DB15/T 3660-2024 个人信息保护规范

ICS35.040

CCSL80

15

内蒙古自治区地方标准

DB15/T3660—2024

个人信息保护规范

Personalinformationprotectionspecification

2024-09-06发布2024-10-06实施

内蒙古自治区市场监督管理局发布

DB15/T3660—2024

目次

前言.................................................................................II

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4总体要求...........................................................................2

5总体框架...........................................................................3

6综合管理要求.......................................................................4

管理职责及制度.................................................................4

分类分级.......................................................................5

风险评估.......................................................................5

影响评估.......................................................................6

供应链管理.....................................................................6

培训教育.......................................................................7

应急预案.......................................................................7

合规审计.......................................................................8

7个人信息处理要求...................................................................8

个人信息收集要求...............................................................8

个人信息存储要求...............................................................9

个人信息传输要求..............................................................10

个人信息加工要求..............................................................10

个人信息使用要求..............................................................11

个人信息公开要求..............................................................11

个人信息提供要求..............................................................12

个人信息删除要求..............................................................14

8互联网平台要求....................................................................15

9App要求...........................................................................15

附录A（资料性）常见个人信息清单....................................................17

附录B（资料性）常见敏感个人信息的判定方法和类型....................................57

参考文献.............................................................................58

I

DB15/T3660—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中共内蒙古自治区委员会网络安全和信息化委员会办公室提出并归口。

本文件起草单位：中共内蒙古自治区委员会网络安全和信息化委员会办公室、内蒙古科电数据服务

有限公司。

本文件主要起草人：杨晓东、巴图吉日格勒、哈斯塔格塔、吴建华、谢铭琦、代钦、韩百岁、陈满

意、袁兴刚、刘国霞、赵峰、李运博、温晓辉、杨彭飞。

II

DB15/T3660—2024

个人信息保护规范

1范围

本文件规定了个人信息保护的总体要求、总体框架、综合管理要求、个人信息处理要求、互联网平

台要求和App要求等内容。

本文件适用于规范个人信息处理者的个人信息处理活动。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20986信息安全技术网络安全事件分类分级指南

GB/T35273—2020信息安全技术个人信息安全规范

GB/T37964信息安全技术个人信息去标识化指南

GB/T39335—2020信息安全技术个人信息安全影响评估指南

GB/T41391—2022信息安全技术移动互联网应用程序（App）收集个人信息基本要求

TC260—PG—20212A网络安全标准实践指南网络数据分类分级指引

TC260—PG—20231A网络安全标准实践指南网络数据安全风险评估实施指引

3术语和定义

GB/T35273、GB/T39335、GB/T41391界定的以及下列术语和定义适用于本文件。

个人信息personalinformation

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然

人活动情况的各种信息。

[来源：GB/T35273—2020,3.1]

个人信息主体personalinformationsubject

个人信息所标识或者关联的自然人。

[来源：GB/T35273—2020,3.3]

个人信息安全影响评估personalinformationsecurityimpactassessment

1

DB15/T3660—2024

针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风

险，以及评估用于保护个人信息主体的各项措施有效性的过程。

[来源：GB/T39335—2020,3.4]

个人信息处理者personalinformationprocessor

参与个人信息处理活动的人员或机构，处理活动包括个人信息的收集、存储、使用、加工、传输、

提供、公开、删除等。

互联网平台运营者internetplatformoperator

为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。

App开发运营者Appdevelopmentoperator

从事App开发和运营活动的主体。

App分发平台Appdistributionplatform

通过应用商店、应用市场、网站等方式提供App下载、升级服务的软件服务平台。

App第三方服务提供者Appthird-partyserviceprovider

相对于用户和App以外的，为App提供软件开发工具包（SDK）、封装、加固、编译环境等第三方服

务的主体。

第三方应用third-partyapplication

由App开发运营者之外的其他法人实体提供，通过移动互联网应用程序面向用户提供服务的应用程

序。

[来源：GB/T41391—2022,3.17，有修改]

4总体要求

个人信息处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等，个人信息处

理应遵循以下原则：

a)应遵循合法、正当、必要和诚信原则，不应通过误导、欺诈、胁迫等方式处理个人信息；

b)应具有明确、合理的目的，并应与处理目的直接相关，采取对个人权益影响最小的方式；

c)应遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围；

d)应保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响；

2

DB15/T3660—2024

e)个人信息处理者应对个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全；

f)除法律、行政法规另有规定外，个人信息处理者取得个人的同意方可处理个人信息。

5总体框架

总体框架图如图1所示。

图1总体框架

本文件明确了个人信息处理的总体要求、综合管理要求、个人信息全生命周期处理要求、互联网平

台要求和App要求。

个人信息处理活动总体上应满足合法、必要、诚信、目的合理、公开、透明、保证质量等原则。

个人信息处理活动在管理上应满足一些必要的条件，包括个人信息管理职责及制度的建立、实施个

人信息保护安全教育和培训、个人信息的分类分级、个人信息的风险评估、影响评估、合规审计、个人

信息安全事件应急预案、个人信息处理供应链管理等。

在个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期处理的各个环节都

应有针对性的要求。

本文件还对互联网平台和App提出了相应的要求。

个人信息全生命周期如图2所示。

3

DB15/T3660—2024

图2个人信息全生命周期

个人信息全生命周期包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人

信息全生命周期都应遵守相应的要求。

6综合管理要求

管理职责及制度

6.1.1管理职责

个人信息处理者应该履行个人信息保护职责，具体如下：

a)应指定个人信息保护负责人，负责个人信息保护工作；

b)应公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履

行个人信息保护职责的部门；

c)个人信息保护负责人应履行的职责包括但不限于；

1)组织开展数据安全风险评估、个人信息安全影响评估、个人信息合规审计工作；

2)组织开展个人信息保护宣传教育培训工作；

3)与履行个人信息保护职责的部门保持沟通，上报数据安全风险评估、个人信息安全影响评

估、个人信息合规审计、事件处置等情况；

4)积极配合履行个人信息保护职责的部门的监督检查工作，提供相关材料，协助检查人员进

入其生产经营场所调查情况；

5)按照GB/T35273—2020中11.1至11.3规定的要求履行职责。

6.1.2管理制度

个人信息处理者应制定个人信息保护内部管理制度和操作规程，包括但不限于：

a)个人信息保护工作的方针、目标、原则；

b)数据安全风险评估、个人信息安全影响评估、个人信息合规审计工作开展计划；

c)个人信息处理供应链管理制度；

d)个人信息保护宣传教育和培训计划；

e)个人信息安全事件应急处置制度；

4

DB15/T3660—2024

f)与履行个人信息保护职责的部门沟通汇报工作机制；

g)个人信息保护负责人及相关人员履职评价制度。

分类分级

6.2.1个人信息分类

个人信息处理者应按照国家、行业的数据分类要求进行数据分类，分类时要求从公共个人维度识别

是否存在个人信息，并对个人信息进行分类。

a)应按照TC260-PG-20212A中5.2.1章节进行个人信息识别；

b)应按照业务维度或其他维度对个人信息进行分类，常见个人信息见附录A。

6.2.2个人信息分级

个人信息处理者按照国家和行业领域的分级标准对数据进行分级，对于个人信息，应分为敏感个人

信息、一般个人信息。

根据《中华人民共和国个人信息保护法》要求，敏感个人信息是一旦泄露或者非法使用，容易导致

自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定

身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

注：关于常见敏感个人信息的判定方法和类型参见附录B。

敏感个人信息以外的个人信息属于一般个人信息，是指一旦泄露或者非法使用，对自然人个人信息

权益造成轻微或一般影响，不易导致自然人的人格尊严、人身安全、财产安全受到侵害，例如网络身份

标识信息。

个人信息分级后，安全防护要求包括：

a)对于一般个人信息的处理应符合本文件第7章中的基本安全要求；

b)对于敏感个人信息的处理应同时符合本文件第7章中基本安全要求和敏感信息的相关要求；

c)因敏感程度、数据规模、危害程度等达到重要数据标准的个人信息，除满足一般个人信息和敏

感个人信息的要求外，还应满足重要数据的安全管理要求。

风险评估

个人信息处理者按照国家和行业领域的分级标准对数据进行分级后，对于重要数据应开展数据安

全风险评估，具体要求如下：

a)数据安全风险评估实施主体可分为以下两种方式：

1)由个人信息处理者发起数据安全风险评估，可以在机构内部组成评估小组，也可以委托符

合条件的第三方评估机构，按照相关政策法规与标准，对评估对象的数据安全风险进行评

估，其流程及相关信息系统或程序应允许履行个人信息保护职责的部门进行取证；

2)由履行个人信息保护职责的部门发起数据安全风险评估工作。

b)个人信息处理者可以采取以下手段开展数据安全风险评估：

1)对相关人员进行访谈；

2)查验有关材料及制度落实情况；

3)核查个人信息相关系统和设备安保措施情况；

4)使用技术手段检测防护措施的有效性。

c)个人信息处理者应按照TC260-PG-20231A中第4章到第8章的规定要求开展数据安全风险评

估工作；

d)典型数据安全风险类别应按照TC260-PG-20231A中附录A所列内容。

5

DB15/T3660—2024

影响评估

个人信息保护影响评估包括如下要求：

a)有下列情形之一的，个人信息处理者应事前进行个人信息保护影响评估，并对处理情况进行记

录：

1)处理敏感个人信息；

2)利用个人信息进行自动化决策；

3)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

4)向境外提供个人信息；

5)其他对个人权益有重大影响的个人信息处理活动。

b)个人信息处理者自行发起影响评估时，可以指定专门负责评估审计的岗位或角色开展，也可以

委托符合条件的第三方评估机构开展评估工作，其流程及相关信息系统或程序应允许履行个

人信息保护职责的部门进行取证；

c)履行个人信息保护职责的部门可以发起个人信息安全影响评估工作；

d)开展个人信息安全影响评估时应采取以下手段：

1)对相关人员进行访谈；

2)对相关制度及文档进行查验；

3)通过人工或者测试工具进行技术测试。

e)个人信息处理者应按照GB/T39335-2020第5章规定的内容开展个人信息安全影响评估。

供应链管理

6.5.1委托处理

个人信息处理者委托第三方处理个人信息时，个人信息处理者和受委托者应符合以下要求：

a)个人信息处理者应符合以下要求：

1)在委托处理个人信息前应征得个人信息主体授权同意；

2)在委托处理个人信息前应开展个人信息保护影响评估；

3)应与受委托者签订合同，约定委托处理的目的、期限、方式及个人信息的种类、受委托者

应采取的技术措施和管理措施、双方的权利义务；

4)应采用去标识化等方式对敏感个人信息进行脱敏处理；

5)应采取定期检查等方式，对受委托者的个人信息处理活动进行监督，以确保委托处理个人

信息的活动符合法律规定；

6)应按照GB/T35273—2020中9.1规定的要求进行个人信息委托处理。

注：不必征得个人信息主体的授权同意的情形，按照GB/T35273—2020中5.6规定的执行。

b)受委托者应符合以下要求：

1)应按照合同处理个人信息，因业务开展需要超出合同约定处理的，需再次和个人信息处理

者进行协商；

2)因无法提供足够的安全保护水平、发生安全事件、管理漏洞等原因造成未按照个人信息处

理者的要求处理个人信息的，应及时向个人信息处理者反馈；

3)未经个人信息处理者同意，不应转委托第三方处理个人信息；

4)委托合同不生效、无效、被撤销或者终止的，应将个人信息返还个人信息处理者或者予以

删除，不应保留；

5)应按照GB/T35273—2020中9.1规定的要求将开展委托工作。

6

DB15/T3660—2024

6.5.2第三方产品接入

个人信息处理者接入第三方产品或服务时，应符合以下要求：

a)通过第三方应用采集个人信息的，需告知个人信息主体并获得授权；

b)使用第三方应用前，应对个人信息安全风险进行评估，只有通过评估并经组织批准后方可在产

品和服务中使用；

c)应与第三方应用提供者签订个人信息安全保护相关协议，包括但不限于收集的个人信息范围、

处理目的、处理方式、以及安全责任等；

d)第三方应用来源渠道应合法正规；

e)第三方应用不应存在安全漏洞；

f)第三方应用应具备个人信息安全防护能力；

g)第三方应用提供者应提供有效的个人信息安全受理机制、事件响应机制。

培训教育

个人信息处理者应开展培训教育，要求包括但不限于：

a)个人信息处理者应制定并实施个人信息保护安全教育和培训计划，计划内容包括但不限于培

训内容、培训方式、培训对象、培训频率等；

b)个人信息处理者应按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训，

对相应人员的个人信息保护意识和技能进行考核；

c)个人信息保护培训教育内容，应包括但不限于：

1)个人信息保护相关法律、法规、规范、标准和管理制度；

2)个人信息保护的重要性和必要性；

3)个人信息保护培训教育对象的职能和责任；

4)个人信息的概念和分类：解释个人信息的定义、范围和分类，以帮助员工了解何种信息属

于个人信息，并在处理时予以妥善保护；

5)违反个人信息保护相关标准可能引起的损害和后果等。

d)应按照GB/T35273—2020中11.6规定的要求，开展人员管理与培训。

应急预案

6.7.1应急预案的制定

个人信息处理者应制定个人信息安全事件应急预案，预案内容包括但不限于：

a)指导思想和基本策略；

b)对涉及个人信息处理的业务的风险评估和预测；

c)根据风险评估结果，按照GB/T20986对个人信息安全事件进行分级，明确不同级别个人信息

安全事件对应的应急处置措施；

d)应急组织架构、责任部门、角色职责、对应人员，应急响应人员的联络信息；

e)个人信息安全事件的应急处置策略和规程，包括个人信息安全事件应急报告机制、预防机制、

预警机制等；

f)人力资源、财力保障、物资保障、技术保障等各方面的保障措施。

6.7.2应急预案的组织实施

个人信息处理者应对制定的应急预案组织实施，包括但不限于：

7

DB15/T3660—2024

a)至少每年一次，对相关人员进行应急预案培训，使相关人员能够掌握岗位职责、应急处置策略

和规程；

b)至少每年一次，对应急预案进行演练，记录演练时间、演练范围、地点、演练流程、演练结果

等，并存档。对演练结果进一步分析，提出进一步健全应急预案的意见和建议。

6.7.3应急处置

发生个人信息安全事件时，个人信息处理者应进行应急响应处置：

a)立即启动应急预案，完整记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及

的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有

关部门；对于发生或者可能发生未成年人个人信息泄露、篡改、丢失的，还应及时向履行个人

信息保护职责的部门报告，并按照国家有关规定将事件情况以邮件、信函、电话、信息推送等

方式告知受影响的未成年人及其监护人；

b)按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害，分析、

确定事件发生的原因，提出防止危害扩大的措施方案；

c)应按照GB/T35273—2020中10.1和10.2进行安全事件应急处置和报告，以及安全事件告知。

注：按照《中华人民共和国个人信息保护法》要求，个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失

造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求

个人信息处理者通知个人。

合规审计

合规审计包括如下要求：

a)个人信息处理者应定期开展个人信息保护合规审计；

b)个人信息处理者可以自行或者委托符合条件的第三方机构开展个人信息保护合规审计；

c)个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的，应尽

快按照要求选定专业机构进行个人信息保护合规审计，并将其出具的个人信息保护合规审计

报告报送履行个人信息保护职责的部门，该报告应由个人信息保护负责人、专业机构负责人签

字并加盖专业机构公章；

d)个人信息处理者应按照专业机构提出的整改建议进行整改，并将专业机构复核后的整改情况

报送履行个人信息保护职责的部门。

7个人信息处理要求

个人信息收集要求

7.1.1基本安全要求

个人信息收集包括如下要求：

a)应对个人信息收集来源进行鉴别和记录，确保来源的合法性、正当性，明确个人信息类型及收

集渠道、目的、用途、范围、频度、方式等；

b)收集外部机构个人信息前，应对外部机构个人信息的合法性、合规性进行鉴别；

c)个人信息处理者在收集个人信息前，应采用电子或书面提醒的方式，真实、完整、准确地向个

人信息主体告知以下事项，并取得个人信息主体的同意：

1)个人信息处理者的名称或者姓名和联系方式；

2)个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

8

DB15/T3660—2024

3)个人行使权利的方式和程序；

4)法律、行政法规规定应告知的其他事项。

d)个人信息处理者履行上述告知事项义务后，还应满足如下要求：

1)上述事项发生变更的，个人信息处理者应将变更部分告知个人信息主体；

2)个人信息处理者是以制定个人信息处理规则的方式告知上述事项的，应公开处理规则，供

个人信息主体查阅；

3)有法律法规规定应保密的或者不需要告知个人信息主体的，个人信息处理者可以不告知

上述事项；

4)紧急情况下为保护个人信息主体的生命健康和财产安全无法及时向个人告知的，个人信

息处理者应在紧急情况消除后及时告知。

e)个人信息处理者收集个人信息用于营销、用户体验改进或者市场调查的，应以适当方式提供客

户自主选择是否同意授权将其个人信息用于上述目的，个人信息主体不同意的，个人信息处理

者不应因此拒绝提供产品或服务；

f)应按照GB/T35273—2020中5.1至5.6规定的要求开展个人信息收集工作；

g)当个人信息处理者停止运营其处理个人信息的应用程序时，应立即停止继续收集个人信息，并

通知个人信息主体。

7.1.2敏感信息收集要求

个人信息处理者在收集敏感个人信息时，除遵循基本安全要求外，还应遵循以下要求：

a)收集一般个人信息可以实现处理目的的，不应收集敏感个人信息；

b)应仅在个人信息主体使用业务功能期间，收集该业务功能所需的敏感个人信息；

c)收集敏感个人信息应取得个人的单独同意；法律、行政法规规定收集敏感个人信息应取得书面

同意的，从其规定；

d)除满足基本安全要求的告知事项要求外，个人信息处理者还应向个人信息主体告知收集敏感

个人信息的必要性以及对个人权益的影响；依照法律法规可以不向个人告知的除外；

e)收集不满十四周岁未成年人个人信息的，应制定专门的个人信息收集规则，告知内容应包括不

限于：

1)未成年人个人信息收集的目的、方式、范围，处理的必要性；

2)未成年人个人信息存储的地点、期限及到期后的处理方式；

3)对未成年人个人信息采取的安全保障措施；

4)未成年人及其监护人投诉、举报的渠道、方式；

5)未成年人及其监护人查询、复制、更正、删除信息、撤回同意、注销账户等的途径和方法；

6)未成年人及其监护人拒绝个人信息处理规则的后果。

个人信息存储要求

7.2.1基本安全要求

个人信息存储包括如下要求：

a)个人信息的保存期限应为实现处理目的所必要的最短时间，超出后应及时进行删除或匿名化

处理；

b)应明确个人信息备份与恢复安全策略，建立备份恢复操作规程，说明备份周期、备份方式、备

份地点；建立数据恢复性验证机制，保障个人信息的可用性与完整性；

9

DB15/T3660—2024

c)应采取相应的技术措施和其他必要措施，保障个人信息数据安全，防止个人信息泄露、篡改、

丢失。可参考技术措施如下：

1)采用身份认证技术，验证使用个人信息的工作人员身份真实性，防止未授权人员处理个人

信息；

2)采用权限控制技术：实现对个人信息的访问及使用权限最小化；

3)采取数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计等技术，防范

数据库拖库、撞库等风险；

4)采用隐私计算技术，实现在不暴露个人信息的前提下进行分析计算，达到“可用不可见”

的效果；

5)采用风险监测技术，对个人信息数据存储、流转、泄露和滥用情况进行监控，及时对异常

操作行为进行预警；

6)采用数据库审计技术，对数据库访问行为进行审计，对出现的异常访问行为及时排查和追

责。

7.2.2敏感信息存储要求

个人信息处理者在存储敏感个人信息时，除满足基本安全要求外，还应满足以下要求：

a)存储敏感个人信息时，应采用加密等去标识化安全措施；

注：采用密码技术时应遵循密码管理相关国家标准。

b)经过加密、去标识化处理后的敏感个人信息应与解密密钥、其他个人信息等分开存储；

注：个人信息去标识化处理应按照GB/T37964开展。

c)应对敏感个人信息存储环境建立异常监测和分析能力，对出现的个人信息泄露、篡改、丢失等

异常情况进行及时响应，动态调整安全保护措施，按照就高从严原则设定安全保护措施。

个人信息传输要求

7.3.1基本安全要求

个人信息传输包括如下要求：

a)应对个人信息数据传输通道两端进行身份鉴别，确保信息传输双方可信任；

b)应采用校验技术保证信息在传输过程中的完整性。

7.3.2敏感信息传输要求

个人信息处理者在传输敏感个人信息时，除满足基本安全要求外，还应满足以下要求：

a)传输敏感个人信息时，应采用加密等安全措施，防止个人信息在传输过程中被窃取或篡改；

注：采用密码技术时应遵循密码管理相关国家标准。

b)传输中实时记录敏感个人信息的传输日志，包括传输时间、双方身份信息等；

c)应定期评估或验证敏感个人信息传输方式的安全状况，网络环境发生重大变化时，应及时调整

安全策略。

个人信息加工要求

7.4.1基本安全要求

个人信息处理者在开展个人信息转换、汇聚、分析等数据加工活动过程中，应遵循以下要求：

a)应定期核实个人信息的加工目的、加工方式，加工的个人信息种类、保存期限等是否与告知个

人信息主体的内容相一致，不一致的应说明理由，并告知个人信息主体；

10

DB15/T3660—2024

b)在加工个人信息时，应做好全程管控工作，防止个人信息泄露、篡改、丢失；

c)委托第三方加工个人信息时，应遵循本文件第6.5.1章节所列要求；

d)在开展个人信息加工活动过程中，发现可能危害个人生命健康和财产安全、国家安全、公共安

全、经济安全、社会稳定、个人权益的，应立即停止加工活动。

7.4.2敏感信息加工要求

个人信息处理者在加工敏感个人信息时，除满足基本安全要求外，还应遵循以下要求：

a)对敏感个人信息的处理行为进行识别、审批、记录、审计；

b)加工处理敏感个人信息前，应进行个人信息保护影响评估，并对处理情况进行记录。

个人信息使用要求

7.5.1基本安全要求

个人信息使用包括如下要求：

a)应具有明确、合理的目的，并应与使用目的直接相关，采取对个人权益影响最小的方式；

b)应遵循公开、透明原则，公开个人信息使用规则，明示使用的目的、方式和范围；

c)应保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响；

d)应对其个人信息使用活动负责，并采取必要措施保障个人信息安全；

e)任何组织、个人不应非法使用他人个人信息，使用个人信息的活动不应危害个人权益、国家安

全、公共利益；

f)利用个人信息进行自动化决策，应保证决策的透明度和结果公平、公正，不应对个人在交易价

格等交易条件上实行不合理的差别待遇；

g)利用个人信息进行自动化决策，应事前进行个人信息保护影响评估，并对处理情况进行记录；

h)应按照GB/T35273—2020中7.1至7.7规定的要求开展个人信息使用工作；

i)对工作人员应以最小授权为原则，严格设定信息访问权限，控制个人信息知悉范围。工作人员

访问个人信息的，应经过相关负责人或者其授权的管理人员审批，记录访问情况，并采取技术

措施，避免违法处理个人信息。

7.5.2敏感信息使用要求

对于使用敏感个人信息，除满足基本安全要求外，还应满足以下要求：

a)应建立异常监测预警和响应机制，对超出业务正常需求的异常操作（如频繁、大量敏感个人信

息浏览查询、下载、打印，非工作时间操作等）应采取中断操作，并通过邮件、消息、弹窗等

形式进行告警，开展分析调查，提前排除隐患；

b)展示敏感个人信息时应采用去标识化措施，规律法规明确的除外；

c)不应使用敏感个人信息构建用户画像、用于个性化推荐。

个人信息公开要求

7.6.1基本安全要求

个人信息公开包括如下要求：

a)个人信息处理者不应公开其处理的个人信息，取得个人单独同意的除外；

b)个人信息处理者经法律授权或具备合理事由确需公开时，应符合以下要求：

1)应事前进行个人信息保护影响评估，并对公开情况进行记录；

2)应事先取得个人信息主体同意，告知其公开的目的、方式和种类；

11

DB15/T3660—2024

3)GB/T35273-2020中9.4规定的要求。

c)以下情形中，公开个人信息不必事先征得个人信息主体的授权同意：

1)为履行法定职责或者法定义务所必需的；

2)为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需

的；

3)为公共利益实施新闻报道、舆论监督等行为，在合理的范围内公开个人信息的；

4)在合理的范围内公开个人信息主体自行公开或者其他已经合法公开的个人信息的；

5)GB/T35273-2020中9.5规定的要求。

7.6.2敏感信息公开要求

公开敏感个人信息，除满足基本安全要求外，还应满足以下要求：

a)公开敏感个人信息前应向个人告知公开的必要性以及对个人权益的影响；

b)未经个人单独同意，不应公开已识别的特定身份信息。

个人信息提供要求

7.7.1基本安全要求

7.7.1.1三方要求

7.7.1.1.1提供方要求

提供方包括如下要求：

a)提供个人信息前应向个人信息主体告知接收方的名称或者姓名、联系方式、处理目的、处理方

式和个人信息的种类，并取得个人的单独同意；

b)提供个人信息前应开展个人信息保护影响评估，并依评估结果采取有效的防护措施；

c)个人信息提供范围应限于实现处理目的的最小范围，如不需在接收方进行本地存储而能满足

应用需求的，不应引导个人信息主体进行过度授权；

d)应通过合同、协议等方式规定提供方、接收方、平台方的责任和义务；

e)应定期梳理个人信息提供清单，准确记录和存储个人信息的提供情况，包括提供的日期、规模、

目的、条件、程序，以及接收方基本情况等；

f)因合并、分立、解散、被宣告破产等原因造成个人信息处理者需要转移个人信息的，个人信息

提供方应向个人告知有关情况，包括转移的个人信息接收方名称、联系方式。如个人信息处理

者因破产等原因无法找到承接方的，应向履行个人信息保护职责的部门报告，按照相关要求移

交或删除数据；

g)通过导出、拷贝等方式提供个人信息的，为防止未经授权访问以及个人信息泄露、篡改、丢失，

应采取有效的技术手段，确保个人信息安全；

h)当发现接收方违反双方约定处理个人信息时，应立即要求接收方停止相关行为，并要求接收方

采取更改口令、回收权限、断开网络连接等有效措施消除或降低个人信息面临的安全风险；必

要时个人信息提供方应解除与接收方的业务关系，并要求接收方及时删除从个人信息提供方

获得的个人信息。

注：不必征得个人信息主体的授权同意的情形，按照GB/T35273—2020中9.5规定的执行。

7.7.1.1.2接收方要求

接收方包括如下要求：

12

DB15/T3660—2024

a)应与提供方、平台方签订合同或协议明确责任和义务；

b)应从提供方获取个人信息主体授权的说明，并在个人授权的处理目的、处理方式和个人信息的

种类等范围内处理个人信息；

c)应通过个人信息提供方获取个人信息主体授权同意后方可存储个人信息；

d)未经提供方同意不应向第三方提供个人信息；

e)变更原先告知的处理目的、处理方式的，应通过个人信息提供方重新取得个人同意。

7.7.1.1.3平台方要求

平台方包括如下要求：

a)应提供可靠的安全防护环境，并为个人信息提供方、接收方提供安全防护能力说明；

b)不应擅自对个人信息进行处理，确需处理的要通过个人信息提供方获取个人信息主体授权，并

按照接收方要求承担相关责任与义务；

c)应保证平台方对提供方、接收方系统和数据的操作可被提供方、接收方核查；

d)应支持提供方、接收方部署密钥管理等解决方案，保证提供方、接收方自行实现数据的加解密

过程；

e)在提供方、接收方要求将业务系统及数据迁移到其他平台系统或与平台方服务合约到期时，平

台方应协助完成数据迁移工作，并确保不再保留相关数据；