DB21_T 1628.2-2026 信息安全技术 个人信息安全 第2部分：实施指南.docxVIP

ICS35.020

CCSL70

21

辽宁省地方标准

DB21/T1628.2—2026代替DB21/T1628.2-2018

信息安全技术个人信息安全

第2部分:实施指南

Informationsecuritytechnology—Personalinformationsecurity—

Part2:Implementationguidelines

2026-01-07发布2026-02-07实施

辽宁省市场监督管理局发布

I

DB21/T1628.2—2026

目次

前言 III

引言 V

1范围 1

2规范性引用文件 1

3术语和定义 1

4个人信息 1

5个人信息主体 4

6权益和权利 5

7个人信息管理者 6

8管理组织 7

9PISMS 10

10个人信息管理 11

11个人信息生命周期 18

12获取过程 21

13处理过程 23

14过程改进 29

15个人信息安全风险管理 30

16个人信息安全管理 30

17管理和业务的连续性管理 30

DB21/T1628.2—2026

III

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件是DB21/T1628的第2部分。DB21/T1628已发布以下部分：

——第1部分：要求；

——第2部分：实施指南；

——第3部分：个人信息数据库管理指南；

——第4部分：文档管理指南；

——第5部分：风险管理指南；

——第6部分：安全技术实施指南；

——第7部分：内审实施指南；

——第8部分：过程管理指南。

本文件代替DB21/T1628.2—2018《信息安全个人信息安全管理体系第2部分：实施指南》。与DB21/T1628.2—2018相比，本文件除编辑性修改外，主要技术变化如下：

a)标准名称修改为《信息安全技术个人信息安全第2部分：实施指南》；

b)增加了个人信息的部分规则（见第4章）；

c)增加个人信息主体权益和个人信息主体权利的部分规则（见第5、6章）；

d)依据DB21/T1628.1的修订调整标准结构（第5、6、7、8、9、10、11、12、13、14、15、16章）；

e)增加个人信息生命周期内个人信息跨境收集、处理、使用相应规则（见第13章）；

f)增加敏感个人信息和个人信息敏感性规则（见第4.5节）；

g)增加个人信息画像、个人信息开发相关规则等（见第13.7节）。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中共辽宁省委网络安全和信息化委员会办公室提出并归口。

本文件起草单位：大连软件行业协会、国家计算机网络应急技术处理协调中心辽宁分中心、大连交通大学、大连软信咨询服务有限公司、大连市计算机学会。

本文件主要起草人：郎庆斌、李凯、孙鹏、尹宏、丁宗安、孙毅、吕蕾蕾、杨莉、司丹、郭玉梅、王小庚、宋悦、王开红、曹剑。

本文件及其所代替文件的历次版本发布情况：

——2013年首次发布为DB21/T1628.2—2013，2018年第一次修订；

——本次为第二次修订。

本文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈，我们将及时答复并认真处理，根据实际情况依法进行评估及复审。

本文件归口单位通讯地址：沈阳市和平区光荣街26号甲，联系电话：024

本文件起草单位通讯地址：大连市高新园区火炬路32号创业大厦A座5层，联系电话：0411

DB21/T1628.2—2026

V

引言

DB21/T1628.2-2018发布实施以来，在社会、经济、文化等各个领域的深刻变革中，对辽宁省个人信息安全起到了重要的指导作用。随着科学技术，特别是新一代信息技术的进步和发展，引发新的个人信息安全风险，需要在新的形势下重新审视个人信息安全标准的普适性。同时，个人信息安全相关的一些术语、概念、规则表述等存在重大差异，目前的一些表述形式，可能引发个人信息安全的潜在风险，需要新的、更加严谨、科学的规范。

无论传统的个人信息形态，还是新一代信息技术的应用（如智慧城市