2024年9月29日，国家市场监督管理总局和国家标准化管理委员会发布了推荐性国家标准GB/T 44588-2024 《数据安全技术 互联网平台及产品服务个人信息处理规则》（以下简称“《处理规则》”），自2025年4月1日起实施。

《处理规则》鲜明地体现了《网络数据安全管理条例》的要求，我们建议相关企业深入研究学习该国标，并及时对照该国标，对自己的个人信息处理规则（以下简称“隐私政策”）进行全面修改。

一、标准核心内容剖析

1.1、个人信息处理规则编制要点

编制程序涵盖建立安全管理体系并明确职责分工、针对业务功能描述信息处理情况、分析确定必要和非必要信息范围、识别并评估重大影响处理行为、建立权利响应机制和编写要求等多个环节。下面我们将根据不同的环节对处理规则编制要点结合案例进行介绍。

构建完善的管理体系是基础，明确部门与人员职责，提供资源支持。例如，某购物平台，在编制个人信息处理规则时，成立专门的跨部门项目组，成员来自技术研发、法务合规、用户体验等多个部门。技术研发部门负责梳理数据处理的技术流程和架构，法务合规部门依据法律法规把控规则的合法性，用户体验部门则从消费者的使用习惯和理解能力出发，优化规则的呈现形式。

针对不同业务功能，详细梳理个人信息处理情况。例如，购物平台对商品搜索、下单购买、支付结算、物流追踪等业务功能分别进行深入分析，明确每个功能所处理的个人信息种类、目的、方式等。比如在下单购买功能中，收集的必要信息包括用户的姓名、收货地址、联系电话、购买商品信息等，收集目的是确保商品能够准确无误地送达用户手中，收集方式为用户主动填写和系统自动获取；非必要信息如用户选择的赠品信息、个性化的订单备注等，用户可自行决定是否提供。

通过分析确定必要和非必要信息范围，识别影响用户权益的行为，如处理敏感信息、自动化决策等，并开展安全评估，确保处理行为风险可控。同时，建立权利响应机制，保障用户查询、更正、删除等权利。

1.2、个人信息处理规则的内容构成

1.2.1、内容构成核心要点

个人信息处理规则内容涵盖多个关键部分，这些部分从不同维度规范个人信息处理活动，保障个人信息主体的权益。包括处理者与规则适用范围、摘要、信息处理规则、安全保护规则、跨境流动规则、主体权利保障规则、更新规则以及反馈投诉争议解决规则等，各部分相互关联，共同构建起完整的个人信息处理规则体系。

1.2.2、明确处理者与适用范围

明确个人信息处理者的具体信息，如名称、地址、个人信息保护负责人联系方式等，有助于个人信息主体在需要时精准联系。同时，界定规则适用的产品或服务范围、主体类型、生效及更新时间，让个人信息主体清晰知晓规则的适用边界，保障其知情权。

1.2.3、个人信息处理规则摘要

摘要旨在让个人信息主体快速了解规则核心内容。通过列举业务功能和收集的个人信息种类，提供选择或关闭业务功能、拒绝提供非必要信息的权利及操作方式说明，帮助个人信息主体在初次接触规则时，迅速把握重点，做出符合自身需求的决策。

1.2.4、个人信息处理规则细分

收集使用规则：全面、细致地规范个人信息收集使用环节。要求明确各业务功能涉及的信息收集情况，以清单形式呈现必要和非必要信息，避免模糊表述。对敏感个人信息，需详细阐述相关处理细节。例如，某金融类 App 在收集用户银行卡信息时，会明确告知这属于敏感个人信息，收集目的是为了实现快捷支付功能，因涉及资金安全所以具有必要性，并说明加密存储等处理规则以及可能对用户权益产生的影响。同时，说明信息处理方式、存储地域、保存时间，改变收集使用目的等需重新征得同意，明确对外提供和公开披露信息规则，单独制定收集未成年人信息规则

安全保护规则：从多方面保障个人信息安全。处理者需说明采取的安全保护措施，如数据加密、访问授权、审计机制等。以某社交平台为例，其采用端到端加密技术保护用户聊天记录，建立严格的访问授权体系，只有经过授权的特定人员才能访问用户信息，且所有访问操作都有详细审计记录。此外，还应举例说明遵循的安全规程和取得的认证，告知用户提供信息后可能存在的安全风险，以及安全事件发生后的告知义务。

跨境流动规则：当存在向境外提供个人信息的情况时，规则需详细说明相关关键信息。例如，某跨国电商平台若将用户购买记录等信息提供给境外关联公司用于数据分析和业务优化，需在规则中明确提供目的、方式、境外接收方身份、提供的信息种类、遵守的安全保护标准，以及个人信息主体拥有的权利和行权方式。

1.2.5、主体权利保障规则

全方位保障个人信息主体权利。详细说明主体拥有的选择权、拒绝权、查阅复制更正等权利，以及在自动化决策方面的可选项。例如，某视频平台在个人信息处理规则中告知用户，用户可选择关闭个性化推荐，拒绝接收特定类型广告。同时，明确行权途径、配置操作说明、隐私偏好设置方法，以及收费、响应时间、身份验证、拒绝行权等情况的说明，提供联系渠道，确保个人信息主体权利得到充分保障。

二、标准落地的实践要求

2.1、发布环节的便捷与透明

在发布方面，标准强调便捷性与透明度。收集信息前，通过弹窗提示用户阅读规则，且根据业务功能分阶段引导授权。规则要放置在用户易访问处，提供机器可读格式，App 设置一键访问功能。若涉及敏感信息收集，需再次提示用户阅读相关规则，充分保障用户知情权。

例如，某电商 App ，用户首次打开 App 时，会弹出简洁的弹窗，告知用户 App 最主要业务功能（如商品浏览、搜索）收集个人信息的情况，引导用户进行最小化便捷授权。当用户使用登录、支付等功能时，会再次弹窗提示阅读相应功能的个人信息处理规则内容，并进行授权。App 将个人信息处理规则放置在设置页面的显眼位置，且提供了可拷贝和下载的文本格式，方便用户获取。同时，在 App 的设置首页设置了个人信息处理规则的一键访问功能，用户可以随时查阅所有业务功能收集使用个人信息的情况。

2.2、修订与争议解决的规范

修订规则时，无论是新服务上线还是目的变更，都要及时更新并向用户展示变化。处理大量用户信息的平台，在重大修订时应广泛征求各方意见。例如，某短视频平台计划上线新的直播带货功能，涉及到用户的交易信息处理，平台在修订个人信息处理规则时，不仅及时更新了规则内容，还通过官方网站、App 推送等方式向用户展示了更新的内容和理由。同时，平台邀请了用户代表、行业协会专家、法律学者等进行座谈，广泛征求意见，并将合理的建议融入到规则修订中。

出现争议纠纷，平台需在 15 个工作日内解释说明，提供外部争议解决方式，并配合调查提供工作记录。若某用户对该短视频平台的直播带货个人信息处理存在疑问并提出投诉，平台需在 15 个工作日内向用户清晰、明确地解释相关规则和处理情况。如果用户对解释不满意，平台需提供外部争议解决方式，如告知用户可以向当地的消费者协会或相关监管部门投诉，同时配合外部争议解决机构的调查，提供规则编制过程中的工作记录，以便问题得到妥善解决。