信息安全 |
(三)卓越应用级
卓越应用级个人信息保护标准,主要包括4项通用个人信息保护标准和8项特定对象的个人信息保护标准,如下表所示:
标准名称 | 标准编号/状态 | 主要适用对象 | 相关 安全义务 |
个人信息安全工程指南 | GB/T 41817-2022 | 个人信息处理者 | 隐私设计 |
个人信息转移技术要求 | 送审稿 | 个人信息处理者 | 个人信息可携带 |
个人信息去标识化效果评估指南 | GB/T 42460-2023 | 个人信息处理者、第三方评估机构 | 去标识化 |
数据安全和个人信息保护社会责任指南 | 征求意见稿 | 数据处理者 | 社会责任 |
应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南 | GB/T 43739-2024 | 应用商店运营者 | 移动应用个人信息安全 |
移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南 | 报批稿 | 移动智能终端提供者 | 移动应用个人信息安全 |
大型互联网企业内设个人信息保护监督机构要求 | 报批稿 | 大型互联网企业 | 互联网平台安全 |
公有云中个人信息保护实践指南 | GB/T 41574-2022 | 公有云服务提供者 | 个人信息委托处理等 |
人脸识别数据安全要求(卓越级) | GB/T 41819-2022 | 人脸识别数据处理者 | 生物识别信息安全 |
步态识别数据安全要求(卓越级) | GB/T 41773-2022 | 步态识别数据处理者 | 生物识别信息安全 |
基因识别数据安全要求(卓越级) | GB/T 41806-2022 | 基因数据及关联信息处理者 | 生物识别信息安全 |
声纹识别数据安全要求(卓越级) | GB/T 41807-2022 | 声纹数据处理者 | 生物识别信息安全 |
获取《数据安全和个人信息保护标准应用参考框架V1.0》:
链接: https://pan.baidu.com/s/1ryHYNNUhY3P19_GLvrs0WQ 提取码: vtc8
声明:本文来自数安标准强基助力计划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
