来源:国家市场监督管理总局国家标准化管理委员会
本文件规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全 技术与管理要求。
本文件适用于网络运营者规范网络数据处理,以及监管部门、第三方评估机构对网络数据处理进行 监督管理和评估。
部分术语和定义
数据(data):任何以电子或者其他方式对信息的记录
网络数据(networkdata):通过网络收集、存储、使用、加工、传输、提供、公开的各种数据。
示例:个人信息、重要数据等。
数据处理(dataprocessing):数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全(datasecurity):通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
数据接收方(datareceiver):数据处理中接收数据的组织或者个人。
第三方应用(thirdpartyapplication):由第三方提供的产品或者服务,以及被接入或者嵌入网络运营者产品或者服务中的自动化工具。
注:本文件中的第三方应用包括但不限于软件开发工具包、第三方代码、组件、脚本、接口、算法模型、小程序等。
数据处理安全总体要求
数据识别
网络运营者应识别数据处理中涉及的数据,包括个人信息、重要数据和其他数据,形成数据保护目录,并及时更新。
分类分级
网络运营者应按照相关国家标准,根据合同规定和业务运营需要,对所识别的数据进行分类分级管理。
风险防控
网络运营者开展数据处理时,应按照合同约定履行数据安全保护义务,开展数据处理活动应加强风险监测,发现数据安全缺陷、漏洞等风险时,应采取加密、脱敏、备份、访问控制、审计等技术或者其他必要措施,加强数据安全防护,保护数据免受泄露、窃取、篡改、损毁、不正当使用等。
审计追溯
网络运营者应对数据处理的全生存周期进行记录,确保数据处理可审计、可追溯。
数据处理安全技术要求
网络运营者在开展数据处理时应进行影响分析和风险评估,采取必要的措施对识别的风险进行控制,以保障数据安全。
在发生突发公共卫生事件时,数据处理还应遵守附录 A(突发公共卫生事件个人信息保护要求) 的要求。影响或者可能影响国家安全的数据处理活动应接受国家安全审查。
个人信息收集
遵循合法、正当、必要的原则,不应收集与其提供 的服务无直接或无合理关联,或超出个人信息主体明示同意期限的个人信息
数据存储
网络运营者应对数据存储活动采取安全措施,如:加密、安全存储、访问控制、安全审计等安全措施
数据传输
网络运营者在应对数据传输活动采取安全措施,包括:
• 传输重要数据和敏感个人信息时,应采用加密、脱敏等安全措施;
• 向数据接收方传输数据时,应按要求采取安全措施并以合同进行约定。
提供
网络运营者向他人提供数据前,应进行安全影响分析和风险评估,可能危害国家安全、公共安全、经 济安全和社会稳定的,不应向他人提供
数据出境
网络运营者向境外提供个人信息或者重要数据的,应遵循国家相关规定和相关标准的要求。境内用户在境内访问境内网络的,其流量不应路由至境外。