信息安全技术个人信息安全 第3部分：个人信息数据库管理指南.docxVIP

1

信息安全技术个人信息安全第3部分：个人信息数据库管理指南

1范围

本文件为个人信息管理者构建、管理、维护、改进个人信息数据库提供指导和通用准则。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T22081信息技术安全技术信息安全管理实用规则DB21/TXXXX信息安全技术个人信息安全术语

DB21/T1628.1信息安全技术个人信息安全第1部分：要求

DB21/T1628.2信息安全技术个人信息安全第2部分：实施指南

3术语和定义

DB21/TXXXX界定的以及下列术语和定义适用于本文件。

3.1

事务transaction

个人信息存储、保存、管理、处理、使用的操作流程。

3.2

存储storage

在不同的应用环境中，以合理、安全、有效的方式将数据储存到适宜的介质上，并保证可有效访问。本标准特指自动处理方式的个人信息储存。

3.3

保存save

在不同的应用环境中，以合理、安全、有效的方式将数据保留到适宜的介质上，并使事物、性质、意义等继续存在，不受损失或不发生变化。本标准特指非自动处理方式的个人信息储存。

4要求

本文件遵循DB21/T1628.1确立的个人信息安全原则和要求，亦遵循DB21/T1628.2确立的实施细则，重点描述和指导个人信息数据库构建、管理、运行的约束规则和评估、监控、改进的方法。

个人信息数据库管理，应同时使用DB21/T1628.1、DB21/T1628.2和本文件，并参照DB21/T1628系列其它标准。

5综述

2

依据DB21/T1628.2第5章，个人信息的存在形态是多样化的，在信息技术，特别是网络技术快速发展的同时，个人信息的存在形式也仍然是多样化的，散见于各种记录方式，如纸媒体、数字媒体等。其管理方式不尽相同。

个人信息保存藉助传统数据库的形式，形成逻辑统一的个人信息数据库，统一个人信息的管理：

a)个人信息可记录在各种媒介；

b)个人信息可以各种形式保存、存储；

c)个人信息可散在于个人信息管理者内部；

d)个人信息可包括在日常管理、业务管理中;

e)个人信息假名化后特征数据库和一般琐碎信息库等；

均应统一在个人信息数据库内，依据相关法规、标准和本标准，建立统一的、适应个人信息管理者不同需求的个人信息数据库管理机制。

6组织

6.1介质

记录个人信息的保存、存储媒介，主要可包括：

a)磁介质：计算机硬盘、数据存储设备（如磁盘阵列等）、移动存储设备（如移动硬盘、U盘、磁带等）、手持移动设备（如智能手机、个人数码助理等）等；

b)光介质：光盘、光存储设备等；

c)芯片介质：芯片卡（如银行卡、护照等）；

d)纸介质：纸质文档；

e)电子媒介：广播、电视、电影等；

f)网络媒介：博客、微博、微信、论坛、网盘、云盘、邮件、即时通讯、网站、网络视频等；

g)声音媒介：录音、录像等。6.2记录

依据DB21/T1628.1，在个人信息生命周期内，各类保存、存储介质记载、存储的个人信息（包括个人信息假名化后的一般琐碎信息），应简明、清晰、可识别，易于提取、修正、拷贝。

6.3识别

依据DB21/T1628.1、DB21/T1628.2，个人信息管理者应识别所有与个人信息主体权益相关的信息，包括：

a)个人信息管理者内部的个人信息（包括个人保有的与个人信息主体相关的所有信息）；

b)个人信息管理者业务相关的个人信息；

c)移动的个人信息等

d)其他与个人信息主体权益相关的信息。

注1：个人信息管理者拥有的所有可识别的个人信息、个人信息假名化后的一般琐碎信息、个人信息匿名化的琐碎信息等，不应由个人信息管理者的员工以各种方式保有；

注2：个人信息管理者应管控与个人信息主体权益相关的所有信息。6.4形式

DB21/T1628.3—XXXX

3

依据DB21/T1628.1、DB21/T1628.2，各类保存、存储介质记载、存储的个人信息，应形成逻辑统一的个人信息数据库，并构建规范、统一的个人信息数据库事务：

a)个人信息管理者内部的个人信息，应在管理过程中建立统一的个人信息数据库事务；

b)个人信息管理者业务相关的个人信息，应在业务管理过程中建立统一的个人信息数据库事务；

c)移动的个人信息也宜形成规范的个人信息数据库事务；

d)个人信息假名化后的特征数据库、一般琐碎信息数据