《信息安全技术 网络数据处理安全要求》将于11月1日施行(可下载)
《信息安全技术网络数据处理安全要求(GB/T 41479-2022)》,将于11月1日施行。该项标准规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求,适用于网络运营者规范网络数据处理,以及监管部门、第三方评估机构对网络数据处理进行监督管理和评估。
(一)数据识别
网络运营者应识别数据处理中涉及的数据,包括个人信息、重要数据和其他数据,形成数据保护目录,并及时更新。
(二)分类分级
网络运营者应按照相关国家标准,根据合同规定和业务运营需要,对所识别的数据进行分类分级管理。
(三)风险防控
网络运营者开展数据处理时,应按照合同约定履行数据安全保护义务,开展数据处理活动应加强风险监测,发现数据安全缺陷、漏洞等风险时,应采取加密、脱敏、备份、访问控制、审计等技术或者其他必要措施,加强数据安全防护,保护数据免受泄露、窃取、篡改、损毁、不正当使用等;对重要数据和敏感个人信息进行重点保护,应按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
应建立数据安全管理责任和评价考核制度,制定数据安全保护计划,开展安全风险评估,及时处置安全事件,组织开展教育培训。
(四)审计追溯
网络运营者应对数据处理的全生存周期进行记录,确保数据处理可审计,可追溯。
网络运营者在开展数据处理时应进行影响分析和风险评估,采取必要的措施对识别的风险进行控制,以保障数据安全。影响或者可能影响国家安全的数据处理活动应接受国家安全审查。
网络运营者为提供服务而必需处理个人信息的,应遵循合法、正当、必要的原则,不应收集与其提供的服务无直接或无合理关联,或超出个人信息主体明示同意期限的个人信息,且遵守以下要求;
a)应制定和公开个人信息保护政策并严格遵守,个人信息保护政策应符合GB/T 35273- 2020中5.5要求;
b)收集个人信息前,应明示个人信息保护政策,并征得个人信息主体同意;
注: GB/T 35273- 2020 中5.6规定的情形除外。
c)改变处理个人信息的目的、类型、范围、用途的,应及时告知个人信息主体,修改个人信息保护政策,并重新征得个人信息主体同意,涉及个人信息保护政策变动的应修改个人信息保护政策;
d)明示所提供产品或服务的类型,以及该产品或服务所必需的个人信息,不应因用户不同意或撤回同意,提供该产品或服务所必需个人信息以外的信息,而拒绝提供该产品或服务;
e)不应仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为目的,强制要求、误导用户同意收集个人信息;
f)收集敏感个人信息前,应取得个人信息主体的单独同意,确保单独同意是在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示;
g)收集不满十四周岁未成年人个人信息前,应取得未成年人的父母或其他监护人的单独同意;
h)从个人信息主体以外的其他途径获得个人信息的,应了解个人信息来源、个人信息提供方已获得的个人信息处理授权同意范围,并按照本文件的要求履行安全保护义务。
a)存储重要数据和个人信息等敏感网络数据,应采用加密、安全存储、访问控制、安全审计等安全措施;
b) 存储重要数据和个人信息,不应超过与重要数据和个人信息主体约定的存储期限或个人信息主体授权同意有效期;
c)存储个人生物特征识别信息的,应遵守GB/T35273-2020中6.3b)和c)的要求及生物特征识别信息保护相关国家标准要求。
数据接收方存储数据时,应按要求采取安全措施并以合同进行约定。
网络运营者在为用户提供定向推送或信息合成服务时的要求如下:
a)网络运营者利用个人信息和算法为用户提供定向推送信息服务的,同时应提供非定向推送信息的服务选项;
注:宜参照GB/T 35273-2020 的7.5.
b)在向个人信息主体提供新闻、博客类信息服务的过程中,网络运营者利用算法自动合成文字、图片、音视频等信息,应明确告知用户。
网络运营者应对接入或嵌入其产品或服务的第三方应用加强数据安全管理。包括:
a)应通过合同等形式,明确双方的数据安全保护责任和义务;
b)应监督第三方应用运营者加强数据安全管理,发现第三方应用没有落实安全管理责任的,应及时督促整改,必要时停止接入;
c)网络运营者知道或者应知道第三方应用利用其平台侵害用户民事权益,未采取必要措施的,应与第三方应用运营者承担连带责任;
d)宜对接入或嵌入的第三方应用开展技术检测,确保其数据处理行为符合双方约定要求,对审计发现超出双方约定的行为及时停止接人。
网络运营者在开展转换、汇聚、分析等数据加工活动的过程中,知道或者应知道可能危害国家安全、公共安全、经济安全和社会稳定的,应立即停止加工活动。
a) 传输重要数据和敏感个人信息时,应采用加密、脱敏等安全措施;
b)向数据接收方传输数据时,应按要求采取安全措施并以合同进行约定。
网络运营者向他人提供数据前,应进行安全影响分析和风险评估,可能危害国家安全、公共安全、经济安全和社会稳定的,不应向他人提供。要求如下:
a) 向他人提供个人信息,应向个人信息主体告知接收方的名称、联系方式、处理目的、处理方式、个人信息的种类、存储期限,并取得个人信息主体同意;
b)共享、转让重要数据,应与数据接收方通过合同等形式明确双方的数据安全保护责任和义务,采取加密、脱敏等措施保障重要数据安全;
c)委托第三方开展数据处理活动的,应通过合同等形式明确约定委托处理的目的、期限、处理方式、数据的种类、保护措施、双方的权利和义务,以及第三方返还或删除数据的方式等,要求第三方以合同中约定的形式返还、删除接收和产生的数据,并对数据处理活动进行监督;
d)发生收购、兼并、重组、破产时,数据接收方应继续履行相关数据安全保护义务;没有数据接收方的,应删除数据。
网络运营者向境外提供个人信息或者重要数据的,应遵循国家相关规定和相关标准的要求。
境内用户在境内访问境内网络的,其流量不应路由至境外。
网络运营者利用所掌握的数据资源,公开市场预测、统计等信息时,不应危害国家安全、公共安全、经济安全和社会稳定。
即时通信等社交平台运营者宜为用户提供发送私人信息和可转发信息的选项,并按照以下方式处理:
a)宜对以私人选项发送的信息子以严格保护,不提供转发功能;
b)宜对以可转发选项发送的信息,或者转发此类信息的,同时发送信息始发者在该平台上的账号名称,该账号名称唯一且不可更改。
网络运营者应建立渠道和机制,及时响应个人信息主体查阅、复制、更正、删除其个人信息及注销账号的请求,不应对请求设置不合理条件,应遵守GB/T35273-2020中8.7有关响应个人信息主体请求的要求。
网络运营者应建立投诉、举报受理处置制度。收到通过其平台编造、传播虛假信息,发布侵害他人名誉、隐私、知识产权和其他合法权益信息,以及假冒、仿冒、盗用他人名义发布信息的投诉、举报的,自接受投诉举报起,受理时间不超过3d。受理后进行调查取证,对于查实的编造、传播虛假信息,发布侵害他人名誉、隐私、知识产权和其他合法权益信息,以及假冒、仿冒、盗用他人名义发布信息的投诉、举报,依法采取停止传输、消除等处置措施。
a)基于数据分类分级,明确相关人员的访问权限,防止非授权访问。
b)对重要数据、个人信息的关键操作(例如批量修改、拷贝、删除、下载等),设置内部审批和审计流程,并严格执行。
符合GB/T35273-2020中8.3的要求或符合以下情形时,网络运营者应及时对个人信息做删除或匿名化处理:
存储重要数据和个人信息的介质进行报废处理时,网络运营者应采用物理损毁等方式销毁介质,以确保重要数据和个人信息不能被恢复。
网络运营者开展经营和服务活动,处理重要数据和敏感个人信息的。应明确数据安全责任人,并为其提供必要的资源保障,保证其独立履行职责。数据安全责任人应具备数据安全专业知识和相关管理工作经历,参与有关数据处理的重要决策,履行以下职责:
a)组织确定数据保护目录,制定数据安全保护计划并督促落实;
b)组织开展数据安全影响分析和风险评估,督促整改安全隐患;
e)依法向有关部门报告数据安全保护和事件处置情况;
d)组织受理和处置数据安全投诉、举报。
(二)人力资源保障与考核
在人力资源保障与考核方面,网络运营者应:
a)明确数据安全保护岗位及职责,并提供人力资源保障。
b)建立人力资源考核制度,明确数据安全管理考核指标和问责机制,对相关人员特别是重要岗位人员的履职情况进行考核。出现数据安全重大事件时,对直接负责的主管人员和其他直接责任人员进行问责。
(三)事件应急处置
网络运营者应建立数据安全事件应急响应机制,并根据数据安全计划的变化而及时调整,确保数据安全事件得到及时有效处置。
a)应急响应机制包括:
1) 数据安全事件分级;
2) 启动条件;
3) 启动所需的资源,如人员、设备、场所、工具、资金等;
4)流程、人员安排和操作手册。
b)配备应急响应所需的资源,确保应急响应机制能够有效实施。
c)制定应急演练计划,按计划或者在应急响应机制发生变化后,组织开展应急演练,检验和完善应急响应机制,提高实战能力。
发生数据安全事件时,网络运营者应立即启动应急响应机制,采取相应的补救和防范措施。涉及个人信息的,及时以电话、短信、邮件或者信函等方式告知个人信息主体,同时对可能危害国家安全、公共安全、经济安全和社会稳定的按相关要求向有关部门报告。
