引言
为规范网络产品和服务个人信息处理活动,最大程度保障用户个人信息权益,业界陆续提出个人信
息安全措施与产品和服务同步规划、同步建设、同步使用的理念。例如,欧盟《通用数据保护条例》规定
在产品设计阶段要考虑个人信息保护要求,同时产品默认设置也要最大程度保护用户个人信息。这不
仅有助于主动防御个人信息安全风险,也便于预防侵害用户个人信息权益事件发生。
本文件根据个人信息保护法律法规和政策标准要求,结合国内外在隐私工程方面的实践经验,给出
了具有处理个人信息功能的网络产品和服务在规划和建设阶段的个人信息安全工程实施指南,为帮助
网络产品和服务提升个人信息保护能力提供工程化指引。
个人信息安全工程指南
范围
本文件提出了个人信息安全工程的原则、目标、阶段和准备,提供了网络产品和服务在需求、设计、
开发、测试、发布阶段落实个人信息安全要求的工程化指南。
本文件适用于涉及个人信息处理的网络产品和服务(含信息系统),为其同步规划、同步建设个人信
息安全措施提供指导,也适用于组织在软件开发生存周期开展隐私工程时参考。
注:在不引起混淆的情况下,本文件中的“网络产品和服务”简称为“产品服务”
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T25069一2022信息安全技术术语
GB/T35273一2020信息安全技术个人信息安