锚定国家战略航向,筑牢个人信息保护标准体系之基。2025年9月16日,全国网络安全标准化技术委员会秘书处发布《个人信息保护国家标准体系(2025版)》(以下简称“标准体系”)。《标准体系》以《网络安全法》《数据安全法》《个人信息保护法》为法律框架,《网络数据安全管理条例》《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《国家标准化发展纲要》等决策部署为个人信息保护国家标准体系建设的目标与路径,包括加快弥补关键基础标准短板、强化重点急需标准供给、制定完善统一规范科学的标准,为推动标准实施应用,保护公民个人信息权益提供有力支撑。
提升标准实施效能,打造落地保障之柱。构建政府、企业、行业、社会协同参与的实施体系,将标准要求转化为蓬勃发展实效,一方面,要健全完善标准制修订、试点验证、宣贯培训等全流程工作机制,持续厚植标准影响力;另一方面,要秉持高水平开放发展的宏阔格局,积极开展国际交流合作,深度参与隐私保护领域国际标准化工作,推动我国先进标准“走出去”,同时促进国际标准在国内落地转化。
擘画未来征程蓝图,全面锻造体系应用之翼。面对新技术新应用发展,需保持标准体系先进适用,立足当下、着眼未来。一是按需完善个人信息保护国家标准多层体系;二是以“快、优、强”为目标,加快研制儿童手表安全等强制性标准及个人信息保护相关标准;三是加大标准供给,开展小型处理者等标准或指南制修订,推进特色标准文件研制;四是提升标准应用效果,开展相关活动,推广已发布标准,建立配套文件与案例库并开展贯标应用。积极参与国际标准制定,贡献中国智慧,推动高质量发展,保障公民信息权益。
关注本公众号并后台回复关键词“炼石就是数据安全202”,即可打包下载《个人信息保护国家标准全景图(2025版)》及50项个人信息保护国标文件。
原创声明:本文全景图皆为原创,版权为炼石网络所有,如需转载请关注公众号回复“转载”,或在文章下方留言。
注:欢迎业界同仁反馈改进、共同完善、交流合作,信息反馈请发送邮件至:support@ciphergateway.com。
内容参考来源:全国网络安全标准化技术委员会官网.https://www.tc260.org.cn/front/postDetail.html?id=20250915154109
基础共性标准
基础共性标准为个人信息处理一般规则、敏感个人信息处理规则及标准体系中其他部分提供基础支撑,包括术语、个人信息处理安全、敏感个人信息保护三个子类标准。
1.术语
主要规范个人信息保护相关概念和术语定义,标准的术语定义应与个人信息保护法律法规政策的概念描述保持一致。
2.个人信息处理安全
主要规定个人信息处理的原则和基本保护要求,给出个人信息的识别规则和方法等,为其他个人信息保护标准提供基础支撑。
3.敏感个人信息保护
主要明确敏感个人信息识别和界定规则,规定敏感个人信息处理的通用安全要求、特定类型敏感个人信息的特殊处理要求等。
个人信息保护技术标准
个人信息保护技术标准主要明确个人信息保护的技术框架、规范和指南等,包括去标识化和匿名化、隐私工程与隐私设计、隐私增强技术三个子类标准。
1.去标识化和匿名化
主要围绕个人信息去标识化和匿名化,明确去标识化、匿名化的技术指南、效果评估、实施规范等。
2.隐私工程与隐私设计
主要围绕隐私工程(PrivacyEngineering,也称“个人信息安全工程”)与隐私设计(PrivacybyDesign),明确产品服务在需求、设计、开发、测试、发布等阶段的个人信息安全工程化指南和评价方法,并结合典型产品服务的隐私设计需求,给出隐私设计要点和参考等。
3.隐私增强技术
明确隐私增强技术(Privacy-EnhancingTechnologies,简称PETs)的指南、评估方法等,例如差分隐私、零知识证明等。
个人信息保护管理与权益保障标准
个人信息保护管理与权益保障标准用于明确个人信息保护管理相关要求,给出个人信息主体权益保障的要求、方法和指南,包括个人信息保护管理、个人信息权益保障两个子类标准。
1.个人信息保护管理
主要规定个人信息保护管理相关要求和指南,包括个人信息保护组织和人员、个人信息安全应急等管理标准,以及针对大型互联网企业、小型处理者等不同规模和类型的个人信息处理者的标准。
2.个人信息权益保障
主要明确保障个人信息主体各项权益的要求和指南,包括个人信息处理规则(例如隐私政策)、告知同意、自动化决策、个人信息主体权利、未成年人保护等标准。
个人信息保护测评和认证标准
个人信息保护测评和认证标准主要明确个人信息安全测评的相关评估方法、审计依据、认证依据等,包括影响评估、合规审计、应用检测、出境认证四个子类。
1.影响评估
围绕个人信息保护影响评估,主要明确影响评估的基本原理、实施流程、评估方法等。
2.合规审计
围绕个人信息保护合规审计,针对个人信息处理者自行开展合规审计、按照部门要求委托专业机构开展合规审计的工作需要,明确个人信息保护合规审计的基本原则、总体要求、实施流程、内容和方法、专业机构能力要求及相关配套实践指南等。
3.应用检测
主要制定应用程序个人信息安全检测标准,明确检测流程、检测方法、判定规则等。
4.出境认证
主要针对个人信息出境个人信息保护认证、粤港澳大湾区个人信息跨境安全互认的工作需求,明确认证的依据标准、评价指标等。
产品和服务个人信息保护标准
产品和服务个人信息保护标准在基础共性、个人信息保护技术、个人信息保护管理与权益保障三类标准之上,聚焦产品和服务的个人信息保护违法违规问题,明确常见产品和服务的个人信息保护要求和指南,包括移动应用、云计算服务、网络平台服务、智能终端、线下消费场景、其他六个子类。
1.移动应用
主要聚焦移动互联网应用生态的个人信息保护问题,明确移动互联网应用程序(App)、软件开发工具包(SDK)、应用商店、移动智能终端操作系统、移动智能终端预置应用等相关方的个人信息保护要求和指南。
2.云计算服务
主要围绕公有云的个人信息保护需求,给出公有云个人信息保护指南,明确保护目标和措施等。
3.网络平台服务
主要针对即时通信、快递物流、网上购物、网络支付、网络音视频、网络约车等典型网络平台服务,明确相关个人信息保护要求和指南。
4.智能终端
主要针对智能穿戴、智能家居、学习终端、儿童手表等各类智能终端设备的个人信息保护需求,明确相关终端产品的个人信息处理规则、保护要求、测评方法和实践指南等。
5.线下消费场景
主要针对收集个人信息的常见线下消费场景的个人信息保护需求,明确相关场景的个人信息处理规则、保护要求、测评方法和实践指南等,如自动售卖、扫码点餐、出行乘车、入场停车、商超支付、扫码充电、房屋租赁等场景。
6.其他
明确上述类别之外的其他产品和服务的个人信息处理规则、保护要求和实践指南等。
行业与应用个人信息保护标准
行业与应用个人信息保护标准位于个人信息保护国家标准体系最上层,是在其他个人信息保护标准的基础上,面向重点行业领域和技术应用开展个人信息保护标准研制,包括行业领域个人信息保护、技术应用个人信息保护两个子类。
1.行业领域个人信息保护
主要针对特定行业领域的个人信息保护需求,给出行业领域个人信息保护标准,如教育、卫健、文旅、住建、公共服务等。
2.技术应用个人信息保护
主要聚焦技术应用的个人信息保护问题隐患,研制特定技术应用的个人信息保护标准,如生物识别信息(也称“生物特征识别信息”)保护、人工智能等。其中生物识别信息保护标准主要明确个人生物识别信息(包括人脸、指纹、声纹、步态、基因等)的个人信息处理规则和保护要求;人工智能标准主要针对人工智能应用中的个人信息保护需求,研制相关标准。
关注本公众号并后台回复关键词“炼石就是数据安全202”,即可打包下载《个人信息保护国家标准全景图(2025版)》及50项个人信息保护国标文件。
注:全部内容请进入“公众号:炼石网络CipherGateway”查看或下载
京公网安备 11010802038255号 