ICS 35.030 L 09 DB13 河 北 省 地 方 标 准 DB 13/T 5001—2019 信息安全技术 信息系统个人信息保护 技术与管理规范 2019 - 07 - 04 发布 河北省市场监督管理局 2019 - 08 - 01 实施 发 布 DB13/T 5001—2019 目 次 前言 ................................................................................. II 引言 ................................................................................ III 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 信息系统个人信息处理过程安全要求 ................................................... 2 5 信息系统个人信息保护技术要求 ....................................................... 6 6 信息系统个人信息保护管理要求 ....................................................... 8 参 考 文 献 ....................................................................... 12 I DB13/T 5001—2019 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由河北省工业和信息化厅提出并归口。 本标准主要起草单位：河北省信息安全测评中心、中国软件评测中心、河北金信网络技术开发服 务有限公司、河北省委党校（河北行政学院）、秦皇岛市工业和信息化局、河北工程大学地球科学与 工程学院。 本标准主要起草人：张凤臣、陶卫江、牛占冀、闫利平、马仲光、黄亮、刘艳、孟宪辉、姜彧、 王淑婧、唐刚、张友平、马正英、马一超、朱信铭、王涛、周峰、任旭东、付江、张桐、周倩羽。 II DB13/T 5001—2019 引 言 随着信息技术的快速发展和互联网的普及应用，越来越多的组织机构收集、使用个人信息，个人 信息泄露、违法使用个人信息的时间不断出现；为保障个人的合法权益，规范各类组织机构合理合法 使用个人信息，依据国家有关法律法规制定本标准。 本标准包括信息系统个人信息处理过程安全要求、技术要求和管理要求。信息系统个人信息保护 处理过程安全要求规定了收集、加工、转移、删除各个阶段的安全要求；技术要求规定了环境物理安 全、网络与主机安全、终端安全、权限管理、数据安全、审计安全、备份恢复等方面的安全要求；管 理要求规定了策略与制度、人员与责任、环境与资源、操作与维护、风险控制、密码管理等方面的安 全要求。 III DB13/T 5001—2019 信息安全技术 信息系统个人信息保护技术与管理规范 1 范围 本标准规定了信息系统个人信息处理过程中收集、加工、转移、删除四个阶段安全要求，提出了 信息系统个人信息保护的技术要求和管理要求。 本标准适用于信息系统个人信息安全保护应用单位信息系统的建设和管理，也适用于管理机构指 导涉及信息系统个人信息保护的安全建设、检查、监督，或信息系统使用单位自查等。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的,凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 2887-2011 计算机场地通用规范 GB/T 9361-2011 计算机场地安全要求 GB/Z 28828-2012 信息安全技术 公共及商用服务信息系统个人信息保护指南 GB/T 31167-2014 信息安全技术 云计算服务安全指南 GB/T 31168-2014 信息安全技术 云计算服务安全能力要求 GB/T 35273-2017 信息安全技术 个人信息安全规范 3 术语和定义 GB/Z 28828、GB/T 35273中界定的术语和定义适用于本文件。为了便于使用，以下重复列出了GB/Z 28828、GB/T 35273中某些术语和定义。 3.1 个人信息最小元素集 minimum collection of personal information 实现产品或服务核心业务功能和满足法律法规要求所必需使用的个人信息集合。 3.2 信息系统 information system 计算机信息系统，由计算机（含移动通信终端）及其相关的配套的设备、设施（含网络）构成的， 按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 3.3 个人信息 personal information 指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包 括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 3.4 个人信息主体 subject of personal information 1 DB13/T 5001—2019 个人信息所标识的自然人。 3.5 个人信息管理者 administrator of personal information 决定个人信息处理的目的和方式， 实际控制个人信息并利用信息系统处理个人信息的组织和机构。 3.6 个人信息获得者 receiver of personal information 从信息系统获取个人信息的个人、组织和机构，依据个人信息主体的意愿对获得的个人信息进行 处理。 3.7 个人敏感信息 personal sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健 康受到损害或 歧视性待遇等的个人信息。 3.8 个人一般信息 personal general information 除个人敏感信息以外的个人信息。 3.9 个人信息处理 personal information handing 处置个人信息的行为，包括收集、加工、转移、删除。 3.10 去标识化 de-identification 通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息 主体的过程。 3.11 匿名化 anonymization 通过对个人信息的技术处理， 使得个人信息主体无法被识别，且处理后的信息不能 被复原的过程。 4 信息系统个人信息处理过程安全要求 4.1 概述 本文件按照GB/Z 28828中5.1的要求，从收集、加工、转移和删除4个主要环节对信息系统个人信 息处理过程提出以下安全要求，信息处理基本原则应满足GB/Z 28828中4.2的要求。 4.2 收集 4.2.1 告知和警示 本项目包括但不限于： 2 DB13/T 5001—2019 a) b) c) d) 应制定相应制度，将个人信息收集的目的、范围、方法和手段、处理方式等明确告知或警示 个人信息主体，只收集能够达到已告知目的的个人信息最小元素集，并征得个人信息主体授 权同意，例外情况应满足 GB/T 35273 中 5.4 的要求； 应在进行个人信息收集前，确认数据来源的合法性，如果是通过交易得来的数据，明确交易 对象和过程的合法性，个人信息的合法性应满足 GB/T 35273 中 5.1 的要求； 收集未成年人个人信息前，应征得未成年人或其监护人的明示同意，未满 14 周岁的，应征得 其监护人的明示同意； 应采用个人信息主体易知悉的方式，通过技术手段明确告知、警示和承诺相关事项，具体内 容应满足 a)项要求； 4.2.1.1 应告知或警示的相关事项 本项目包括但不限于： a) 收集个人信息的目的； b) 收集个人信息的法律、法规依据； c) 收集个人信息的方式、手段、内容； d) 保护个人信息的措施； e) 个人信息收集方与个人信息主体签订的合同或协议； f) 个人信息管理者、个人信息获得者的名称、地址、联系方式等； g) 个人信息主体有权选择是否允许对其个人信息进行处理； h) 个人信息主体有权访问自己的个人信息； i) 个人信息主体提供个人信息后可能存在的风险，以及不提供个人信息可能出现的后果； j) 处理个人信息的范围，包括：披露或向其他组织和机构提供其个人信息的范围； k) 个人信息主体的投诉渠道和应急机制； l) 个人信息侵害可能导致的实质损害及解决办法。 4.2.1.2 个人信息收集方应承诺事项： 本项目包括但不限于： a) 采用专业术语清楚表达收集目的，对处理个人敏感信息的需求进行充分说明； b) 收集目的符合相关法律、法规； c) 不收集与收集目的不相关的个人信息； d) 建立个人信息收集程序，保障个人信息的质量和准确性； e) 对个人信息的处理操作仅取决于收集目的所决定的处理过程，不对个人信息进行其他不相关 的处理； f) 从非个人信息主体所收集的个人信息是可靠的； g) 收集的个人信息是准确的、最新的，是与收集目的相关的、充分的； h) 收集个人信息前或将个人信息用于其他目的时，向个人信息主体说明并获取同意； i) 个人信息处理程序发生变更时通知个人信息主体； j) 在收集个人信息，或试图将其转移或委托于其他组织或机构时，应确保个人信息主体能够确 认同意或不同意对其个人信息执行相应操作； k) 系统持续进行个人信息收集时，应允许个人信息主体配置、调整、关闭个人信息收集功能或 删除其内容； l) 仅采用已告知的技术手段收集个人信息，不采取隐藏的技术手段收集个人信息。 3 DB13/T 5001—2019 4.2.2 信息显示 本项目包括但不限于： a) 收集个人信息的客户端应隐蔽输入的个人信息，使其不以明文形式显示； b) 显示个人敏感信息或个人一般信息中与个人敏感信息相关联的信息时，涉及的个人敏感信息 应不超过 3 种，对超范围信息显示应进行权限控制； c) 在公共环境下，应采取去标识化处理措施，显示个人