ICS 35.030 CCS L 80 GB 中华人民共和国宝家标准 GB/T 41817—2022 信息安全技术 个人信息安全工程指南 engineering 2022-10-12发布 2023-05-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T41817—2022 目 次 前言 引言 范围 2 规范性引用文件 3 术语和定义 缩略语 4 总则 5 5.1 个人信息安全工程原则 5.2 个人信息安全工程目标 5.3 个人信息安全工程阶段 5.4 个人信息安全工程准备 个人信息安全工程需求阶段 6.1 描述 6.2 输入 6.3 角色与职责 6.4 主要活动 6.5 输出 个人信息安全工程设计阶段 7.1 描述 7.2 输入 7.3 角色与职责 7.4 主要活动 7.5 输出 8 个人信息安全工程开发阶段 8.1 描述 8.2 输入 8.3 角色与职责 8.4 主要活动 8.5 输出 个人信息安全工程测试阶段 9.1 描述 9.2 输入 9.3 角色与职责 9.4 主要活动 9.5 输出 GB/T 41817—2022 10 个人信息安全工程发布阶段 10 10.1 描述 10 10.2 输入 10 10.3 角色与职责 10 10.4 主要活动 10 10.5 输出 11 附录A（资料性） 常见个人信息安全设计参考要点· 附录B（资料性） 常见个人信息安全默认配置参考要点 15 参考文献 16 II GB/T41817—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 深圳市腾讯计算机系统有限公司、阿里巴巴（北京）软件服务有限公司、联想（北京）有限公司、蚂蚁科技 集团股份有限公司、上海市方达（北京）律师事务所、北京京东尚科信息技术有限公司、北京三快科技有 限公司、中国银行股份有限公司、中电长城网际系统应用有限公司、微软（中国）有限公司、全知科技 （杭州）有限责任公司、北京奇虎科技有限公司、北京字节跳动科技有限公司、贝壳找房（北京）科技有限 公司、北京小桔科技有限公司、勤智数码科技股份有限公司、陕西省网络与信息安全测评中心、西安电子 科技大学、北京邮电大学、上海工业控制安全创新科技有限公司、华东师范大学、浙江鹏信信息科技股份 有限公司。 本文件主要起草人：刘贤刚、胡影、徐羽佳、范为、孙硕、郭铁涛、李汝鑫、贾雪飞、王昕、王佳敏、苏丹、 白晓媛、武杨、赵冉冉、杨建媛、严少敏、刘笑岑、罗治兵、陈雪秀、白阳、周晨炜、刘行、王姣、王秉政、闵京华、 王劲松、章娅玮、张冰烨、张屹、刘凯红、张朝、衣强、孙铁、李正、李俊、裴庆祺、魏玉峰、朱通、邓婷、孙彦、 陈舒、张宇光、徐国爱、蒲戈光、刘虹、陈铭松、邹楠 GB/T 41817—2022 引言 为规范网络产品和服务个人信息处理活动，最大程度保障用户个人信息权益，业界陆续提出个人信 息安全措施与产品和服务同步规划、同步建设、同步使用的理念。例如，欧盟《通用数据保护条例》规定 在产品设计阶段要考虑个人信息保护要求，同时产品默认设置也要最大程度保护用户个人信息。这不 仅有助于主动防御个人信息安全风险，也便于预防侵害用户个人信息权益事件发生。 了具有处理个人信息功能的网络产品和服务在规划和建设阶段的个人信息安全工程实施指南，为帮助 网络产品和服务提升个人信息保护能力提供工程化指引。 IV GB/T41817—2022 信息安全技术个人信息安全工程指南 1范围 本文件提出了个人信息安全工程的原则、目标、阶段和准备，提供了网络产品和服务在需求、设计、 开发、测试、发布阶段落实个人信息安全要求的工程化指南。 本文件适用于涉及个人信息处理的网络产品和服务（含信息系统），为其同步规划、同步建设个人信 息安全措施提供指导，也适用于组织在软件开发生存周期开展隐私工程时参考。 注：在不引起混淆的情况下，本文件中的“网络产品和服务”简称为“产品服务”。 规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T25069—2022 信息安全技术术语 GB/T35273—2020 信息安全技术个人信息安全规范 GB/T39335—2020 信息安全技术个人信息安全影响评估指南 GB/T413912022 信息安全技术移动互联网应用程序（App）收集个人信息基本要求 3术语和定义 GB/T25069—2022界定的以及下列术语和定义适用于本文件。 3.1 个人信息安全工程 personal information security engineering 将个人信息安全原则和要求融人到产品服务规划、建设的每个阶段，使个人信息安全要求在产品服 务中有效落实的工程化过程。 注：也称隐私工程”。 3.2 个人信息保护影响评估personalinformationprotectionimpactassessment 针对个人信息处理活动，检验个人信息处理目的、处理方式是否合法、正当、必要，判断其对个人合 法权益的影响及安全风险，以及评估所采取的个人信息保护措施有效性的过程。 注：也称“个人信息安全影响评估”。 3.3 个人信息处理活动personalinformationprocessing 对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为。 3.4 自动化决策automated decision-making 通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决 策的活动。 1 GB/T41817—2022 注：包括个性化推荐、个性化展示、精准营销等情形。 3.5 第三方应用third-partycomponents 由产品服务提供者之外的其他组织或个人，提供的软件开发工具包、代码、插件、程序等应用 注1：包括商业应用和开源应用。 注2：既包括嵌入产品服务的SDK、代码、插件等（称为“第三方组件”），也包括接人产品服务的移动互联网应用程序 （简称"移动应用”）、小程序、应用系统等（称为"第三方产品或服务”）。 4缩略语 下列缩略语适用于本文件。 API：应用程序编程接口（applicationprogramminginterface） ICT：信息通信技术（informationcommunicationtechnology） SDK：软件开发工具包（softwaredevelopmentkit） SDL：安全开发生存周期（securitydevelopmentlifecycle） 5总则 5.1个人信息安全工程原则 为使产品服务符合个人信息安全要求、更大程度保障用户个人信息权益，组织宜在产品服务规划建 设时开展个人信息安全工程实践，落实同步规划、同步建设、同步使用个人信息安全措施。实施个人信 息安全工程时，基于尊重用户、主动防范的理念，按照以下原则开展。 a）嵌入设计原则：将个人信息保护要求纳入产品服务的设计中。 注1：也称隐私设计原则 b) 默认保护原则：产品服务的默认设置要最大程度保护个人信息安全，如默认收集最小化等。 注2：也称默认隐私原则 c） 用户中心原则：充分考虑用户个人信息安全需求，以用户为中心设计产品服务的个人信息安全 功能，最大程度保障用户个人信息权益。 d）工程对应原则：个人信息安全工程与软件开发生存周期对应，阶段划分一致，便于软件开发和 工具集成。 e） 全程安全原则：在个人信息处理活动的全流程中实现个人信息安全。 5.2个人信息安全工程目标 要求的基础上，重点实现以下目标。 a）合法正当：遵循个人信息安全相关法律法规要求，处理个人信息具有明确、合理的目的，不通过 误导，欺诈、胁迫等方式处理个人信息。 b)1 最小必要：处理个人信息与处理目的直接相关，采取对个人权益影响最小的方式，收集个人信 息限于实现处理目的的最小范围。 e） 的透明性。 d）不可关联：采用去标识化、匿名化等手段，减少个人信息关联到个人信息主体引起的安全风险 2 GB/T41817—2022 e）可管理性：提供个人信息处理的管理机制，使用户和组织能够适当干预产品服务处理个人信息 的过程。 5.3个人信息安全工程阶段 产品服务的个人信息安全工程与其规划建设过程相对应，也分为需求、设计、开发、测试、发布5个 阶段，各阶段活动见图1。如果组织已开展安全工程实践（如SDL），可在安全工程基础上结合自身需 要，增加个人信息安全工程活动。 需求 设计 开发 测试 发布 ·个人信息需求分析 ·个人信息安全设计 ·个人信必安全功能实现 ，个人信息测试用例创建 ·制定个人信息应急预案 ·个人信息需求评估 ·设计检查、诈估和确定 ■个人信息安全功能测试 ·发布准备和评审 ·管理使用第三方应用 ·个人信息需求确定 ·第三方应用选择 ·代码分析 ·测试结果分析 ·安全部署和监控 个人信息保护影响评估 图1个人信息安全工程各阶段活动 如果产品服务涉及处理敏感个人信息等情形，在产品服务规划建设时需按照GB/T39335一2020 开展个人信息保护影响评估。根据组织实际情况，个人信息保护影响评估通常会贯穿于个人信息安全 工程各阶段。例如：在需求阶段，启动个人信息保护影响评估，确定评估对象和范围，对需求进行评估； 在设计和开发阶段，对个人信息安