标准搜索结果: 'GB/T 41479-2022'
标准编号 | GB/T 41479-2022 (GB/T41479-2022) | 中文名称 | 信息安全技术 网络数据处理安全要求 | 英文名称 | Information security technology -- Network data processing security requirements | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.030 | 字数估计 | 13,147 | 发布日期 | 2022-04-15 | 实施日期 | 2022-11-01 | 起草单位 | 中国网络安全审查技术与认证中心、中国电子技术标准化研究院、清华大学、国家信息中心、国家计算机网络应急技术处理协调中心、公安部第三研究所、中国信息通信研究院、陕西省网络与信息安全测评中心、中电长城网际系统应用有限公司 | 归口单位 | 全国信息安全标准化技术委员会(SAC/TC 260) | 提出机构 | 全国信息安全标准化技术委员会(SAC/TC 260) | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 |
GB/T 41479-2022
Information security technology -- Network data processing security requirements
ICS 35.030
CCSL80
中华人民共和国国家标准
信息安全技术 网络数据处理安全要求
2022-04-15发布
2022-11-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅰ
1 范围 1
2 规范性引用文件 1
3 术语与定义 1
4 数据处理安全总体要求 2
4.1 数据识别 2
4.2 分类分级 3
4.3 风险防控 3
4.4 审计追溯 3
5 数据处理安全技术要求 3
5.1 通则 3
5.2 收集 3
5.3 存储 4
5.4 使用 4
5.5 加工 4
5.6 传输 4
5.7 提供 5
5.8 公开 5
5.9 私人信息和可转发信息的处理方式 5
5.10 个人信息查阅、更正、删除及用户账号注销 5
5.11 投诉、举报受理处置 5
5.12 访问控制与审计 6
5.13 数据删除和匿名化处理 6
6 数据处理安全管理要求 6
6.1 数据安全责任人 6
6.2 人力资源保障与考核 6
6.3 事件应急处置 6
附录A(规范性) 突发公共卫生事件个人信息保护要求 8
参考文献 10
信息安全技术 网络数据处理安全要求
1 范围
本文件规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全
技术与管理要求。
本文件适用于网络运营者规范网络数据处理,以及监管部门、第三方评估机构对网络数据处理进行
监督管理和评估。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 25069 信息安全技术 术语
GB/T 35273-2020 信息安全技术 个人信息安全规范
3 术语与定义
GB/T 25069和GB/T 35273-2020界定的以及下列术语和定义适用于本文件。
3.1
数据 data
任何以电子或者其他方式对信息的记录。
3.2
网络数据 networkdata
通过网络收集、存储、使用、加工、传输、提供、公开的各种数据。
示例:个人信息、重要数据等。
3.3
数据处理 dataprocessing
数据的收集、存储、使用、加工、传输、提供、公开等。
3.4
数据安全 datasecurity
通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的
能力。
3.5
网络运营者 networkoperator
网络的所有者、管理者和网络服务提供者。
注:本文件中的网络为开放公共网络。
3.6
个人信息 personalinformation
以电子或者其他方式记录的与已识别或者可以识别自然人有关的各种信息。
注1:个人信息包括姓名、出生日期、公民身份号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、
账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
注2:不包括匿名化处理后的信息。
[来源:GB/T 35273-2020,3.1,有修改]
3.7
一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人
信息。
注:敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未
成年人的个人信息。
3.8
个人信息已识别或者可识别的自然人。
[来源:GB/T 35273-2020,3.3,有修改]
3.9
重要数据 importantdata
一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据。
注:重要数据包括未公开的政府信息,数量达到一定规模的基因、地理、矿产信息等,原则上不包括个人信息、企业
内部经营管理信息等。
3.10
私人信息 privateinformation
个人发送给特定对象不可转发给其他人的信息。
3.11
数据接收方 datareceiver
数据处理中接收数据的组织或者个人。
3.12
由第三方提供的产品或者服务,以及被接入或者嵌入网络运营者产品或者服务中的自动化工具。
注:本文件中的第三方应用包括但不限于软件开发工具包、第三方代码、组件、脚本、接口、算法模型、小程序等。
3.13
匿名化 anonymization
个人信息经过处理无法识别特定自然人且不能复原的过程。
4 数据处理安全总体要求
4.1 数据识别
网络运营者应识别数据处理中涉及的数据,包括个人信息、重要数据和其他数据,形成数据保护目
录,并及时更新。
4.2 分类分级
网络运营者应按照相关国家标准,根据合同规定和业务运营需要,对所识别的数据进行分类分级
管理。
4.3 风险防控
网络运营者开展数据处理时,应按照合同约定履行数据安全保护义务,开展数据处理活动应加强风
险监测,发现数据安全缺陷、漏洞等风险时,应采取加密、脱敏、备份、访问控制、审计等技术或者其他必
要措施,加强数据安全防护,保护数据免受泄露、窃取、篡改、损毁、不正当使用等;对重要数据和敏感个
人信息进行重点保护,应按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评
估报告。风险评估报告应包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安
全风险及其应对措施等。
应建立数据安全管理责任和评价考核制度,制定数据安全保护计划,开展安全风险评估,及时处置
安全事件,组织开展教育培训。
4.4 审计追溯
网络运营者应对数据处理的全生存周期进行记录,确保数据处理可审计、可追溯。
5 数据处理安全技术要求
5.1 通则
网络运营者在开展数据处理时应进行影响分析和风险评估,采取必要的措施对识别的风险进行控
制,以保障数据安全。在发生突发公共卫生事件时,数据处理还应遵守附录A的要求。影响或者可能
影响国家安全的数据处理活动应接受国家安全审查。
5.2 收集
网络运营者为提供服务而必需处理个人信息的,应遵循合法、正当、必要的原则,不应收集与其提供
的服务无直接或无合理关联,或超出个人信息主体明示同意期限的个人信息,且遵守以下要求:
a) 应制定和公开个人信息保护政策并严格遵守,个人信息保护政策应符合GB/T 35273-2020
中5.5要求;
b) 收集个人信息前,应明示个人信息保护政策,并征得个人信息主体同意;
注:GB/T 35273-2020中5.6规定的情形除外。
c) 改变处理个人信息的目的、类型、范围、用途的,应及时告知个人信息主体,修改个人信息保护
政策,并重新征得个人信息主体同意,涉及个人信息保护政策变动的应修改个人信息保护
政策;
d) 明示所提供产品或服务的类型,以及该产品或服务所必需的个人信息,不应因用户不同意或撤
回同意,提供该产品或服务所必需个人信息以外的信息,而拒绝提供该产品或服务;
e) 不应仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为目的,强制要求、误导
用户同意收集个人信息;
f) 收集敏感个人信息前,应取得个人信息主体的单独同意,确保单独同意是在完全知情的基础上
自主给出的、具体的、清晰明确的意愿表示;
g) 收集不满十四周岁未成年人个人信息前,应取得未成年人的父母或其他监护人的单独同意;
h) 从个人信息主体以外的其他途径获得个人信息的,应了解个人信息来源、个人信息提供方已获
得的个人信息处理授权同意范围,并按照本文件的要求履行安全保护义务。
5.3 存储
网络运营者应对数据存储活动采取安全措施,包括:
a) 存储重要数据和个人信息等敏感网络数据,应采用加密、安全存储、访问控制、安全审计等安全措施;
b) 存储重要数据和个人信息,不应超过与重要数据和个人信息主体约定的存储期限或个人信息
主体授权同意有效期;
c) 存储个人生物特征识别信息的,应遵守GB/T 35273-2020中6.3b)和c)的要求及生物特征
识别信息保护相关国家标准要求。
数据接收方存储数据时,应按要求采取安全措施并以合同进行约定。
5.4 使用
5.4.1 定向推送及信息合成
网络运营者在为用户提供定向推送或信息合成服务时的要求如下:
a) 网络运营者利用个人信息和算法为用户提供定向推送信息服务的,同时应提供非定向推送信
息的服务选项;
注:宜参照GB/T 35273-2020的7.5。
b) 在向个人信息主体提供新闻、博客类信息服务的过程中,网络运营者利用算法自动合成文字、
图片、音视频等信息,应明确告知用户。
......
|