II412個人信息保護框架技術(shù)要求范圍本標(biāo)準(zhǔn)規(guī)定了個人信息保護框架技術(shù)要求的術(shù)語、服務(wù)架構(gòu)、服務(wù)內(nèi)容、服務(wù)要求和服務(wù)接口要求等內(nèi)容。該標(biāo)準(zhǔn)描述了個人信息的保護框架，規(guī)定信息系統(tǒng)個人信息保護在采集到銷毀全生命周期、跨系統(tǒng)全流程控制與保護、全程存證取證與溯源、平臺/流轉(zhuǎn)/出境/留存/交易/共享/合規(guī)審計/分類分級管理等流程環(huán)節(jié)的技術(shù)要求，包含隱私信息系統(tǒng)的體系架構(gòu)、場景抽象、隱私流轉(zhuǎn)控制與審計、隱私脫敏操作選取、隱私存儲、監(jiān)管、隱私保護效果評估、隱私信息刪除等環(huán)節(jié)的技術(shù)要求，以及支撐高能效、高并發(fā)等普適性等方面的技術(shù)要求。該標(biāo)準(zhǔn)適用于各類組織規(guī)范其個人信息處理活動，也適用于主管監(jiān)管部門、第三方評估機構(gòu)等組織對個人信息處理活動進行監(jiān)督、管理和評估。本標(biāo)準(zhǔn)適用于個人權(quán)益保障監(jiān)管的設(shè)計、部署、應(yīng)用及測評。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范術(shù)語和定義

個人信息personalinformation是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包含個人信息本身及其衍生信息,不包括匿名化處理后的信息。注：改寫GB/T35273—2020，定義3.1。

敏感個人信息sensitivepersonalinformation敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息。注：敏感個人信息包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

個人信息主體videosurveillancesystem個人信息主體是指個人信息所識別或者關(guān)聯(lián)的自然人。

個人信息處理者personalinformationprocessor個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。注：與GB/T35273-2020中的“個人信息控制者”所指一致。

個人信息保護personalinformationprotection泛在共享場景下，保證個人信息在產(chǎn)生、感知、發(fā)布、傳播、存儲、處理、使用、銷毀等全生命周期內(nèi)的受控使用和有效管理，保護個人信息中包含的敏感個人信息，包括但不限于迭代脫敏、按需保護、多副本完備刪除、違規(guī)侵權(quán)判定與追蹤溯源、有效監(jiān)管等環(huán)節(jié)。

刪除delete是指采用技術(shù)、人工等手段去除個人信息并保障其難以恢復(fù)，刪除包括：全部刪除、部分刪除。注：改寫GB/T35273—2020，定義3.10。

脫敏desensitization通過采用有失真且不可逆的方法對信息進行保護，使脫敏后的信息無法與個人信息主體關(guān)聯(lián)起來。

刪除對象deleteobject是指刪除動作的客體，包括個人信息的正本信息、多副本信息、正本信息的一部分、副本信息的一部分以及正本信息與副本信息的全部或者部分的組合。

刪除等級deletelevel是指對刪除對象可恢復(fù)程度和難度的量化分級。按照可恢復(fù)出實質(zhì)內(nèi)容的百分比和熵占比、恢復(fù)過程所需的設(shè)備成本、時間成本與技術(shù)復(fù)雜程度等情況，并結(jié)合各應(yīng)用系統(tǒng)實際需要，劃分刪除等級。刪除等級劃分的合理性由刪除評估來決定，并隨著恢復(fù)技術(shù)的發(fā)展動態(tài)調(diào)整。

多副本信息multiplecopiesinformation是指同一個人信息存儲于不同管理域、信息系統(tǒng)的多拷貝。

多備份信息multiplebackupinformation是指同一個人信息存儲于同一個管理域或者同一個信息系統(tǒng)內(nèi)的多拷貝。

分散存儲信息distributedstorageinformation是指同一個人信息拆分后分布式存儲于不同存儲設(shè)備/系統(tǒng)中的部分。

完備刪除completedelete是指刪除個人信息的正本信息、多副本信息、分散存儲信息和多備份信息。

監(jiān)管方regulatoryparty指負(fù)責(zé)個人信息安全的國家相關(guān)監(jiān)管部門。

刪除意圖deleteintention是指個人信息主體對自身個人信息何時何地何條件何等級下的刪除需求，刪除意圖包括：刪除對象、刪除時間、刪除空間、刪除等級等內(nèi)容，以及個人信息主體的個性化約束條件。

刪除指令deleteinstructions基于刪除通知構(gòu)造的、程序可識別可執(zhí)行的刪除命令。

分類分級categorizationandrating分類分級可以用于確定信息中的隱私信息，還可以用于確定隱私信息的隱私程度，分類分級可以是當(dāng)前主體所執(zhí)行的操作，也可以是信息傳播全生命周期中處在當(dāng)前主體之前的任意主體所執(zhí)行的操作，在分類分級的過程中，形成了分類分級存證信息，即分類分級對應(yīng)的操作存證信息。

監(jiān)管regulation監(jiān)管者基于監(jiān)管要求生成存證信息，確定對應(yīng)的監(jiān)管信息，據(jù)此執(zhí)行面向監(jiān)管要求的信息監(jiān)管，得到監(jiān)管結(jié)果，由此保證針對信息流轉(zhuǎn)過程中各個模塊的信息操作進行及時有效的監(jiān)管。

全生命周期full-lifecycle涵蓋隱私數(shù)據(jù)在泛在共享場景下產(chǎn)生、感知、發(fā)布、傳播、存儲、處理、使用、銷毀等各個環(huán)節(jié)。在各個環(huán)節(jié)不是單指在某個信息系統(tǒng)中，而是在泛在共享場景下多副本處于不同信息系統(tǒng)當(dāng)中所有的環(huán)節(jié)。

迭代脫敏iterativedesensitization泛在共享環(huán)境下對個人信息在全生命周期各環(huán)節(jié)脫敏操作進行迭代控制。根據(jù)信息主體或提供方傳遞過來的脫敏控制信息，結(jié)合接收方的保護能力、當(dāng)前處理方與接收方之間的約定，來調(diào)整脫敏控制操作。迭代脫敏能夠?qū)π畔鬏斎芷谥懈鱾€主體的信息進行脫敏，有效實現(xiàn)單次/多次轉(zhuǎn)發(fā)的脫敏控制，避免因短板效應(yīng)導(dǎo)致的隱私數(shù)據(jù)泄露，實現(xiàn)多次轉(zhuǎn)發(fā)時的全流程迭代脫敏控制，適應(yīng)信息所屬主體和每一個信息接收主體脫敏保護能力差異化的跨系統(tǒng)、生態(tài)圈分享等場景。

多副本完備刪除redundancycompletedeletion刪除個人信息在所有信息系統(tǒng)中的所有副本。在泛在共享場景下，信息在不同信息系統(tǒng)留存，呈現(xiàn)出多副本的特征，即使進行不同的脫敏，也會呈現(xiàn)出脫敏程度的差異性，因此全部刪除所有副本才能從根本上防止隱私泄露并徹底落實刪除權(quán)。

存證信息evidencepreservationinformation存證信息包括脫敏存證信息、刪除存證信息、流轉(zhuǎn)存證信息、采集存證信息、使用存證信息、存儲存證信息、分類分級存證信息、聯(lián)動存證信息、監(jiān)管審計存證信息。個人信息保護框架技術(shù)要求個人信息保護框架概述個人信息保護框架能夠?qū)€人信息的全生命周期的多環(huán)節(jié)操作進行協(xié)同處理。多環(huán)節(jié)包括收集、分類分級、脫敏、使用、流轉(zhuǎn)、存儲、刪除、存證、聯(lián)動、監(jiān)管和審計等，基于當(dāng)前環(huán)節(jié)的操作意圖和其前序操作的操作存證信息確定操作要求，前序操作指的是當(dāng)前操作之前對個人信息執(zhí)行的操作，操作存證信息由各主體基于各主體對信息的操作和監(jiān)管要求生成?；诓僮饕?，對個人信息執(zhí)行當(dāng)前操作，并生成操作存證信息。分類分級技術(shù)要求分類分級原則合法合規(guī)、最小必要、透明、安全、動態(tài)調(diào)整、一致性和責(zé)任。類目定義是將數(shù)據(jù)根據(jù)其性質(zhì)、用途和敏感程度進行分類，以便更有效地管理和保護。分類通?；跀?shù)據(jù)的類型、來源、用途和法律要求。類目命名與編碼對每個類目進行命名、編碼。類目劃分根據(jù)類目將個人信息分為不同的類目。等級定義是將數(shù)據(jù)根據(jù)其敏感程度、重要性和風(fēng)險進行分級，以便確定不同的保護措施和訪問權(quán)限。分級通?；跀?shù)據(jù)的敏感性、重要性和對組織的影響。等級劃分根據(jù)登記劃分將個人信息分為不同的等級。采集技術(shù)要求采集原則最小必要、合法性、透明性等原則。告知同意告知同意的內(nèi)容包括：采集目的：明確告知個人信息主體采集數(shù)據(jù)的具體目的，如市場調(diào)研、用戶注冊、服務(wù)提供等；采集范圍：詳細(xì)說明將采集哪些個人信息，如姓名、電話號碼、電子郵件地址、位置信息等；采集方式：告知個人信息主體數(shù)據(jù)采集的具體方式，如通過表單填寫、自動收集等；使用方法：說明個人信息將如何被使用，包括個人信息的存儲、處理、共享和傳輸方式；保留期限：告知個人信息主體數(shù)據(jù)將被保留多長時間，以及到期后的處理方式；主體權(quán)利：告知個人信息主體其享有的權(quán)利，如訪問、更正、刪除個人信息的權(quán)利，以及撤回同意的權(quán)利。脫敏技術(shù)要求脫敏控制集合生成獲取當(dāng)前信息，獲取脫敏控制集合，脫敏控制集合基于脫敏意圖確定。其步驟包括：接收用戶輸入；響應(yīng)于用戶輸入，確定用戶輸入對應(yīng)的脫敏意圖；基于當(dāng)前信息、脫敏意圖和預(yù)建脫敏知識圖譜庫等，確定脫敏要求；基于脫敏意圖、預(yù)建脫敏知識圖譜庫、脫敏要求以及接收到的脫敏控制集合等，對當(dāng)前信息進行敏感信息識別，得到當(dāng)前信息的敏感信息識別結(jié)果；基于當(dāng)前信息、脫敏要求和敏感信息識別結(jié)果，確定脫敏控制集合。脫敏算法集合確定基于脫敏控制集合，確定脫敏算法集合；基于脫敏算法集合，對當(dāng)前信息進行脫敏，并確定脫敏測評結(jié)果。若脫敏測評結(jié)果滿足脫敏控制集合中的脫敏要求，則發(fā)布；否則，基于脫敏測評結(jié)果，更新脫敏算法集合，并基于更新后的脫敏算法集合對當(dāng)前信息進行再次脫敏，直至脫敏測評結(jié)果滿足脫敏要求。脫敏控制集合更新基于脫敏控制集合、當(dāng)前信息、脫敏后的信息等，更新脫敏控制集合。存儲技術(shù)要求存儲原則最小必要原則、用戶同意原則等。存儲方式加密存儲、數(shù)據(jù)備份、基于硬件的安全存儲等。共享技術(shù)要求共享原則合法合規(guī)、最小必要、透明、用戶同意、互惠互利和責(zé)任等原則。共享定義數(shù)據(jù)共享是指在不同用戶、系統(tǒng)、組織或部門之間共享數(shù)據(jù)，以便多個用戶或系統(tǒng)可以訪問和使用同一數(shù)據(jù)集。共享目的促進數(shù)據(jù)的廣泛使用和協(xié)同工作，提高數(shù)據(jù)的利用價值，支持業(yè)務(wù)流程的優(yōu)化和決策支持。共享過程個人信息共享過程包括：個人信息準(zhǔn)備：對個人信息進行清洗、整理和脫敏，確保個人信息的質(zhì)量和合規(guī)性；共享機制：建立個人信息共享機制，如共享目錄、API接口等，確保個人信息可以被多個用戶或系統(tǒng)訪問；訪問控制：設(shè)置訪問控制，確保只有授權(quán)用戶可以訪問共享個人信息；個人信息使用：用戶或系統(tǒng)訪問和使用共享個人信息，支持業(yè)務(wù)流程和決策；個人信息更新：定期更新共享個人信息，確保個人信息的時效性和準(zhǔn)確性。共享主體個人信息共享的主體包括：個人信息主體：擁有個人信息并希望共享個人信息的組織或個人；個人信息處理者：需要個人信息并希望訪問和使用共享個人信息的組織或個人。共享場景個人信息共享的場景包括：內(nèi)部共享：企業(yè)內(nèi)部不同部門之間的個人信息共享，支持協(xié)同工作和業(yè)務(wù)流程優(yōu)化；跨組織共享：不同企業(yè)或組織之間的個人信息共享，支持業(yè)務(wù)合作和數(shù)據(jù)協(xié)同。交易技術(shù)要求交易原則最小必要、告知同意原則。信息類型參與交易的個人信息的類型包括：真實身份類：可識別自然人真實身份的信息，如姓名、住址、工作單位、職位、及身份證號碼、簽證授權(quán)編號等可標(biāo)識自然人真實身份的數(shù)據(jù)及相關(guān)的證照掃描件、圖片、影印件等；網(wǎng)絡(luò)身份類：用戶在網(wǎng)絡(luò)空間的身份標(biāo)識信息，雖不可直接識別用戶自然人身份，但結(jié)合其他手段或數(shù)據(jù)可與用戶真實身份相關(guān)的信息，如個人的手機號/微信號/QQ號/支付寶賬號/微博賬號/郵箱地址等；個人基本資料類：用戶的一般信息，如年齡、性別、職業(yè)、國籍等；生物特征數(shù)據(jù)：與用戶身體的生物學(xué)特征有關(guān)、能夠唯一識別個體的數(shù)據(jù)，如指紋、聲紋等特征數(shù)據(jù)。評估個人信息交易評估包括以下方面：評估應(yīng)遵循科學(xué)、客觀、公正的原則；明確評估方和被評估方的職責(zé)和義務(wù)；根據(jù)具體場景選擇合適的評估指標(biāo)；制定詳細(xì)的評估計劃，確保評估工作的順利進行；按照評估計劃實施評估，記錄評估過程和結(jié)果；根據(jù)評估結(jié)果，形成評估結(jié)論，并提出改進建議。出境技術(shù)要求出境原則自愿性、市場化、社會化服務(wù)原則。適用情形個人信息出境包括以下方面：非關(guān)鍵信息基礎(chǔ)設(shè)施運營者；處理個人信息不滿100萬人的；自上年1月1日起累計向境外提供個人信息不滿10萬人的；自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。備案個人信息處理者應(yīng)當(dāng)在標(biāo)準(zhǔn)合同生效之日起10個工作日內(nèi)，通過數(shù)據(jù)出境申報系統(tǒng)備案，系統(tǒng)網(wǎng)址為。評估個人信息處理者向境外提供個人信息前，應(yīng)當(dāng)開展個人信息保護影響評估，重點評估以下內(nèi)容：個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性；出境個人信息的規(guī)模、范圍、種類、敏感程度，個人信息出境可能對個人信息權(quán)益帶來的風(fēng)險；境外接收方承諾承擔(dān)的義務(wù)，以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個人信息的安全；個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風(fēng)險，個人信息權(quán)益維護的渠道是否通暢等；境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)對標(biāo)準(zhǔn)合同履行的影響；其他可能影響個人信息出境安全的事項。流轉(zhuǎn)技術(shù)要求流轉(zhuǎn)原則合法合規(guī)、最小必要、安全、透明、可靠性、一致性和責(zé)任等原則。流轉(zhuǎn)定義數(shù)據(jù)流轉(zhuǎn)是指數(shù)據(jù)在不同系統(tǒng)、組織或部門之間的流動和傳輸過程。流轉(zhuǎn)目的實現(xiàn)數(shù)據(jù)的傳輸和處理，確保數(shù)據(jù)在不同環(huán)節(jié)中的可用性和一致性，支持業(yè)務(wù)流程的連續(xù)性和數(shù)據(jù)的完整性。流轉(zhuǎn)過程個人信息流轉(zhuǎn)過程包括：個人信息采集：從個人信息源采集個人信息。個人信息處理：對個人信息進行清洗、整理和轉(zhuǎn)換，確保個人信息的可用性；個人信息傳輸：將個人信息傳輸?shù)侥繕?biāo)系統(tǒng)或組織；個人信息存儲：將個人信息存儲在目標(biāo)系統(tǒng)中，確保個人信息的安全性和完整性；個人信息使用：在目標(biāo)系統(tǒng)中使用數(shù)據(jù)，支持業(yè)務(wù)流程和決策。流轉(zhuǎn)主體個人信息流轉(zhuǎn)主體包括：個人信息源：提供個人信息的系統(tǒng)或組織；個人信息目標(biāo)：接收個人信息的系統(tǒng)或組織；個人信息傳輸者：負(fù)責(zé)個人信息傳輸?shù)闹虚g系統(tǒng)或服務(wù)。流轉(zhuǎn)場景個人信息流轉(zhuǎn)場景包括：業(yè)務(wù)流程自動化：在企業(yè)內(nèi)部，個人信息在不同系統(tǒng)之間的流轉(zhuǎn)，支持業(yè)務(wù)流程的自動化和連續(xù)性；個人信息集成：在不同系統(tǒng)之間進行個人信息集成，確保個人信息的一致性和完整性；個人信息遷移：將個人信息從一個系統(tǒng)遷移到另一個系統(tǒng)，支持系統(tǒng)升級和個人信息整合。刪除技術(shù)要求獲取刪除指令，刪除指令基于刪除意圖確定；基于刪除指令進行信息查找，得到刪除指令對應(yīng)的待刪除信息，待刪除信息基于當(dāng)前信息確定；基于刪除指令、待刪除信息等，確定刪除算法；基于刪除算法，刪除待刪除信息。該技術(shù)能夠?qū)崿F(xiàn)信息傳輸全流程過程中的信息刪除，從而保證信息刪除的完全性。在此過程中，基于刪除意圖下的刪除指令執(zhí)行刪除操作，能夠保證信息傳輸路徑上的每一個主體都能按照刪除意圖完成信息刪除，由此可保證信息刪除操作執(zhí)行的合規(guī)性、高效性和有效性。刪除指令獲取基于刪除意圖確定獲取刪除指令。待刪除信息確定基于刪除指令進行信息查找，得到刪除指令對應(yīng)的待刪除信息，待刪除信息基于當(dāng)前信息確定。刪除算法確定基于刪除指令和/或待刪除信息，確定刪除算法。信息刪除執(zhí)行在確定用于執(zhí)行刪除操作的刪除算法之后，即可基于該刪除算法刪除定位好的待刪除信息，即當(dāng)前主體完成了刪除意圖下的刪除操作。溯源技術(shù)要求基本原則科學(xué)、客觀、公正的原則，以及溯源結(jié)果的準(zhǔn)確性和可靠性。溯源管理建立數(shù)據(jù)溯源管理機制，確保數(shù)據(jù)泄露事件能夠被有效追溯。定期對數(shù)據(jù)溯源機制進行評估和優(yōu)化，確保其有效性和可靠性。合規(guī)審計技術(shù)要求基本原則科學(xué)、客觀、公正等原則。合規(guī)審計管理合規(guī)審計管理主要包括：審計制度：建立完善的審計制度，確保審計工作的規(guī)范化和制度化。審計流程：明確審計流程，確保審計工作的有序進行。審計崗位：設(shè)立專門的審計崗位，確保審計工作的專業(yè)性和獨立性。審計人員：配備專業(yè)的審計人員，確保審計工作的質(zhì)量和效果。審計對象：明確審計對象，確保審計工作的針對性和有效性。審計方法：采用科學(xué)的審計方法，確保審計工作的準(zhǔn)確性和可靠性。審計報告：編寫詳細(xì)的審計報告，確保審計結(jié)果的透明性和可追溯性。審計問題整改：提出審計問題整改建議，確保審計結(jié)果的有效應(yīng)用。審計評估：對審計結(jié)果進行評估，確保審計工作的持續(xù)改進。監(jiān)管技術(shù)要求基于所述監(jiān)管要求生成存證信息查詢消息，并獲取所述存證信息查詢消息對應(yīng)的監(jiān)管信息。監(jiān)管要求獲取監(jiān)管要求可以體現(xiàn)為對于參與信息傳輸流程中的各個節(jié)點上各個模塊的信息操作的監(jiān)管要求，例如各個節(jié)點上的模塊可執(zhí)行的信息操作包括脫敏、刪除、流轉(zhuǎn)、采集、存儲、分類分級、存證、聯(lián)動、監(jiān)管等。存證信息查詢消息生成基于監(jiān)管要求生成存證信息查詢消息。存證信息監(jiān)管信息生成獲取存證信息查詢消息對應(yīng)的監(jiān)管信息，監(jiān)管信息是基于存證信息查詢消息和存證信息確定的，存證信息由各模塊基于各模塊對應(yīng)的信息操作、監(jiān)管要求生成等。信息監(jiān)管執(zhí)行基于監(jiān)管要求，從反映各模塊對應(yīng)的信息操作的存證信息中，確定監(jiān)管信息，據(jù)此執(zhí)行面向監(jiān)管要求的信息監(jiān)管，由此保證針對信息流轉(zhuǎn)過程中各個模塊的信息操作進行及時有效的監(jiān)管。監(jiān)管評估基于監(jiān)管存證集合、監(jiān)管結(jié)果、侵權(quán)事件、侵權(quán)事件處置結(jié)果、侵權(quán)事件處置反饋結(jié)果中的一種或多種任意組合，應(yīng)用監(jiān)管方案評估指標(biāo)體系進行監(jiān)管評估，得到監(jiān)管評估結(jié)果。監(jiān)管評估結(jié)果內(nèi)容包括：a)合規(guī)結(jié)論/不合規(guī)結(jié)論；b)有效結(jié)論/無效結(jié)論。監(jiān)管整改基于監(jiān)管存證集合、監(jiān)管結(jié)果、侵權(quán)事件、侵權(quán)事件處置結(jié)果、侵權(quán)事件處置反饋結(jié)果和監(jiān)管評估結(jié)果中的一種或多種任意組合，生成監(jiān)管整改要求；個人信息保護監(jiān)管接口技術(shù)要求存證技術(shù)要求系統(tǒng)自存證的接口在設(shè)計和實現(xiàn)上，應(yīng)遵守如下要求：個人信息處理者上報處理數(shù)據(jù)請求的接口平臺應(yīng)支持跨平臺使用，例如wind