《信息安全技术 基于个人请求的个人信息转移要求编制说明.docx》由会员分享,可在线阅读,更多相关《信息安全技术 基于个人请求的个人信息转移要求编制说明.docx(4页珍藏版)》请在三一办公上搜索。
1、国家标准数据安全技术基于个人请求的个人信息转移要求(征求意见稿)编制说明一、工作简况1.1 任务来源根据国家标准化管理委员会2023年下达的国家标准制修订计划,网络安全技术个人信息转移技术要求由北京理工大学负责承办,计划号:XXXXXXX。该标准由全国网络安全标准化技术委员会归口管理。1.2 制定背景2021年8月,我国个人信息保护法正式颁布,并于2021年11月正式实施。其中,第四十五条有关“个人信息转移”的条款备受关注。2023年4月,全国信息安全标准化技术委员会发布关于发布2023年度第一批网络安全国家标准需求的通知,将本标准纳入2023年网络安全国家安全标准需求项目。2023年9月,全
2、国信息安全标准化技术委员会发布关于2023年第一批网络安全国家标准项目立项的通知,明确本标准由北京理工作为项目牵头单位负责标准编制工作。1.3 3起草过程1、2023年3月,北京理工大学牵头组建标准前期研究工作小组,小组对基于个人信息转移要求有关的国内外法律法规、标准等进行详细调研,形成相应标准草案,并准备申报材料。2、2023年5月,北京理工大学编制组在全国信息安全标准化技术委员会进行标准申报汇报。3、2023年9月,全国信息安全标准化技术委员会发布关于2023年第一批网络安全国家标准项目立项的通知,同意本标准由北京理工大学作为项目牵头单位负责标准编制工作。4、2023年10月Tl月,北京理
3、工大学对外公开征集标准参编单位,正式成立标准编制组,召开第一次工作组组内会议,并就标准草窠内容向标准编制组内部征求意见,对标准内容进行更新完善。5、2023年11月,标准编制组在2023年标准周大数据工作组上进行汇报,通过组内成员单位投票。标准编制组根据意见进行认真修改后形成征求意见稿。6、2024年1月,召开编制组会议,就标准内容和文本进行研讨、完善。7、2024年2月,召开编制组会议,就标准内容和文本进行研讨、完善,形成征求意见稿。8、2024年3月,标准编制组在全国网络安全标准化技术委员会召开的专家审查会上汇报标准编制情况和文本。专家组同意本标准发起公开征求意见。二、标准编制原则、主要内
4、容及其确定依据2.1 标准编制原则本标准的编制遵循以下原则:(1)先进性:标准反映当前个人信息保护法等最新法律要求以及个人信息保护的先进技术水平;(2)开放性:标准的编制、评审与使用具有开放性;(3)适应性:标准结合我国国情;(4)简明性:标准易于理解、实现和应用;(5)中立性:公正、中立,不与任何利益攸关方发生关联;(6)一致性:术语与国内外标准所用术语最大程度保持一致。本标准通过明确个人信息主体请求转移其个人信息的适用和行使的条件、可请求转移的个人信息范围,以及个人信息处理者在处理个人信息主体转移个人信息的请求时应遵守的安全原则、流程和技术要求等,对个人信息处理者响应个人信息主体转移信息请
5、求的全流程作出明确规范,以实现个人对自身的个人信息的携带要求。2.2 主要内容及其确定依据本项目旨在于支撑个人信息保护法第四十五条对个人信息主体请求转移其个人信息的落地实施,试图明确个人信息主体请求转移其个人信息的适用和行使的条件、可请求转移的个人信息范围,以及个人信息处理者在处理个人信息主体转移个人信息的请求时应遵守的安全原则、流程和技术要求,并提升个人信息主体请求的便捷性、可互操作性问题。三、试验验证的分析、综述报告,技术经济论证,预期的经济效益、社会效益、生态效益3.1 试验验证的分析、综述报告标准在编制过程中,参与标准编制的各单位积极使用标准进行了试验应用,标准适用的对象为受个人信息保
6、护法管辖的个人信息处理者。具体来说,个人信息处理者响应个人信息主体转移信息请求时,应遵守本标准中提出的技术要求。本标准预计在公开征求意见期间,开始试验验证工作。预计,个人信息处理者将本标准的要求分项落实到合规、法务、业务等部门之中,并最终高效响应个人信息转移的请求。预计,在试验应用过程中对个人信息转移要求的落地实践方式进行探索,最后将实施经验转化为标准的具体内容,以增加标准的实用性。3.2 技术经济论证虽然落实本标准提出的安全要求,在短期内给个人信息处理者增加了经济成本,包括但不限于:新增合规人员的成本、响应流程开发过程的成本、接口设计、安全风险评估成本等,但这些技术要求能够有效地增加个人信息
7、主体对自身个人信息的控制能力,能够增强服务群体整体以及公众舆论方面的接受度乃至认可度。总的来说,该技术标准给企业带来正面的经济效应。3.3 预期的经济效益、社会效益和生态效益该标准的社会效益在于保护个人对其个人信息的自主决策权,确保各个个人信息处理者拉齐合规基线,并在此基础上促进商业方面的良性竞争。该标准不涉及生态效益。四、与国际、国外同类标准技术内容的对比情况,或者与测试的国外样品、样机的有关数据对比情况目前基于个人请求的个人信息转移技术要求不存在对应的国际标准,也未见其他国家制定了对应的技术标准。五、以国际标准为基础的起草情况,以及是否合规引用或者采用国际国外标准,并说明未采用国际标准的原
8、因当前,国际标准并没有基于个人请求的个人信息转移技术要求开展标准化工作,其他国家也没有制定对应的技术标准,因此本标准制定工作中没有采用国际标准或国外标准。六、与现行相关法律、法规、规章及相关标准的协调性本标准与现行法律、法规以及国家标准不存在冲突与矛盾。本标准为个人信息保护法等法律法规的落地实施提供支撑,建议与国家标准信息安全技术个人信息安全规范(GB/T35273-2020)等配套使用。七、重大分歧意见的处理经过和依据无。八、涉及专利的有关说明无。九、实施国家标准的要求,以及组织措施、技术措施、过渡期和实施日期的建议等措施建议建议本标准作为推荐性国家标准发布实施。同时建议个人信息处理者建立专门的响应请求工作组,根据本标准的要求制定相应的内部规范作为合规基线,并每一年开展一次审计以查清合规差距。建议本标准在正式发布后的六个月后开始实施。十、其他应当说明的事项无。网络安全技术个人信息转移技术要求国家标准编制组2024年3月140