GB/T 45392-2025 数据安全技术 基于个人信息的自动化决策安全要求

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T45392—2025

数据安全技术基于个人信息的自动化

决策安全要求

Datasecuritytechnology—Securityrequirementsforautomateddecision

makingbasedonpersonalinformation

2025-03-28发布2025-10-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T45392—2025

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

概述

4………………………2

自动化决策过程

4.1……………………2

自动化决策使用的计算机程序及其算法

4.2…………3

自动化决策处理信息的范围

4.3………………………3

自动化决策的安全风险

4.4……………3

安全原则

5…………………4

通用安全要求

6……………4

算法安全要求

7……………4

算法影响评估

7.1………………………4

算法安全技术要求

7.2…………………5

算法安全可信要求

7.3…………………5

算法安全人工介入要求

7.4……………5

保障算法安全的训练和测试数据要求

7.5……………5

算法开发技术文档要求

7.6……………6

算法安全运行要求

7.7…………………6

其他要求

7.8……………7

特征生成安全要求

8………………………7

特征生成的个人信息处理要求

8.1……………………7

特征生成的计算安全要求

8.2…………8

决策安全要求

9……………8

基本要求

9.1……………8

决策前的告知要求

9.2…………………8

决策中的个人权益保障要求

9.3………………………9

自动化决策典型场景特别安全要求

10……………………9

教育或职业机会

10.1……………………9

信用贷款或保险评估

10.2………………9

社会福利资格等公共治理领域

10.3……………………9

劳动关系领域

10.4……………………10

特殊群体的自动化决策安全要求

10.5………………10

信息推送商业营销

10.6、………………10

商业交易

10.7…………………………11

参考文献

……………………12

Ⅰ

GB/T45392—2025

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位北京理工大学中国信息通信研究院中国电子技术标准化研究院中国网络安全

:、、、

审查技术与认证中心北京抖音信息服务有限公司北京百度网讯科技有限公司北京尚隐科技有限公

、、、

司北京三快在线科技有限公司贝壳找房北京科技有限公司上海美士达商务咨询有限公司上海杉

、、()、、

涌律师事务所北京市竞天公诚律师事务所北京小桔科技有限公司北京汉华飞天信安科技有限公司

、、、、

携程旅游信息技术上海有限公司蚂蚁科技集团股份有限公司阿里巴巴北京软件服务有限公司

()、、()、

北京快手科技有限公司北京京东尚科信息技术有限公司北京微梦创科网络技术有限公司北京腾云

、、、

天下科技有限公司北京市中伦律师事务所北京外国语大学中国政法大学北京电子科技学院云从

、、、、、

科技集团股份有限公司荣耀终端有限公司北京深度求索人工智能基础技术研究有限公司

、、、OPPO

广东移动通信有限公司

。

本文件主要起草人洪延青田申葛鑫吴梦漪朱曼莉王劲松张朝赵冉冉刘笑岑薛晶

:、、、、、、、、、、

徐全全万方张凌寒王玎彭根樊华王磊陈湉何延哲刘影葛梦莹王敬周落红卫孙铁许锐

、、、、、、、、、、、、、、、

张娜李昳婧刘榕顾伟郭建领周杨吴佳蔚呼娜英丁晓强胡立平付艳艳白晓媛石玉珍

、、、、、、、、、、、、、

赵晓娜李军彭骏涛吴少卿黄蓉范晔梁天翔

、、、、、、。

Ⅲ

GB/T45392—2025

数据安全技术基于个人信息的自动化

决策安全要求

1范围

本文件提出了基于个人信息的自动化决策的基本安全原则规定了通用安全要求算法安全要求

,、、

特征生成安全要求决策安全要求和自动化决策典型场景特别安全要求

、。

本文件适用于开展自动化决策的个人信息处理者规范其算法开发特征生成和决策活动也适用于

、,

监管部门第三方评估机构对自动化决策进行监督管理和评估

、、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术个人信息安全规范

GB/T35273

信息安全技术移动互联网应用程序收集个人信息基本要求

GB/T41391(App)

信息安全技术网络数据处理安全要求

GB/T41479

信息安全技术机器学习算法安全评估规范

GB/T42888—2023

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T35273。

31

.

自动化决策automateddecisionmaking

通过计算机程序自动分析和评估个人的行为习惯兴趣爱好或者经济健康和信用状况等并进行

、、,

决策的活动

。

注自动化决策可进一步分解为特征生成和决策两个过程

:。

32

.

个人特征信息personalcharacteristicsinformation

通过计算机程序自动处理个人信息后并由计算机程序自动生成的关于特定自然人的偏好职业

,、、

经济健康教育和信用情况等的信息

、、。

注个人特征信息不包括个人生物识别信息

:。

33

.

个人特征信息生成generationofpersonalcharacteristicsinformation

通过计算机程序自动处理个人信息经过个人特征提取特征选择特征计算和特征输出等步骤生

,、、,

成开展针对个人决策所需的输入信息的过程

。

注简称特征生成

:“”。

34

.

决策decisionmaking

以计算机程序生成的个人特征信息为输入计算机程序产生的能影响个人自身状态其所处的物理

,、

1