文章总结： 文章系统解读了《信息安全技术个人信息安全规范》（GB/T35273—2020）的核心内容，包括八项处理原则、个人信息分类、全生命周期管理体系、安全保护措施和个人权利保障等。该标准在我国个人信息保护制度演进中承前启后，为《个人信息保护法》提供了实践基础，虽为推荐性标准但具有重要合规参考价值，未来需与现行法律体系进一步衔接。 综合评分： 75 文章分类： 技术标准,数据安全,政策法规,安全建设

信息安全技术 个人信息安全规范

祺印说信安

2026年3月27日 00:02 河南

以下文章来源于豫说网数安 ，作者何威风

豫说网数安 .

网络安全人人有责，贯彻网络安全为人民，网络安全靠人民。网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。

《信息安全技术 个人信息安全规范》（GB/T 35273—2020）是我国在《网络安全法》框架下发布的重要推荐性国家标准，也是我国个人信息保护领域具有里程碑意义的技术规范文件。该标准于2020年修订发布，相较2017版内容更加系统、细化和成熟，在《个人信息保护法》出台之前，事实上承担了准法律性质的行业合规指引功能，被广泛视为企业开展个人信息保护工作的“技术操作手册”。

从总体定位来看，该标准属于“行为规范型技术标准”，并非强制性法规，但因其权威性与系统性，在监管执法、司法裁判、行业评估及企业内部合规建设中均具有重要参考价值。其核心目标是为个人信息处理活动提供可操作的合规路径，将抽象的合法、正当、必要原则转化为具体制度与技术要求。

在基本原则层面，标准确立了八项处理原则，包括合法正当、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与和责任明确。这些原则后来被《个人信息保护法》吸收并制度化，可以说GB/T 35273在一定程度上为立法提供了实践基础。特别是“选择同意”和“最小必要”原则，在移动互联网快速发展阶段具有重要的规范意义。

在个人信息分类方面，标准区分“一般个人信息”和“个人敏感信息”。敏感信息被界定为一旦泄露、非法提供或滥用，可能危害人身和财产安全、易导致个人名誉受损或身心健康受到伤害的信息。典型类别包括身份证件号码、生物识别信息、银行账户、通信记录、行踪轨迹、14岁以下未成年人信息等。与后来的《个人信息保护法》相比，其概念体系更偏技术风险视角，但基本框架具有延续性。

在生命周期管理方面，标准围绕“收集—存储—使用—共享转让—公开披露—删除”构建了全流程控制体系。在收集阶段强调明示目的和取得授权同意；在使用阶段强调不超出原有目的范围；在共享转让阶段要求重新告知并取得同意；在公开披露方面设定更高门槛；在删除环节明确达到目的或超过保存期限应主动删除或匿名化处理。这种闭环式设计奠定了我国个人信息治理的结构模型。

在安全保护措施方面，标准提出了管理与技术双重控制要求。管理措施包括建立内部管理制度、指定负责人、开展安全培训、签署保密协议、进行安全影响评估等；技术措施包括数据加密、去标识化处理、访问控制、日志审计、防止非法复制下载、定期安全检测与漏洞修补等。其特色在于强调“分级保护”与“风险评估”机制，要求根据数据敏感程度和处理规模采取差异化保护措施。

在个人权利保障方面，标准明确了查询、更正、删除、撤回同意、注销账户等权利，并对响应时限、身份核验方式和拒绝情形进行了规范。这一部分内容在后来《个人信息保护法》中得到全面吸收，成为法定权利体系的重要来源。

此外，标准还特别设置了“个人信息安全影响评估”专章，要求在处理敏感信息、向境外提供个人信息、共享转让等高风险活动前进行风险评估，并形成评估报告。这一制度设计在当时具有前瞻性，为后续立法确立个人信息保护影响评估制度提供了实践模型。

总体来看，GB/T 35273—2020在我国个人信息保护制度演进过程中发挥了承前启后的关键作用：对前承接《网络安全法》的原则性规定，对后为《个人信息保护法》的系统立法提供了实践与技术基础。虽然其法律效力属于推荐性标准，但在实践中具有极高的合规参考价值。

需要指出的是，在《个人信息保护法》实施之后，GB/T 35273的部分术语、制度结构与法律条文之间已出现一定程度的差异，例如在敏感个人信息定义、合法性基础分类、跨境规则表达等方面存在细节不完全一致的问题。因此，未来如进行修订，应进一步与现行法律体系深度衔接，使其从成为“法律配套技术标准”，在更高层级制度框架下发挥支撑作用。

数据安全技术 敏感个人信息处理安全要求

数据安全技术 个人信息保护合规审计要求

数据安全技术 数据分类分级规则

数据安全技术 数据安全风险评估方法

数据安全风险评估流程及内容图

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：祺印说信安 《信息安全技术 个人信息安全规范》