个人信息保护框架.docxVIP

T/CSACXXXXX—XXXX

PAGEII4IV

ICS35.030

CCSL80

T/CSAC

团体标准

T/CSACFORMTEXTXXXXX—FORMTEXTXXXX

个人信息保护框架

Personalinformationprotectionframework

（征求意见稿）

（征求意见稿）

（征求意见稿）

（本稿完成时间：2025.4.30）

（本稿完成日期：2023/XX/XX）

中国网络空间安全协会??发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

T/CSACXXXXX—XXXX

PAGE335I

PAGEII412

目??次 TOC\o1-4\h\z\u

目??次 I

前??言 IV

1范围 1

2规范性引用文件 1

3术语和定义 1

4个人信息保护框架技术要求 3

4.1个人信息保护框架概述 3

4.2分类分级技术要求 4

4.3采集技术要求 4

4.4脱敏技术要求 4

4.5存储技术要求 5

4.6共享技术要求 5

4.7交易技术要求 6

4.8出境技术要求 6

4.9流转技术要求 7

4.10删除技术要求 8

4.11溯源技术要求 8

4.12合规审计技术要求 8

4.13监管技术要求 9

5个人信息保护监管接口技术要求 10

5.1存证技术要求 10

5.2违规事件通知技术要求 10

参考文献 11

前??言

本标准按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》给出的规则起草。

请注意本文件的其他内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任

本文件由中国网络空间安全协会提出并归口。

本文件起草单位：

本文件主要起草人：

个人信息保护框架技术要求

范围

本标准规定了个人信息保护框架技术要求的术语、服务架构、服务内容、服务要求和服务接口要求等内容。

该标准描述了个人信息的保护框架，规定信息系统个人信息保护在采集到销毁全生命周期、跨系统全流程控制与保护、全程存证取证与溯源、平台/流转/出境/留存/交易/共享/合规审计/分类分级管理等流程环节的技术要求，包含隐私信息系统的体系架构、场景抽象、隐私流转控制与审计、隐私脱敏操作选取、隐私存储、监管、隐私保护效果评估、隐私信息删除等环节的技术要求，以及支撑高能效、高并发等普适性等方面的技术要求。该标准适用于各类组织规范其个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。

本标准适用于个人权益保障监管的设计、部署、应用及测评。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T35273-2020信息安全技术个人信息安全规范

术语和定义

个人信息personalinformation

是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包含个人信息本身及其衍生信息,不包括匿名化处理后的信息。

注：改写GB/T35273—2020，定义3.1。

敏感个人信息sensitivepersonalinformation

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。

注：敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

个人信息主体videosurveillancesystem

个人信息主体是指个人信息所识别或者关联的自然人。

个人信息处理者personalinformationprocessor

个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

注：与GB/T35273-2020中的“个人信息控制者”所指一致。

个人信息保护personalinformationprotection

泛在共享场景下，保证个人信息在产生、感知、发布、传播、存储、处理、使用、销毁等全生命周期内的受控使用和有效管理，保护个人信息中包含的敏感个人信