ICS 35.020 CCS L 70 21 辽宁省 地方 标准 DB21/T 1628.1—2026 代替 DB21/T 1628.1 -2016 信息安全技术 个人信息安全 第1部分:要求 Information security technology —Personal information security — Part1：Requirements 2026 - 01 - 07发布 2026 - 02 - 07实施 辽宁省市场监督管理局 发布 DB21/T 1628.1 —2026 I 目次 前言 ................................ ................................ ................ III 引言 ................................ ................................ ................. IV 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 缩略语 ................................ ................................ ............. 3 5 个人信息 ................................ ................................ ........... 3 6 主体 ................................ ................................ ............... 4 7 个人信息主体权利 ................................ ................................ ... 4 8 个人信息管理者 ................................ ................................ ..... 5 9 个人信息管理 ................................ ................................ ....... 6 10 获取过程 ................................ ................................ ......... 10 11 处理过程 ................................ ................................ ......... 12 12 过程管理 ................................ ................................ ......... 16 13 安全管理 ................................ ................................ ......... 17 14 例外 ................................ ................................ ............. 19 15 认证 ................................ ................................ ............. 19 参考文献 ................................ ................................ ............. 20 DB21/T 1628.1 —2026 II DB21/T 1628.1 —2026 III 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是 DB21/T 1628的第1部分。DB21/T 1628已发布以下部分： —— 第1部分：要求 ； —— 第2部分：实施指南 ； —— 第3部分：个人信息数据库管理指南 ； —— 第4部分：文档管理指南 ； —— 第5部分：风险管理指南 ； —— 第6部分：安全技术实施指南 ； —— 第7部分：内审实施指南 ； —— 第8部分：过程管理指南 。 本文件代替 DB21/T 1628.1 —2016《信息安全 个人信息保护规范》。与 DB21/T 1628.1 —2016 相 比，本文件除编辑性修改外，主要技术变化如下： a) 标准名称修改为 《信息安全技术 个人信息安全 第1部分：要求 》； b) 调整标准 结构（见第5、6、7、8、9、10、11、12、13章）； c) 增加个人数据相关规则的表述 （见第5章）； d) 增加了个人信息 相关规则 的表述（见第5、6章）； e) 增加敏感个人信息和个人信息敏感性的 规则表述 （见第5.1、5.2、5.3、5.4节）； f) 增加个人信息假名化、匿名化相关规则 （见第10.4、11.7节）； g) 增加个人信息生命周期内个人信息跨境收集、处理、使用相应规则等 （见第11章）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中共辽宁省委网络安全和信息化委员会办公室提出并归口。 本文件起草单位：大连软件行业协会、 国家计算机网络应急技术处理协调中心辽宁分中心 、大连交 通大学、 大连软信咨询服务有限公司 、大连市计算机学会。 本文件主要起草人：郎庆斌、 李凯、孙鹏、尹宏、丁宗安、孙毅、吕蕾蕾、杨莉、司丹、郭玉梅、 王小庚、宋悦、王开红、曹剑。 本文件及其所代替文件的 历次版本发布情况： —— 2008年首次发布为 DB21/T 1628 —2008，2012年第一次修订 ； —— 2016年第二次修订为DB21/T 1628 .1—2016； —— 本次为第 三次修订。 本文件发布实施后， 任何单位和个人如有问题和意见建议， 均可以通过来电和来函等方式进行反馈， 有关单位 将及时答复并认真处理，根据实际情况依法进行评估及复审。 本文件归口单位通讯地址 ：沈阳市和平区光荣街 26号甲，联系电话： 024-81680033 。 本文件起草单位通讯地址 ：大连市高新园区火炬路 32号创业大厦 A座5层， 联系电话： 0411-88255657。 DB21/T 1628.1 —2026 IV 引言 DB21/T 1628.1-2016发布实施 以来，在社会、经济、文化等各个领域的深刻变革中，对辽宁省个人 信息安全起到了重要的指导作用。随着科学技术，特别是新一代信息技术的进步和发展，引发新的个人 信息安全风险，需要在新的形 势下重新审视个人信息安全标准的普适性。同时，个人信息安全相关的一 些术语、概念、规则表述等存在重大差异，目前的一些表述形式，可能引发个人信息安全的潜在风险， 需要新的、更加严谨、科学的规范。 无论传统的个人信息形态，还是新一代信息技术的应用（如智慧城市、云服务、大数据、物联网、 智能识别、智能应用、移动应用等），管理是安全的关键。本文件再次修订，以管理为主线，以个人信 息生命周期，即服务管理过程为导向，以个人信息安全和个人信息管理质量为目标，基于多年的研究和 实践，严谨、科学地规范个人信息安全相关术语、概念和规则表述 ，制定个人信息生命周期内管理要素 的约束规则 。 本次修订，完善 DB21/T 1628 个人信息安全标准体系，遵循标准体系构建的一般规律，重新调整、 归类，形成相对科学、规范的标准体系结构。修订完成的 DB21/T 1628 个人信息安全标准体系，以本文 件为纲，提纲挈领，总括 DB21/T 1628 个人信息安全标准体系总体规范，以管理为主线，以个人信息生 命周期为导向，以个人信息安全和个人信息管理质量为目标，分解并规范个人信息生命周期内管理要素 约束规则，构成各自相对独立，又相互关联的标准子集，形成完整、系统的 DB21/T 1628个人信息安全 标准体系。 DB21/T 1628 拟由8部分构成 。 —— 第1部分：要求。目的在于确立 个人信息、主体、个人信息主体权利、个人信息管理者、个 人信息管理、个人信息获取过程、个人信息处理过程、过程管理、安全管理和例外等的基本 规则和要求 。 —— 第2部分：实施指南。目的在于 为个人信息管理者提供个人信息管理 相关指导和通用准则 。 —— 第3部分：个人信息数据库管理指南。目的