信息安全技术 个人信息安全 第2部分：实施指南.pdfVIP

DB21/T1628.2—XXXX

信息安全技术个人信息安全

第2部分：实施指南

1范围

本文件为个人信息管理者提供个人信息管理相关指导和通用准则。

本文件适用于自动或非自动处理全部或部分个人信息的机关、企业、事业、社会团体等组织及个人。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

DB21/T1628.1—2025信息安全技术个人信息安全第1部分：要求

DB21/T1628.5—2014信息安全技术个人信息安全第5部分：风险管理指南

DB21/T1628.6—2018信息安全技术个人信息安全第6部分：安全技术实施指南

DB21/T1628.7—2018信息安全技术个人信息安全第6部分：安全技术实施指南

3术语和定义

DB21/T1628.1—2025界定的以及下列术语和定义适用于本文件。

3.1

指南guide

构建个人信息安全管理体系应做什么和如何做。

3.2

个人信息利用personalinformationutilize

因某种利益使用个人信息或因某种利益交付第三方使用个人信息的行为。

3.3

个人信息安全风险personalinformationsecurityrisk

个人信息安全事故发生的可能性、后果和可能的影响。

3.4

个人信息安全事件personalinformationsecurityincident

可能对个人信息安全、个人信息主体权益构成潜在威胁，尚未引发实质性损害的活动、状态。

3.5

个人信息安全事故personalinformationsecurityaccident

威胁个人信息安全，损害个人信息主体权益，并可能造成一定影响的单个或一系列个人信息安全事

件。

4个人信息

1

DB21/T1628.2—XXXX

4.1分类

4.1.1类别

个人信息的类别可分为：

a)单一和组合个人信息：个人信息构成是单一自然人个体的数据元素，如姓名，或多个自然人

个体的数据元素构成，如由姓名、身份证号码、手机号码等构成的组合形式个人信息；

b)显性和隐性个人信息：易于识别的个人信息，如显见的自然人个体的生物特征和需要借助某

些技术手段获取的个人信息，如血型、基因等；

c)静态和动态个人信息：已经存在或过往、历史的个人信息，如教育经历和当前正在发生的个

人信息，如社会活动、收入支出等；

d)真实和虚拟个人信息：存在于现实世界中的真实的个人信息和存在于虚拟世界的虚拟的个人

信息等。

4.1.2形式

不同类别个人信息的存在形式主要可包括：

a)完整的个人信息：由单个或多个可识别的数据元素构成的组合信息，可以描绘出完整的个人

信息主体的自然人形态；

b)部分完整的个人信息：由单个或多个可识别的单一数据元素构成的信息，可以描绘出个人信

息主体的自然人基本形态；

c)琐碎的个人信息：离散的、毫无关联或可能存在部分关联的个人信息碎片（如个人信息假名、

个人信息匿名）。琐碎的个人信息，经精心收集、整理，有拼接、组合成相对或部分完整的

个人信息，形成个人信息主体基本形态的可能。但这种形态可能接近真实，也可能是扭曲的；

d)敏感的个人信息：个人信息主体具有的特殊的个人隐私信息，如身体障碍、精神障碍、犯罪

史、健康、医疗、性生活等，可以描绘个人信息主体的个人隐私形态；

e)具有敏感性的个人信息：即个人信息敏感性。在社会、生活、工作中，个人信息主体的某些

经常使用的、具有商业价值的个人信息，在处理、使用过程中产生敏感性，