兰台商规丨源起、趋赴至新知——《个人信息安全规范(征求意见稿)》基础章节深度解读
发布日期:
2026-07-13

2026年6月,全国网络安全标准化技术委员会(简称“网安标委”)发布了国家标准《数据安全技术 个人信息安全规范》的征求意见稿(简称“《征求意见稿》”),面向社会广泛征求意见。该标准现行有效的版本,即为个人信息保护方面的合规重要依据之一——《GB/T 35273-2020 信息安全技术个人信息安全规范》(简称《国标35273-2020》)。因此,本次修订对于个人信息合规相关的工作至关重要。

一、“从何处来”——标准的发布与修订

本次并非该标准的首次修订。

2017年12月29日,全国信息安全标准化技术委员会归口的23项国家标准集中发布。《GB/T 35273-2017 信息安全技术 个人信息安全规范》即为其中之一,由当时的国家质量监督检验检疫总局、中国国家标准化管理委员会发布,并于2018年5月1日起正式实施。2017版的标准,主要内容包括个人信息及其相关术语基本定义,个人信息安全基本原则,个人信息收集、保存、使用和处理等流转环节以及个人信息安全事件处置和组织管理要求等,填补了当时的规则空白1

2020年3月6日,国家市场监督管理总局、国家标准化管理委员会发布了新版《GB/T 35273-2020 信息安全技术 个人信息安全规范》,即《国标35273-2020》,实施日期为2020年10月1日,替代2017版的标准。与前者相比,主要技术变化包括:增加了“多项业务功能的自主选择”“用户画像的使用限制”“个性化展示的使用”“基于不同业务目的所收集个人信息的汇聚融合”“第三方接入管理”“个人信息安全工程”“个人信息处理活动记录”等内容;修改了“征得授权同意的例外”“个人信息主体注销账户”“明确责任部门与人员”附录C“实现个人信息主体自主意愿的方法”等内容;细化完善了个人生物识别信息方面的要求2

直至2026年6月17日,网安标委发布了《征求意见稿》。本次征求意见的文本内容共13章,与《国标35273-2020》相比,主要技术变化除了修改“敏感个人信息”之外,还增加了“单独同意”“保证质量原则”“个人信息处理合法性基础”等重要概念和原则。

第3章

3.2

修改了“敏感个人信息”

3.8

增加了“单独同意”

第4章

/

个人信息安全基本原则中增加了“保证质量原则”

第5章

5.1-5.9

增加了“个人信息处理合法性基础”

第6章

6.6

增加了“敏感个人信息的收集”

6.7

增加了“人工智能类产品或服务的收集”

6.8

增加了“终端类产品或服务的收集”

第8章

8.6

增加了“统一账号体系的使用”

第11章

11.1-11.4

增加了“海外法律管辖判定与冲突处理”

第13章

13.1

增加了“个人信息保护负责人”

13.2

增加了“个人信息保护工作机构与人员”

13.8

增加了“个人信息保护合规审计”

二、“往何处去”——标准的目标

本次修订后的标准,其目标主要在于支撑导向和协调。《征求意见稿》的《编制说明》在第1.1款“任务来源”处提到,标准要支撑法律法规落地实施,提升标准在个人信息保护工作中的指导性和实用性,根据《个人信息保护法》等法律法规最新要求,吸纳主管监管部门开展个人信息保护工作中的相关经验,与现行法律法规配套衔接。

就此,《编制说明》第2.1款“标准编制”原则部分也有明确《标准》在编制过程中遵循两个原则——问题导向原则、协调性原则。

问题导向方面,即支撑法律法规落地实施,提升其在个人信息保护工作中的指导性和实用性,为个人信息安全提供更全面的保障;而在协调性方面,《标准》与现行相关标准间相互协调,避免重复和不必要的差异。举例而言,在“术语和定义”部分,以及从个人信息的“控制者”到“处理者”等用词的调整,新《标准》展现了它的重要协调作用,这也是其能够提升自身指导性和实用性的因素之一。

三、“新知可辨”——引用、术语、定义全面更新

1.扩充“规范性引用文件”

《国标35273-2020》第2章的“规范性引用文件”,原本仅有《GB/T 25069-2010信息安全技术 术语》,而本次标准的征求意见稿中,“规范性引用文件”除了将《信息安全技术 术语》更新为最新版本之外,另新增了8项依据,其一为关于电子产品信息清除技术要求的强制性国标,其他均为推荐性国标。推荐性国标中,《未成年人产品和服务个人信息保护要求》和《数据提供、委托处理、共同处理安全指南》尚未出标号,前者已先一步于2025年7月28日开始征求意见,后者尚未见征集参编单位或征求意见的公开公告。

GB/T 25069-2022 信息安全技术 术语

GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南

GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型

GB/T 42574-2024 信息安全技术 个人信息处理中告知和同意的实施指南

GB/T 45574-2025 数据安全技术 敏感个人信息处理安全要求

GB 46864-2025 数据安全技术 电子产品信息清除技术要求

GB/T 46903-2025 数据安全技术 个人信息保护合规审计要求

GB/T AAAA-AAAA数据安全技术 未成年人产品和服务个人信息保护要求

GB/T AAAA-AAAA数据安全技术 数据提供、委托处理、共同处理安全指南

《征求意见稿》的此处调整,体现了标准对规范性引用文件进行大幅扩充,不再局限于技术层面的术语,也充分考虑到个人信息特点,充分结合和采纳了个人信息在处理、保护、评估方面的既有标准。

2.“术语和定义”的协调化

“术语和定义”并非只解决“是什么”这样的简单问题,它是讨论合规要求的基础。在具体场景中,合作情况与定义的符合度,甚至可能影响合规法律分析的结论。本次《征求意见稿》在术语和定义方面的更新,以延续为主,兼有少量修订和新增,但这些少量的修订和新增,影响重大。它们是《个人信息安全规范》这项标准的基础,考虑到标准的特殊地位,这些变化也将会是个人信息合规工作在未来一段较长时间内的重要参考依据。

现行版(GB/T 35273-2020)

征求意见稿征求意见稿

对比提示

3.1 个人信息 personal information

3.1 个人信息 personal information

完全一致。

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息

征求意见稿中“个人信息”的定义与《个人信息保护法》第四条第一款保持一致。

注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

注2:关于个人信息的判定方法和类型参见附录A。

完全一致。

注3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,例如,用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。

注3:个人信息处理者通过个人信息或其他信息加工处理后形成的信息,例如用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。

主体代称重要调整,原“个人信息控制者”调整为“个人信息处理者”。

3.2 个人敏感信息 sensitive personal information

3.2 敏感个人信息 sensitive personal information

名称由“个人敏感信息”改为“敏感个人信息”,与《个人信息保护法》等法律法规保持一致。

一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

一旦遭到泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。

征求意见稿中“敏感个人信息”的定义与《个人信息保护法》第二十八条第一款保持一致。

删除“歧视性待遇”表述,以“人格尊严”代替“个人名誉、身心健康”,保护范围实际有扩大。

注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。

注1:敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息和不满十四周岁未成年人的个人信息。

列举项目与《个人信息保护法》第二十八条第一款保持一致。

此处修订对“不满十四周岁未成年人的个人信息”有两处变化:一是不再使用“儿童”的概念,直接称未成年人,同时限定年龄:二是将“以下(含)”调整为“不满”,这意味着刚好满14周岁的未成年人,其个人信息按照征求意见稿,将不再被直接认定为敏感个人信息,这与《个人信息保护法》一致。

注2:关于个人敏感信息的判定方法和类型参见附录B。

注2:关于敏感个人信息识别和界定可参考附录B以及GB/T 45574-2025

对于敏感个人信息的识别和界定依据补充了《GB/T 45574-2025 数据安全技术 敏感个人信息处理安全要求》。

《GB/T 45574-2025》对敏感个人信息的识别与处理非常有针对性,且其正文及其附录A亦包含对敏感个人信息的大量列举,其中附录A为“规范性附录”,包含敏感个人信息清单。

注3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,如一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的,属于个人敏感信息。

注3:多项个人信息汇聚后达到定义条件的,应将汇聚后的个人信息整体按照敏感个人信息进行识别与保护

整体予以调整,将原“加工”调整为“汇聚”。

原概念主要在“变化”,但“加工”目前已作为一种特殊的处理活动,如继续使用“加工”将可能导致此处范围被限缩。

3.3 个人信息主体 personal information subject

3.3 个人信息主体 personal information subject

完全一致。

个人信息所标识或者关联的自然人。

个人信息所识别或者关联的自然人。

“标识”调整为“识别”,与定义保持一致,同时与“去标识”一词形成区分。

3.4 个人信息控制者 personal information controller

3.4 个人信息处理者 personal information processor

“控制者”调整为“处理者”。

有能力决定个人信息处理目的、方式的组织个人。

在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

落实“自主决定”与“他主决定”这一处理者判定标准。明确处理者的认定从“自主决定”来判断,与《网络数据安全管理条例》第六十二条第一款第(三)项“网络数据处理者”的定义思路一致。

注1:自然人因个人或者家庭事务处理个人信息的,相关自然人无需承担个人信息处理者的法定义务,但仍可依据实际处理活动判断其是否构成个人信息处理者并适用相应的安全要求。

注2:代表组织从事个人信息处理活动的个人不认定为个人信息处理者。

注3:应针对具体的个人信息处理活动确定所对应的个人信息处理者。产品或服务涉及多项个人信息处理活动的,产品或服务的提供者可能在部分处理活动中构成个人信息处理者,在其他处理活动中构成受托人。

注4:可以通过参与方约定、生效的规则等方式明确个人信息处理活动中的角色,在没有反面证据的情况下,可以按照约定和规则内容认定相关主体在个人信息处理活动中定性。

新增。

“注1”响应《个人信息保护法》第七十二条第一款规定的“自然人因个人或者家庭事务处理个人信息的,不适用本法。”

3.5 收集 collect    

3.5 收集 collect

完全一致。

获得个人信息的控制权的行为。

注1:包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为,以及通过共享、转让、搜集公开信息等间接获取个人信息等行为。

注2:如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集。例如,离线导航软件在终端获取个人信息主体位置信息后,如果不回传至软件提供者,则不属于个人信息主体位置信息的收集。

获得个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等直接采集行为,通过接收其他个人信息处理者提供、转移,或搜集已公开个人信息等间接获取个人信息。

定义吸收原版“注1”内容,区分“直接采集”与“间接获取”两种方式,同时将“自动采集”改为“直接采集”。

注中“共享、转让”改为“提供、转移”,系因3.12–3.13相关术语已调整。

删除注2,具体理由尚不明确。笔者理解,通过更新后的“控制权”认定标准即已经可以认定。

3.6 明示同意 explicit consent

3.6 同意 consent

征求意见稿将原“明示同意”“授权同意”整合为“同意”,此后新增“单独同意”,与《个人信息保护法》第十三条、第十四条的相关表述衔接。

原“消极的不作为”改为“自主行为推定”,示例不变。

个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。

注:肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。

个人信息主体对其个人信息进行自愿、明确作出授权的行为。

注1:包括通过积极行为作出授权(即明示同意),或者通过自主行为推定作出授权。

注2:明示同意指个人信息主体通过书面、口头等方式对其个人信息处理作出的肯定性授权动作,如个人主动勾选主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。

注3:自主行为推定授权如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域

3.7 授权同意 authorized consent

个人信息主体对其个人信息进行特定处理作出明确授权的行为。注:包括通过积极的行为作出授权(即明示同意),或者通过消极的不作为而作出授权(如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域

3.7 单独同意 separate consent

新增。

响应《个人信息保护法》第二十三条、第二十九条等条文对“单独同意”的要求。

个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为,不包括一次性针对多种目的或方式的个人信息处理活动作出的同意。

注:单独同意的告知内容与取得同意的方式需与其他处理活动予以区分。

3.8 用户画像 user profiling

完全一致。

通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。

注:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。

3.9 个人信息安全影响评估 personal information security impact assessment

3.9 个人信息保护影响评估 personal information protection impact assessment

名称由“个人信息安全影响评估”改为“个人信息保护影响评估”,与《个人信息保护法》第五十五条、第五十六条用语一致。

针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。

针对个人信息处理活动,检验其是否合法合规,分析其对个人信息主体合法权益造成的侵害及相应的安全风险,以及评价保护个人信息的各项措施有效性的过程。

“合法合规程度”改为“是否合法合规”,由程度判断转为“合规”或“不合规”的二元判断。

3.10 删除 delete

3.10 删除 delete

完全一致。

在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。

将个人信息从其存储的所有系统中去除,使其达到不可被检索、访问或恢复的状态。

“在实现日常业务功能所涉及的系统中”扩展为“从其存储的所有系统中”。

对于删除的状态判定,除了“不可被检索、访问”之外,增加“或恢复”。

3.11 信息公开披露 public disclosure

3.11 公开 publicize

名称由“信息公开披露”简化为“公开”,删除“披露”,与《个人信息保护法》用语一致。

向社会或不特定人群发布信息的行为。

向社会或不特定人群发布信息的行为。

注:在社交媒体平台中向非特定数量的个人发布信息的,即使发布者对可见范围设置了限制,若该信息的实际或潜在接收者数量较大且超出发布者的可控范围,宜参照本定义评估其公开属性。

定义不变,新增注释,针对社交媒体场景下的“非公开”发布行为提供判断指引。

3.12 转让 transfer of control

3.12 转移 transfer of control

名称由“转让”改为“转移”,与《个人信息保护法》用语一致,英文翻译不变。

将个人信息控制权由一个控制者向另一个控制者转移的过程。

将个人信息控制权由一个个人信息处理者向另一个个人信息处理者转移的过程。

统一将“控制者”改为“个人信息处理者”。

3.13 共享 sharing

3.13 提供 providing

将定义“共享”更新为“提供”,响应《个人信息保护法》第四条第二款中的处理活动列举,以及第二十三条对“提供”的特殊要求。

个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。

个人信息处理者向其他个人信息处理者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。

注:委托第三方处理个人信息的,不属于向其他个人信息处理者提供个人信息的行为。

“控制者”改为“个人信息处理者”。

新增注释,明确“委托处理”不属于“提供”。

3.14 匿名化 anonymization

3.14 匿名化 anonymization

完全一致

通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能复原的过程。

注:个人信息经匿名化处理后所得的信息不属于个人信息。

个人信息经过处理无法识别特定自然人且不能复原的过程。

定义简化,与个人信息定义做协调。

删除注“个人信息经匿名化处理后所得的信息不属于个人信息”,该结论已在3.1定义中体现。

3.15 去标识化 de-identification

3.15 去标识化 de-identification

完全一致

通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。

个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。

“通过对个人信息的技术处理”改为“个人信息经过处理”,表述简化。

“无法识别或者关联个人信息主体”改为“无法识别特定自然人”,与3.14用语对齐。

注:去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。

完全一致

3.16 个性化展示 personalized display

完全一致

基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。

3.17 业务功能 business function

3.17 业务功能 business function

完全一致

满足个人信息主体的具体使用需求的服务类型。

注:如地图导航、网络约车、即时通讯、网络社区、网络支付、新闻资讯、网上购物、快递配送、交通票务等。

满足个人信息主体的具体使用目的的功能。

注:常见的业务功能包括地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、快递配送、交通票务等。

“需求的服务类型”改为“目的的功能”,定义从业务视角转向产品视角,衡量其实现何种功能,而非归入类型。

“网络社区”改为“社区社交”。

3.18 设备信息 device information

新增。

回应行业实践需求。为终端类产品或服务的个人信息保护提供术语支持。

描述设备基本属性、唯一标识、运行状态的信息,包括设备制造商在生产阶段写入的硬件参数、序列号、唯一设备识别码。

3.19 统一账号 unified account

新增。

针对实践中服务商为用户提供的“一账通”模式,一个账号可用于本公司及关联公司多项业务的情形,共用账号体系仍需保障个人信息主体权益。

此处配合8.6“统一账号体系的使用”。

同一集团下不同无股权关系的实体之间提供的统一账号体系,用户可使用统一账号访问相关联的所有产品。

示例:同一集团下设A、B、C三家无股权关系的公司,分别运营不同的产品和服务,通过一个账号可以登录和使用A、B、C三家公司运营的多款产品和服务。

3.20 委托处理 commissioned processing

新增。

个人信息处理者委托个人、组织按照约定的目的和方式开展的个人信息处理活动。

响应《个人信息保护法》第二十一条,补充旧版标准缺失的“委托处理”定义。

向上滑动阅览

【1】《个人信息安全规范国标填补规则空白》,吴沈括 霍文新,中央网络安全和信息化委员会办公室 中华人民共和国国家互联网信息办公室官网2018年05月14日 09:27发布,转载来源: 网络传播杂志,链接:https://www.cac.gov.cn/2018-05/14/c_1122776896.htm,访问时间2026-6-29。

【2】《GB/T 35273-2020 <信息安全技术 个人信息安全规范>正式发布》,潍坊市网络空间安全协会公众号,2020年3月9日 09:30发布,链接https://mp.weixin.qq.com/s?__biz=MzI2OTMwOTA1NA==&mid=2247485862&idx=1&sn=21fdde5041c7a91114ebc3038748cb5d&chksm=eb8bb9c86c7f4ec347cce28078b862f621c9a5dd85023e452a353f31942a3214b0b9fa816c68&scene=27,访问时间2026-6-29。

作者:李佳慧