中文

《信息安全技术 网络数据处理安全要求》将于11月1日施行(可下载)

文章发布日期:2022-06-24

《信息安全技术网络数据处理安全要求(GB/T 41479-2022)》,将于11月1日施行。该项标准规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求,适用于网络运营者规范网络数据处理,以及监管部门、第三方评估机构对网络数据处理进行监督管理和评估。

Part 1

数据处理安全总体要求

(一)数据识别

网络运营者应识别数据处理中涉及的数据,包括个人信息、重要数据和其他数据,形成数据保护目录,并及时更新。


(二)分类分级

网络运营者应按照相关国家标准,根据合同规定和业务运营需要,对所识别的数据进行分类分级管理。


(三)风险防控

网络运营者开展数据处理时,应按照合同约定履行数据安全保护义务,开展数据处理活动应加强风险监测,发现数据安全缺陷、漏洞等风险时,应采取加密、脱敏、备份、访问控制、审计等技术或者其他必要措施,加强数据安全防护,保护数据免受泄露、窃取、篡改、损毁、不正当使用等;对重要数据和敏感个人信息进行重点保护,应按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。

应建立数据安全管理责任和评价考核制度,制定数据安全保护计划,开展安全风险评估,及时处置安全事件,组织开展教育培训。


(四)审计追溯

网络运营者应对数据处理的全生存周期进行记录,确保数据处理可审计,可追溯。

Part 2

数据处理安全技术要求

(一)通则
网络运营者在开展数据处理时应进行影响分析和风险评估,采取必要的措施对识别的风险进行控制,以保障数据安全。影响或者可能影响国家安全的数据处理活动应接受国家安全审查。

(二)收集
网络运营者为提供服务而必需处理个人信息的,应遵循合法、正当、必要的原则,不应收集与其提供的服务无直接或无合理关联,或超出个人信息主体明示同意期限的个人信息,且遵守以下要求;
a)应制定和公开个人信息保护政策并严格遵守,个人信息保护政策应符合GB/T 35273- 2020中5.5要求;
b)收集个人信息前,应明示个人信息保护政策,并征得个人信息主体同意;
注: GB/T 35273- 2020 中5.6规定的情形除外。
c)改变处理个人信息的目的、类型、范围、用途的,应及时告知个人信息主体,修改个人信息保护政策,并重新征得个人信息主体同意,涉及个人信息保护政策变动的应修改个人信息保护政策;
d)明示所提供产品或服务的类型,以及该产品或服务所必需的个人信息,不应因用户不同意或撤回同意,提供该产品或服务所必需个人信息以外的信息,而拒绝提供该产品或服务;
e)不应仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为目的,强制要求、误导用户同意收集个人信息;
f)收集敏感个人信息前,应取得个人信息主体的单独同意,确保单独同意是在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示;
g)收集不满十四周岁未成年人个人信息前,应取得未成年人的父母或其他监护人的单独同意;
h)从个人信息主体以外的其他途径获得个人信息的,应了解个人信息来源、个人信息提供方已获得的个人信息处理授权同意范围,并按照本文件的要求履行安全保护义务。

(三)存储
网络运营者应对数据存储活动采取安全措施。包括:
a)存储重要数据和个人信息等敏感网络数据,应采用加密、安全存储、访问控制、安全审计等安全措施;
b) 存储重要数据和个人信息,不应超过与重要数据和个人信息主体约定的存储期限或个人信息主体授权同意有效期;
c)存储个人生物特征识别信息的,应遵守GB/T35273-2020中6.3b)和c)的要求及生物特征识别信息保护相关国家标准要求。
数据接收方存储数据时,应按要求采取安全措施并以合同进行约定。

(四)使用
1、定向推送及信息合成
网络运营者在为用户提供定向推送或信息合成服务时的要求如下:
a)网络运营者利用个人信息和算法为用户提供定向推送信息服务的,同时应提供非定向推送信息的服务选项;
注:宜参照GB/T 35273-2020 的7.5.
b)在向个人信息主体提供新闻、博客类信息服务的过程中,网络运营者利用算法自动合成文字、图片、音视频等信息,应明确告知用户。
2、 第三方应用管理
网络运营者应对接入或嵌入其产品或服务的第三方应用加强数据安全管理。包括:
a)应通过合同等形式,明确双方的数据安全保护责任和义务;
b)应监督第三方应用运营者加强数据安全管理,发现第三方应用没有落实安全管理责任的,应及时督促整改,必要时停止接入;
c)网络运营者知道或者应知道第三方应用利用其平台侵害用户民事权益,未采取必要措施的,应与第三方应用运营者承担连带责任;
d)宜对接入或嵌入的第三方应用开展技术检测,确保其数据处理行为符合双方约定要求,对审计发现超出双方约定的行为及时停止接人。

(五)加工
网络运营者在开展转换、汇聚、分析等数据加工活动的过程中,知道或者应知道可能危害国家安全、公共安全、经济安全和社会稳定的,应立即停止加工活动。

(六)传输
网络运营者在应对数据传输活动采取安全措施,包括:
a) 传输重要数据和敏感个人信息时,应采用加密、脱敏等安全措施;
b)向数据接收方传输数据时,应按要求采取安全措施并以合同进行约定。

更多内容点此直接下载

等保测评_等级保护_网络安全测评_IT审计_信息系统审计_等保测评机构_时代新威版权所有 京ICP备13008575号-2
免费来电

返回
顶部