国家标准支撑《个人信息保护法》落地实施一周年

2021年11月1日,《中华人民共和国个人信息保护法》生效施行,提出制定个人信息保护具体标准、专门标准,推动与其他国家、地区、国际组织之间的个人信息保护标准互认的要求。全国信息安全标准化技术委员会(TC260)作为负责网络安全国家标准的专业技术组织,已经制定29项个人信息保护国家标准(其中17项已发布),研制发布8项技术文件和实践指南,参与4项国际标准。值此一周年之际,信安标委秘书处分析了《个人信息保护法》标准化需求,梳理出已有37项标准可为《个人信息保护法》42项条款落地实施提供支撑,提出了下一步标准研制建议,供各方参阅。  
一、总则  
【相关条款】:《个人信息保护法》第5、6、7、8、9条。  
【标准需求】:给出处理个人信息遵循合法、正当、必要和诚信,目的明确和最小化处理,公开、透明,个人信息质量,责任和安全保障等原则的具体要求。  
【已有标准】:GB/T35273-2020《个人信息安全规范》、GB/T41391-2022《移动互联网应用程序(App)收集个人信息基本要求》。  
二、个人信息处理规则  
1、个人信息处理活动  
【相关条款】:《个人信息保护法》第10、19、20、21、22、23、25、27、59条。  
【标准需求】:给出个人信息收集、存储、使用、加工、传输、提供、公开、删除等个人信息处理活动的通用要求。  
【已有标准】:GB/T35273-2020《个人信息安全规范》。  
2、个人信息告知同意  
【相关条款】:《个人信息保护法》第13、14、15、16、17、18、22、23、25、26、27、29、30、31、39条。  
【标准需求】:规定个人信息处理规则制定、公开要求,明确个人信息处理告知内容、告知方式等内容;针对个人信息处理合法性基础和个人同意规则,明确同意的作出、重新取得同意、撤回同意、禁止强制获取用户同意等内容。  
【已有标准】:GB/T35273-2020《个人信息安全规范》、GB/T41391-2022《移动互联网应用程序(App)收集个人信息基本要求》、《个人信息处理中告知和同意的实施指南》(报批稿)、《互联网平台及产品服务隐私协议要求》(送审稿)。  
3、敏感个人信息处理  
【相关条款】:《个人信息保护法》第28、29、30、31、32条。  
【标准需求】:针对医疗健康、金融账户、行踪轨迹等敏感个人信息,明确数据处理者进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求,重点针对采集必要性、安全保护、脱敏规则、告知同意等方面提出要求。  
【已有标准】:《敏感个人信息处理安全要求》(草案)。  
4、个人信息自动化决策  
【相关条款】:《个人信息保护法》第24条。  
【标准需求】:明确数据处理者在进行自动化决策及相关应用过程中的数据安全和个人信息保护要求。  
【已有标准】:《基于个人信息的自动化决策安全要求》(草案)、《机器学习算法安全评估规范》(报批稿)。  
三、个人信息跨境提供的规则  
【相关条款】:《个人信息保护法》第38、39条。  
【标准需求】:明确个人信息跨境提供的安全原则、安全要求和认证规则等,支撑个人信息跨境流动相关工作。  
【已有标准】:《个人信息跨境传输认证要求》(草案)、标准化技术文件《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》。  
四、个人在个人信息处理活动中的权利  
【相关条款】:《个人信息保护法》第44、45、46、47、48、49、50条。  
【标准需求】:给出保障个人在个人信息处理活动中权利的要求或指南,如查阅、复制权和可携带权,更正、补充权,删除权,解释说明权等。  
【已有标准】:GB/T35273-2020《个人信息安全规范》。  
五、个人信息处理者的义务  
1、个人信息保护技术  
【相关条款】:《个人信息保护法》第51条。  
【标准需求】:给出个人信息去标识化等技术要求或应用指南,包括目标、原则、实施过程、方法等,以及实施效果的评估方法。  
【已有标准】:GB/T37964-2019《个人信息去标识化指南》、GB/T41817-2022《个人信息安全工程指南》、《个人信息去标识化效果评估指南》(报批稿)。  
2、个人信息安全管理  
【相关条款】:《个人信息保护法》第51、52条。  
【标准需求】:给出个人信息分类管理、个人信息保护负责人等管理要求或指南。  
【已有标准】:GB/T35273-2020《个人信息安全规范》、《网络数据分类分级要求》(征求意见稿)、《敏感个人信息处理安全要求》(草案)。  
3、个人信息保护影响评估  
【相关条款】:《个人信息保护法》第55、56条。  
【标准需求】:给出个人信息安全影响评估的基本原理、实施流程等,为个人信息处理者开展个人信息保护影响评估提供指引。  
【已有标准】:GB/T39335-2020《个人信息安全影响评估指南》。  
4、个人信息安全应急处置  
【相关条款】:《个人信息保护法》第51、57条。  
【标准需求】:给出个人信息安全事件应急预案制定和实施要求,明确个人信息安全事件补救、通知等内容。  
【已有标准】:GB/T35273-2020《个人信息安全规范》,同时可参考网络安全应急处置相关标准,如GB/Z20986《信息安全事件分类分级指南》(修订中)、GB/T38645-2020《网络安全事件应急演练指南》、GB/T20985.2-2020《信息安全事件管理第2部分:事件响应规划和准备指南》、《网络安全应急能力评估准则》(送审稿)等。  
六、个人信息保护专门标准  
1、互联网平台个人信息保护  
【相关条款】:《个人信息保护法》第58条。  
【标准需求】:明确提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的范围,大型互联网企业内设监督机构人员选择、人员结构、人员资质、人员约束、运行机制等要求;针对典型互联网平台提出数据安全和个人信息保护要求。  
【已有标准】:GB/T42012-2022《即时通信服务数据安全要求》、GB/T42013-2022《快递物流服务数据安全要求》、GB/T42014-2022《网上购物服务数据安全要求》、GB/T42015-2022《网络支付服务数据安全要求》、GB/T42016-2022《网络音视频服务数据安全要求》、GB/T42017-2022《网络预约汽车服务数据安全要求》、《大型互联网企业内设个人信息保护监督机构要求》(草案)。  
2、应用程序个人信息保护  
【相关条款】:《个人信息保护法》第6、16、61条等。  
【标准需求】:支撑应用程序个人信息保护情况测评工作,促进移动应用生态落实《个人信息保护法》要求。  
【已有标准】:GB/T41391-2022《移动互联网应用程序(App)收集个人信息基本要求》、《移动互联网应用程序(APP)个人信息安全测评规范》(报批稿)、《移动互联网应用程序(APP)SDK安全指南》(送审稿)、《应用商店的App个人信息处理规范性审核与管理指南》(送审稿)、《移动智能终端的App个人信息处理活动管理指南》(送审稿)、《智能手机预装应用程序基本安全要求》(征求意见稿)。  
3、生物识别信息保护  
【相关条款】:《个人信息保护法》第26、62条。  
【标准需求】:给出人脸等各类生物识别信息收集、存储、使用、提供、公开、删除等处理活动的安全要求。  
【已有标准】:GB/T40660-2021《生物特征识别信息保护基本要求》、GB/T41819-2022《人脸识别数据安全要求》、GB/T41806-2022《基因识别数据安全要求》、GB/T41773-2022《步态识别数据安全要求》、GB/T41807-2022《声纹识别数据安全要求》。  
4、个人信息保护评估认证  
【相关条款】:《个人信息保护法》第38、62条。  
【标准需求】:给出个人信息保护评估、认证的相关依据、规则,支持有关机构开展个人信息保护评估、认证服务。  
【已有标准】:《移动互联网应用程序(APP)个人信息安全测评规范》(报批稿)、GB/T35273-2020《个人信息安全规范》、GB/T41391-2022《移动互联网应用程序(App)收集个人信息基本要求》、《个人信息跨境传输认证要求》(草案)、标准化技术文件《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》。  
5、受托人个人信息保护  
【相关条款】:《个人信息保护法》第21、59条。  
【标准需求】:针对接受委托处理个人信息的典型场景,给出受托人个人信息保护的要求或指南。  
【已有标准】:GB/T41574-2022《公有云中个人信息保护实践指南》。  
6、其他新技术、新应用个人信息保护  
【相关条款】:《个人信息保护法》第62条。  
【标准需求】:针对汽车数据处理等新技术、新应用,制定专门的个人信息保护标准。  
【已有标准】:GB/T41871-2022《汽车数据处理安全要求》。  
七、下一步标准建议  
按照法律法规要求,持续完善个人信息保护标准体系。针对个人信息保护突出问题,结合国家个人信息保护监管和技术产业发展需求,加快移动应用个人信息保护、个人信息出境认证、敏感个人信息处理等急需标准研制。开展人工智能应用等新技术新应用个人信息保护标准研制,以及小型个人信息处理者、个人信息删除等具体标准或实践指南研究。