ICS 35.040 CCS L 80 15 内蒙古自治区 地方 标准 DB15/T 3660—2024 个人信息保护规范 Personal information protection specification 2024-09-06发布 2024-10-06实施 内蒙古自治区市场监督管理局 发布 DB15/T 3660 —2024 I 目次 前言 ................................ ................................ ................. II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 总体要求 ................................ ................................ ........... 2 5 总体框架 ................................ ................................ ........... 3 6 综合管理要求 ................................ ................................ ....... 4 管理职责及制度 ................................ ................................ . 4 分类分级 ................................ ................................ ....... 5 风险评估 ................................ ................................ ....... 5 影响评估 ................................ ................................ ....... 6 供应链管理 ................................ ................................ ..... 6 培训教育 ................................ ................................ ....... 7 应急预案 ................................ ................................ ....... 7 合规审计 ................................ ................................ ....... 8 7 个人信息处理要求 ................................ ................................ ... 8 个人信息收集要求 ................................ ............................... 8 个人信息存储要求 ................................ ............................... 9 个人信息传输要求 ................................ .............................. 10 个人信息加工要求 ................................ .............................. 10 个人信息使用要求 ................................ .............................. 11 个人信息公开要求 ................................ .............................. 11 个人信息提供要求 ................................ .............................. 12 个人信息删除要求 ................................ .............................. 14 8 互联网平台要求 ................................ ................................ .... 15 9 App要求 ................................ ................................ ........... 15 附录A（资料性） 常见个人信息清单 ................................ .................... 17 附录B（资料性） 常见敏感个人信息的判定方法和类型 ................................ .... 57 参考文献 ................................ ................................ ............. 58 DB15/T 3660 —2024 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任 。 本文件由中共内蒙古自治区委员会网络安全和信息化委员会办公室提出并归口。 本文件起草单位：中共内蒙古自治区委员会网络安全和信息化委员会办公室、内蒙古科电数据服务 有限公司。 本文件主要起草人：杨晓东、巴图吉日格勒、哈斯塔格塔、吴建华、谢铭琦、代钦、韩百岁、陈满 意、袁兴刚、刘国霞、赵峰、李运博、温晓辉、杨彭飞。 DB15/T 3660 —2024 1 个人信息保护 规范 1 范围 本文件规定了个人信息保护的总体要求、总体框架、综合管理要求、个人信息处理要求、互联网平 台要求和 App要求等内容。 本文件适用于规范个人信息处理者的个人信息处理活动 。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 20986 信息安全技术 网络安全事件分类分级指南 GB/T 35273 —2020 信息安全技术 个人信息安全规范 GB/T 37964 信息安全技术 个人信息去标识化指南 GB/T 39335 —2020 信息安全技术 个人信息安全影响评估指南 GB/T 41391—2022 信息安全技术 移动互联网应用程 序（App）收集个人信息基本要求 TC260—PG—20212A 网络安全标准实践指南 网络数据分类分级指引 TC260—PG—20231A 网络安全标准实践指南 网络数据安全风险评估实施指引 3 术语和定义 GB/T 35273 、GB/T 39335 、GB/T 41391 界定的以及下列术语和定义适用于本文件。 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 [来源：GB/T 35273—2020, 3.1] 个人信息主体 personal information subject 个人信息所标识或者关联的自然人。 [来源：GB/T 35273—2020, 3.3] 个人信息安全影响评估 personal information security impact assessment DB15/T 3660 —2024 2 针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风 险，以及评估用于保护个人信息主体的各项措施有效性的过程。 [来源：GB/T 39335—2020, 3.4] 个人信息处理者 personal information processor 参与个人信息处理活动的人员或机构，处理