ICS

CCS

團(tuán)體標(biāo)準(zhǔn)

T/CGCCXX—20XX

大宗商品電子交易

敏感數(shù)據(jù)存儲(chǔ)和使用規(guī)范

Electronictradingofbulkcommodities—

Storageanduseofsensitivedata—Specification

（征求意見稿）

（本稿完成日期：2021年6月21日）

20XX-XX-XX發(fā)布20XX-XX-XX實(shí)施

中國商業(yè)聯(lián)合會(huì)發(fā)布

T/CGCCXX—20XX

大宗商品電子交易敏感數(shù)據(jù)存儲(chǔ)和使用規(guī)范

1范圍

本文件確立了大宗商品交易平臺(tái)敏感數(shù)據(jù)存儲(chǔ)和使用的總體原則，規(guī)定了敏感數(shù)據(jù)存儲(chǔ)和使用的要

求，描述了對應(yīng)的證實(shí)方法。

本文件適用于在涉及大宗商品交易平臺(tái)敏感信息的行業(yè)應(yīng)用項(xiàng)目中對敏感數(shù)據(jù)的存儲(chǔ)和使用。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

交易平臺(tái)tradingplatform

為企業(yè)及個(gè)人提供交易、資金結(jié)算以及交收等相關(guān)服務(wù)的電子商務(wù)平臺(tái)。

注：在本文件中專指大宗商品交易平臺(tái)。

3.2

交易用戶customer

在交易平臺(tái)（3.1）參與交易或其他相關(guān)業(yè)務(wù)，并接受相關(guān)服務(wù)的企業(yè)用戶或個(gè)人用戶。

3.3

信息主體informationsubject

信息所標(biāo)識(shí)的交易用戶（3.2）。

3.4

敏感信息sensitiveinformation

能夠單獨(dú)或者與其他信息結(jié)合識(shí)別信息主體（3.3）身份，一旦泄露、非法提供或?yàn)E用可能危害信

息主體（3.3）安全，泄露信息主體（3.3）隱私或商業(yè)機(jī)密的交易用戶（3.2）信息。

3.5

敏感數(shù)據(jù)sensitivedata

敏感信息（3.4）所對應(yīng)的計(jì)算機(jī)信息系統(tǒng)中的數(shù)據(jù)項(xiàng)或數(shù)字化文件。

3.6

脫敏desensitization

為實(shí)現(xiàn)敏感信息（3.4）的可靠保護(hù)而對敏感信息（3.4）按照一定規(guī)則進(jìn)行的信息變形處理。

3.7

原始信息標(biāo)識(shí)originalinformationidentification

為保證內(nèi)容一致的原始敏感信息（3.4）在脫敏（3.6）后其一致性仍能被識(shí)別，而為脫敏（3.6）

后信息分配的一個(gè)標(biāo)識(shí)性編碼。

3.8

項(xiàng)目運(yùn)營者projectoperator

1

T/CGCCXX—20XX

實(shí)際管理行業(yè)應(yīng)用項(xiàng)目信息系統(tǒng)的組織或機(jī)構(gòu)。

3.9

敏感數(shù)據(jù)庫databaseforsensitivedata

用于存儲(chǔ)敏感數(shù)據(jù)（3.5）的數(shù)據(jù)庫。

3.10

業(yè)務(wù)數(shù)據(jù)庫databaseforbusinessdata

用于存儲(chǔ)業(yè)務(wù)數(shù)據(jù)的數(shù)據(jù)庫。

3.11

敏感數(shù)據(jù)管理者administratorofsensitivedata

決定敏感數(shù)據(jù)（3.5）處理的目的和方式，實(shí)際管理敏感數(shù)據(jù)（3.5）并利用信息系統(tǒng)處理敏感數(shù)據(jù)

（3.5）的組織或機(jī)構(gòu)。

3.12

敏感數(shù)據(jù)獲得者receiverofsensitivedata

從信息系統(tǒng)獲取敏感數(shù)據(jù)（3.5），并對獲得的敏感數(shù)據(jù)（3.5）進(jìn)行處理的組織或機(jī)構(gòu)。

4總體原則

4.1授權(quán)原則

從交易平臺(tái)獲取、存儲(chǔ)、使用敏感數(shù)據(jù)前，得到交易平臺(tái)的授權(quán)；敏感數(shù)據(jù)采用分級(jí)授權(quán)管理，以

保證在沒有得到授權(quán)的情況下無法使用或修改。

4.2安全原則

采取足夠的管理措施和技術(shù)手段，保護(hù)敏感數(shù)據(jù)的保密性、完整性、可用性。

4.3最小必要原則

只獲取、存儲(chǔ)、使用項(xiàng)目所需的最少敏感數(shù)據(jù)類型和數(shù)量，使用后及時(shí)刪除無保留必要的數(shù)據(jù)。

5敏感數(shù)據(jù)存儲(chǔ)和使用要求

5.1數(shù)據(jù)授權(quán)

5.1.1交易平臺(tái)授權(quán)

項(xiàng)目運(yùn)營者作為敏感數(shù)據(jù)獲得者通過信息系統(tǒng)從交易平臺(tái)獲取、存儲(chǔ)、使用敏感數(shù)據(jù)前，應(yīng)得到交

易平臺(tái)的授權(quán)并簽署授權(quán)協(xié)議，原則上只獲取、存儲(chǔ)、使用項(xiàng)目所需的最少敏感數(shù)據(jù)類型和數(shù)量。項(xiàng)目

運(yùn)營者從交易平臺(tái)獲得敏感數(shù)據(jù)后，成為敏感數(shù)據(jù)管理者。

5.1.2授權(quán)協(xié)議的保管

項(xiàng)目運(yùn)營者應(yīng)妥善保管交易平臺(tái)的授權(quán)協(xié)議。

5.2敏感數(shù)據(jù)的存儲(chǔ)要求

5.2.1敏感信息的脫敏和加密

2

T/CGCCXX—20XX

在使用從交易平臺(tái)獲取的敏感數(shù)據(jù)前，應(yīng)先對敏感信息進(jìn)行脫敏；在存儲(chǔ)從交易平臺(tái)獲取的敏感數(shù)

據(jù)前應(yīng)對敏感信息進(jìn)行加密。

在脫敏或加密前應(yīng)聲明所采用的脫敏或加密方法。所采用的脫敏方法應(yīng)為脫敏后信息分配一個(gè)原始

信息標(biāo)識(shí)，并保證原始信息標(biāo)識(shí)與原始數(shù)據(jù)具有一一對應(yīng)關(guān)系。

5.2.2敏感數(shù)據(jù)的加密形式

為保證敏感數(shù)據(jù)的安全性，防止數(shù)據(jù)泄露，針對敏感數(shù)據(jù)的存儲(chǔ)應(yīng)至少采取以下一種加密形式：

——數(shù)據(jù)級(jí)加密：在存儲(chǔ)數(shù)據(jù)之前，先將數(shù)據(jù)加密后再存入數(shù)據(jù)庫；

——文件級(jí)加密：將用于存儲(chǔ)敏感數(shù)據(jù)的數(shù)據(jù)庫啟用透明數(shù)據(jù)加密特性。

注：透明數(shù)據(jù)加密是針對企業(yè)文件保密需求的一種文件加密技術(shù)。指對使用者來說是未知的，當(dāng)使用者在打開或編

輯指定文件時(shí)，系統(tǒng)將自動(dòng)對未加密的文件進(jìn)行加密，對已加密的文件自動(dòng)解密；文件在硬盤上是密文，在內(nèi)

存中是明文；一旦離開使用環(huán)境，由于應(yīng)用程序無法得到自動(dòng)解密的服務(wù)而無法打開，從而起到保護(hù)文件內(nèi)容

的效果。

5.2.3敏感數(shù)據(jù)的存儲(chǔ)方式

存儲(chǔ)敏感數(shù)據(jù)時(shí)，應(yīng)將敏感數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)分開存儲(chǔ)，不應(yīng)存儲(chǔ)在同一個(gè)數(shù)據(jù)庫中，并為敏感數(shù)據(jù)

和業(yè)務(wù)數(shù)據(jù)分配不同的訪問控制權(quán)限。

應(yīng)將原始敏感數(shù)據(jù)使用5.2.2規(guī)定的加密形式進(jìn)行加密，并與已脫敏數(shù)據(jù)和原始信息標(biāo)識(shí)一并存儲(chǔ)

在同一敏感數(shù)據(jù)庫中，同時(shí)建立三者之間的關(guān)聯(lián)關(guān)系。

應(yīng)將已脫敏數(shù)據(jù)、原始信息標(biāo)識(shí)、業(yè)務(wù)數(shù)據(jù)存儲(chǔ)在業(yè)務(wù)數(shù)據(jù)庫中，并建立三者之間的關(guān)聯(lián)關(guān)系。

為保證數(shù)據(jù)安全，存儲(chǔ)敏感數(shù)據(jù)時(shí)，還應(yīng)采取以下措施：

——數(shù)據(jù)冗余存儲(chǔ)：為避免數(shù)據(jù)損毀，應(yīng)將同一敏感數(shù)據(jù)重復(fù)存儲(chǔ)在至少三臺(tái)不同的服務(wù)器上，若

條件允許，宜將存儲(chǔ)服務(wù)器異地部署；

——數(shù)據(jù)校驗(yàn)：應(yīng)具有定期及使用前數(shù)據(jù)校驗(yàn)機(jī)制，以發(fā)現(xiàn)數(shù)據(jù)是否被篡改；

——數(shù)據(jù)備份：為了在數(shù)據(jù)損毀、丟失等情況發(fā)生時(shí)能夠保證數(shù)據(jù)恢復(fù)，應(yīng)定期對敏感信息數(shù)據(jù)庫

進(jìn)行備份。

5.3敏感數(shù)據(jù)的使用及分享

5.3.1多重身份

項(xiàng)目運(yùn)營者既作為敏感數(shù)據(jù)獲得者從交易平臺(tái)獲取敏感數(shù)據(jù)，又可能作為敏感數(shù)據(jù)管理者使用或向

其他敏感數(shù)據(jù)獲得者分享敏感數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。

5.3.2敏感數(shù)據(jù)的使用

敏感數(shù)據(jù)管理者應(yīng)針對敏感數(shù)據(jù)的使用建立嚴(yán)格的管理制度，科學(xué)劃分管理角色和管理權(quán)限，制定

嚴(yán)格的管理流程。

敏感數(shù)據(jù)用于對外展示時(shí)，應(yīng)只展示脫敏后的數(shù)據(jù)信息。

在使用原始敏感數(shù)據(jù)時(shí)，應(yīng)由敏感數(shù)據(jù)管理者授權(quán)，獲得授權(quán)后才可取得相應(yīng)數(shù)據(jù)的訪問權(quán)限。

一般情況下，基于敏感數(shù)據(jù)進(jìn)行的數(shù)據(jù)分析不需要明確信息主體身份，這樣的數(shù)據(jù)分析應(yīng)在已經(jīng)脫

敏的數(shù)據(jù)基礎(chǔ)上進(jìn)行。

若需要明確敏感信息主體及其原始敏感信息時(shí)，應(yīng)嚴(yán)格按照管理制度要求執(zhí)行。

5.3.3敏感數(shù)據(jù)的分享

3

T/CGCCXX—20XX

敏感數(shù)據(jù)管理者在向其他敏感數(shù)據(jù)獲得者分享敏感數(shù)據(jù)前，應(yīng)先開展信息安全影響評(píng)估，并依評(píng)估

結(jié)果，采取有效的保護(hù)信息主體的措施。

評(píng)估通過后，敏感數(shù)據(jù)管理者應(yīng)與敏感數(shù)據(jù)獲得者簽署對接使用協(xié)議，協(xié)議內(nèi)容應(yīng)包括敏感數(shù)據(jù)使

用的授權(quán)方式、獲取數(shù)據(jù)的方法和范圍、數(shù)據(jù)保密責(zé)任、使用方法和范圍等。

敏感數(shù)據(jù)獲得者在使用原始敏感數(shù)據(jù)時(shí)，應(yīng)由敏感數(shù)據(jù)管理者授權(quán)，獲得授權(quán)后才可取得相應(yīng)數(shù)據(jù)

的訪問權(quán)限。

若需要明確敏感信息主體及其原始敏感信息時(shí)，應(yīng)嚴(yán)格按照雙方協(xié)議約定執(zhí)行，只允許在協(xié)議授權(quán)

范圍內(nèi)進(jìn)行展示。

5.4數(shù)據(jù)更正

當(dāng)信息主體的敏感信息發(fā)生變更后，敏感數(shù)據(jù)管理者應(yīng)對該變更后的敏感信息重新進(jìn)行脫敏或加

密，并更新替換已存儲(chǔ)的相應(yīng)舊數(shù)據(jù)。

5.5數(shù)據(jù)移除

敏感數(shù)據(jù)獲得者應(yīng)按照與敏感數(shù)據(jù)管理者簽署的授權(quán)協(xié)議約定，對無保留必要的敏感數(shù)據(jù)及冗余存

儲(chǔ)數(shù)據(jù)及時(shí)進(jìn)行移除。

6證實(shí)方法

6.1交易平臺(tái)授權(quán)的證實(shí)方法

檢查確認(rèn)項(xiàng)目運(yùn)營者保存有與交易平臺(tái)簽署的授權(quán)協(xié)議，并確認(rèn)協(xié)議在有效期內(nèi)。

6.2敏感數(shù)據(jù)存儲(chǔ)的證實(shí)方法

對敏感數(shù)據(jù)的存儲(chǔ)，采取以下步驟進(jìn)行證實(shí)：

——檢查從交易平臺(tái)獲取的已存儲(chǔ)至敏感數(shù)據(jù)庫的數(shù)據(jù)，確認(rèn)已按照所申明采用的脫敏或加密方法

進(jìn)行了脫敏或加密，并確認(rèn)業(yè)務(wù)數(shù)據(jù)庫中不包含敏感數(shù)據(jù)；

——檢查存儲(chǔ)在敏感數(shù)據(jù)庫中的敏感數(shù)據(jù)，確認(rèn)已經(jīng)采用了5.2.2規(guī)定的至少一種加密形式：

·數(shù)據(jù)級(jí)加密檢查方法：查看數(shù)據(jù)庫中存儲(chǔ)的敏感數(shù)據(jù)，確認(rèn)已經(jīng)過加密；

·文件級(jí)加密檢查方法：確認(rèn)數(shù)據(jù)庫已啟用了透明數(shù)據(jù)加密特性。

——檢查確認(rèn)已將敏感數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)存儲(chǔ)在不同的數(shù)據(jù)庫中，并具有不同的訪問用戶和訪問控制

權(quán)限；確認(rèn)可以通過原始信息標(biāo)識(shí)和已脫敏數(shù)據(jù)復(fù)原原始敏感數(shù)據(jù)，并且復(fù)原的過程中需要數(shù)

據(jù)授權(quán)；

——檢查確認(rèn)敏感數(shù)據(jù)已經(jīng)采用了冗余存儲(chǔ)，即在至少三臺(tái)不同的服務(wù)器上均有存儲(chǔ)；確認(rèn)具有數(shù)

據(jù)校驗(yàn)機(jī)制，能夠?qū)崿F(xiàn)定期校驗(yàn)和使用數(shù)據(jù)前校驗(yàn)，確保能夠發(fā)現(xiàn)數(shù)據(jù)被篡改；確認(rèn)存在定期

備份機(jī)制，并確認(rèn)備份文件可以還原，確認(rèn)具有數(shù)據(jù)還原的技術(shù)方案以及技術(shù)方案的驗(yàn)證測試

方法。

6.3敏感數(shù)據(jù)使用及分享的證實(shí)方法

對敏感數(shù)據(jù)的使用及分享，采取以下步驟進(jìn)行證實(shí)：

——檢查敏感數(shù)據(jù)管理者的管理制度，確認(rèn)已經(jīng)建立了嚴(yán)格的管理制度，管理角色和權(quán)限劃分科學(xué)

合理，制定了嚴(yán)格的管理流程；

——檢查對外展示的敏感數(shù)據(jù)，確認(rèn)展示的是脫敏后的數(shù)據(jù)信息；

4

T/CGCCXX—20XX

——確認(rèn)敏感數(shù)據(jù)獲得者在獲取原始敏感數(shù)據(jù)時(shí)遵守了管理流程，并確認(rèn)必須經(jīng)過數(shù)據(jù)授權(quán)以后才

能獲得數(shù)據(jù)的訪問權(quán)限；

——檢查記錄文件和協(xié)議，確認(rèn)敏感數(shù)據(jù)管理者在分享敏感數(shù)據(jù)前已經(jīng)開展過信息安全影響評(píng)估，

并具有詳盡的評(píng)估報(bào)告，采取了可以有效保護(hù)信息主體的措施；確認(rèn)敏感數(shù)據(jù)管理者與敏感數(shù)

據(jù)獲