信息安全技术 个人信息安全 第1部分：要求.pdfVIP

DB21/T1628.1—XXXX

信息安全技术个人信息安全

第1部分:要求

1范围

本文件规定了个人信息、主体、个人信息主体权利、个人信息管理者、个人信息管理、个人信息获

取过程、个人信息处理过程、过程管理、安全管理和例外等的基本规则和要求。

本文件适用于自动或非自动处理全部或部分个人信息的机关、企业、事业、社会团体等组织及个人。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T35273-2020信息安全技术个人信息安全规范

3术语和定义

GB/T35273-2020界定的以及下列术语和定义适用于本文件。

3.1

个人数据personaldata

依附于个人，可客观、真实记录、鉴别自然人个体性状的字符、符号等，如数字、文字、图像、影

像、声音等，包括如：通过听觉、视觉、触觉等感官直接获得的个人数据；借助各种手段间接获得的个

人数据等。

3.2

个人信息权Personalinformationright

基于人格要素的个人信息财产权、隐私权及精神利益等。

注：人格要素是个人信息构成要件。

3.3

主体subject

事务、信息等的所有者、支配者、控制者。

3.4

个人信息主体权益personalinformationsubjectrightsandinterests

个人信息主体的人格权、人格利益及相应的个人信息权。

注1：人格权是基于自然规律出生，具有民事主体资格，享有民事权利并承担民事义务的自然人，维护人格主体自

身的独立人格利益所必备的生命健康、人格尊严、人身自由、个人隐私、个人信息等的各种权利。

注2：人格利益是自然人唯一拥有的人身权益，由生命、身体、健康、姓名、名誉、荣誉、肖像、个人隐私、人身

自由等生物性、精神性人格要素构成。

3.5

个人信息主体权利Personalinformationsubjectrights

基于个人信息主体权益形成的个人信息主体知情、支配、质疑等权利。

1

DB21/T1628.1—XXXX

注：个人信息主体权利相关规则参看DB21/T1628.1。

3.6

个人信息质量personalinformationquality

个人信息的完整性、准确性和时效性。

3.7

个人信息假名personalinformationpseudonym

将个人信息分解为可识别特征信息和琐碎信息，分别保存、管理。二者适配可构成完整、准确的个

人信息，并可准确识别特定的个人信息主体。

3.8

个人信息管理者personalinformationcontroller

获个人信息主体授权和明确同意，基于特定、明确、合法目的，获取、管理个人信息的机关、企业、

事业、社会团体等组织及个人。

注1：个人信息处理者、个人信息控制者、个人信息消费者等均应是个人信息管理者的角色细分;

注2：这些细分角色，具有相应的个人信息管理职能；

注3：这些细分角色应具有个人信息管理者同样的责任和义务，参看DB21/T1628.1。

3.9

个人信息数据库personalinformationdatabase

个人信息主体明确同意并授权，合法拥有的个人信息，按照一定方式和规则组织，形成逻辑统一的

个人信息集合体。包括：

a)可以通过自动处理方式处理和使用的、特定的个人信息集合体；

b)可以采用非自动处理方式处理和使用的、特定的个人信息集合体；

c)前述2种混合形式；

d)除前3项外，法律规定的可检索特定个人信息的集合体等。

注：个人信息数据库的存储介质可包括磁介质、电子介质、网络媒介、纸介质、声音、照片等。

3.10

个人信息主体画