标准规范下载简介
GB/T 41479-2022 信息安全技术 网络数据处理安全要求.pdfICS 35.030 CCS L 80
GB/T41479—2022
息安全技术 网络数据处理安全要求
GB/T 414792022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:中国网络安全审查技术与认证中心、中国电子技术标准化研究院、清华大学、国家 信息中心、国家计算机网络应急技术处理协调中心、公安部第三研究所、中国信息通信研究院、陕西省网 络与信息安全测评中心、中电长城网际系统应用有限公司。 本文件主要起草人:魏昊、吴晓龙、程瑜琦、上官晓丽、胡影、刘贤刚、闵京华、金涛、王佳慧、郑礼雄、 任卫红、陈活、徐羽佳、张宇光、张剑、魏立茹、陈世翔、樊华、杨向东《城镇化地区公路工程技术标准》(JTG 2112—2021).pdf,
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:中国网络安全审查技术与认证中心、中国电子技术标准化研究院、清华大学、国家 信息中心、国家计算机网络应急技术处理协调中心、公安部第三研究所、中国信息通信研究院、陕西省网 络与信息安全测评中心、中电长城网际系统应用有限公司。 本文件主要起草人:魏昊、吴晓龙、程瑜琦、上官晓丽、胡影、刘贤刚、闵京华、金涛、王佳慧、郑礼雄、 任卫红、陈活、徐羽佳、张宇光、张剑、魏立茹、陈世翔、樊华、杨向东,
GB/T414792022
本文件规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全 技术与管理要求。 本文件适用于网络运营者规范网络数据处理,以及监管部门、第三方评估机构对网络数据处理进行 监督管理和评估。
下列文件中的内容通过文中的规范性引 件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T25069信息安全技术术语 GB/T35273一2020信息安全技术个人信息安全规范
GB/T 414792022
4数据处理安全总体要求
网络运营者应识别数据处理中涉及的数据,包括个人信息、重要数据和其他数据,形成数据保护目
GB/T 414792022
网络运营者应按照相关国家标准,根据合同规定和业务运营需要,对所识别的数据进行分类分级 管理。
者应对数据处理的全生存周期进行记录,确保数
5数据处理安全技术要求
网络运营者为提供服务而必需处理个人信息的,应遵循合法、正当、必要的原则,不应收集与其提供 服务无直接或无合理关联,或超出个人信息主体明示同意期限的个人信息,且遵守以下要求: a)应制定和公开个人信息保护政策并严格遵守,个人信息保护政策应符合GB/T352732020 中5.5要求; b)收集个人信息前,应明示个人信息保护政策,并征得个人信息主体同意; 注:GB/T35273—2020中5.6规定的情形除外。 c) 改变处理个人信息的目的、类型、范围、用途的,应及时告知个人信息主体,修改个人信息保护 政策,并重新征得个人信息主体同意,涉及个人信息保护政策变动的应修改个人信息保护 政策; d) 明示所提供产品或服务的类型,以及该产品或服务所必需的个人信息,不应因用户不同意或撤 回同意,提供该产品或服务所必需个人信息以外的信息,而拒绝提供该产品或服务; e) 不应仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为目的,强制要求、误导 用户同意收集个人信息;
网络运营者为提供服务而必需处理个人信息的,应遵循合法、正当、必要的原则,不应收集与其提供 服务无直接或无合理关联,或超出个人信息主体明示同意期限的个人信息,且遵守以下要求: a)应制定和公开个人信息保护政策并严格遵守,个人信息保护政策应符合GB/T35273一2020 中5.5要求; b)收集个人信息前,应明示个人信息保护政策,并征得个人信息主体同意; 注:GB/T35273—2020中5.6规定的情形除外。 c) 改变处理个人信息的目的、类型、范围、用途的,应及时告知个人信息主体,修改个人信息保护 政策,并重新征得个人信息主体同意,涉及个人信息保护政策变动的应修改个人信息保护 政策; d) 明示所提供产品或服务的类型,以及该产品或服务所必需的个人信息,不应因用户不同意或撤 回同意,提供该产品或服务所必需个人信息以外的信息,而拒绝提供该产品或服务; e) 不应仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为目的,强制要求、误导 用户同意收集个人信息;
GB/T 414792022
)收集敏感个人信息前,应取得个人信息主体的单独同意,确保单独同意是在完全知情的基础上 自主给出的、具体的、清晰明确的意愿表示; g)收集不满十四周岁未成年人个人信息前,应取得未成年人的父母或其他监护人的单独同意; h 从个人信息主体以外的其他途径获得个人信息的,应了解个人信息来源、个人信息提供方已获 得的个人信息处理授权同意范围,并按照本文件的要求履行安全保护义务。
网络运营者应对数据存储活动采取安全措施,包括: a)存储重要数据和个人信息等敏感网络数据,应采用加密、安全存储、访问控制、安全审计等安全措施; b)存储重要数据和个人信息,不应超过与重要数据和个人信息主体约定的存储期限或个人信息 主体授权同意有效期; c)存储个人生物特征识别信息的,应遵守GB/T35273一2020中6.3b)和c)的要求及生物特征 识别信息保护相关国家标准要求。 数据接收方存储数据时,应按要求采取安全措施并以合同进行约定
5.4.1定向推送及信息合成
网络运营者在为用户提供定向推送或信息合成服务时的要求如下: a)网络运营者利用个人信息和算法为用户提供定向推送信息服务的,同时应提供非定向推送信 息的服务选项; 注:宜参照GB/T35273—2020的7.5。 b)在向个人信息主体提供新闻、博客类信息服务的过程中,网络运营者利用算法自动合成文字 图片、音视频等信息,应明确告知用户
5.4.2 第三方应用管理
网络运营者应对接入或嵌入其产品或服务的第三方应用加强数据安全管理,包括: a) 应通过合同等形式,明确双方的数据安全保护责任和义务; b) 应监督第三方应用运营者加强数据安全管理,发现第三方应用没有落实安全管理责任的,应及 时督促整改,必要时停止接入; 网络运营者知道或者应知道第三方应用利用其平台侵害用户民事权益,未采取必要措施的,应 与第三方应用运营者承担连带责任; 宜对接入或嵌入的第三方应用开展技术检测,确保其数据处理行为符合双方约定要求,对审计 发现超出双方约定的行为及时停止接入。
网络运营者在开展转换、汇聚、分析等数据加工活动的过程中,知道或者应知道可能危害国家安全、 公共安全、经济安全和社会稳定的,应立即停止加工活动。
运营者在应对数据传输活动采取安全措施,包括
a)传输重要数据和敏感 息时,应采用加密、脱敏等安全措施; b)向数据接收方传输数据时,应按要求采取安全措施并以合同进行约定
网络运营者利用所掌握的数据资源,公开市场预测、统计等信息时,不应危害国家安全、公共安全 经济安全和社会稳定。
5.9私人信息和可转发信息的处理方式
处理: 宜对以私人选项发送的信息予以严格保护,不提供转发功能: b)宜对以可转发选项发送的信息,或者转发此类信息的,同时发送信息始发者在该平台上的账号 名称,该账号名称唯一且不可更改。
5.10个人信息查阅、更正、删除及用户账号注销
网络运营者应建立渠道和机制,及时响应个人信息主体查阅、复制、更正、删除其个人信息及注销账 号的请求,不应对请求设置不合理条件,应遵守GB/T35273—2020中8.7有关响应个人信息主体请求 的要求。
5.11投诉、举报受理处置
网络运营者应建立投诉、举报受理处置 布侵害他 义发布信息的投诉、举报的,
受投诉举报起,受理时间不超过3d。受理后进行调查取证,对于查实的编造、传播虚假信息,发布 电人名誉、隐私、知识产权和其他合法权益信息,以及假冒、仿冒、盗用他人名义发布信息的投诉、 依法采取停止传输、消除等处置措施
5.12访问控制与审计
网络运营者开展数据处理活动时,应: a 基于数据分类分级,明确相关人员的访问权限,防止非授权访问。 b) 对重要数据、个人信息的关键操作(例如批量修改、拷贝、删除、下载等),设置内部审批和审计 流程,并严格执行。
DL T 1476-2015标准下载5.13数据删除和名化
5.13数据删除和匿名化处理
符合GB/T35273一2020中8.3的要求或符合以下情形时,网络运营者应及时对个人信息做删除 或匿名化处理: a)个人信息超出双方约定的存储期限; b)网络产品和服务停止运营; c)个人信息主体注销账号,或者当用户撤回同意。 存储重要数据和个人信息的介质进行报废处理时,网络运营者应采用物理损毁等方式销毁介质,以 确保重要数据和个人信息不能被恢复,
6数据处理安全管理要求
6.2人力资源保障与考核
GB50496-2009 大体积混凝土施工规范GB/T414792022