ICS35.030 CCSL80 中华人民共和国国家标准 GB/T44588—2024 数据安全技术 互联网平台及产品服务 个人信息处理规则 Datasecuritytechnology—Personalinformationprocessingrulesof internetplatforms,productsandservices 2024-09-29发布 2025-04-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 概述 2 ……………………………………………………………………………………………………… 6 个人信息处理规则的基本要求 3 ………………………………………………………………………… 7 个人信息处理规则的编制程序 3 ………………………………………………………………………… 8 个人信息处理规则的内容 3 ……………………………………………………………………………… 9 个人信息处理规则的发布 6 ……………………………………………………………………………… 10 个人信息处理规则的修订 7 ……………………………………………………………………………… 11 个人信息处理规则的争议纠纷解决 7 …………………………………………………………………… 参考文献 8 ……………………………………………………………………………………………………… ⅠGB/T44588—2024 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:北京理工大学、国家计算机网络应急技术处理协调中心、中国电子技术标准化研 究院、中国信息通信研究院、中国网络空间研究院、完美世界(北京)软件科技发展有限公司、上海携程商 务有限责任公司、北京抖音信息服务有限公司、贝壳找房(北京)科技有限公司、北京微播视界科技有限 公司、长城汽车股份有限公司、北京百度网讯科技有限公司、北京三快科技有限公司、OPPO广东移动 通信有限公司、维沃移动通信有限公司、北京腾云天下科技有限公司、掌阅科技股份有限公司、上海商汤 智能科技有限公司、北京尚隐科技有限公司、北京转转精神科技有限责任公司、北京市竞天公诚律师事 务所上海分所、奇安信科技集团股份有限公司、华为技术有限公司、荣耀终端有限公司、北京三星通信技 术研究有限公司、北京小桔科技有限公司、中国电信股份有限公司江西分公司、北京同元法律咨询有限 公司、中国石油天然气股份有限公司长庆油田分公司、广州视源电子科技股份有限公司、杭州小影创新 科技股份有限公司。 本文件主要起草人:洪延青、任彦、朱雪峰、薛颖、薛晨、吴梦漪、葛梦莹、何延哲、杨钦、葛鑫、胡影、 田申、窦禹、陈湉、何云云、李妍洁、高超、刘笑岑、李昳婧、林星辰、张朝、吴迪、薛晶、徐全全、李杭敏、 余方、袁立志、杨丹、王一宇、易立、王敬周、李阳春、宋子奕、王海棠、黄蓉、刘榕、程艳、高斯平、田林川、 毛欣怡、付艳艳、赵鹏阳、衣强、赵晓娜、孙淑娴、陈舒、成瑾、陆萌、吴庚、王兴、宋小艾、李世红、周杨、 朱垒、王丹辉、解伯延、张成、马可、张博文、杨昕雨、贾科、张玮、安锦程、连禧宇、吴越、张娜、田明仁、 郭立、苏莹、宋养齐、焦琼辉、廖汉兴。 ⅢGB/T44588—2024 数据安全技术 互联网平台及产品服务 个人信息处理规则 1 范围 本文件规定了互联网平台及产品服务个人信息处理规则的基本要求、编制程序、规则内容、发布形 式,以及个人信息处理规则争议纠纷解决等方面的要求。 本文件适用于规范互联网平台及产品服务的运营者制定、发布个人信息处理规则的过程,也适用于 对个人信息处理规则进行监督、管理和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T25069—2022 信息安全技术 术语 GB/T35273—2020 信息安全技术 个人信息安全规范 3 术语和定义 GB/T25069—2022和GB/T35273—2020界定的以及下列术语和定义适用于本文件。 3.1 互联网平台及产品服务 internetplatforms,productsandservices 通过互联网直接向个人信息主体提供所需业务功能的平台、产品或服务。 3.2 移动互联网应用程序 mobileinternetapplication 运行在移动智能终端上的应用程序。 注:包括智能终端预装、下载安装的应用软件,以及基于应用软件开发平台接口开发的、用户无需安装即可使用的 小程序、快应用等,简称App。 [来源:GB/T41391—2022,3.1,有修改] 3.3 个人信息 personalinformation 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后 的信息。 [来源:GB/T35273—2020,3.1,有修改] 3.4 敏感个人信息 sensitivepersonalinformation 一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人 信息。 1GB/T44588—2024 注:敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未 成年人的个人信息。 [来源:GB/T35273—2020,3.2,有修改] 3.5 个人信息主体 personalinformationsubject 个人信息所标识或者关联的自然人。 [来源:GB/T35273—2020,3.3] 3.6 个人信息处理者 personalinformationhandler 个人信息控制者 在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。 注:与GB/T35273—2020中的“个人信息控制者”所指一致。 3.7 同意 consent 个人信息主体对其个人信息进行处理自愿、明确作出授权的行为。 注:包括通过积极的行为作出授权(即明示同意),或者通过个人信息主体的行为而推定其作出授权,如个人信息主 体在被告知个人信息收集行为后仍选择进入信息采集区域。 [来源:GB/T35273—2020,3.7,有修改] 3.8 服务类型 servicetype 移动互联网应用程序提供的业务功能分类。 注:常见服务类型如地图导航、网络约车、即时通信、网上购物、网络支付等。 3.9 业务功能 businessfunction 满足个人信息主体具体使用目的的功能。 注:一种服务类型通常包括多个业务功能,如网上购物服务类型包括注册、登录、推荐、文字搜索、语音搜索、图片搜 索、浏览、收藏、添加购物车、下单、支付、添加收货地址、退货、商家聊天、评论、分享商品等多个业务功能。 [来源:GB/T35273—2020,3.17,有修改] 4 缩略语 下列缩略语适用于本文件。 App:移动互联网应用程序(mobileinternetapplication) SDK:软件开发工具包(SoftwareDevelopmentKit) 5 概述 制定、发布个人信息处理规则是个人信息处理者遵循公开透明原则的重要体现,是保证个人信息主 体知情权的重要手段,也是约束自身行为和配合监督管理的重要机制。 2GB/T44588—2024