| 标准编号 | GB/T 46901-2025 (GB/T46901-2025) | | 中文名称 | 数据安全技术 基于个人请求的个人信息转移要求 | | 英文名称 | Data security technology - Requirements for personal information transfer based on request of personal information subject | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 14,189 | | 发布日期 | 2025-12-31 | | 实施日期 | 2026-07-01 | | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 | GB/T 46901-2025: 数据安全技术 基于个人请求的个人信息转移要求
ICS 35.030
CCSL80
中华人民共和国国家标准
数据安全技术
基于个人请求的个人信息转移要求
2025-12-31发布
2026-07-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 转移方式 2
5.1 概述 2
5.2 以个人信息主体为中介的个人信息转移 2
5.3 以个人信息处理者为中介的个人信息转移 2
6 个人信息转移的适用范围 3
6.1 可请求转移的信息范围 3
6.2 可请求转移的主体要求 3
7 个人信息转移的前提要求 3
7.1 合法性要求 3
7.2 不损害他人合法权益的要求 3
7.3 合理性要求 4
8 个人信息转移的基本要求 4
8.1 基本流程 4
8.2 请求的发起 5
8.3 请求的验证 5
8.4 请求的处理 5
8.4.1 回复请求 5
8.4.2 拒绝请求 5
8.4.3 处理请求的费用 6
8.5 个人信息转移的数据格式 6
8.6 个人信息的导出 6
8.6.1 个人信息导出的方式 6
8.6.2 导出个人信息的安全保障 6
8.6.3 导出个人信息的说明 6
8.7 个人信息的导入 6
8.7.1 合法性要求 6
8.7.2 对他人信息处理的目的限制 6
9 以个人信息主体为中介的个人信息转移要求 7
10 以个人信息处理者为中介的个人信息转移要求 7
11 个人信息转移的自动化处理要求 7
12 不满十四周岁未成年人个人信息转移请求处理的要求 7
13 涉及第三方的个人信息转移请求处理的要求 8
14 涉及跨境提供的个人信息转移请求处理的要求 8
参考文献 9
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:北京理工大学、北京电子科技学院、中国电子技术标准化研究院、北京赛西科技发
展有限责任公司、深信服科技股份有限公司、北京尚隐科技有限公司、北京百度网讯科技有限公司、贝壳
找房(北京)科技有限公司、深圳国家金融科技测评中心有限公司、中国联合网络通信集团有限公司、
广州根链国际网络研究院有限公司、北京数安行科技有限公司、阿里巴巴(北京)软件服务有限公司、
中国网络空间研究院、国家计算机网络应急技术处理协调中心、中国信息通信研究院、北京汉华飞天信
安科技有限公司、赛西(深圳)电子信息产品标准化工程中心有限公司、云南电网有限责任公司、中车长
春轨道客车股份有限公司、南方电网数字企业科技(广东)有限公司、科学技术部科技人才交流开发服务
中心、奇安信网神信息技术(北京)股份有限公司。
本文件主要起草人:洪延青、王玎、朱雪峰、何延哲、陈湉、张朝、宋博韬、张仁卓、丁晓强、王敬周、
孙硕、陆冰、羡喻杰、吴祖顺、罗丰、曹咪、陶冶、刘东、张汉卓、仝盼英、刘玉红、顾伟、刘艾婧、姜伟、王普、
王文磊、葛鑫、彭根、刘丹丹、刘金才、孙世玉、刘昊鑫、胡健、王景丽、杜浩文、安锦程。
数据安全技术
基于个人请求的个人信息转移要求
1 范围
本文件规定了基于个人信息主体请求的个人信息转移的适用范围、前提要求、流程要求以及特定情
形的其他要求。
本文件适用于指导个人信息处理者响应个人信息主体转移个人信息的请求,也为监管部门、第三方
评估机构的相关监督、管理、评估活动提供参考。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 25069-2022 信息安全技术 术语
GB/T 35273-2020 信息安全技术 个人信息安全规范
3 术语和定义
GB/T 25069-2022、GB/T 35273-2020界定的以及下列术语和定义适用于本文件。
3.1
个人信息主体请求处理个人信息的处理者,将所处理的个人信息转移至个人信息主体指定的其他
个人信息处理者的过程。
3.2
根据对个人信息的分析、计算、处理等方式得出的、与个人相关的新数据。
注:这些数据可能与原始数据不同,但仍然属于个人信息,并保留了与个人关联的特性。
3.3
请求人 requester
发起个人信息转移请求的主体。
注:包括个人信息主体本人、个人信息主体的监护人......
|