GB/T 42012-2022标准规范下载简介
GB/T 42012-2022 信息安全技术 即时通信服务数据安全要求.pdfICS 35.030 CCS L. 80
本义件按照GB/11.1一一2020标准 时定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:深圳市腾讯计算机系统有限公司、中国电子技术标准化研究院、国家信息技术安 全研究中心、浙江翼信科技有限公司、蓝信移动(北京)科技有限公司、中国信息通信研究院、国家计算机 网络应急技术处理协调中心、中国移动通信集团有限公司、阿里云计算有限公司、北京奇虎科技有限公 司、华为技术有限公司、郑州信大捷安信息技术股份有限公司、北京天融信网络安全技术有限公司、 OPPO广东移动通信有限公司、上海观安信息技术股份有限公司、北京陌陌科技有限公司、成都卫士通 信息产业股份有限公司、国家工业信息安全发展研究中心、格尔软件股份有限公司。 本文件主要起草人:武杨、杨建军、陈舒、上官晓丽、倪平、徐永太、胡影、周晨炜、潘慧炜、杨韬、 赵芸伟、李海东、赵新强、王秉政、朱雪峰、吴华强、纪帅、裴利杰、楼喆、吴冬宇、郑磊、张屹、周蓬、刘为华、 王、陈活、江为强、王小璞、谢江、代威、莫若、黄超、刘洋、杨厂普、孙岩。
技术即时通信服务数据安全要
本文件规定了即时通信服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的 安全要求。 本文件适用于即时通信服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对即时通 信服务数据处理活动进行监督、管理、评估提供参考
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T25069 信息安全技术术语 GB/T35273一2020信息安全技术个人信息安全规范 GB/T37964 信息安全技术个人信息去标识化指南 GB/T37988 信息安全技术数据安全能力成熟度模型 GB/T39335 信息安全技术个人信息安全影响评估指南 GB/T41391一2022信息安全技术移动互联网应用程序(App)收集个人信息基本要求 GB/T41479信息安全技术网络数据处理安全要求
即时通信服务平台instantmessagingserviceplatform 以互联网技术为依托,为用户提供个人即时通信或组织即时通信服务的信息系统。 3.5 即时通信服务提供者instantmessagingserviceprovider 利用即时通信服务平台,提供即时通信服务的企业法人。 注:本文件的即时通信服务提供者,主要是指即时通信服务平台运营者。 3.6 用户user 即时通信服务(3.1)的使用者。 注:用户包括个人用户和组织用户。 3.7 即时通信信息instantmessaginginformation 由个人用户或组织用户在通信过程中形成的信息,包括社交标识、通信记录、通信内容等。 3.8 关系链socialchain 以用户为中心连接其他更多用户形成的关联结构。 3.9 即时通信服务数据instantmessagingservicedata 即时通信服务提供者在提供即时通信服务的过程中收集和产生的数据。 注:主要包括用户数据和业务数据,不包括即时通信服务提供者内部管理经营数据。
以下缩略语适用于本文件: SDK:软件开发工具包(SoftwareDevelopmentKit)
5.1即时通信服务业务组成
即时通信服务包括个人即时通信服务和组织即时通信服务,具体如下。 a)个人即时通信服务: 个人即时通信服务的参与相关方包括个人用户、即时通信服务提供者。个人即时通信服务的 主要功能包括通信交互(单聊、群聊、实时聊天)、关系链管理、群组管理、账号管理。个人即时 通服务根据业务需要,可扩展社区信息发布、信息订阅、广告订阅等功能。上述业务的参与相 关第三方包括资讯信息、广告相关的商业机构。 注:实时聊天是指以聊天室、会议等形式进行的即时通信。 b)组织即时通信服务: 组织即时通信服务的参与相关方包括个人用户、组织用户、即时通信服务平台运营者。组织即 时通信服务主要功能,除个人即时通信服务的主要功能外,还包括组织资料管理、组织权限管 理、组织应用管理等。组织即时通信服务可以拓展个人即时通信服务的非主要功能,也可以根 据业务需要拓展应用集成功能。应用集成的第三方包括软件开发相关商业机构。
DZ/T 0370-2021 便携式X射线荧光现场分析技术规程即时通信服务数据处理活动及安全风险见附录
5.2即时通信服务数据3
本文件中即时通信服务数据范围包括以下内容。 a)用户数据:即时通信服务提供者在提供即时通信服务过程中收集和产生的个人和组织用户数 据,如个人基本资料、个人身份信息、组织基本资料、组织办公通讯录等。 b)业务数据:即时通信服务提供者在提供即时通信服务过程中处理的除用户数据外的其他数据, 如业务统计数据、业务经营数据、业务技术数据等
即时通信服务提供者应在遵守GB/T35273一2020中5.1、5.2、5.3的要求基础上,遵守以下要求: a)通过即时通信App收集用户必要个人信息应符合GB/T41391一2022中A.3的规定; b)通过即时通信App社区功能要求用户必须提供的个人信息,不应超出GB/T41391一2022中 A.4规定的必要个人信息范围; c)扩展业务功能收集的个人信息均应由用户可选提供或者用户公开信息,且应限于实现处理目 的的最小范围; 注:个人即时通信服务常见扩展业务功能收集个人信息范围见附录C。
即时通信App不应申请与App业务功能无关的系统权限,系统权限申请范围及使用要求见附 录D。