信息安全技术 个人信息安全 第2部分：实施指南.pdf

ICS35．020

CCSL70

21

辽宁省地方标准

DB21/T1628.2—XXXX

代替DB21/T1628.2-2018

信息安全技术个人信息安全第2部分：

实施指南

Informationsecuritytechnology-Personalinformationsecurity-Part2:Implementation

guidelines

（征求意见稿）

2022-04-22

（本草案完成时间：）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

辽宁省市场监督管理局发布

DB21/T1628.2—XXXX

引言

0.1个人信息管理

个人信息是与特定个人相关并可识别特定个人的数据、图像、声音等信息，是自然人非常重要的人

格要素之一，其属性特征与自然人的日常生活、社交、工作等密不可分，至关自然人个体的主体权益。

随着新技术的发展和普及，滥用、泄漏、公开、非法传播个人信息的威胁日趋严重。因此，需要采取适

宜的管理、技术等手段妥善保护。

个人信息管理是基于特定、明确、合法目的，以有效、能动、可控、安全为目标、针对个人信息及

相关资源、环境、管理体系等的相关活动或行为，是个人信息管理者向个人信息主体提供服务的过程，

这个过程构成个人信息全生命周期，包括个人信息获取过程、个人信息处理过程、基于生命周期的过程

管理等三个环节，通过计划、组织、协调个人信息资源需求与个人信息主体的符合性，采取相应的规范

化、系列化控制策略和控制措施，保证个人信息的安全。

0.2网络信息管理

网络信息管理是一般意义信息管理在网络空间中的延伸。网络空间是虚拟的，进入网络空间的个人，

可以拥有自己的虚拟生活领域，自主确定个人数据的使用、处理和控制。然而，个人的网络行为和活动，

包括个人网站、信息发布、电子商务、电子邮件等产生的个人信息，可以轻易地采用现代信息技术手段

监控、收集、利用。

无论何种社会形态，无论何种个人信息存在形态，个人信息安全形态是相似的：

a)所拥有、管理的个人信息的生命周期是相同的；

b)个人信息管理职能，包括计划、组织、控制、协调等是相同的；

c)保障个人信息主体权益，约束个人信息管理者的责任和义务是相同的。

因而，实现个人信息安全的核心是服务管理。以管理为主线，考虑个人信息生命周期不同阶段个人

信息的特征，强化生命周期内服务管理能力、服务管理质量，通过质量管控实现个人信息安全。

本文件确定的基于个人信息生命周期的个人信息管理规则，具有普适意义，既适用于不同社会形态

的行业特征，亦适用于不同的个人信息存在形态（如网络信息管理）。

0.3个人信息管理的必要性

随着社会经济的发展，个人信息的收集、处理、使用、利用，愈加方便、容易，对个人信息的侵害

也愈加频繁，愈加呈现多样性。个人的身份证号码、信用卡号码、电话号码、手机号码等信息都可能成

为被利用的工具，特别是信息技术和网络系统的进步，更使得个人信息的收集和利用变得非常容易。

在许多公共机构、政府行政机构、提供公共服务的组织合法掌握着大量的个人信息，当人们在提供

自身信息的同时，个人信息泄漏和