DB13/T 5001-2019 信息安全技术 信息系统个人信息保护技术与管理规范

ICS35.030

L09

DB13

河北省地方标准

DB13/T5001—2019

信息安全技术信息系统个人信息保护

技术与管理规范

2019-07-04发布2019-08-01实施

河北省市场监督管理局发布

DB13/T5001—2019

目次

前言.................................................................................II

引言................................................................................III

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4信息系统个人信息处理过程安全要求...................................................2

5信息系统个人信息保护技术要求.......................................................6

6信息系统个人信息保护管理要求.......................................................8

参考文献.......................................................................12

I

DB13/T5001—2019

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由河北省工业和信息化厅提出并归口。

本标准主要起草单位：河北省信息安全测评中心、中国软件评测中心、河北金信网络技术开发服

务有限公司、河北省委党校（河北行政学院）、秦皇岛市工业和信息化局、河北工程大学地球科学与

工程学院。

本标准主要起草人：张凤臣、陶卫江、牛占冀、闫利平、马仲光、黄亮、刘艳、孟宪辉、姜彧、

王淑婧、唐刚、张友平、马正英、马一超、朱信铭、王涛、周峰、任旭东、付江、张桐、周倩羽。

II

DB13/T5001—2019

引言

随着信息技术的快速发展和互联网的普及应用，越来越多的组织机构收集、使用个人信息，个人

信息泄露、违法使用个人信息的时间不断出现；为保障个人的合法权益，规范各类组织机构合理合法

使用个人信息，依据国家有关法律法规制定本标准。

本标准包括信息系统个人信息处理过程安全要求、技术要求和管理要求。信息系统个人信息保护

处理过程安全要求规定了收集、加工、转移、删除各个阶段的安全要求；技术要求规定了环境物理安

全、网络与主机安全、终端安全、权限管理、数据安全、审计安全、备份恢复等方面的安全要求；管

理要求规定了策略与制度、人员与责任、环境与资源、操作与维护、风险控制、密码管理等方面的安

全要求。

III

DB13/T5001—2019

信息安全技术信息系统个人信息保护技术与管理规范

1范围

本标准规定了信息系统个人信息处理过程中收集、加工、转移、删除四个阶段安全要求，提出了

信息系统个人信息保护的技术要求和管理要求。

本标准适用于信息系统个人信息安全保护应用单位信息系统的建设和管理，也适用于管理机构指

导涉及信息系统个人信息保护的安全建设、检查、监督，或信息系统使用单位自查等。

2规范性引用文件

下列文件对于本文件的应用是必不可少的,凡是注日期的引用文件，仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T2887-2011计算机场地通用规范

GB/T9361-2011计算机场地安全要求

GB/Z28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南

GB/T31167-2014信息安全技术云计算服务安全指南

GB/T31168-2014信息安全技术云计算服务安全能力要求

GB/T35273-2017信息安全技术个人信息安全规范

3术语和定义

GB/Z28828、GB/T35273中界定的术语和定义适用于本文件。为了便于使用，以下重复列出了GB/Z

28828、GB/T35273中某些术语和定义。

3.1

个人信息最小元素集minimumcollectionofpersonalinformation

实现产品或服务核心业务功能和满足法律法规要求所必需使用的个人信息集合。

3.2

信息系统informationsystem

计算机信息系统，由计算机（含移动通信终端）及其相关的配套的设备、设施（含网络）构成的，

按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.3

个人信息personalinformation

指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包

括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

3.4

个人信息主体subjectofpersonalinformation

1

DB13/T5001—2019

个人信息所标识的自然人。

3.5

个人信息管理者administratorofpersonalinformation

决定个人信息处理的目的和方式，实际控制个人信息并利用信息系统处理个人信息的组织和机构。

3.6

个人信息获得者receiverofpersonalinformation

从信息系统获取个人信息的个人、组织和机构，依据个人信息主体的意愿对获得的个人信息进行

处理。

3.7

个人敏感信息personalsensitiveinformation

一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或

歧视性待遇等的个人信息。

3.8

个人一般信息personalgeneralinformation

除个人敏感信息以外的个人信息。

3.9

个人信息处理personalinformationhanding

处置个人信息的行为，包括收集、加工、转移、删除。

3.10

去标识化de-identification

通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程。

3.11

匿名化anonymization

通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息不能被复原的过程。

4信息系统个人信息处理过程安全要求

4.1概述

本文件按照GB/Z28828中5.1的要求，从收集、加工、转移和删除4个主要环节对信息系统个人信

息处理过程提出以下安全要求，信息处理基本原则应满足GB/Z28828中4.2的要求。

4.2收集

4.2.1告知和警示

本项目包括但不限于：

2

DB13/T5001—2019

a)应制定相应制度，将个人信息收集的目的、范围、方法和手段、处理方式等明确告知或警示

个人信息主体，只收集能够达到已告知目的的个人信息最小元素集，并征得个人信息主体授

权同意，例外情况应满足GB/T35273中5.4的要求；

b)应在进行个人信息收集前，确认数据来源的合法性，如果是通过交易得来的数据，明确交易

对象和过程的合法性，个人信息的合法性应满足GB/T35273中5.1的要求；

c)收集未成年人个人信息前，应征得未成年人或其监护人的明示同意，未满14周岁的，应征得

其监护人的明示同意；

d)应采用个人信息主体易知悉的方式，通过技术手段明确告知、警示和承诺相关事项，具体内

容应满足a)项要求；

4.2.1.1应告知或警示的相关事项

本项目包括但不限于：

a)收集个人信息的目的；

b)收集个人信息的法律、法规依据；

c)收集个人信息的方式、手段、内容；

d)保护个人信息的措施；

e)个人信息收集方与个人信息主体签订的合同或协议；

f)个人信息管理者、个人信息获得者的名称、地址、联系方式等；

g)个人信息主体有权选择是否允许对其个人信息进行处理；

h)个人信息主体有权访问自己的个人信息；

i)个人信息主体提供个人信息后可能存在的风险，以及不提供个人信息可能出现的后果；

j)处理个人信息的范围，包括：披露或向其他组织和机构提供其个人信息的范围；

k)个人信息主体的投诉渠道和