DB21T 1628.2-2026 信息安全技术 个人信息安全 第2部分：实施指南.pdfVIP

ICS35.020

CCSL70

21

辽宁省地方标准

DB21/T1628.2—2026

代替DB21/T1628.2-2018

信息安全技术个人信息安全

第2部分:实施指南

Informationsecuritytechnology—Personalinformationsecurity—

Part2:Implementationguidelines

2026-01-07发布2026-02-07实施

辽宁省市场监督管理局发布

DB21/T1628.2—2026

目次

前言III

引言V

1范围1

2规范性引用文件1

3术语和定义1

4个人信息1

5个人信息主体4

6权益和权利5

7个人信息管理者6

8管理组织7

9PISMS10

10个人信息管理11

11个人信息生命周期18

12获取过程21

13处理过程23

14过程改进29

15个人信息安全风险管理30

16个人信息安全管理30

17管理和业务的连续性管理30

I

DB21/T1628.2—2026

II

DB21/T1628.2—2026

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件是DB21/T1628的第2部分。DB21/T1628已发布以下部分：

——第1部分：要求；

——第2部分：实施指南；

——第3部分：个人信息数据库管理指南；

——第4部分：文档管理指南；

——第5部分：风险管理指南；

——第6部分：安全技术实施指南；

——第7部分：内审实施指南；

——第8部分：过程管理指南。

本文件代替DB21/T1628.2—2018《信息安全个人信息安全管理体系第2部分：实施指南》。与

DB21/T1628.2—2018相比，本文件除编辑性修改外，主要技术变化如下：

a)标准名称修改为《信息安全技术个人信息安全第2部分：实施指南》；

b)增加了个人信息的部分规则（见第4章）；

c)增加个人信息主体权益和个人信息主体权利的部分规则（见第5、6章）；

d)依据DB21/T1628.1的修订调整标准结构（第5、6、7、8、9、10、11、12、13、14、15、16

章）；

e)增加个人信息生命周期内个人信息跨境收集、处理、使用相应规则（见第13章）；

f)增加敏感个人信息和个人信息敏感性规则（见第4.5节）；

g)增加个人信息画像、个人信息开发相关规则等（见第13.7节）。