TTAF 236—2024 个人信息保护保障能力评估规范 深度合成服务.docx

ICS33.030CCSM21

团体标准

T/TAF236—2024

个人信息保护保障能力评估规范

深度合成服务

Personalinformationprotectionandguaranteeability—

Deepsynthesisservice

2024-09-02发布2024-09-02实施

电信终端产业协会发布

I

T/TAF236—2024

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 1

5个人信息保护保障能力评估概述 2

5.1评估原则 2

5.2评估内容 2

5.3评估对象 2

6个人信息保护保障能力评估要求 2

6.1保障功能要求 2

6.2保障管理要求 3

7个人信息保护保障能力评估方法 4

7.1总体要求 4

7.2确定评估对象 5

7.3调研评估对象 6

7.4制定评估计划 6

7.5评估方法 6

7.6实施评估 6

7.7出具评估结论 6

参考文献 8

II

T/TAF236—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。

本文件起草单位：中国信息通信研究院、北京快手科技有限公司、华为终端有限公司、维沃移动通

信有限公司、百度在线网络技术（北京）有限公司、荣耀终端有限公司、

信有限公司、百度在线网络技术（北京）有限公司、荣耀终端有限公司、北京三星通信技术研究有限公司、北京微梦创科网络技术有限公司、OPPO广东移动通信有限公司、郑州信大捷安信息技术股份有限公司。

本文件主要起草人：冯金金、傅山、王嘉义、魏凡星、杨萌科、刘陶、陈鑫爱、王艳红、落红卫、谷晨、李实、赵盈洁、姚一楠、郭建领、王颖华、李辰淑、吴越、任资政、邹庆、李根、李腾、刘献伦。

III

T/TAF236—2024

引言

近年来，随着深度合成技术不断发展，越来越多的组织、个人参与到深度合成服务的开发和使用。深度合成服务造成的个人信息泄露事件时有发生，为落实相关法律法规的要求，提出个人信息保护保障能力评估规范深度合成服务，用于指导行业进行系统性的保障能力建设、规程建设、技术建设，落实个人信息保护工作。

1

T/TAF236—2024

个人信息保护保障能力评估规范深度合成服务

1范围

本文件规定电信和互联网行业深度合成服务提供者在评估提供深度合成服务时应满足的个人信息保护保障能力要求等内容。

本文件适用于深度合成服务提供者进行自评估，同时也适用于第三方评估机构开展评估工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

T/TAF148—2023电信和互联网个人信息保护保障能力评估规范

3术语和定义

3.1

深度合成技术deepsynthesistechnology

利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等信息的技术，包括语音合成、人脸再现、全身合成、数字虚拟人、虚拟现实等场景。

3.2

深度合成服务deepsynthesisservice

利用深度合成技术，合成出图像、视频、音频等数字化内容的服务。

3.3

深度合成服务提供者deepsynthesisserviceprovider提供深度合成服务的组织、个人。

3.4

深度合成服务使用者deepsynthesisserviceuser

使用深度合成服务，制作、复制、发布、传播信息的组织、个人。

4缩略语

下列缩略语适用于本文件。

APP：移动互联网应用程序（mobileinternetapplication）

2

T/TAF236—2024

5个人信息保护保障能力评估概述

5.1评估原则

开展基于深度合成服务的个人信息保护保障能力评估应遵循以下原则：

a)目的性原则：评估目的应明确具体，评估范围应与评估目的相适应。

b)可用性原则：应确保评估指标可覆盖保障能力措施实施情况。

c)全面性