数据安全和个人信息保护标准应用参考框架

前言

点击下方 "深圳市网络与信息安全行业协会"公众号关注, 设为星标。

为促进数据安全国家标准深度应用，充分发挥标准对数字经济高质量发展的支撑保障作用，依据“夯实基础、有序提升”原则，制定数据安全标准应用参考框架，为各类组织筑牢数据安全合规底线、提升数据安全能力提供标准化路径。

研究目标

数据安全标准应用参考框架，拟实现以下研究目标：一是基于数据安全政策法规规定的法定义务，明确数据安全合规底线；二是聚焦数字产业化、产业数字化的安全需求，提供数据安全标准化解决方案和能力提升路径；三是探索数据安全标准保障数据开发利用和产业发展，促进数据供得出、流得动、用得好。

研究思路

综合考虑标准对法律法规支撑作用、标准适用范围、实施难易程度、所反映的安全能力水平等要素，将现有数据安全国家标准文件进行分类分级，提出包含基础应用级、规范应用级、卓越应用级三个应用层级的标准应用参考框架，帮助组织机构区分基础合规、能力提升、特定对象相关标准，进而夯实合规基础底线，逐步提升安全能力。

数据安全标准应用参考框架

截至2024年9月，全国网络安全标准化技术委员会（TC260）在数据安全方面，已经制定发布《数据分类分级规则》《数据安全能力成熟度模型》等15项国家标准，正在制修订《数据安全保护要求》《数据安全风险评估方法》等10项标准。

现有数据安全国家标准的应用参考框架如下图所示，其中粗线浅框为通用类数据安全标准，深色框为面向特定对象或特定情形的数据安全标准。

（一）基础应用级

基础应用级数据安全标准，主要包括4项通用数据安全标准和9项特定对象的数据安全标准，如下表所示：

标准名称	标准编号/状态	主要适用对象	相关安全义务
数据分类分级规则	GB/T 43697-2024	行业领域主管（监管）部门、各地方、各部门、数据处理者	数据分类分级保护
数据安全保护要求	征求意见稿	行业领域主管（监管）部门、各地方、各部门、数据处理者	数据分类分级保护
数据安全能力成熟度模型（第2级）	GB/T 37988-2019	数据处理者、第三方评估机构	全流程数据安全治理
数据安全风险评估方法	报批稿	数据处理者、第三方评估机构、主管监管部门	数据安全风险评估
政务数据处理安全要求	送审稿	政务数据处理者	政务数据安全
数据交易服务安全要求	GB/T 37932（修订版送审稿）	数据交易场所、数据商、第三方专业服务机构等数据交易相关方	数据流通交易安全
汽车数据处理安全要求	GB/T 41871-2022	汽车数据处理者	汽车数据安全
即时通信服务数据安全要求（基础级）[注]	GB/T 42012-2022	即时通信服务提供者	互联网平台安全
快递物流服务数据安全要求（基础级）	GB/T 42013-2022	快递物流服务提供者	互联网平台安全
网上购物服务数据安全要求（基础级）	GB/T 42014-2022	网上购物服务提供者	互联网平台安全
网络支付服务数据安全要求（基础级）	GB/T 42015-2022	网络支付服务提供者	互联网平台安全
网络音视频服务数据安全要求（基础级）	GB/T 42016-2022	网络音视频服务提供者	互联网平台安全
网络预约汽车服务数据安全要求（基础级）	GB/T 42017-2022	网络预约汽车服务提供者	互联网平台安全

注：结合业界相关方实际保护水平，按照条款实施难易程度将标准条款内容分为相应级别，如基础级、规范级、卓越级。

（二）规范应用级

规范应用级数据安全标准，主要包括4项通用数据安全标准和8项特定对象的数据安全标准，如下表所示：

标准名称	标准编号 /状态	主要适用对象	相关安全义务
网络数据处理安全要求	GB/T 41479-2022	数据处理者、数据安全管理认证的评估和认证机构	数据安全认证
数据安全能力成熟度模型（第3级）	GB/T 37988-2019	数据处理者、第三方评估机构	全流程数据安全治理
数据接口安全风险监测方法	征求意见稿	数据处理者、安全厂商	数据安全风险监测
大数据服务安全能力要求	GB/T 35274-2023	大数据服务提供者	全流程数据安全治理
数据安全机构能力要求	报批稿	数据安全评估机构	数据安全评估
二手电子产品信息清除技术要求	征求意见稿	电子产品厂商、二手电子产品经销者	数据删除
即时通信服务数据安全要求（规范级）	GB/T 42012-2022	即时通信服务提供者	互联网平台安全
快递物流服务数据安全要求（规范级）	GB/T 42013-2022	快递物流服务提供者	互联网平台安全
网上购物服务数据安全要求（规范级）	GB/T 42014-2022	网上购物服务提供者	互联网平台安全
网络支付服务数据安全要求（规范级）	GB/T 42015-2022	网络支付服务提供者	互联网平台安全
网络音视频服务数据安全要求（规范级）	GB/T 42016-2022	网络音视频服务提供者	互联网平台安全
网络预约汽车服务数据安全要求（规范级）	GB/T 42017-2022	网络预约汽车服务提供者	互联网平台安全

（三）卓越应用级

卓越应用级数据安全标准，主要包括6项通用数据安全标准和8项特定对象的数据安全标准，如下表所示：

标准名称	标准编号 /状态	主要适用对象	相关安全义务
数据安全能力成熟度模型（第4级）	GB/T 37988-2019	数据处理者、第三方评估机构	全流程数据安全治理
大数据安全管理指南	GB/T 37973-2019	数据处理者	数据安全管理
机密计算通用框架	报批稿	机密计算参与方	数据安全技术
数字水印技术实现指南	送审稿	数字水印参与方	数据安全技术
政务信息共享数据安全技术要求	GB/T 39477-2020	政务部门	政务数据安全
公共数据开放安全要求	征求意见稿	公共数据管理和服务机构	政务数据安全
电信领域数据安全指南	GB/T 42447-2023	电信数据处理者	行业领域数据安全
健康医疗数据安全指南	GB/T 39725-2020	健康医疗数据处理者	行业领域数据安全
即时通信服务数据安全要求（卓越级）	GB/T 42012-2022	即时通信服务提供者	互联网平台安全
快递物流服务数据安全要求（卓越级）	GB/T 42013-2022	快递物流服务提供者	互联网平台安全
网上购物服务数据安全要求（卓越级）	GB/T 42014-2022	网上购物服务提供者	互联网平台安全
网络支付服务数据安全要求（卓越级）	GB/T 42015-2022	网络支付服务提供者	互联网平台安全
网络音视频服务数据安全要求（卓越级）	GB/T 42016-2022	网络音视频服务提供者	互联网平台安全
网络预约汽车服务数据安全要求（卓越级）	GB/T 42017-2022	网络预约汽车服务提供者	互联网平台安全

截至2024年9月，全国网络安全标准化技术委员会（TC260）在个人信息保护方面，已经制定发布《个人信息安全规范》《移动互联网应用程序（App）收集个人信息基本要求》等17项国家标准，正在制订《敏感个人信息处理安全要求》《个人信息保护合规审计要求》等10项国家标准。

现有个人信息保护标准的应用框架如下图所示：

（一）基础应用级

基础应用级个人信息保护标准，主要包括3项通用个人信息保护标准和5项特定对象的个人信息保护标准，如下表所示：

标准名称	标准编号/状态	主要适用对象	相关安全义务
个人信息安全规范	GB/T 35273-2020	个人信息处理者、第三方评估机构	个人信息处理
敏感个人信息处理安全要求	报批稿	个人信息处理者	敏感个人信息处理
移动互联网应用程序（App）收集个人信息基本要求（基础级）	GB/T 41391-2022	App运营者、第三方评估机构	移动应用个人信息安全
生物特征识别信息保护基本要求（基础级）	GB/T 40660-2021	生物识别信息处理者	生物识别信息安全
人脸识别数据安全要求（基础级）	GB/T 41819-2022	人脸识别数据处理者	生物识别信息安全
步态识别数据安全要求（基础级）	GB/T 41773-2022	步态识别数据处理者	生物识别信息安全
基因识别数据安全要求（基础级）	GB/T 41806-2022	基因数据及关联信息处理者	生物识别信息安全
声纹识别数据安全要求（基础级）	GB/T 41807-2022	声纹数据处理者	生物识别信息安全

（二）规范应用级

规范应用级个人信息保护标准，主要包括8项通用个人信息保护标准和8项特定对象的个人信息保护标准，如下表所示：

标准名称	标准编号/状态	主要适用对象	相关安全义务
个人信息处理中告知和同意的实施指南	GB/T 42574-2023	个人信息处理者	告知同意
个人信息去标识化指南	GB/T 37964-2019	个人信息处理者	去标识化
个人信息保护合规审计要求	征求意见稿	个人信息处理者、第三方专业机构	个人信息保护合规审计
个人信息安全影响评估指南	GB/T 39335-2020	个人信息处理者、第三方评估机构	个人信息保护影响评估
基于个人信息的自动化决策安全要求	报批稿	个人信息处理者	自动化决策
个人信息跨境处理活动安全认证要求	报批稿	个人信息处理者、接收方	个人信息跨境安全
互联网平台及产品服务个人信息处理规则	报批稿	个人信息处理者	个人信息处理规则
移动互联网应用程序（App）收集个人信息基本要求（规范级）	GB/T 41391-2022	App运营者、第三方评估机构	移动应用个人信息安全
移动互联网应用程序（APP）个人信息安全测评规范	GB/T 42582-2023	第三方评估机构、App运营者	移动应用个人信息安全
移动互联网应用程序（App）软件开发工具包（SDK）安全要求	GB/T 43435-2023	SDK运营者	移动应用个人信息安全
移动智能终端预置应用软件基本安全要求	GB/T 43445-2023	移动智能终端提供者	移动应用个人信息安全
生物特征识别信息保护基本要求（规范级）	GB/T 40660-2021	生物识别信息处理者	生物识别信息安全
人脸识别数据安全要求（规范级）	GB/T 41819-2022	人脸识别数据处理者	生物识别信息安全
步态识别数据安全要求（规范级）	GB/T 41773-2022	步态识别数据处理者	生物识别信息安全
基因识别数据安全要求（规范级）	GB/T 41806-2022	基因数据及关联信息处理者	生物识别信息安全
声纹识别数据安全要求（规范级）	GB/T 41807-2022	声纹数据处理者	生物识别信息安全

（三）卓越应用级

卓越应用级个人信息保护标准，主要包括4项通用个人信息保护标准和8项特定对象的个人信息保护标准，如下表所示：

标准名称	标准编号/状态	主要适用对象	相关安全义务
个人信息安全工程指南	GB/T 41817-2022	个人信息处理者	隐私设计
个人信息转移技术要求	送审稿	个人信息处理者	个人信息可携带
个人信息去标识化效果评估指南	GB/T 42460-2023	个人信息处理者、第三方评估机构	去标识化
数据安全和个人信息保护社会责任指南	征求意见稿	数据处理者	社会责任
应用商店的移动互联网应用程序（App）个人信息处理规范性审核与管理指南	GB/T 43739-2024	应用商店运营者	移动应用个人信息安全
移动智能终端的移动互联网应用程序（App）个人信息处理活动管理指南	报批稿	移动智能终端提供者	移动应用个人信息安全
大型互联网企业内设个人信息保护监督机构要求	报批稿	大型互联网企业	互联网平台安全
公有云中个人信息保护实践指南	GB/T 41574-2022	公有云服务提供者	个人信息委托处理等
人脸识别数据安全要求（卓越级）	GB/T 41819-2022	人脸识别数据处理者	生物识别信息安全
步态识别数据安全要求（卓越级）	GB/T 41773-2022	步态识别数据处理者	生物识别信息安全
基因识别数据安全要求（卓越级）	GB/T 41806-2022	基因数据及关联信息处理者	生物识别信息安全
声纹识别数据安全要求（卓越级）	GB/T 41807-2022	声纹数据处理者	生物识别信息安全