ICS 35.020 CCS L 70 21 辽宁省 地方 标准 DB21/T 1628.2—2026 代替 DB21/T 1628.2-2018 信息安全技术 个人信息安全 第2部分:实施指南 Information security technology —Personal information security — Part2:Implementation guidelines 2026 - 01 - 07发布 2026 - 02 - 07实施 辽宁省市场监督管理局 发布 DB21/T 1628.2 —2026 I 目次 前言 ................................ ................................ ................ III 引言 ................................ ................................ .................. V 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 个人信息 ................................ ................................ ........... 1 5 个人信息主体 ................................ ................................ ....... 4 6 权益和权利 ................................ ................................ ......... 5 7 个人信息管理者 ................................ ................................ ..... 6 8 管理组织 ................................ ................................ ........... 7 9 PISMS ................................ ................................ ............. 10 10 个人信息管理 ................................ ................................ ..... 11 11 个人信息生命周期 ................................ ................................ . 18 12 获取过程 ................................ ................................ ......... 21 13 处理过程 ................................ ................................ ......... 23 14 过程改进 ................................ ................................ ......... 29 15 个人信息安全风险管理 ................................ ............................. 30 16 个人信息安全管理 ................................ ................................ . 30 17 管理和业务的连续性管理 ................................ ........................... 30 DB21/T 1628.2 —2026 II DB21/T 1628.2 —2026 III 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是 DB21/T 1628的第2部分。DB21/T 1628已发布以下部分： —— 第1部分：要求 ； —— 第2部分：实施指南 ； —— 第3部分：个人信息数据库管理指南 ； —— 第4部分：文档管理指南 ； —— 第5部分：风险管理指南 ； —— 第6部分：安全技术实施指南 ； —— 第7部分：内审实施指南 ； —— 第8部分：过程管理指南 。 本文件代替 DB21/T 1628. 2—2018《信息安全 个人信息安全管理体系 第2部分：实施指南 》。与 DB21/T 1628. 2—2018相比，本文件除编辑性修改外，主要技术变化如下： a) 标准名称修改为《 信息安全技术 个人信息安全 第2部分：实施指南 》； b) 增加了个人信息的部 分规则（见第4章）； c) 增加个人信息主体权益和个人信息主体权利的部分规则 （见第5、6章）； d) 依据DB21/T 1628.1 的修订调整标准结构 （第5、6、7、8、9、10、11、12、13、14、15、16 章）； e) 增加个人信息生命周期内个人信息跨境收集、处理、使用相应规则 （见第13章）； f) 增加敏感个人信息和个人信息敏感性规则 （见第4.5节）； g) 增加个人信息画像、个人信息开发 相关规则等（见第13.7节）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中共辽宁省委网络安全和信息化委员会办公室提出并归口。 本文件起草单位：大连软件行业协会、 国家计算机网络应急技术处理协调中心辽宁分中心 、大连交 通大学、 大连软信咨询服务有限公司 、大连市计算机学会。 本文件主要起草人：郎庆斌、 李凯、孙鹏、尹宏、丁宗安、孙毅、吕蕾蕾、杨莉、司丹、郭玉梅、 王小庚、宋悦、王开红、曹剑。 本文件及其所代替文件的历次版本发布情况 ： —— 2013年首次发布 为DB21/T 1628.2 —2013，2018年第一次修订 ； —— 本次为第二次修订。 本文件发布实施后， 任何单位和个人如有问题和意见建议， 均可以通过来电和来函等方式进行反馈， 我们将及时答复并认真处理，根据实际情况依法进行评估及复审。 本文件归口单位通讯地址：沈阳市和平区光荣街 26号甲，联系电话： 024-81680033 。 本文件起草单位通讯地址： 大连市高新园区火炬路 32号创业大厦 A座5层， 联系电话： 0411-88255657。 DB21/T 1628.2 —2026 IV DB21/T 1628.2 —2026 V 引言 DB21/T 1628.2-2018发布实施 以来，在社会、经济、文化等各个领域的深刻变革中，对辽宁省个人 信息安全起到了重要的指导作用。随着科学技术，特别是新一代信息技术的进步和发展，引发新的个人 信息安全风险，需要在新的形势下重新审视个人信息安全标准的普适性。同时，个人信息安全相关的一 些术语、概念、规则表述等存在重大差异，目前的一 些表述形式，可能引发个人信息安全的潜在风险， 需要新的、更加严谨、科学的规范。 无论传统的个人信息形态，还是新一代信息技术的应用（如智慧城市、云服务、大数据、物联网、 智能识别、智能应用、移动应用等），管理是安全的关键。本文件再次修订，以管理为主线，以个人信 息生命周期，即服务管理过程为导向，以个人信息安全和个人信息管理质量为目标，基于多年的研究和 实践，严谨、科学地规范个人信息安全相关术语、概念和规则表述，制定个人信息生命周期内管理要素 的约束规则。 本次修订，完善 DB21/T 1628 个人信息安全标准体系，遵循标 准体系构建的一般规律，重新调整、 归类，形成相对科学、规范的标准体系结构。修订完成的 DB21/T 1628 个人信息安全标准体系，以本文 件为纲，提纲挈领，总括 DB21/T 1628 个人信息安全标准体系总体规范，以管理为主线，以个人信息生 命周期为导向，以个人信息安全和个人信息管理质量为目标，分解并规范个人信息生命周期内管理要素 约束规则，构成各自相对独立，又相互关联的标准子集，形成完整、系统的 DB21/T 1628 个人信息安全 标准体系。 DB21/T 1628 拟由8部分构成 。 —— 第1部分：要求。目的在于确立 个人信息、主 体、个人信息主体权利、个人信息管理者、个 人信息管理、个人信息获取过程、个人