信息安全技术 个人信息安全 第1部分：要求DB21T 1628.1-2026.docxVIP

ICS35.020CCSL70

21

辽宁省地方标准

DB21/T1628.1—2026代替DB21/T1628.1-2016

信息安全技术个人信息安全第1部分:要求

Informationsecuritytechnology—Personalinformationsecurity—Part1：Requirements

2026-01-07发布2026-02-07实施

辽宁省市场监督管理局发布

I

DB21/T1628.1—2026

目次

前言 III

引言 IV

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 3

5个人信息 3

6主体 4

7个人信息主体权利 4

8个人信息管理者 5

9个人信息管理 6

10获取过程 10

11处理过程 12

12过程管理 16

13安全管理 17

14例外 19

15认证 19

参考文献 20

DB21/T1628.1—2026

III

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件是DB21/T1628的第1部分。DB21/T1628已发布以下部分：

——第1部分：要求；

——第2部分：实施指南；

——第3部分：个人信息数据库管理指南；

——第4部分：文档管理指南；

——第5部分：风险管理指南；

——第6部分：安全技术实施指南；

——第7部分：内审实施指南；

——第8部分：过程管理指南。

本文件代替DB21/T1628.1—2016《信息安全个人信息保护规范》。与DB21/T1628.1—2016相比，本文件除编辑性修改外，主要技术变化如下：

a)标准名称修改为《信息安全技术个人信息安全第1部分：要求》；

b)调整标准结构（见第5、6、7、8、9、10、11、12、13章）；

c)增加个人数据相关规则的表述（见第5章）；

d)增加了个人信息相关规则的表述（见第5、6章）；

e)增加敏感个人信息和个人信息敏感性的规则表述（见第5.1、5.2、5.3、5.4节）；

f)增加个人信息假名化、匿名化相关规则（见第10.4、11.7节）；

g)增加个人信息生命周期内个人信息跨境收集、处理、使用相应规则等（见第11章）。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中共辽宁省委网络安全和信息化委员会办公室提出并归口。

本文件起草单位：大连软件行业协会、国家计算机网络应急技术处理协调中心辽宁分中心、大连交通大学、大连软信咨询服务有限公司、大连市计算机学会。

本文件主要起草人：郎庆斌、李凯、孙鹏、尹宏、丁宗安、孙毅、吕蕾蕾、杨莉、司丹、郭玉梅、王小庚、宋悦、王开红、曹剑。

本文件及其所代替文件的历次版本发布情况：

——2008年首次发布为DB21/T1628—2008，2012年第一次修订；

——2016年第二次修订为DB21/T1628.1—2016；

——本次为第三次修订。

本文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈，有关单位将及时答复并认真处理，根据实际情况依法进行评估及复审。

本文件归口单位通讯地址：沈阳市和平区光荣街26号甲，联系电话：024

本文件起草单位通讯地址：大连市高新园区火炬路32号创业大厦A座5层，联系电话：0411

IV

DB21/T1628.1—2026

引言

DB21/T1628.1-2016发布实施以来，在社会、经济、文化等各个领域的深刻变革中，对辽宁省个人信息安全起到了重要的指导作用。随着科学技术，特别是新一代信息技术的进步和发展，引发新的个人信息安全风险，需要在新的形势下重新审视个人信息安全标准的普适性。同时，个人信息安全相关的一些术语、概念、规则表述等存在重大差异，目前的一些表述形式，可能引发个人信息安全的潜在风险，需要新的、更加严谨、科学的规范。

无论传统的个人信息形态，还是新一代信息技术的应用（如智慧城市、云服务、大数据、物联网、智能识别、智能应用、移动应用等），管理是安全的关键。本文件