截至2024年9月,全国网络安全标准化技术委员会(TC260)在个人信息保护方面,已经制定发布《个人信息安全规范》《移动互联网应用程序(App)收集个人信息基本要求》等17项国家标准,正在制订《敏感个人信息处理安全要求》《个人信息保护合规审计要求》等10项国家标准。

现有个人信息保护标准的应用框架如下图所示:

(一)基础应用级

基础应用级个人信息保护标准,主要包括3项通用个人信息保护标准和5项特定对象的个人信息保护标准,如下表所示:

标准名称

标准编号/状态

主要适用对象

相关

安全义务

个人信息安全规范

GB/T 35273-2020

个人信息处理者、第三方评估机构

个人信息处理

敏感个人信息处理安全要求

报批稿

个人信息处理者

敏感个人信息处理

移动互联网应用程序(App)收集个人信息基本要求(基础级)

GB/T 41391-2022

App运营者、第三方评估机构

移动应用个人信息安全

生物特征识别信息保护基本要求(基础级)

GB/T 40660-2021

生物识别信息处理者

生物识别信息安全

人脸识别数据安全要求(基础级)

GB/T 41819-2022

人脸识别数据处理者

生物识别信息安全

步态识别数据安全要求(基础级)

GB/T 41773-2022

步态识别数据处理者

生物识别信息安全

基因识别数据安全要求(基础级)

GB/T 41806-2022

基因数据及关联信息处理者

生物识别信息安全

声纹识别数据安全要求(基础级)

GB/T 41807-2022

声纹数据处理者

生物识别信息安全

    (二)规范应用级

    规范应用级个人信息保护标准,主要包括8项通用个人信息保护标准和8项特定对象的个人信息保护标准,如下表所示:

    标准名称

    标准编号/状态

    主要适用对象

    相关

    安全义务

    个人信息处理中告知和同意的实施指南

    GB/T 42574-2023

    个人信息处理者

    告知同意

    个人信息去标识化指南

    GB/T 37964-2019

    个人信息处理者

    去标识化

    个人信息保护合规审计要求

    征求意见稿

    个人信息处理者、第三方专业机构

    个人信息保护合规审计

    个人信息安全影响评估指南

    GB/T 39335-2020

    个人信息处理者、第三方评估机构

    个人信息保护影响评估

    基于个人信息的自动化决策安全要求

    报批稿

    个人信息处理者

    自动化决策

    个人信息跨境处理活动安全认证要求

    报批稿

    个人信息处理者、接收方

    个人信息跨境安全

    互联网平台及产品服务个人信息处理规则

    报批稿

    个人信息处理者

    个人信息处理规则

    移动互联网应用程序(App)收集个人信息基本要求(规范级)

    GB/T 41391-2022

    App运营者、第三方评估机构

    移动应用个人信息安全

    移动互联网应用程序(APP)个人信息安全测评规范

    GB/T 42582-2023

    第三方评估机构、App运营者

    移动应用个人信息安全

    移动互联网应用程序(App)软件开发工具包(SDK)安全要求

    GB/T 43435-2023

    SDK运营者

    移动应用个人信息安全

    移动智能终端预置应用软件基本安全要求

    GB/T 43445-2023

    移动智能终端提供者

    移动应用个人信息安全

    生物特征识别信息保护基本要求(规范级)

    GB/T 40660-2021

    生物识别信息处理者

    生物识别信息安全

    人脸识别数据安全要求(规范级)

    GB/T 41819-2022

    人脸识别数据处理者

    生物识别信息安全

    步态识别数据安全要求(规范级)

    GB/T 41773-2022

    步态识别数据处理者

    生物识别信息安全

    基因识别数据安全要求(规范级)

    GB/T 41806-2022

    基因数据及关联信息处理者

    生物识别信息安全

    声纹识别数据安全要求(规范级)

    GB/T 41807-2022

    声纹数据处理者

    生物识别信息安全

      (三)卓越应用级

      卓越应用级个人信息保护标准,主要包括4项通用个人信息保护标准和8项特定对象的个人信息保护标准,如下表所示:

      标准名称

      标准编号/状态

      主要适用对象

      相关

      安全义务

      个人信息安全工程指南

      GB/T 41817-2022

      个人信息处理者

      隐私设计

      个人信息转移技术要求

      送审稿

      个人信息处理者

      个人信息可携带

      个人信息去标识化效果评估指南

      GB/T 42460-2023

      个人信息处理者、第三方评估机构

      去标识化

      数据安全和个人信息保护社会责任指南

      征求意见稿

      数据处理者

      社会责任

      应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南

      GB/T 43739-2024

      应用商店运营者

      移动应用个人信息安全

      移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南

      报批稿

      移动智能终端提供者

      移动应用个人信息安全

      大型互联网企业内设个人信息保护监督机构要求

      报批稿

      大型互联网企业

      互联网平台安全

      公有云中个人信息保护实践指南

      GB/T 41574-2022

      公有云服务提供者

      个人信息委托处理等

      人脸识别数据安全要求(卓越级)

      GB/T 41819-2022

      人脸识别数据处理者

      生物识别信息安全

      步态识别数据安全要求(卓越级)

      GB/T 41773-2022

      步态识别数据处理者

      生物识别信息安全

      基因识别数据安全要求(卓越级)

      GB/T 41806-2022

      基因数据及关联信息处理者

      生物识别信息安全

      声纹识别数据安全要求(卓越级)

      GB/T 41807-2022

      声纹数据处理者

      生物识别信息安全

      获取《数据安全和个人信息保护标准应用参考框架V1.0》:

      链接: https://pan.baidu.com/s/1ryHYNNUhY3P19_GLvrs0WQ 提取码: vtc8

      声明:本文来自数安标准强基助力计划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。