个人信息通常包含敏感数据,如姓名、地址、电话号码、电子邮件地址、财务信息等。
无论是个人、企业还是政府机构,都应当重视个人信息的保护,采取适当的技术和管理措施来确保个人信息的安全。
关于个人信息安全,本文搜集了26项国家标准、18项行业标准以及24项团体标准,以供对此领域感兴趣的同学参考。
如需下载各项标准【PDF完整版】,关注“极盾科技”微信公众号,回复“个人信息安全”即可下载。
1、《网络安全标准实践指南—敏感个人信息识别指南》(征求意见稿)
发布日期:2024-06-11
标准编号:TC260-PG-2024XA
发布单位:全国网络安全标准化技术委员会
概述/要求:本指南提出了敏感个人信息识别方法,给出了常见敏感个人信息的类别和示例。本指南可用于指导各组织识别敏感个人信息范围,也可为敏感个人信息处理、出境和保护工作提供参考。
2、《数据安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》
发布日期:2024-04-25
实施日期:2024-11-01
标准编号:GB/T 43739-2024
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本文件给出了应用商店运营者对App个人信息处理活动的审核与管理指南。本文件适用于指导应用商店运营者审核管理App个人信息处理活动,也适用于第三方机构对应用商店运营者审核管理App个人信息处理活动的能力进行审查和评估。
3、《电信和互联网服务 用户个人信息保护技术要求》
发布日期:2023-12-28
实施日期:2024-04-01
标准编号:GB/T 43506-2023
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本文件规定了电信和互联网服务用户个人信息和权益保护的术语和定义、保护范围、信息分类、分级对象、分级方法和保护要求。本文件适用于电信业务经营者和互联网信息服务提供者在提供服务过程中的用户个人信息和权益保护。
4、《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》
计划下达时间:2023-08-06
计划编号:20230793-T-469(正在征求意见)
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本文件规定了大型互联网企业建立和运行个人信息保护监督机构的要求,包括个人信息保护监督机构的设置、职责、工作规则,以及个人信息保护监督机构的成员等要求。本文件适用于大型互联网企业建立和运行个人信息保护监督机构,也可为监管、检查、评估等活动提供参考。
5、《信息安全技术 个人信息处理中告知和同意的实施指南》
发布日期:2023-05-23
实施日期:2023-12-01
标准编号:GB/T 42574-2023
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本文件给出了处理个人信息时,向个人告知处理规则、取得个人同意的实施方法和步骤。本文件适用于个人信息处理者在开展个人信息处理活动时保障个人权益,也可为监管、检查、评估等活动提供参考。
6、《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范》
发布日期:2023-05-23
实施日期:2023-12-01
标准编号:GB/T 42582-2023
发布单位: 国家市场监督管理总局、国家标准化管理委员会
概述/要求:本文件规定了依据 GB/T35273—2020《信息安全技术 个人信息安全规范》开展 APP 个人信息安全测评的实施过程以及对各项具体安全要求进行测评的方法。本文件适用于指导第三方测评机构对 App 个人信息安全进行测评,也适用于主管监管部门对 App个人信息安全进行监督管理,还适用于 App 提供者开展个人信息安全自评时参考。
7、《信息安全技术 个人信息去标识化效果评估指南》
发布日期:2023-03-17
实施日期:2023-10-01
标准编号:GB/T 42460-2023
发布单位: 国家市场监督管理总局、国家标准化管理委员会
概述/要求:本文件提供了个人信息去标识化效果分级与评估的指南。本文件适用于个人信息去标识化活动,也适用于开展个人信息安全管理、监管和评估。
8、《信息安全技术 敏感个人信息处理安全要求》
计划下达时间:2023-03-21
计划编号:20230254-T-469(正在征求意见)
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本文件给出了敏感个人信息界定方法,规定了敏感个人信息处理安全要求。本文件适用于规范个人信息处理者的敏感个人信息处理活动,也可为监管部门、第三方评估机构对个人信息处理者开展敏感个人信息处理活动进行监督、管理、评估提供参考。
9、《信息安全技术 个人信息跨境处理活动安全认证要求》
计划下达时间:2023-03-21
计划编号:20230255-T-469(正在征求意见)
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本文件规定了个人信息处理者跨境提供个人信息的基本原则、基本要求和个人信息主体权益保障要求。本文件适用于认证机构对个人信息处理者跨境提供个人信息活动开展个人信息保护认证,也适用于主管部门、第三方评估机构等组织对个人信息处理者跨境提供个人信息进行监督、管理和评估。
10、《信息安全技术 基于个人信息的自动化决策安全要求》
计划下达时间:2023-03-21
计划编号:20230253-T-469(正在征求意见)
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本文件规定了个人信息处理者进行自动化决策处理活动时,在数据处理及自动化决策相关典型应用场景下的数据安全和个人信息保护义务、自动化决策的透明度、决策结果公平公正、保障个人合法权益等方面的要求。本文件适用于开展自动化决策活动的个人信息处理者规范和决策活动,也适用于监管部门、第三方评估机构对自动化决策处理活动进行监督、管理、评估等安排。
11、《产品和服务设计中的消费者隐私保护 第1部分:高阶要求》
计划下达时间:2023-08-06
计划编号:20230801-T-469(正在征求意见)
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本文件规范了产品和服务设计中的消费者隐私保护的通则、消费者沟通要求、风险管理要求、开发、部署和操作设计的隐私控制要求和个人身份信息生命周期结束要求等。本文件适用于产品和服务设计中的消费者隐私保护高阶管理。
12、《电子商务数据交易 第4部分:隐私保护规范》
发布日期:2021-05-21
标准编号:GB/T 40094.4-2021
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:GB/T 40094 的本部分规定了电子商务数据交易中隐私保护总则,数据提供方职责义务、数据需求方职责义务、交易平台运营商职责义务和信息主体权利的要求和订六本部分适用于电子商务数据交易中的隐私保护。
13、《信息安全技术 个人信息安全工程指南》
发布日期:2022-10-12
标准编号:GB/T 41817-2022
实施日期:2023-05-01
发布单位:中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会
概述/要求:本标准描述了个人信息安全工程目标,给出了在需求分析、产品设计、产品开发、测试审核、发布部署、运行维护等系统工程阶段的个人信息保护实施指南。本标准适用于涉及个人信息的网络产品和服务,为其在需求、设计、开发、测试等系统工程阶段开展个人信息保护实践提供指导。
14、《信息技术 安全技术 公有云中个人信息保护实践指南》
发布日期:2022-07-11
实施日期:2023-02-01
标准编号:GB/T 41574-2022
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本文件给出了在公有云中实施个人信息保护的控制目标和控制措施,在 GB/T 22081 基础上给出了公有云个人信息保护指南。本文件适用于作为个人信息处理者的所有类型和规模的组织,包括公有和私营公司、政府机构和非营利组织。本文件也可能适用于作为个人信息控制者的组织。但是,个人信息控制者可能还受额外的个人信息保护法律法规和义务的约束,而这些法律法规和义务不适用于个人信息处理者。本文件不涵盖此类额外义务。
15、《信息安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》
计划下达时间:2022-07-19
计划编号:20220783-T-469(正在征求意见)
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本文件针对移动智能终端提供了APp个人信息安全功能设计、管理个人信息安全风险的指南,以增强App收集个人信息行为的明示程度,并为App用户提供更多个人信息保护方面的控制机制。本文件适用于指导移动智能终端提供者进行系统设计、开发活动,主要适用于智能手机。
16、《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》
发布日期:2022-04-15
实施日期:2022-11-01
标准编号:GB/T 41391-2022
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本文件规定了 App收集个人信息的基本要求,给出了常见服务类型 APP 必要个人信息范围和使用要求。本文件适用于 App 运营者规范其个人信息收集活动,也适用于监管部门,第三方评估机构等对App 个人信息收集活动进行监督、管理和评估。
17、《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》
计划下达时间:2022-07-19
计划编号:20220784-T-469(正在批准)
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本文件给出了应用商店运营者对App个人信息处理活动的审核与管理指南。本文件适用于指导应用商店运营者审核管理App个人信息处理活动,也适用于第三方机构对应用商店运营者审核管理App个人信息处理活动的能力进行审查和评估。
18、《智能家用电器个人信息保护要求和测评方法》
发布日期:2021-11-26
实施日期:2022-06-01
标准编号:GB/T 40979-2021
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本文件规定了智能家用电器、智能家用电器系统/智能家居个人信息保护的术语和定义、个人信息收集方式、流转场景概述、软件操作系统、技术要求、组织管理要求及测评方法。本文件适用于智能家用电器、智能家用电器系统/智能家居相关各类组织的个人信息处理活动,包括个人信息收集、存储、使用(公开披露、共享与转让、委托处理及跨境传输)等业务流程的设计与评价,以及个人信息的组织管理与评价。
19、《信息安全技术 个人信息安全影响评估指南》
发布日期:2020-11-19
实施日期:2021-06-01
标准编号:GB/T 39335-2020
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本标准给出了个人信息安全影响评估的基本原理、实施流程。本标准适用于各类组织自行开展个人信息安全影响评估工作,同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。
20、《信息安全技术 个人信息安全规范》
发布日期:2020-03-06
实施日期:2020-10-01
标准编号:GB/T 35273-2020
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本标准规范了开展收集、保存、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。本标准适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
21、《信息安全技术 个人信息去标识化指南》
发布日期:2019-08-30
实施日期:2020-03-01
标准编号:GB/T 37964-2019
发布单位:国家市场监督管理总局、国家标准化管理委员会
概述/要求:本标准描述了个人信息去标识化的目标和原则,提出了去标识化过程和管理措施。本标准针对微数据提供具体的个人信息去标识化指导,适用于组织开展个人信息去标识化工作,也适用于网络安全相关主管部门、第三方评估机构等组织开展个人信息安全监督管理、评估等工作。
22、《信息安全技术 移动智能终端个人信息保护技术要求》
发布日期:2017-11-01
实施日期:2018-05-01
标准编号:GB/T 34978-2017
发布单位:中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会
概述/要求:本标准规范了全部或部分通过移动智能终端进行个人信息处理的过程,为移动智能终端中个人信息处理不同阶段的个人信息保护提供指导。本标准适用于指导公共及商业用途的移动智能终端进行个人信息的处理,其他有关各方也可参照使用。
23、《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》
发布时间:2022-06
发布单位:全国信息安全标准化技术委员会秘书处
标准编号:TC260-PG-20222A
概述/要求:本文件作为认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求,适用于以下情形:a)跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动:b)《中华人民共和国个人信息保护法》第三条第二款适用的个人信息处理活动。
24、《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求》
发布时间:2023-11
发布单位:全国信息安全标准化技术委员会秘书处
标准编号:TC260-PG-2023XX
概述/要求:本文件规定了粤港澳大湾区跨境处理个人信息应遵守的基本原则和要求。本文件适用于大湾区内个人信息处理者依据备忘录以认证方式开展个人信息跨境处理活动。大湾区内个人信息处理者是指注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内的个人信息处理者,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,及香港特别行政区的个人信息处理者。
25、《网络安全标准实践指南——人脸识别支付场景个人信息保护安全要求(征求意见稿)》
发布时间:2023-05
发布单位:全国信息安全标准化技术委员会秘书处
标准编号:TC260-PG-2023XX
概述/要求:本实践指南针对室内外区域中的人脸识别支付场景,提出个人信息保护要求。本实践指南不适用于用户在其自有手机或其他自有智能移动终端上进行的人脸识别支付。
26、《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》
发布时间:2020-03
发布单位:全国信息安全标准化技术委员会秘书处
标准编号:TC260-PG-20202A
概述/要求:本实践指南在 2019年3月1日版《App违法违规收集使用个人信息自评估指南》的基础上,依据《网络安全法》等法律法规要求,参照《App违法违规收集使用个人信息行为认定方法》和相关国家标准,结合检测评估工作经验,归纳总结出App收集使用个人信息评估点,供App运营者自评估参考,帮助其持续提升个人信息保护水平。
1、《互联网医疗健康移动应用软件(APP)个人信息保护技术要求》
发布日期:2023-12-20
实施日期:2024-04-01
发布单位:工业和信息化部
标准编号:YD/T 4538-2023
概述/要求:本文件规定了互联网医疗健康App网络安全管理、互联网医疗健康App个人信息处理活动等方面的技术保护要求。本文件适用于指导第三方评估机构对互联网医疗健康App个人信息保护能力进行评估,协助主管监管部门对互联网医疗健康App个人信息保护工作进行监督管理,也可以作为技术参考指导互联网医疗健康App提供者开展互联网医疗健康App个人信息保护能力自评。
2、《寄递服务用户个人信息保护要求》
发布日期:2023-01-04
实施日期:2023-04-01
发布单位:国家邮政局
标准编号:YZ/T 0189-2023
概述/要求:本文件规定了奇逆服务用户个人信息范围,基本要求,个人信息收集,个人信息存储、销毁及删除,个人信息使用,个人信息的提供,个人权利的实现,个人信息安全事件处置以及个人信息保护技术的应用等内容。本文件适用于寄递服务用户个人信息保护工作。
3、《大搜索中隐私保护技术要求》
发布日期:2023-12-20
实施日期:2024-04-01
发布单位:工业和信息化部
标准编号:YD/T 4520-2023
概述/要求:本文件规定了在各类大搜索服务中对个人(用户)隐私信息的保护手段和保护技术的要求。本文件适用于各类搜索服务和各类搜索系统平台的构建和监管,对用户个人隐私、用户数据安全等隐私保护技术的实现提供指导。
4、《域名服务隐私泄露风险防护指标要求》
发布日期:2023-05-22
实施日期:2023-08-01
发布单位:工业和信息化部
标准编号:YD/T 4211-2023
概述/要求:本文件规定了公众电信网和互联网相关域名服务的隐私泄露风险防护指标,用来实现对现有域名服务隐私防护技术的有效性及可用性评判,同时为开展新的域名服务隐私防护技术的开发和设计提供必要的指导和参考,其中涉及的域名服务包括权威域名服务和递归域名服务。本文件适用于互联网域名服务机构,为其域名服务隐私泄露风险防护工作提供相应参考。
5、《车联网信息服务 用户个人信息保护要求》
发布日期:2020-08-31
实施日期:2020-10-01
发布单位:工业和信息化部
标准编号:YD/T 3746-2020
概述/要求:本标准规定了车联网信息服务用户个人信息保护的信息内容分类、敏感性分级和分级保护要求。本标准适用于车联网相关的汽车厂商、零部件和元器件供应商、软件提供商、数据内容提供商和服务提供商等在提供服务过程中的用户个人信息保护。
6、《个人金融信息保护技术规范》
发布日期:2020-02-13
实施日期:2020-02-13
发布单位:中国人民银行
标准编号:JR/T 0171-2020
概述/要求:本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。本标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。
7、《移动浏览器个人信息保护技术要求》
发布日期:2018-12-21
实施日期:2019-04-01
发布单位:工业和信息化部
标准编号:YD/T 3367-2018
概述/要求:本标准规范了移动浏览器个人信息的类型,分析了安全威胁,确定了相应的安全防护目标和技术要求。本标准适用于移动智能终端上的浏览器。
8、《电信和互联网服务 用户个人信息保护技术要求 即时通信服务》
发布日期:2018-10-22
实施日期:2019-04-01
发布单位:工业和信息化部
标准编号:YD/T 3327-2018
概述/要求:本标准规定了即时通信服务的用户个人信息保护技术要求。本标准适用于即时通信服务。
9、《电信和互联网服务 用户个人信息保护技术要求 电子商务服务》
发布日期:2016-07-11
实施日期:2016-10-01
发布单位:工业和信息化部
标准编号:YD/T 3105-2016
概述/要求:本标准规定了电子商务服务的用户个人信息及相关权益的保护要求。本标准适用于电子商务服务。
10、《电信和互联网服务 用户个人信息保护技术要求 移动应用商店》
发布日期:2016-07-11
实施日期:2016-10-01
发布单位:工业和信息化部
标准编号:YD/T 3106-2016
概述/要求:本标准规定了移动应用商店服务的用户个人信息保护要求及与用户相关权益保护要求。本标准适用于移动应用商店。
11、《移动智能终端上的个人信息保护技术要求》
发布日期:2016-04-05
实施日期:2016-07-01
发布单位:工业和信息化部
标准编号:YD/T 3082-2016
概述/要求:本标淮规定了移动智能终端上的个人信息的类型,根据其不同的处理环节,结合每类信息的特点,对相应类型的个人信息保护提出具体的技术要求。本标准适用于移动智能终端和移动应用软件,可穿戴设备等其他类型的终端可参考使用。
12、《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第1部分:总则》
发布日期:2022-09-30
实施日期:2023-01-01
发布单位:工业和信息化部
标准编号:YD/T 4177.1-2022
概述/要求:本文件规定了APP收集使用个人信息的最小必要基本原则、评估要求、评估方法以及评估流程。本文件适用于移动互联网应用程序(APP)收集使用个人信息的设计、开发和评估,个别条款不适用于特殊行业、专业应用,其他终端也可参考使用。
13、《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第2部分:位置信息》
发布日期:2022-09-30
实施日期:2023-01-01
发布单位:工业和信息化部
标准编号:YD/T 4177.2-2022
概述/要求:本文件规定了移动互联网应用程序(APP)在处理涉及用户个人信息(位置信息)的告知同意、收集、存储、使用、删除、传输、删除等活动中的最小必要评估规范,并通过设备信息在处理活动中的典型应用场景来说明如何落实最小必要原则。本文件适用于移动互联网应用程序(APP)提供者规范用户个人信息(位置信息)的处理活动,也适用于第三方评估机构等组织对移动应用软件收集使用设备信息行为进行监督、管理和评估。
14、《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范 第3部分:图片信息》
发布日期:2022-09-30
实施日期:2023-01-01
发布单位:工业和信息化部
标准编号:YD/T 4177.3-2022
概述/要求:本文件规定了在移动应用软件在处理涉及个人信息主体个人信息相关图片信息的收集、存储、使用、删除等活动中的最小必要信息规范和评估方法,并通过对在个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。本文件适用于移动互联网应用软件提供者规范个人信息主体个人信息(图片信息)的处理活动,也适用于主管监管部门、第三方评估机构等组织对移动互联网应用程序收集图片信息行为进行监督、管理和评估。
15、《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范 第5部分:设备信息》
发布日期:2023-07-28
实施日期:2023-11-01
发布单位:工业和信息化部
标准编号:YD/T 4177.5-2023
概述/要求:本文件规定了移动互联网应用程序(APP)在处理涉及用户个人信息(设备信息)的收集、存储、使用、提供、删除等活动中的最小必要评估规范,并通过设备信息在处理活动中的典型应用场景来说明如何落实最小必要原则。本文件适用于移动互联网应用程序(APP)提供者规范用户个人信息(设备信息)的处理活动,也适用于第三方评估机构等组织对移动互联网应用程序收集使用设备信息行为进行监督、管理和评估。
16、《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范 第8部分:录像信息》
发布日期:2023-05-22
实施日期:2023-08-01
发布单位:工业和信息化部
标准编号:YD/T 4177.8-2023
概述/要求:本文件规定了移动互联网应用程序(APP)处理录像信息的基本原则,定义了录像信息的类型和典型应用场景,提供了对录像信息的收集、存储、使用、加工、传输、提供、公开、删除等处理活动中的最小必要规范和评估方法,并结合典型应用场景来说明如何落实处理活动中的最小必要原则。本文件适用于APP收集使用个人信息的设计、开发和评估,个别条款不适用于特殊行业、专业应用,其他终端也可参考使用。
17、《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第10部分:通话记录》
发布日期:2023-05-22
实施日期:2023-08-01
发布单位:工业和信息化部
标准编号:YD/T 4177.10-2023
概述/要求:本文件规定了移动互联网应用程序处理终端产生的通话记录信息的最小必要评估规范,包括基本原则、信息分类、典型场景、评估要求和评估方法。本文件适用于规范个人信息处理者通过移动互联网应用程序处理通话记录信息的活动,也适用于行业主管部门、第三方评估机构等组织对移动互联网应用程序收集使用通话记录行为进行评估。
18、《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第11部分:短信信息》
发布日期:2022-09-30
实施日期:2023-01-01
发布单位:工业和信息化部
标准编号:YD/T 4177.11-2022
概述/要求:本文件是 APP 收集使用个人信息最小必要评估规范系列标准中的短信信息部分,旨在贯彻个人信息收集使用的最小必要的原则,针对 APP 访问、收集、存储、使用、删除用户手机短信(含彩信、SG消息等多媒体方式)信息等各环节提出相应的最小必要性符合度评估项,并结合典型场景,对APP 最小必要处理短信信息进行规定。本文件适用于移动互联网应用软件开发者对用户短信信息的处理,也适用于主管路管部门、第三方评估机构等组织对移动互联网应用程序收集短信信息行为进行监督、管理和评估。
1、《医疗健康个人信息保护规范》
发布时间:2023-12-30
发布单位:广东省计算机信息网络安全协会发布
标准编号:T/GDNS 007-2023
概述/要求:本标准确立了医疗健康个人信息保护的总体原则和目标,给出了医疗健康个人信息保护的规范指引,规定了医疗健康个人信息服务的收集、传输、存储、使用、共享、转让、公开披露等数据处理活动的安全管理机制和安全技术措施。
2、《企业个人信息保护合规管理体系指南》
发布时间:2024-02-29
发布单位:中国互联网协会
标准编号:T/ISC XXXX-XXXX
概述/要求:本文件规定了企业建立、实施、评估、维护及改进个人信息保护合规管理体系的总体指南。本文件适用于开展个人信息保护合规管理相关工作的企业。
3、《个人信息处理法律合规性评估指引》
发布时间:2021-12-06
发布单位:中国科学技术法学会
标准编号:T/CLAST 002-2021
概述/要求:个人信息处理法律合规性评估指引的目的在于:支持组织证明和声明其个人信息处理的合规状态和合规能力,也包括支持顾客、监管者等对组织个人信息处理的合规性进行检查和监督,支持个人信息相关方之间建立理解和信任,以及支持独立的评估机构为具有上述需求的个人信息相关方提供法律合规性评估、咨询和认证服务。
4、《智能电视信息安全 操作系统个人信息保护要求和评测方法》
发布时间:2023-01-13
发布单位:中国电子视像行业协会
标准编号:T/CVIA 108.1-2023
概述/要求:本文件规定了智能电视操作系统个人信息保护的技术要求及评测方法,对具体的技术实现方案不作规定。本文件适用于智能电视操作系统个人信息处理活动,包括个人信息收集、存储、使用、传输等环节。
5、《应用商店App个人信息收集使用上架审核和管理规范(征求意见稿)》
发布时间:2021-11-05
发布单位:中国网络空间安全协会
概述/要求:应用商店、应用市场、分发网站等分发平台运营者对申请上架的移动应用程序收集使用个人信息的合规性审核以及日常管理,小程序、快应用、H5 页面等新形态网络应用程序的分发、接入平台运营者对所分发和接入的应用程序进行个人信息处理行为规范性审核和安全管理,适用本标准。
6、《移动智能终端个人信息保护指南(征求意见稿)》
发布时间:2021-11-05
发布单位:电信终端产业协会
概述/要求:本文件规定了移动智能终端的个人信息保护要求与相应测评方法,从个人信息全生命周期保护、安全能力方面对移动智能终端及与终端预置应用软件提出具体的规范要求并进行个人信息保护能力分级。本文件适用于移动智能终端及终端预置应用软件,其他类型的终端可参考使用。
7、《市场研究 个人信息安全保护要求》
发布时间:2021-04-01
发布单位:中国产学研合作促进会
标准编号:T/ CAB 0101-2021
概述/要求:本标准规定了市场研究从业者为完成市场研究在个人信息生命周期内处理受访者或其他个人的个人信息时应遵循的原则和要求。本标准适用于市场研究中个人信息的处理活动。
8、《软件开发包(SDK)个人信息处理规范》
发布时间:2022-11-25
发布单位:电信终端产业协会
标准编号:T/TAF 123-2022
概述/要求:本文件规定了对外提供服务的软件开发包(SDK)个人信息处理规范,包括软件开发包(SDK)处理个人信息的基本要求、软件开发包(SDK)提供者的基本要求以及保障及时响应用户权利的要求。本文件适用于软件开发包(SDK) 提供者对个人信息处理活动进行设计、开发和评估,也适用于主管部门、第三方评估机构等组织对软件开发包的个人信息处理行为进行监督、管理和评估。
9、《基于差分隐私的用户个人信息保护技术要求》
发布时间:2022/11/25
发布单位:电信终端产业协会
标准编号:T/TAF 137-2022
概述/要求:本文件规范了基于差分隐私的用户个人信息保护技术要求,包括差分隐私系统技术架构、差分隐私能力要求、差分隐私保护分级、差分隐私保护效果评定。本文件适用于应用在移动智能终端的差分隐私技术,也适用于评估机构基于本文件开展差分隐私产品保护个人信息的评估工作。
10、《电信和互联网个人信息保护能力审计规范》
发布时间:2022-11-21
发布单位:电信终端产业协会
标准编号:TT/TAF 139-2022
概述/要求:本文件规定了个人信息保护合规审计规范,主要包括审计目标、审计原则、审计范围、审计管理、审计内容、审计工具功能和审计评估。本文件适用于第三方评估机构开展评估工作,同时也适用于个人信息处理者进行自评估。
11、《房地产经纪服务中客户个人信息保护指南》
发布时间:2023-10-26
发布单位:中国房地产估价师与房地产经纪人学会
标准编号:T/CIREA JJ002-2023
概述/要求:本文件规定了房地产经纪机构及其房地产经纪人员在房地产经纪活动中的客户个人信息收集、使用等处理及保护要求,包括对接受房地产经纪服务委托前、提供房地产经纪服务过程中以及完成房地产经纪服务后涉及的客户个人信息收集、存储、使用、传输、提供以及删除等个人信息处理及保护做出了具体规定。
12、《小程序个人信息保护规范 第1部分:申请授权行为》
发布时间:2023-09-11
发布单位:电信终端产业协会
标准编号:T/TAF 180.1—2023
概述/要求:本文件规定了小程序申请授权行为部分的个人信息保护规范,包括小程序申请授权行为的典型检测场景及检测细则。本文件适用于小程序提供者对小程序的申请授权行为进行设计、开发和评估,也适用于主管部门、第三方评估机构等组织对小程序的申请授权行为进行监督、管理和评估。
13、《小程序个人信息保护规范第2部分:个人信息收集行为》
发布时间:2023-09-11
发布单位:电信终端产业协会
标准编号:TTAF180.2—2023
概述/要求:本文件主要规定了小程序收集个人信息行为的相关规范、小程序收集个人信息行为的典型场景及检测要求和细则。本文件适用于小程序对其收集个人信息行为进行设计、开发和评估,也适用于主管部门、第三方评估机构等组织对小程序进行监督、管理和评估。
14、《小程序个人信息保护规范第3部分:全流程开发管理》
发布时间:2023-09-11
发布单位:电信终端产业协会
标准编号:TTAF180.3—2023
概述/要求:本部分主要规定了小程序全流程开发管理的规范,包括小程序需求分析阶段、开发设计阶段、测试验证阶段、上线运行阶段、更新维护阶段和终止运营阶段的个人信息保护实施建议,适用于小程序提供者对小程序的开发、运营,同时适用于监管机构、第三方测评机构对小程序进行监督、评估与认证。
15、《小程序个人信息保护规范第4部分:全生命周期》
发布时间:2023-09-11
发布单位:电信终端产业协会
标准编号:TTAF180.4—2023
概述/要求:本部分主要规定了小程序个人信息处理的规范,包括小程序处理个人信息的基本要求,明确个人信息在小程序中不同的处理环节中的保护规范,适用于小程序对个人信息的处理,同时适用于监管机构、第三方测评机构对小程序进行监督、评估与认证。
16、《个人信息保护技术指引》
发布时间:2020-09-15
发布单位:中国支付清算协会技术标准工作委员会
标准编号:T/PCAC 0001—2016
概述/要求:本规范给出了信息系统处理个人信息的范围定义,界定了个人信息主体的权利,提出了系统处理个人信息的原则和个人信息的采集、展示、存储、传输、使用等行为要求。相关的法律、行政法规及标准规范中已规定个人信息处理有关事项的,从其规定。本规范用于指导本协会会员单位利用信息系统处理个人信息的服务与活动。
17、《 APP收集使用个人信息最小必要评估规范 总则》
发布时间:2020-11 - 26
发布单位:电信终端产业协会
标准编号:T/TAF 077.1-2020
概述/要求:本标准明确APP收集使用个人信息最小必要评估规范系列标准中术语定义,规定了收集使用的最小必要原则及要求,是APP收集使用个人信息最小必要评估规范系列标准的引领部分,或为其他移动终端数据相关标准提供参考。本标准适用于各种制式的移动智能终端及移动终端上的应用软件,个别条款不适用于特殊行业、专业应用,其他终端也可参考使用。
18、《APP收集使用个人信息最小必要评估规范 位置信息》
发布时间:2020-11 - 26
发布单位:电信终端产业协会
标准编号:T/TAF 077.2-2020
概述/要求:本标准规定了移动应用程序中位置信息收集、加工、应用的最小必要合集及参考设计。
19、《APP收集使用个人信息最小必要评估规范 图片信息》
发布时间:2020-11 - 26
发布单位:电信终端产业协会
标准编号:T/TAF 077.3-2020
概述/要求:本标准规定了在移动应用软件在处理涉及用户个人信息相关图片信息的收集、存储、使用、删除等。活动中的最小必要信息规范和评估方法,并通过对在个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。本标准适用于移动互联网应用软件提供者规范用户个人信息(图片信息)的处理活动,也适用于主管监管部门、第三方评估机构等组织对移动互联网应用程序收集图片信息行为进行监督、管理和评估。
20、《APP收集使用个人信息最小必要评估规范 终端通讯录》
发布时间:2020-11 - 26
发布单位:电信终端产业协会
标准编号:T/TAF 077.4-2020
概述/要求:本文件规定了终端通讯录信息在收集和使用时应遵循和参考的要求。本文件适用于APP在移动终端申请使用通讯录信息活动时,提升用户通讯录信息的隐私保护水平,也适用于评估机构开展评估工作。
21、《APP收集使用个人信息最小必要评估规范 设备信息》
发布时间:2020-11 - 26
发布单位:电信终端产业协会
标准编号:T/TAF 077.5-2020
概述/要求:本标准规定了移动应用软件在处理涉及用户个人信息(设备信息)的收集、存储、使用、删除等活动中的最小必要评估规范,并通过设备信息在处理活动中的典型应用场景来说明如何落实最小必要原则。本标准适用于移动应用软件提供者规范用户个人信息(设备信息)的处理活动,也适用于第三方评估机构等组织对移动应用软件收集使用设备信息行为进行监督、管理和评估。
22、《 APP收集使用个人信息最小必要评估规范 软件列表》
发布时间:2020-11 - 26
发布单位:电信终端产业协会
标准编号:T/TAF 077.6-2020
概述/要求:本文件旨在贯彻个人信息收集使用的最小必要的原则,针对移动APP收集、存储、使用、共享、删除用户软件列表各环节提出相应的最小必要性符合度评估项,并结合典型场景对APP最小必要处理软件列表进行规定。本文件适用于指导移动互联网应用软件开发者规范对软件列表的处理,也适用于主管监管部门、第三方评估机构等组织对移动互联网应用程序收集软件列表行为进行监督、管理和评估。
23、《APP收集使用个人信息最小必要评估规范 人脸信息》
发布时间:2020-11 - 26
发布单位:电信终端产业协会
标准编号:T/TAF 077.7-2020
概述/要求:本标准规定了移动应用软件对人脸信息的收集、使用、存储、销毁等活动中的最小必要规范和评估方法,并通过个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。本标准适用于移动互联网应用软件提供者规范用户个人信息中的人脸信息的处理活动,也适用于主管监管部门、第三方评估机构等组织对移动互联网应用程序收集图片信息行为进行监督、管理和评估。
24、《 APP收集使用个人信息最小必要评估规范 录像信息》
发布时间:2020-11 - 26
发布单位:电信终端产业协会
标准编号:T/TAF 077.8-2020
概述/要求:本文件规定了移动应用软件对录像信息的收集、使用、存储、删除等活动中的最小必要规范和评估方法,并通过个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。本文件适用于移动互联网应用软件提供者规范个人信息主体个人信息中的录像信息的处理活动,也适用于主管监管部门、第三方评估机构等组织对移动互联网应用程序收集录像信息行为进行监督、管理和评估。