国家标准支撑《网络数据安全管理条例》生效施行(v1.0)
2025年1月1日,《网络数据安全管理条例》(以下简称《条例》)生效施行,规定了开展网络数据处理活动及其安全监管须遵守的各项要求。全国网络安全标准化技术委员会(TC260)作为负责网络安全和数据安全国家标准的专业技术组织,围绕数据安全和个人信息保护,已经发布44项国家标准,正在制定2项强制性国家标准和15项推荐性国家标准,研制发布2项委员会技术文件和22项网络安全标准实践指南。网安标委秘书处分析了《条例》标准化需求,梳理出69项标准文件可为《条例》37项条款落地实施提供支撑,供各方参阅。
一、一般规定
1. 网络数据安全防护能力
【条例条款】:第4条、第9条。
【相关标准】:GB/T 37988《信息安全技术数据安全能力成熟度模型》(修订中)、GB/T 41479-2022《信息安全技术网络数据处理安全要求》、GB/T 35274-2023《数据安全技术大数据服务安全能力要求》、《网络安全标准实践指南-数据库联网安全要求(征求意见稿)》。
【标准作用】:
◦ GB/T 37988给出了数据安全能力成熟度模型(DSMM),可用于对组织或业务的数据安全能力进行评估,也可为组织建立全流程数据安全治理体系、提升数据安全能力提供参考。
◦ GB/T 41479规定了开展网络数据处理的基本安全要求,主要作为数据安全管理认证的依据文件。
◦ GB/T 35274给出了大数据服务安全能力要求,可为数据服务提供者建设大数据服务安全能力提供参考。
◦ 《网络安全标准实践指南-数据库联网安全要求(征求意见稿)》规定了数据库系统连接至公共网络场景下的安全技术要求、安全管理要求,适用于指导数据库系统接入公共网络开展数据处理活动,也可为评估机构提供参考。
2. 网络产品服务安全
【条例条款】:第10条。
【相关标准】:产品强制性国家标准包括GB 40050-2021《网络关键设备安全通用要求》、GB 42250-2022《信息安全技术网络安全专用产品安全技术要求》、《数据安全技术电子产品信息清除技术要求》(报批稿)、《儿童手表安全技术要求》(报批稿)。
【标准作用】:
◦ GB 40050规定了网络关键设备的通用安全要求,可用于指导网络关键设备的采购、研发、测试、服务等工作。
◦ GB 42250规定了网络安全专用产品的通用安全要求,可用于指导网络安全专用产品的研发、生产、服务、检测等工作。
◦ 《电子产品信息清除技术要求》规定了电子产品二手流通中信息清除的技术要求、功能要求和过程要求,适用于电子产品信息清除功能设计、开发和测试,也适用于二手电子产品流通相关方清除用户数据。
◦ 《儿童手表安全技术要求》规定儿童手表的安全技术要求和实验方法,其中网络安全部分涉及儿童手表的通用安全、数据安全和个人信息保护、内容安全等内容。
3. 数据安全应急
【条例条款】:第11条。
【相关标准】:可参考网络安全应急处置相关标准,如GB/T 20986-2023《信息安全技术网络安全事件分类分级指南》、GB/T 38645-2020《信息安全技术网络安全事件应急演练指南》、GB/T 20985.1《信息技术安全技术信息安全事件管理第1部分:事件管理原理》(等同采用ISO/IEC 27035-1)、GB/T 20985.2《信息安全事件管理第2部分:事件响应规划和准备指南》(修改采用ISO/IEC 27035-2)等。
【标准作用】:
◦ GB/T 20986描述了网络安全事件分类和分级方法,界定了网络安全事件类别和级别,给出了网络安全事件分类代码。
◦ GB/T 38645给出了网络安全事件应急演练的实施过程、组织架构、目的原则、形式方法等,可用于指导组织开展应急演练活动。
◦ GB/T 20985采标国际标准ISO/IEC 27035,给出了信息安全事件管理模型,及事件响应的规划准备、经验总结等阶段指南。
4. 数据提供、委托处理和共同处理
【条例条款】:第12、31条。
【相关标准】:《数据安全技术数据提供、委托处理、共同处理安全指南》(征求意见稿)。
【标准作用】:标准提出数据对外提供、委托处理、共同处理的安全措施和评估指南,支撑《条例》关于个人信息和重要数据提供、委托处理、共同处理相关要求落地实施。
5. 因合并、分立、解散、破产等原因转移数据
【条例条款】:第14、28、32条。
【相关标准】:TC260-PG-202513A《网络安全标准实践指南-互联网平台停服数据处理安全要求》。
【标准作用】:该实践指南给出了互联网平台因合并、分立、解散、破产等原因不再提供产品服务时的数据处理安全要求,可用于支撑《条例》关于因合并、分立、解散、破产等原因需要转移网络数据、个人信息、重要数据相关要求的落地实施。
6. 电子政务安全
【条例条款】:第15、16、17条。
【相关标准】:GB/T 45396-2025《数据安全技术政务数据处理安全要求》、GB/T 29245-2012《信息安全技术政府部门信息安全管理基本要求》、GB/T 35282-2023《信息安全技术电子政务移动办公系统安全技术规范》、GB/T 31506-2022《信息安全技术政务网站系统安全指南》、GB/T 32926-2016《信息安全技术政府部门信息技术服务外包信息安全管理规范》等。
【标准作用】:
◦ GB/T 45396提出了政务数据处理安全框架,规定了政务数据安全制度规范、安全技术防护、安全运行管理要求,可用于规范政务部门和技术支撑机构的政务数据处理活动。
◦ 政务信息系统安全相关标准如GB/T 29245、GB/T 35282、GB/T 31506等,其中拟修订的GB/T 29245将规定政务信息系统网络安全基本要求,GB/T 35282和GB/T 31506分别针对电子政务移动办公系统和政务网站给出安全措施要求。
◦ GB/T 32926提出了政府部门信息技术服务外包的信息安全管理模型,可用于规范政府部门采购和使用信息技术服务。
7. 自动化工具收集数据安全
【条例条款】:第18条。
【相关标准】:《数据安全技术网络数据自动化工具收集行为规范》(征求意见稿)。
【标准作用】:标准拟提出自动化工具访问、收集网络数据的行为规范,支撑《条例》相关要求落地实施。
8. 训练数据安全
【条例条款】:第19条。
【相关标准】:GB/T 45654-2025《网络安全技术生成式人工智能服务安全基本要求》、GB/T 45652-2025《网络安全技术生成式人工智能预训练和优化训练数据安全规范》。
【标准作用】:
◦ GB/T 45654规定了生成式人工智能服务在训练数据安全、模型安全、安全措施等方面的安全要求及评估方法,可用于规范生成式人工智能服务相关活动,也可为大模型备案等管理工作提供参考。
◦ GB/T 45652规定了生成式人工智能预训练和优化训练数据及其处理活动的安全要求和评价方法,可用于规范预训练和优化训练数据处理活动,也可为对预训练和优化训练数据进行安全性评估提供参考。
二、个人信息保护
1. 个人信息保护通用要求
【条例条款】:第二章。
【相关标准】:GB/T 35273《信息安全技术个人信息安全规范》(修订中)。
【标准作用】:GB/T 35273作为个人信息安全通用标准,规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求,可全面支撑《条例》第二章个人信息保护实施落地,同时也是App安全认证、个人信息保护认证的认证依据文件。
2. 个人信息处理规则(隐私政策)
【条例条款】:第21条。
【相关标准】:GB/T 44588-2024《数据安全技术互联网平台及产品服务个人信息处理规则》。
【标准作用】:GB/T 44588规定了互联网平台及产品服务个人信息处理规则的基本要求、编制程序、规则内容、发布形式,以及个人信息处理规则争议纠纷解决等方面的要求,可用于规范个人信息处理规则的制定、发布活动。
3. 基于个人同意处理个人信息
【条例条款】:第22条。
【相关标准】:GB/T 41391-2022《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》、GB/T 42574-2023《信息安全技术个人信息处理中告知和同意的实施指南》、TC260-PG20256A《网络安全标准实践指南-摇一摇广告触发行为安全要求》、TC260-PG-202514A《网络安全标准实践指南-扫码点餐个人信息保护要求》。
【标准作用】:
◦ GB/T 37988标准规定了App收集个人信息的基本要求,给出了常见39类App必要个人信息范围和使用要求,可用于支撑《条例》关于不得超范围收集个人信息的要求落地实施。
◦ GB/T 42574给出了处理个人信息时,向个人告知处理规则、取得个人同意的实施方法和步骤,可为个人信息处理者开展个人信息告知和同意提供参考。
◦ TC260-PG-20256A《网络安全标准实践指南-摇一摇广告触发行为安全要求》规定了移动智能终端摇一摇广告个人权益保障的基本原则和触发行为安全要求,适用于规范摇一摇广告的展示和触发行为,也可为移动智能终端、App、第三方SDK等个人信息处理者或评估机构提供参考。
◦ TC260-PG-202514A《网络安全标准实践指南-扫码点餐个人信息保护要求》规定了扫码点餐服务个人信息保护总体要求和具体要求,适用于规范餐饮商家扫码点餐服务个人信息处理活动。
4. 敏感个人信息处理
【条例条款】:第21、22条。
【相关标准】:GB/T 45574-2025《数据安全技术敏感个人信息处理安全要求》、TC260-PG-20244A《网络安全标准实践指南-敏感个人信息识别指南》、GB/T 40660-2021《信息安全技术生物特征识别信息保护基本要求》、GB/T 41819-2022《信息安全技术人脸识别数据安全要求》、GB/T 41806-2022《信息安全技术基因识别数据安全要求》、GB/T 41773-2022《信息安全技术步态识别数据安全要求》、GB/T 41807-2022《信息安全技术声纹识别数据安全要求》、《数据安全技术未成年人产品和服务个人信息保护要求》(征求意见稿)、TC260-PG-20251A《网络安全标准实践指南-人脸识别支付场景个人信息安全保护要求》。
【标准作用】:
◦ 《敏感个人信息处理安全要求》给出了敏感个人信息范围界定,规定了敏感个人信息处理通用安全要求及常见类别敏感个人信息的特殊安全要求。《敏感个人信息识别指南》给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例,二者可用于支撑《条例》敏感个人信息相关要求落地实施。
◦ GB/T 40660给出了生物特征识别信息保护的基本原则和通用安全要求,GB/T 41819、GB/T 41806、GB/T 41773和GB/T 41807标准分别规定了人脸、基因、步态、声纹四类生物识别信息的安全要求及收集、存储、使用、传输、提供、公开、删除等处理活动的安全要求,可用于支撑生物识别信息相关要求落地实施。
◦ 《未成年人产品和服务个人信息保护要求》拟规定未成年人产品和服务的个人信息保护要求,可用于指导未成年人产品服务提供者在开发运营过程中加强未成年人个人信息保护。
◦ TC260-PG-20251A《网络安全标准实践指南-人脸识别支付场景个人信息安全保护要求》给出了人脸识别支付场景数据收集、存储、传输、导出、删除等环节的安全要求,可为人脸识别支付服务提供方、人脸验证服务方、相关场所管理方、相关设备的运营方处理个人信息提供参考。
5. 去标识化和匿名化
【条例条款】:第24条。
【相关标准】:GB/T 37964-2019《信息安全技术个人信息去标识化指南》、GB/T 42460-2023《信息安全技术个人信息去标识化效果评估指南》、《数据安全技术个人信息匿名化处理指南及评价方法》(征求意见稿)。
【标准作用】:
◦ GB/T 37964描述了个人信息去标识化的目标、原则、过程和管理措施,给出了常见去标识化技术和模型,可为个人信息处理者开展个人信息去标识化工作提供参考。
◦ GB/T 42460给出了个人信息去标识化效果分级与评估指南,可为评估个人信息去标识化效果提供参考。
◦ 《个人信息匿名化处理指南及评价方法》给出个人信息匿名化处理指南和评价方法,可为个人信息匿名化处理提供参考。
6. 个人信息转移
【条例条款】:第25条。
【相关标准】:《数据安全技术基于个人请求的个人信息转移要求》(报批稿)。
【标准作用】:标准规定了基于个人信息主体请求转移其个人信息的适用和行使的条件、可请求转移的个人信息范围,以及个人信息处理者在处理个人信息主体转移个人信息的请求时的流程和要求。
7. 个人信息保护合规审计
【条例条款】:第27条。
【相关标准】:《数据安全技术个人信息保护合规审计要求》(报批稿)、TC260-PG-20255A《网络安全标准实践指南-个人信息保护合规审计要求》、《数据安全技术个人信息保护合规审计服务能力要求》(征求意见稿)、TC260-PG-20254A《网络安全标准实践指南-个人信息保护合规审计专业机构服务能力要求》。
【标准作用】:
◦ 《个人信息保护合规审计要求》标准和实践指南规定了个人信息保护合规审计的原则、总体要求、实施流程、内容方法、报告模板等,可指导个人信息处理者和专业机构开展个人信息保护合规审计活动。
◦ 《个人信息保护合规审计服务能力要求》标准和《个人信息保护合规审计专业机构服务能力要求》实践指南,规定专业机构开展个人信息保护合规审计服务的能力要求,可用于指导与规范专业机构建设个人信息保护合规审计服务能力,还可为选择、认证合规审计专业机构提供依据。
三、重要数据安全
1. 数据分类分级保护
【条例条款】:第5、29、30条。
【相关标准】:GB/T 43697-2024《数据安全技术数据分类分级规则》、《数据安全技术数据安全保护要求》(征求意见稿)。
【标准作用】:
◦ GB/T 43697规定了数据分类分级的原则、框架、方法、流程和重要数据识别指南等,可用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级、重要数据识别工作。
◦ 《数据安全保护要求》提出了数据安全保护原则、目标和框架,规定了数据安全保护的通用要求,及重要数据、核心数据的专门要求,可用于指导相关方在数据分类分级基础上开展数据分类分级保护工作。
2. 数据安全风险评估
【条例条款】:第31、33条。
【相关标准】:GB/T 45577-2025《数据安全技术数据安全风险评估方法》、TC260-PG-20231A《网络安全标准实践指南-网络数据安全风险评估实施指引》、GB/T 45389-2025《数据安全技术数据安全评估机构能力要求》。
【标准作用】:
◦ 《数据安全风险评估方法》描述了数据安全风险评估的基本概念、要素关系、分析原理,给出了数据安全风险评估的实施流程、评估内容、分析评价方法等;《网络数据安全风险评估实施指引》给出了网络数据安全风险评估思路、工作流程和评估内容,提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险,二者均可用于支撑《条例》关于数据安全风险评估要求落地,可指导数据处理者、第三方机构开展风险评估,也可为主管监管部门组织开展数据安全检查评估提供参考。
◦ 《数据安全评估机构能力要求》规定了数据安全评估机构能力要求,包括基础条件、管理能力、技术能力、人力资源能力、场所与设备资源能力等,可为数据安全评估机构的能力建设、评价、选择等工作提供参考。
3. 数据安全风险监测
【条例条款】:第31条。
【相关标准】:《数据安全技术数据接口安全风险监测方法》(报批稿)。
【标准作用】:标准给出了数据接口安全风险监测的方法,明确了数据接口安全风险监测各阶段的监测要点,可为网络数据处理者开展数据接口安全风险监测提供参考。
四、网络数据跨境安全管理
1. 个人信息出境个人信息保护认证
【条例条款】:第35条。
【相关标准】:GB/T 46068-2025《数据安全技术个人信息跨境处理活动安全认证要求》、TC260-PG-20222A《网络安全标准实践指南-个人信息跨境处理活动安全认证规范》、TC260-PG-20245A《网络安全标准实践指南-粤港澳大湾区(内地、香港)个人信息跨境处理保护要求》。
【标准作用】:
◦ 个人信息跨境处理活动安全认证的标准和实践指南,规定了跨境处理个人信息时相关方应遵守的基本原则、基本要求和个人信息主体权益保障要求,可作为个人信息出境个人信息保护认证的依据文件。
◦ 《粤港澳大湾区(内地、香港)个人信息跨境处理保护要求》规定了粤港澳大湾区(内地、香港)个人信息处理者或者接收方,在大湾区内内地和香港间通过安全互认方式进行个人信息跨境流动应遵守的基本原则和要求,可作为粤港澳大湾区(内地、香港)个人信息跨境安全互认的认证及认可的依据文件。
2. 数据出境其他相关标准
【条例条款】:第35条。
【相关标准】:GB/T 43697-2024《数据安全技术数据分类分级规则》、GB/T 45574-2025《数据安全技术敏感个人信息处理安全要求》、TC260-PG-20244A《网络安全标准实践指南-敏感个人信息识别指南》、GB/T 39335-2020《信息安全技术个人信息保护影响评估指南》。
【标准作用】:
◦ GB/T 43697规定了数据分类分级规则,给出了重要数据识别方法,数据处理者可依据法律法规和行业要求,参考GB/T 43697识别出境的重要数据。
◦ GB/T 45574和实践指南给出了敏感个人信息识别规则和常见类型,数据处理者可参考识别出境的敏感个人信息。
◦ GB/T 39335给出了个人信息保护影响评估的基本原理和实施流程,数据处理者可参考该标准对个人信息出境活动进行个人信息保护影响评估。
五、网络平台服务提供者义务
1. 网络平台服务数据安全
【条例条款】:第五章。
【相关标准】:GB/T 42012-2022《信息安全技术即时通信服务数据安全要求》、GB/T 42013-2022《信息安全技术快递物流服务数据安全要求》、GB/T 42014-2022《信息安全技术网上购物服务数据安全要求》、GB/T 42015-2022《信息安全技术网络支付服务数据安全要求》、GB/T 42016-2022《信息安全技术网络音视频服务数据安全要求》、GB/T 42017-2022《信息安全技术网络预约汽车服务数据安全要求》、TC260-PG-202516A《网络安全标准实践指南-学术科技服务平台数据安全要求》。
【标准作用】:上述标准分别规定了即时通信、快递物流、网上购物、网络支付、网络音视频、网络预约汽车、学术科技等七类网络平台服务的数据安全要求,可用于支撑关于网络平台服务提供者数据安全相关要求的落地实施。
2. 智能终端应用程序安全管理
• 【条例条款】:第40条。
• 【相关标准】:GB/T 43445-2023《信息安全技术移动智能终端预置应用软件基本安全要求》、《移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》(报批稿)。
• 【标准作用】:
◦ GB/T 43445规定了移动智能终端预置应用软件的安全功能要求以及安全管理要求,可用于支撑关于智能终端预装应用程序安全管理的要求落地实施。
◦ 《移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》提供了移动智能终端个人信息保护管理措施指南,可用于移动智能终端提供者进行个人信息保护功能设计、开发参考。
3. 应用程序分发服务平台核验
• 【条例条款】:第41条。
• 【相关标准】:GB/T 43739-2024《信息安全技术应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》。
• 【标准作用】:标准给出了应用商店运营者对App个人信息处理规范性审核与管理指南,可支撑关于应用程序分发服务平台核验应用程序的要求落地实施。
4. 个人信息自动化决策
• 【条例条款】:第42条。
• 【相关标准】:GB/T 45392-2025《数据安全技术基于个人信息的自动化决策安全要求》。
• 【标准作用】:标准规定了个人信息自动化决策的通用安全要求和典型场景特别安全要求,可规范个人信息处理者开展个人信息自动化决策活动。
5. 网络身份认证公共服务
• 【条例条款】:第43条。
• 【相关标准】:《网络安全技术国家网络身份认证公共服务应用接入要求》(送审稿)。
• 【标准作用】:标准给出了多种应用接入国家网络身份认证公共服务平台的接入框架、接入流程和接入技术要求,规定了接入平台的应用服务的安全要求,可指导应用服务接入国家网络身份认证公共服务平台,支撑《条例》相关要求落地实施。
6. 大型网络平台个人信息保护社会责任报告
• 【条例条款】:第44条。
• 【相关标准】:GB/T 46071-2025《数据安全技术数据安全和个人信息保护社会责任指南》。
• 【标准作用】:标准给出了开展数据安全和个人信息保护社会责任活动指南,可为大型网络平台服务提供者个人信息保护社会责任报告提供参考。
7. 大型网络平台个人信息保护监督机构
• 【条例条款】:第44条。
• 【相关标准】:GB/T 45404-2025《数据安全技术大型互联网企业内设个人信息保护监督机构要求》。
• 【标准作用】:标准规定了大型互联网企业建立和运行个人信息保护监督机构的要求,可为大型网络平台建立个人信息保护监督机构提供参考。
六、下一步标准化建议
一是按照《数据安全国家标准体系(2025版)》和《个人信息保护国家标准体系(2025版)》,持续完善数据安全和个人信息保护国家标准体系,逐步健全以国家标准为核心、技术文件和实践指南为配套、应用案例和研究报告为补充的多层体系。
二是针对数据安全和个人信息保护重点工作、问题风险和难点堵点,以标准“快、优、强”为目标,制定出台电子产品信息清除技术要求、儿童手表安全技术要求等强制性国家标准和配套文件,加快制修订个人信息安全规范、数据安全保护要求、数据安全能力成熟度模型等重点标准,加大数据安全和个人信息保护标准供给。
三是着力提升数据安全标准应用效果,持续开展网络安全标准贯标应用深度行、数安标准强“基”助“力”计划(DSEP)等活动,加强已发布标准的推广应用,建立配套重点标准实施的技术文件和工具平台,构建国家标准应用实践案例库,深入重点行业领域和地方区域开展贯标应用。
国家标准支撑《网络数据安全管理条例》生效施行(v1.0)
2025年1月1日,《网络数据安全管理条例》(以下简称《条例》)生效施行,规定了开展网络数据处理活动及其安全监管须遵守的各项要求。全国网络安全标准化技术委员会(TC260)作为负责网络安全和数据安全国家标准的专业技术组织,围绕数据安全和个人信息保护,已经发布44项国家标准,正在制定2项强制性国家标准和15项推荐性国家标准,研制发布2项委员会技术文件和22项网络安全标准实践指南。网安标委秘书处分析了《条例》标准化需求,梳理出69项标准文件可为《条例》37项条款落地实施提供支撑,供各方参阅。
一、一般规定
1. 网络数据安全防护能力
【条例条款】:第4条、第9条。
【相关标准】:GB/T 37988《信息安全技术数据安全能力成熟度模型》(修订中)、GB/T 41479-2022《信息安全技术网络数据处理安全要求》、GB/T 35274-2023《数据安全技术大数据服务安全能力要求》、《网络安全标准实践指南-数据库联网安全要求(征求意见稿)》。
【标准作用】:
◦ GB/T 37988给出了数据安全能力成熟度模型(DSMM),可用于对组织或业务的数据安全能力进行评估,也可为组织建立全流程数据安全治理体系、提升数据安全能力提供参考。
◦ GB/T 41479规定了开展网络数据处理的基本安全要求,主要作为数据安全管理认证的依据文件。
◦ GB/T 35274给出了大数据服务安全能力要求,可为数据服务提供者建设大数据服务安全能力提供参考。
◦ 《网络安全标准实践指南-数据库联网安全要求(征求意见稿)》规定了数据库系统连接至公共网络场景下的安全技术要求、安全管理要求,适用于指导数据库系统接入公共网络开展数据处理活动,也可为评估机构提供参考。
2. 网络产品服务安全
【条例条款】:第10条。
【相关标准】:产品强制性国家标准包括GB 40050-2021《网络关键设备安全通用要求》、GB 42250-2022《信息安全技术网络安全专用产品安全技术要求》、《数据安全技术电子产品信息清除技术要求》(报批稿)、《儿童手表安全技术要求》(报批稿)。
【标准作用】:
◦ GB 40050规定了网络关键设备的通用安全要求,可用于指导网络关键设备的采购、研发、测试、服务等工作。
◦ GB 42250规定了网络安全专用产品的通用安全要求,可用于指导网络安全专用产品的研发、生产、服务、检测等工作。
◦ 《电子产品信息清除技术要求》规定了电子产品二手流通中信息清除的技术要求、功能要求和过程要求,适用于电子产品信息清除功能设计、开发和测试,也适用于二手电子产品流通相关方清除用户数据。
◦ 《儿童手表安全技术要求》规定儿童手表的安全技术要求和实验方法,其中网络安全部分涉及儿童手表的通用安全、数据安全和个人信息保护、内容安全等内容。
3. 数据安全应急
【条例条款】:第11条。
【相关标准】:可参考网络安全应急处置相关标准,如GB/T 20986-2023《信息安全技术网络安全事件分类分级指南》、GB/T 38645-2020《信息安全技术网络安全事件应急演练指南》、GB/T 20985.1《信息技术安全技术信息安全事件管理第1部分:事件管理原理》(等同采用ISO/IEC 27035-1)、GB/T 20985.2《信息安全事件管理第2部分:事件响应规划和准备指南》(修改采用ISO/IEC 27035-2)等。
【标准作用】:
◦ GB/T 20986描述了网络安全事件分类和分级方法,界定了网络安全事件类别和级别,给出了网络安全事件分类代码。
◦ GB/T 38645给出了网络安全事件应急演练的实施过程、组织架构、目的原则、形式方法等,可用于指导组织开展应急演练活动。
◦ GB/T 20985采标国际标准ISO/IEC 27035,给出了信息安全事件管理模型,及事件响应的规划准备、经验总结等阶段指南。
4. 数据提供、委托处理和共同处理
【条例条款】:第12、31条。
【相关标准】:《数据安全技术数据提供、委托处理、共同处理安全指南》(征求意见稿)。
【标准作用】:标准提出数据对外提供、委托处理、共同处理的安全措施和评估指南,支撑《条例》关于个人信息和重要数据提供、委托处理、共同处理相关要求落地实施。
5. 因合并、分立、解散、破产等原因转移数据
【条例条款】:第14、28、32条。
【相关标准】:TC260-PG-202513A《网络安全标准实践指南-互联网平台停服数据处理安全要求》。
【标准作用】:该实践指南给出了互联网平台因合并、分立、解散、破产等原因不再提供产品服务时的数据处理安全要求,可用于支撑《条例》关于因合并、分立、解散、破产等原因需要转移网络数据、个人信息、重要数据相关要求的落地实施。
6. 电子政务安全
【条例条款】:第15、16、17条。
【相关标准】:GB/T 45396-2025《数据安全技术政务数据处理安全要求》、GB/T 29245-2012《信息安全技术政府部门信息安全管理基本要求》、GB/T 35282-2023《信息安全技术电子政务移动办公系统安全技术规范》、GB/T 31506-2022《信息安全技术政务网站系统安全指南》、GB/T 32926-2016《信息安全技术政府部门信息技术服务外包信息安全管理规范》等。
【标准作用】:
◦ GB/T 45396提出了政务数据处理安全框架,规定了政务数据安全制度规范、安全技术防护、安全运行管理要求,可用于规范政务部门和技术支撑机构的政务数据处理活动。
◦ 政务信息系统安全相关标准如GB/T 29245、GB/T 35282、GB/T 31506等,其中拟修订的GB/T 29245将规定政务信息系统网络安全基本要求,GB/T 35282和GB/T 31506分别针对电子政务移动办公系统和政务网站给出安全措施要求。
◦ GB/T 32926提出了政府部门信息技术服务外包的信息安全管理模型,可用于规范政府部门采购和使用信息技术服务。
7. 自动化工具收集数据安全
【条例条款】:第18条。
【相关标准】:《数据安全技术网络数据自动化工具收集行为规范》(征求意见稿)。
【标准作用】:标准拟提出自动化工具访问、收集网络数据的行为规范,支撑《条例》相关要求落地实施。
8. 训练数据安全
【条例条款】:第19条。
【相关标准】:GB/T 45654-2025《网络安全技术生成式人工智能服务安全基本要求》、GB/T 45652-2025《网络安全技术生成式人工智能预训练和优化训练数据安全规范》。
【标准作用】:
◦ GB/T 45654规定了生成式人工智能服务在训练数据安全、模型安全、安全措施等方面的安全要求及评估方法,可用于规范生成式人工智能服务相关活动,也可为大模型备案等管理工作提供参考。
◦ GB/T 45652规定了生成式人工智能预训练和优化训练数据及其处理活动的安全要求和评价方法,可用于规范预训练和优化训练数据处理活动,也可为对预训练和优化训练数据进行安全性评估提供参考。
二、个人信息保护
1. 个人信息保护通用要求
【条例条款】:第二章。
【相关标准】:GB/T 35273《信息安全技术个人信息安全规范》(修订中)。
【标准作用】:GB/T 35273作为个人信息安全通用标准,规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求,可全面支撑《条例》第二章个人信息保护实施落地,同时也是App安全认证、个人信息保护认证的认证依据文件。
2. 个人信息处理规则(隐私政策)
【条例条款】:第21条。
【相关标准】:GB/T 44588-2024《数据安全技术互联网平台及产品服务个人信息处理规则》。
【标准作用】:GB/T 44588规定了互联网平台及产品服务个人信息处理规则的基本要求、编制程序、规则内容、发布形式,以及个人信息处理规则争议纠纷解决等方面的要求,可用于规范个人信息处理规则的制定、发布活动。
3. 基于个人同意处理个人信息
【条例条款】:第22条。
【相关标准】:GB/T 41391-2022《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》、GB/T 42574-2023《信息安全技术个人信息处理中告知和同意的实施指南》、TC260-PG20256A《网络安全标准实践指南-摇一摇广告触发行为安全要求》、TC260-PG-202514A《网络安全标准实践指南-扫码点餐个人信息保护要求》。
【标准作用】:
◦ GB/T 37988标准规定了App收集个人信息的基本要求,给出了常见39类App必要个人信息范围和使用要求,可用于支撑《条例》关于不得超范围收集个人信息的要求落地实施。
◦ GB/T 42574给出了处理个人信息时,向个人告知处理规则、取得个人同意的实施方法和步骤,可为个人信息处理者开展个人信息告知和同意提供参考。
◦ TC260-PG-20256A《网络安全标准实践指南-摇一摇广告触发行为安全要求》规定了移动智能终端摇一摇广告个人权益保障的基本原则和触发行为安全要求,适用于规范摇一摇广告的展示和触发行为,也可为移动智能终端、App、第三方SDK等个人信息处理者或评估机构提供参考。
◦ TC260-PG-202514A《网络安全标准实践指南-扫码点餐个人信息保护要求》规定了扫码点餐服务个人信息保护总体要求和具体要求,适用于规范餐饮商家扫码点餐服务个人信息处理活动。
4. 敏感个人信息处理
【条例条款】:第21、22条。
【相关标准】:GB/T 45574-2025《数据安全技术敏感个人信息处理安全要求》、TC260-PG-20244A《网络安全标准实践指南-敏感个人信息识别指南》、GB/T 40660-2021《信息安全技术生物特征识别信息保护基本要求》、GB/T 41819-2022《信息安全技术人脸识别数据安全要求》、GB/T 41806-2022《信息安全技术基因识别数据安全要求》、GB/T 41773-2022《信息安全技术步态识别数据安全要求》、GB/T 41807-2022《信息安全技术声纹识别数据安全要求》、《数据安全技术未成年人产品和服务个人信息保护要求》(征求意见稿)、TC260-PG-20251A《网络安全标准实践指南-人脸识别支付场景个人信息安全保护要求》。
【标准作用】:
◦ 《敏感个人信息处理安全要求》给出了敏感个人信息范围界定,规定了敏感个人信息处理通用安全要求及常见类别敏感个人信息的特殊安全要求。《敏感个人信息识别指南》给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例,二者可用于支撑《条例》敏感个人信息相关要求落地实施。
◦ GB/T 40660给出了生物特征识别信息保护的基本原则和通用安全要求,GB/T 41819、GB/T 41806、GB/T 41773和GB/T 41807标准分别规定了人脸、基因、步态、声纹四类生物识别信息的安全要求及收集、存储、使用、传输、提供、公开、删除等处理活动的安全要求,可用于支撑生物识别信息相关要求落地实施。
◦ 《未成年人产品和服务个人信息保护要求》拟规定未成年人产品和服务的个人信息保护要求,可用于指导未成年人产品服务提供者在开发运营过程中加强未成年人个人信息保护。
◦ TC260-PG-20251A《网络安全标准实践指南-人脸识别支付场景个人信息安全保护要求》给出了人脸识别支付场景数据收集、存储、传输、导出、删除等环节的安全要求,可为人脸识别支付服务提供方、人脸验证服务方、相关场所管理方、相关设备的运营方处理个人信息提供参考。
5. 去标识化和匿名化
【条例条款】:第24条。
【相关标准】:GB/T 37964-2019《信息安全技术个人信息去标识化指南》、GB/T 42460-2023《信息安全技术个人信息去标识化效果评估指南》、《数据安全技术个人信息匿名化处理指南及评价方法》(征求意见稿)。
【标准作用】:
◦ GB/T 37964描述了个人信息去标识化的目标、原则、过程和管理措施,给出了常见去标识化技术和模型,可为个人信息处理者开展个人信息去标识化工作提供参考。
◦ GB/T 42460给出了个人信息去标识化效果分级与评估指南,可为评估个人信息去标识化效果提供参考。
◦ 《个人信息匿名化处理指南及评价方法》给出个人信息匿名化处理指南和评价方法,可为个人信息匿名化处理提供参考。
6. 个人信息转移
【条例条款】:第25条。
【相关标准】:《数据安全技术基于个人请求的个人信息转移要求》(报批稿)。
【标准作用】:标准规定了基于个人信息主体请求转移其个人信息的适用和行使的条件、可请求转移的个人信息范围,以及个人信息处理者在处理个人信息主体转移个人信息的请求时的流程和要求。
7. 个人信息保护合规审计
【条例条款】:第27条。
【相关标准】:《数据安全技术个人信息保护合规审计要求》(报批稿)、TC260-PG-20255A《网络安全标准实践指南-个人信息保护合规审计要求》、《数据安全技术个人信息保护合规审计服务能力要求》(征求意见稿)、TC260-PG-20254A《网络安全标准实践指南-个人信息保护合规审计专业机构服务能力要求》。
【标准作用】:
◦ 《个人信息保护合规审计要求》标准和实践指南规定了个人信息保护合规审计的原则、总体要求、实施流程、内容方法、报告模板等,可指导个人信息处理者和专业机构开展个人信息保护合规审计活动。
◦ 《个人信息保护合规审计服务能力要求》标准和《个人信息保护合规审计专业机构服务能力要求》实践指南,规定专业机构开展个人信息保护合规审计服务的能力要求,可用于指导与规范专业机构建设个人信息保护合规审计服务能力,还可为选择、认证合规审计专业机构提供依据。
三、重要数据安全
1. 数据分类分级保护
【条例条款】:第5、29、30条。
【相关标准】:GB/T 43697-2024《数据安全技术数据分类分级规则》、《数据安全技术数据安全保护要求》(征求意见稿)。
【标准作用】:
◦ GB/T 43697规定了数据分类分级的原则、框架、方法、流程和重要数据识别指南等,可用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级、重要数据识别工作。
◦ 《数据安全保护要求》提出了数据安全保护原则、目标和框架,规定了数据安全保护的通用要求,及重要数据、核心数据的专门要求,可用于指导相关方在数据分类分级基础上开展数据分类分级保护工作。
2. 数据安全风险评估
【条例条款】:第31、33条。
【相关标准】:GB/T 45577-2025《数据安全技术数据安全风险评估方法》、TC260-PG-20231A《网络安全标准实践指南-网络数据安全风险评估实施指引》、GB/T 45389-2025《数据安全技术数据安全评估机构能力要求》。
【标准作用】:
◦ 《数据安全风险评估方法》描述了数据安全风险评估的基本概念、要素关系、分析原理,给出了数据安全风险评估的实施流程、评估内容、分析评价方法等;《网络数据安全风险评估实施指引》给出了网络数据安全风险评估思路、工作流程和评估内容,提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险,二者均可用于支撑《条例》关于数据安全风险评估要求落地,可指导数据处理者、第三方机构开展风险评估,也可为主管监管部门组织开展数据安全检查评估提供参考。
◦ 《数据安全评估机构能力要求》规定了数据安全评估机构能力要求,包括基础条件、管理能力、技术能力、人力资源能力、场所与设备资源能力等,可为数据安全评估机构的能力建设、评价、选择等工作提供参考。
3. 数据安全风险监测
【条例条款】:第31条。
【相关标准】:《数据安全技术数据接口安全风险监测方法》(报批稿)。
【标准作用】:标准给出了数据接口安全风险监测的方法,明确了数据接口安全风险监测各阶段的监测要点,可为网络数据处理者开展数据接口安全风险监测提供参考。
四、网络数据跨境安全管理
1. 个人信息出境个人信息保护认证
【条例条款】:第35条。
【相关标准】:GB/T 46068-2025《数据安全技术个人信息跨境处理活动安全认证要求》、TC260-PG-20222A《网络安全标准实践指南-个人信息跨境处理活动安全认证规范》、TC260-PG-20245A《网络安全标准实践指南-粤港澳大湾区(内地、香港)个人信息跨境处理保护要求》。
【标准作用】:
◦ 个人信息跨境处理活动安全认证的标准和实践指南,规定了跨境处理个人信息时相关方应遵守的基本原则、基本要求和个人信息主体权益保障要求,可作为个人信息出境个人信息保护认证的依据文件。
◦ 《粤港澳大湾区(内地、香港)个人信息跨境处理保护要求》规定了粤港澳大湾区(内地、香港)个人信息处理者或者接收方,在大湾区内内地和香港间通过安全互认方式进行个人信息跨境流动应遵守的基本原则和要求,可作为粤港澳大湾区(内地、香港)个人信息跨境安全互认的认证及认可的依据文件。
2. 数据出境其他相关标准
【条例条款】:第35条。
【相关标准】:GB/T 43697-2024《数据安全技术数据分类分级规则》、GB/T 45574-2025《数据安全技术敏感个人信息处理安全要求》、TC260-PG-20244A《网络安全标准实践指南-敏感个人信息识别指南》、GB/T 39335-2020《信息安全技术个人信息保护影响评估指南》。
【标准作用】:
◦ GB/T 43697规定了数据分类分级规则,给出了重要数据识别方法,数据处理者可依据法律法规和行业要求,参考GB/T 43697识别出境的重要数据。
◦ GB/T 45574和实践指南给出了敏感个人信息识别规则和常见类型,数据处理者可参考识别出境的敏感个人信息。
◦ GB/T 39335给出了个人信息保护影响评估的基本原理和实施流程,数据处理者可参考该标准对个人信息出境活动进行个人信息保护影响评估。
五、网络平台服务提供者义务
1. 网络平台服务数据安全
【条例条款】:第五章。
【相关标准】:GB/T 42012-2022《信息安全技术即时通信服务数据安全要求》、GB/T 42013-2022《信息安全技术快递物流服务数据安全要求》、GB/T 42014-2022《信息安全技术网上购物服务数据安全要求》、GB/T 42015-2022《信息安全技术网络支付服务数据安全要求》、GB/T 42016-2022《信息安全技术网络音视频服务数据安全要求》、GB/T 42017-2022《信息安全技术网络预约汽车服务数据安全要求》、TC260-PG-202516A《网络安全标准实践指南-学术科技服务平台数据安全要求》。
【标准作用】:上述标准分别规定了即时通信、快递物流、网上购物、网络支付、网络音视频、网络预约汽车、学术科技等七类网络平台服务的数据安全要求,可用于支撑关于网络平台服务提供者数据安全相关要求的落地实施。
2. 智能终端应用程序安全管理
• 【条例条款】:第40条。
• 【相关标准】:GB/T 43445-2023《信息安全技术移动智能终端预置应用软件基本安全要求》、《移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》(报批稿)。
• 【标准作用】:
◦ GB/T 43445规定了移动智能终端预置应用软件的安全功能要求以及安全管理要求,可用于支撑关于智能终端预装应用程序安全管理的要求落地实施。
◦ 《移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》提供了移动智能终端个人信息保护管理措施指南,可用于移动智能终端提供者进行个人信息保护功能设计、开发参考。
3. 应用程序分发服务平台核验
• 【条例条款】:第41条。
• 【相关标准】:GB/T 43739-2024《信息安全技术应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》。
• 【标准作用】:标准给出了应用商店运营者对App个人信息处理规范性审核与管理指南,可支撑关于应用程序分发服务平台核验应用程序的要求落地实施。
4. 个人信息自动化决策
• 【条例条款】:第42条。
• 【相关标准】:GB/T 45392-2025《数据安全技术基于个人信息的自动化决策安全要求》。
• 【标准作用】:标准规定了个人信息自动化决策的通用安全要求和典型场景特别安全要求,可规范个人信息处理者开展个人信息自动化决策活动。
5. 网络身份认证公共服务
• 【条例条款】:第43条。
• 【相关标准】:《网络安全技术国家网络身份认证公共服务应用接入要求》(送审稿)。
• 【标准作用】:标准给出了多种应用接入国家网络身份认证公共服务平台的接入框架、接入流程和接入技术要求,规定了接入平台的应用服务的安全要求,可指导应用服务接入国家网络身份认证公共服务平台,支撑《条例》相关要求落地实施。
6. 大型网络平台个人信息保护社会责任报告
• 【条例条款】:第44条。
• 【相关标准】:GB/T 46071-2025《数据安全技术数据安全和个人信息保护社会责任指南》。
• 【标准作用】:标准给出了开展数据安全和个人信息保护社会责任活动指南,可为大型网络平台服务提供者个人信息保护社会责任报告提供参考。
7. 大型网络平台个人信息保护监督机构
• 【条例条款】:第44条。
• 【相关标准】:GB/T 45404-2025《数据安全技术大型互联网企业内设个人信息保护监督机构要求》。
• 【标准作用】:标准规定了大型互联网企业建立和运行个人信息保护监督机构的要求,可为大型网络平台建立个人信息保护监督机构提供参考。
六、下一步标准化建议
一是按照《数据安全国家标准体系(2025版)》和《个人信息保护国家标准体系(2025版)》,持续完善数据安全和个人信息保护国家标准体系,逐步健全以国家标准为核心、技术文件和实践指南为配套、应用案例和研究报告为补充的多层体系。
二是针对数据安全和个人信息保护重点工作、问题风险和难点堵点,以标准“快、优、强”为目标,制定出台电子产品信息清除技术要求、儿童手表安全技术要求等强制性国家标准和配套文件,加快制修订个人信息安全规范、数据安全保护要求、数据安全能力成熟度模型等重点标准,加大数据安全和个人信息保护标准供给。
三是着力提升数据安全标准应用效果,持续开展网络安全标准贯标应用深度行、数安标准强“基”助“力”计划(DSEP)等活动,加强已发布标准的推广应用,建立配套重点标准实施的技术文件和工具平台,构建国家标准应用实践案例库,深入重点行业领域和地方区域开展贯标应用。
