| 规范类别 | 规范要求 | 具体内容 |
| 信息的收集和使用 | 限制权限 | 收集信息要遵循合法、正当、必要原则和法律、行政法规的相关规定(《个人信息保护法》第5条,《未成年人保护法》第72条,《网络安全法》第41条,《消费者权益保护法》第29条,《电子商务法》第23条) |
| 最少够用 | 收集信息应当与处理目的直接相关,自动采集频率最低,间接获取数量最少(《个人信息保护法》第6条,《规范》5.2) | |
| 明确目的 | 收集信息应当具有具体、明确的目的,明确告知个人信息主体收集和使用的类型、目的、方法(《个人信息保护法》第6、18条,《消费者权益保护法》第29条,《规范》5.4a) | |
| 敏感告知 | 处理敏感信息应取得个人单独同意,并告知必要性及对个人权益的影响(《个人信息保护法》第29、30条,《规范》5.4b) | |
| 信息的保存和管理 | 保证质量 | 处理个人信息应当保证个人信息的质量,不得泄露、篡改、毁损所收集的个人信息(《个人信息保护法》第8条,《网络安全法》第42条) |
| 最短时限 | 个人信息的保存期限应当为实现处理目的所必要的最短时间(《个人信息保护法》第19条,《规范》6.1) | |
| 主体参与 | 信息访问、更正、删除、撤回同意(《个人信息保护法》第44、45、46、47、49条,《网络安全法》第43、50条,《消费者权益保护法》第29条,《规范》8.3、8.8) | |
| 确保安全 | 去标识化,敏感信息加密处理,防止信息泄露、毁损、丢失,不得泄露、出售或非法提供个人信息(《个人信息保护法》第51条,《网络安全法》第42条,《消费者权益保护法》第29条,《规范》6.2、6.3) | |
| 信息的共享、转让和披露 | 透明公开 | 处理个人信息应当遵循公开、透明原则(《个人信息保护法》第7条,《规范》4e、9.2bc、9.4bc) |
| 安全评估 | 采取必要的个人信息保护影响评估(《个人信息保护法》第55条,《规范》9.2a、9.4a、11.4) | |
| 责任明确 | 承担因信息共享、转让、公开披露对个人信息主体合法权益造成损害的相应责任(《个人信息保护法》第69条,《网络安全法》第42条,《规范》4a、5.5a、9.2dg) |