ICS35.030信息安全技術網絡數據處理安全要求國家市場監督管理總局國家標準化管理委員會GB/T41479—2022 I 3術語與定義 4數據處理安全總體要求 24.1數據識別 24.2分類分級 34.3風險防控 34.4審計追溯 35數據處理安全技術要求 3 3 3 4 4 4 4 55.9私人信息和可轉發信息的處理方式 5 5 55.12訪問控制與審計 65.13數據刪除和匿名化處理 66數據處理安全管理要求 66.1數據安全責任人 66.2人力資源保障與考核 66.3事件應急處置 6附錄A(規范性)突發公共衛生事件個人信息保護要求 8 IGB/T41479—2022本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。絡與信息安全測評中心、中電長城網際系統應用有限公司。1GB/T41479—2022信息安全技術網絡數據處理安全要求2規范性引用文件GB/T25069信息安全技術術語GB/T35273—2020信息安全技術個人信息安全規范3術語與定義通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的2GB/T41479—2022注2:不包括匿名化處理后的信息。成年人的個人信息。內部經營管理信息等。3GB/T41479—2022網絡運營者應按照相關國家標準，根據合同規定和業務運營需要，對所識別的數據進行分類分級管理。4.3風險防控全風險及其應對措施等。網絡運營者應對數據處理的全生存周期進行記錄，確保數據處理可審計、可追溯。5數據處理安全技術要求網絡運營者在開展數據處理時應進行影響分析和風險評估，采取必要的措施對識別的風險進行控制，以保障數據安全。在發生突發公共衛生事件時，數據處理還應遵守附錄A的要求。影響或者可能影響國家安全的數據處理活動應接受國家安全審查。的服務無直接或無合理關聯，或超出個人信息主體明示同意期限的個人信息，且遵守以下要求：a)應制定和公開個人信息保護政策并嚴格遵守，個人信息保護政策應符合GB/T35273—2020中5.5要求；政策，并重新征得個人信息主體同意，涉及個人信息保護政策變動的應修改個人信息保護用戶同意收集個人信息；4f)收集敏感個人信息前，應取得個人信息主體的單獨同意，確保單獨同意是在完全知情的基礎上g)收集不滿十四周歲未成年人個人信息前，應取得未成年人的父母或其他監護人的單獨同意；h)從個人信息主體以外的其他途徑獲得個人信息的，應了解個人信息來源、個人信息提供方已獲得的個人信息處理授權同意范圍，并按照本文件的要求履行安全保護義務。網絡運營者應對數據存儲活動采取安全措施，包括：b)存儲重要數據和個人信息，不應超過與重要數據和個人信息主體約定的存儲期限或個人信息主體授權同意有效期；c)存儲個人生物特征識別信息的，應遵守GB/T35273—2020中6.3b)和c)的要求及生物特征識別信息保護相關國家標準要求。數據接收方存儲數據時，應按要求采取安全措施并以合同進行約定。5.4使用網絡運營者在為用戶提供定向推送或信息合成服務時的要求如下：a)網絡運營者利用個人信息和算法為用戶提供定向推送信息服務的，同時應提供非定向推送信息的服務選項；b)在向個人信息主體提供新聞、博客類信息服務的過程中，網絡運營者利用算法自動合成文字、5.4.2第三方應用管理網絡運營者應對接入或嵌入其產品或服務的第三方應用加強數據安全管理，包括：a)應通過合同等形式，明確雙方的數據安全保護責任和義務；b)應監督第三方應用運營者加強數據安全管理，發現第三方應用沒有落實安全管理責任的，應及c)網絡運營者知道或者應知道第三方應用利用其平臺侵害用戶民事權益，未采取必要措施的，應與第三方應用運營者承擔連帶責任；d)宜對接入或嵌入的第三方應用開展技術檢測，確保其數據處理行為符合雙方約定要求，對審計發現超出雙方約定的行為及時停止接入。5.5加工網絡運營者在開展轉換、匯聚、分析等數據加工活動的過程中，知道或者應知道可能危害國家安全、5.6傳輸網絡運營者在應對數據傳輸活動采取安全措施，包括：5GB/T41479—2022b)共享、轉讓重要數據，應與數據接收方通過合同等形式明確雙方的數據安全保護責任和義務，網絡運營者向境外提供個人信息或者重要數據的經濟安全和社會穩定。即時通信等社交平臺運營者宜為用戶提供發送私人信息和可轉發信息的選項，并按照以下方式a)宜對以私人選項發送的信息予以嚴格保號的請求，不應對請求設置不合理條件，應遵守GB/T35273—2020中8.7有關響應個人信息主體請求6GB/T41479—20225.12訪問控制與審計5.13數據刪除和匿名化處理符合GB/T35273—2020中8.3的要求或符合以下情形時，網絡運營者應及時對個人信息做刪除a)個人信息超出雙方約定的存儲期限；b)網絡產品和服務停止運營；確保重要數據和個人信息不能被恢復。6數據處理安全管理要求其提供必要的資源保障，保證其獨立履行職責。數據安全責任人應具備數據安全專業知識和相關管理c)依法向有關部門報告數據安全保護和事件處置情況；人員的履職情況進行考核。出現數據安全重大事件時，對直接負責的主管人員和其他直接責任人員進行問責。安全事件得到及時有效處置。7GB/T41479—2022a)應急響應機制包括：1)數據安全事件分級；2)啟動條件；8(規范性)突發公共衛生事件個人信息保護要求A.1概述本附錄所稱突發公共衛生事件，是指依據突發公共衛生事件專項預案啟動I級(特別重大)、Ⅱ級(重大)響應的事件。A.2個人信息服務協議為應對突發公共衛生事件，由國務院衛生健康行政部門或者省級人民政府有關部門指定的機構(以政部門或者省級人民政府有關部門簽訂的服務合同或者其他有約束力的協議，履行個人信息保護要求，承擔違約責任等。A.3個人信息收集突發公共衛生事件應對中，指定機構收集個人信息的要求包括：b)收集個人信息應遵守本文件5.2b)規定的要求，為控制事件擴大、減輕事件危害，不能及時征得個人信息主體同意而必須收集的，應告知收集目的、數據類型、收集方式、存儲期限等信息，施并經相關應急指揮部門或者國務院衛生健康行政部門同意。應對突發公共衛生事件實際需要，嚴格限定調用個人信息的范圍、規模、數量以及行蹤信息的回溯時間跨度。應經相關指揮部門同意，或者由國務院衛生健康行政部門會同相關行業管理部門同意，并明確調A.5人臉識別驗證指定機構在提供信息服務過程中，以人臉識別作為身份驗證方式時，宜提供其他身份驗證方式供用戶選擇。利用人臉識別信息進行身份驗證的，不宜留存可提取人臉識別信息的原始圖像。A.6信息查閱服務指定機構提供信息查閱服務，應通過境內手機號碼等能夠確認身份的方式核驗查閱人身份，防止非授權查閱他人個人信息。指定機構收集掌握的個人信息，未經個人信息主體同意，不得公開或者非法向他人提供，不得改變9GB/T41479—2022用途。確需公開、向他人提供或者改變用途的，應征得個人信息主體同意，緊急或不便征得同意時報應急指揮部門或者國務院衛生健康行政部門同意，并及時告知個人信息主體。指定機構不應利用已掌握的個人信息或者提供信息服務的便利條件謀取商業利益，包括進行市場A.8應對工作結束后的個人信息處理突發公共衛生事件應對工作結束后，指定機構應停止收集、調用個人信息，并在60d內或者國務院衛生健康行政部門規定的時限內刪除在突發公共衛生事件應對中已收集、調用的個人信息。A.9日志留存指定機構應保存個人信息收集、調用、使用活動的日志，保存期限不少于突發公共衛生事件應對工作結束后的6個月。GB/T41479—2022[1]GB/T22080—2016信息技術安全技術信息安全管理體系要求[3]GB/T30146—2013公共安全業務連續性管理體系要求[4]GB/T31168—2014信息安全技術云計算服務安全能力要求[5]ISO/IEC20000-1:2018Informationtechnology—Servicemanagement—Part1:Servicemanagementsystemrequirements[6]BusinessContinuityGlossary,DRIInternational[7]NISTSP800—34ContingencyPlanningGuideforInformationTe