国家标准计划《信息安全技术 个人信息安全规范》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 北京信息安全测评中心 、颐信科技有限公司 、四川大学网络空间安全研究院 、中国信息安全研究院有限公司等 。

在大数据、云计算、万物互联的时代，传统的个人信息保护框架和标准已远落后于实践的发展，无法满足维护国家主权、安全、发展利益，保护网民合法权益，促进经济社会信息化健康发展的迫切需求。

本规范研究旨在借鉴美、欧等国家和地区在个人信息保护方面最新的法律规定、制度设计、实践做法，以国内现有立法为出发点，提出面向未来、能科学有效地抵御安全风险、符合信息化发展需要的个人信息保护框架和模式。

个人信息安全规范将针对机构、企业提出个人信息安全的具体要求，同时为国家主管部门、第三方测评机构等开展个人信息安全管理、检查、风险评估等工作提供的指导和依据。

1. 主要研究内容 （1） 个人信息保护的基本原则 原有的个人信息保护基本原则已经难以应对大数据、云计算、万物互联带来的挑战，因此有必要研究并提出新一代的信息保护基本原则。例如，用户个人信息不再只用于收集时的用途，其潜在价值更多地源于二次开发以及在此基础上的创新利用。信息的转移和再开发、再利用更加频繁，同时也构成风险的主要来源。“告知和许可”原则关注用户在收集前的一揽子许可，对信息转移后实际使用者的责任关注不够。 （2）个人信息分级分类保护模式 数据资源实行分级分类管理是“十三五”规划纲要提出的要求。研究将按照对个人信息按实施分级分类安全保护思路，提出数据分级分类标准，并研究相应的个人信息安全风险评估工作方案和流程，以针对不同级别个人信息特点加强安全防范。 （3）个人信息分环节保护模式 “十三五”规划纲要提出，应在数据“采集、存储、应用和开放等环节”开展安全保护工作。研究将提出不同级别的个人信息在采集、存储、备份、迁移、处理和发布等关键环节的安全规范和标准，配套完善相应的监管措施。 （4）个人信息跨境流动保护模式 探索建立个人信息数据跨境流动的风险评估、行政审查机制、第三方安全检测认证机制等