國家標準《數據安全技術基于個人請求的個人信息轉移要求》

（征求意見稿）編制說明

一、工作簡況

1.1任務來源

根據國家標準化管理委員會2023年下達的國家標準制修訂計劃，《網絡安全

技術個人信息轉移技術要求》由北京理工大學負責承辦，計劃號：XXXXXXX。該

標準由全國網絡安全標準化技術委員會歸口管理。

1.2制定背景

2021年8月，我國《個人信息保護法》正式頒布，并于2021年11月正式實施。

其中，第四十五條有關“個人信息轉移”的條款備受關注。2023年4月，全國信

息安全標準化技術委員會發(fā)布《關于發(fā)布2023年度第一批網絡安全國家標準需求

的通知》，將本標準納入2023年網絡安全國家安全標準需求項目。

2023年9月，全國信息安全標準化技術委員會發(fā)布《關于2023年第一批網絡

安全國家標準項目立項的通知》，明確本標準由北京理工作為項目牽頭單位負責

標準編制工作。

1.3起草過程

1、2023年3月，北京理工大學牽頭組建標準前期研究工作小組，小組對基

于個人信息轉移要求有關的國內外法律法規(guī)、標準等進行詳細調研，形成相應標

準草案，并準備申報材料。

2、2023年5月，北京理工大學編制組在全國信息安全標準化技術委員會進

行標準申報匯報。

3、2023年9月，全國信息安全標準化技術委員會發(fā)布《關于2023年第一

批網絡安全國家標準項目立項的通知》，同意本標準由北京理工大學作為項目牽

頭單位負責標準編制工作。

4、2023年10月-11月，北京理工大學對外公開征集標準參編單位，正式

成立標準編制組，召開第一次工作組組內會議，并就標準草案內容向標準編制組

1

內部征求意見，對標準內容進行更新完善。

5、2023年11月，標準編制組在2023年標準周大數據工作組上進行匯報，

通過組內成員單位投票。標準編制組根據意見進行認真修改后形成征求意見稿。

6、2024年1月，召開編制組會議，就標準內容和文本進行研討、完善。

7、2024年2月，召開編制組會議，就標準內容和文本進行研討、完善，形

成征求意見稿。

8、2024年3月，標準編制組在全國網絡安全標準化技術委員會召開的專家

審查會上匯報標準編制情況和文本。專家組同意本標準發(fā)起公開征求意見。

二、標準編制原則、主要內容及其確定依據

2.1標準編制原則

本標準的編制遵循以下原則：

(1)先進性：標準反映當前《個人信息保護法》等最新法律要求以及個人

信息保護的先進技術水平；

(2)開放性：標準的編制、評審與使用具有開放性；

(3)適應性：標準結合我國國情；

(4)簡明性：標準易于理解、實現和應用；

(5)中立性：公正、中立，不與任何利益攸關方發(fā)生關聯；

(6)一致性：術語與國內外標準所用術語最大程度保持一致。

本標準通過明確個人信息主體請求轉移其個人信息的適用和行使的條件、

可請求轉移的個人信息范圍，以及個人信息處理者在處理個人信息主體轉移個人

信息的請求時應遵守的安全原則、流程和技術要求等，對個人信息處理者響應個

人信息主體轉移信息請求的全流程作出明確規(guī)范，以實現個人對自身的個人信息

的攜帶要求。

2.2主要內容及其確定依據

本項目旨在于支撐《個人信息保護法》第四十五條對個人信息主體請求轉

移其個人信息的落地實施，試圖明確個人信息主體請求轉移其個人信息的適用和

行使的條件、可請求轉移的個人信息范圍，以及個人信息處理者在處理個人信息

主體轉移個人信息的請求時應遵守的安全原則、流程和技術要求，并提升個人信

息主體請求的便捷性、可互操作性問題。

三、試驗驗證的分析、綜述報告，技術經濟論證，預期的經濟效益、社會

2

效益、生態(tài)效益

3.1試驗驗證的分析、綜述報告

標準在編制過程中，參與標準編制的各單位積極使用標準進行了試驗應用，

標準適用的對象為受《個人信息保護法》管轄的個人信息處理者。具體來說，個

人信息處理者響應個人信息主體轉移信息請求時，應遵守本標準中提出的技術要

求。

本標準預計在公開征求意見期間，開始試驗驗證工作。預計，個人信息處理

者將本標準的要求分項落實到合規(guī)、法務、業(yè)務等部門之中，并最終高效響應個

人信息轉移的請求。預計，在試驗應用過程中對個人信息轉移要求的落地實踐方

式進行探索，最后將實施經驗轉化為標準的具體內容，以增加標準的實用性。

3.2技術經濟論證

雖然落實本標準提出的安全要求，在短期內給個人信息處理者增加了經濟成

本，包括但不限于：新增合規(guī)人員的成本、響應流程開發(fā)過程的成本、接口設計、

安全風險評估成本等，但這些技術要求能夠有效地增加個人信息主體對自身個人

信息的控制能力，能夠增強服務群體整體以及公眾輿論方面的接受度乃至認可

度?？偟膩碚f，該技術標準給企業(yè)帶來正面的經濟效應。

3.3預期的經濟效益、社會效益和生態(tài)效益

該標準的社會效益在于保護個人對其個人信息的自主決策權，確保各個個人

信息處理者拉齊合規(guī)基線，并在此基礎上促進商業(yè)方面的良性競爭。

該標準不涉及生態(tài)效益。

四、與國際、國外同類標準技術內容的對比情況，或者與測試的國外樣品、

樣機的有關數據對比情況

目前基于個人請求的個人信息轉移技術要求不存在對應的國際標準，也未見

其他國家制定了對應的技術標準。

五、以國際標準為基礎的起草情況，以及是否合規(guī)引用或者采用國際國外

標準，并說明未采用國際標準的原因

當前，國際標準并沒有基于個人請求的個人信息轉移技術要求開展標準化工

作，其他國家也沒有制定對應的技術標準，因此本標準制定工作中沒有采用國際

標準或國外標準。

六、與現行相關法律、法規(guī)、規(guī)章及相關標準的協調性

3

本標準與現行法律、法規(guī)以及國家標準不存在沖突與矛盾。

本標準為《個人信息保護法》等法律法規(guī)的落地實施提供支撐，建議與國家

標準《信息安全技術個人信息安全規(guī)范》（GB/T35273-2020）等配套使用。

七、重大分歧意見的處理經過和依據

無。

八、涉及專利的有關說明

無。

九、實施國家標準的要求，以及組織措施、技術措施、過渡期和實施日期

的建議等措施建議

建議本標準作為推薦性國家標準發(fā)布實施。同時建議個人信息處理者建立

專門的響應請求工作組，根據本標準的要求制定相應的內部規(guī)范作為合規(guī)基線，

并每一年開展一次審計以查清合規(guī)差距。建議本標準在正式發(fā)布后的六個月后開

始實施。

十、其他應當說明的事項

無。

《網絡安全技術個人信息轉移技術要求》

國家標準編制組

2024年3月14日

4

國家標準《數據安全技術基于個人請求的個人信息轉移要求》

（征求意見稿）編制說明

一、工作簡況

1.1任務來源

根據國家標準化管理委員會2023年下達的國家標準制修訂計劃，《網絡安全

技術個人信息轉移技術要求》由北京理工大學負責承辦，計劃號：XXXXXXX。該

標準由全國網絡安全標準化技術委員會歸口管理。

1.2制定背景

2021年8月，我國《個人信息保護法》正式頒布，并于2021年11月正式實施。

其中，第四十五條有關“個人信息轉移”的條款備受關注。2023年4月，全國信

息安全標準化技術委員會發(fā)布《關于發(fā)布2023年度第一批網絡安全國家標準需求

的通知》，將本標準納入2023年網絡安全國家安全標準需求項目。

2023年9月，全國信息安全標準化技術委員會發(fā)布《關于2023年第一批網絡

安全國家標準項目立項的通知》，明確本標準由北京理工作為項目牽頭單位負責

標準編制工作。

1.3起草過程

1、2023年3月，北京理工大學牽頭組建標準前期研究工作小組，小組對基

于個人信息轉移要求有關的國內外法律法規(guī)、標準等進行詳細調研，形成相應標

準草案，并準備申報材料。

2、2023年5月，北京理工大學編制組在全國信息安全標準化技術委員會進

行標準申報匯報。

3、2023年9月，全國信息安全標準化技術委員會發(fā)布《關于2023年第一

批網絡安全國家標準項目立項的通知》，同意本標準由北京理工大學作為項目牽

頭單位負責標準編制工作。

4、2023年10月-11月，北京理工大學對外公開征集標準參編單位，正式

成立標準編制組，召開第一次工作組組內會議，并就標準草案內容向標準編制組

1

內部征求意見，對標準內容進行更新完善。

5、2023年11月，標準編制組在2023年標準周大數據工作組上進行匯報，

通過組內成員單位投票。標準編制組根據意見進行認真修改后形成征求意見稿。

6、2024年1月，召開編制組會議，就標準內容和文本進行研討、完善。

7、2024年2月，召開編制組會議，就標準內容和文本進行研討、完善，形

成征求意見稿。

8、2024年3月，標準編制組在全國網絡安全標準化技術委員會召開的專家

審查會上匯報標準編制情況和文本。專家組同意本標準發(fā)起公開征求意見。

二、標準編制原則、主要內容及其確定依據

2.1標準編制原則

本標準的編制遵循以下原則：

(1)先進性：標準反映當前《個人信息保護法》等最新法律要求以及個人

信息保護的先進技術水平；

(2)開放性：標準的編制、評審與使用具有開放性；

(3)適應性：標準結合我國國情；

(4)簡明性：標準易于理解、實現和應用；

(5)中立性：公正、中立，不與任何利益攸關方發(fā)生關聯；

(6)一致性：術語與國內外標準所用術語最大程度保持一致。

本標準通過明確個人信息主體請求轉移其個人信息的適用和行使的條件、

可請求轉移的個人信息范圍，以及個人信息處理者在處理個人信息主體轉移個人

信息的請求時應遵守的安全原則、流程和技術要求等，對個人信息處理者響應個

人信息主體轉移信息請求的全流程作出明確規(guī)范，以實現個人對自身的個人信息

的攜帶要求。