《信息安全技术网络数据处理安全要求》第五部分数据处理安全技术要求-CSDN博客

本文链接：https://blog.csdn.net/qq_41901122/article/details/140824671

文章目录

1、通则

网络运营者在开展数据处理时应进行影响分析和风险评估，采取必要的措施对识别的风险进行控制，以保障数据安全。
在发生突发公共卫生事件时，数据处理还应遵守附录A 的要求。
影响或者可能影响国家安全的数据处理活动应接受国家安全审查。

2、收集

网络运营者为提供服务而必需处理个人信息的，应遵循合法、正当、必要的原则，不应收集与其提供的服务无直接或无合理关联，或超出个人信息主体明示同意期限的个人信息，且遵守以下要求：
a) 应制定和公开个人信息保护政策并严格遵守，个人信息保护政策应符合GB/T 35273—2020 中5.5要求；
b) 收集个人信息前，应明示个人信息保护政策，并征得个人信息主体同意；
注：GB/T 35273—2020中5.6规定的情形除外。
c) 改变处理个人信息的目的、类型、范围、用途的，应及时告知个人信息主体，修改个人信息保护政策，并重新征得个人信息主体同意，涉及个人信息保护政策变动的应修改个人信息保护政策；
d) 明示所提供产品或服务的类型，以及该产品或服务所必需的个人信息，不应因用户不同意或撤回同意，提供该产品或服务所必需个人信息以外的信息，而拒绝提供该产品或服务；
e) 不应仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为目的，强制要求、误导用户同意收集个人信息；
f) 收集敏感个人信息前，应取得个人信息主体的单独同意，确保单独同意是在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示；
g) 收集不满十四周岁未成年人个人信息前，应取得未成年人的父母或其他监护人的单独同意；
h) 从个人信息主体以外的其他途径获得个人信息的，应了解个人信息来源、个人信息提供方已获得的个人信息处理授权同意范围，并按照本文件的要求履行安全保护义务。

3、存储

网络运营者应对数据存储活动采取安全措施，包括：
a) 存储重要数据和个人信息等敏感网络数据，应采用加密、安全存储、访问控制、安全审计等安全措施；
b) 存储重要数据和个人信息，不应超过与重要数据和个人信息主体约定的存储期限或个人信息主体授权同意有效期；
c) 存储个人生物特征识别信息的，应遵守GB/T 35273—2020中6.3 b) 和 c) 的要求及生物特征识别信息保护相关国家标准要求。
数据接收方存储数据时，应按要求采取安全措施并以合同进行约定。

4、使用

4.1 定向推送及信息合成

网络运营者在为用户提供定向推送或信息合成服务时的要求如下：
a) 网络运营者利用个人信息和算法为用户提供定向推送信息服务的，同时应提供非定向推送信息的服务选项；
注：宜参照GB/T 35273—2020的7.5。
b) 在向个人信息主体提供新闻、博客类信息服务的过程中，网络运营者利用算法自动合成文字、图片、音视频等信息，应明确告知用户。

4.2 第三方应用管理

网络运营者应对接入或嵌入其产品或服务的第三方应用加强数据安全管理，包括：
a) 应通过合同等形式，明确双方的数据安全保护责任和义务；
b) 应监督第三方应用运营者加强数据安全管理，发现第三方应用没有落实安全管理责任的，应及时督促整改，必要时停止接入；
c) 网络运营者知道或者应知道第三方应用利用其平台侵害用户民事权益，未采取必要措施的，应与第三方应用运营者承担连带责任；
d) 宜对接入或嵌入的第三方应用开展技术检测，确保其数据处理行为符合双方约定要求，对审计发现超出双方约定的行为及时停止接入。

5、加工

网络运营者在开展转换、汇聚、分析等数据加工活动的过程中，知道或者应知道可能危害国家安全、公共安全、经济安全和社会稳定的，应立即停止加工活动。

6、传输

网络运营者在应对数据传输活动采取安全措施，包括：
a) 传输重要数据和敏感个人信息时，应采用加密、脱敏等安全措施；
b) 向数据接收方传输数据时，应按要求采取安全措施并以合同进行约定。

7、提供

7.1 向他人提供

网络运营者向他人提供数据前，应进行安全影响分析和风险评估，可能危害国家安全、公共安全、经济安全和社会稳定的，不应向他人提供。要求如下：
a) 向他人提供个人信息，应向个人信息主体告知接收方的名称、联系方式、处理目的、处理方式、个人信息的种类、存储期限，并取得个人信息主体同意；
b)共享、转让重要数据，应与数据接收方通过合同等形式明确双方的数据安全保护责任和义务，采取加密、脱敏等措施保障重要数据安全；
c) 委托第三方开展数据处理活动的，应通过合同等形式明确约定委托处理的目的、期限、处理方式、数据的种类、保护措施、双方的权利和义务，以及第三方返还或删除数据的方式等，要求第三方以合同中约定的形式返还、删除接收和产生的数据，并对数据处理活动进行监督；
d) 发生收购、兼并、重组、破产时，数据接收方应继续履行相关数据安全保护义务；没有数据接收方的，应删除数据。

7.2 数据出镜

网络运营者向境外提供个人信息或者重要数据的，应遵循国家相关规定和相关标准的要求。
境内用户在境内访问境内网络的，其流量不应路由至境外。

8、公开

网络运营者利用所掌握的数据资源，公开市场预测、统计等信息时，不应危害国家安全、公共安全、经济安全和社会稳定。

9、私人信息和可转发信息的处理方式

即时通信等社交平台运营者宜为用户提供发送私人信息和可转发信息的选项，并按照以下方式处理：
a) 宜对以私人选项发送的信息予以严格保护，不提供转发功能；
b) 宜对以可转发选项发送的信息，或者转发此类信息的，同时发送信息始发者在该平台上的账号名称，该账号名称唯一且不可更改。

10、个人信息查阅、更正、删除及用户账号注销

网络运营者应建立渠道和机制，及时响应个人信息主体查阅、复制、更正、删除其个人信息及注销账号的请求，不应对请求设置不合理条件，应遵守GB/T 35273—2020中8.7有关响应个人信息主体请求的要求。

11、投诉、举报受理处置

网络运营者应建立投诉、举报受理处置制度。
收到通过其平台编造、传播虚假信息，发布侵害他人名誉、隐私、知识产权和其他合法权益信息，以及假冒、仿冒、盗用他人名义发布信息的投诉、举报的，自接受投诉举报起，受理时间不超过3d 。
受理后进行调查取证，对于查实的编造、传播虚假信息，发布侵害他人名誉、隐私、知识产权和其他合法权益信息，以及假冒、仿冒、盗用他人名义发布信息的投诉、举报，依法采取停止传输、消除等处置措施。

12、访问控制与审计

网络运营者开展数据处理活动时，应：
a) 基于数据分类分级，明确相关人员的访问权限，防止非授权访问。
b) 对重要数据、个人信息的关键操作(例如批量修改、拷贝、删除、下载等),设置内部审批和审计流程，并严格执行。

13、数据删除和匿名化处理

符合GB/T 35273—2020中8.3的要求或符合以下情形时，网络运营者应及时对个人信息做删除或匿名化处理：
a) 个人信息超出双方约定的存储期限；
b) 网络产品和服务停止运营；
c) 个人信息主体注销账号，或者当用户撤回同意。
存储重要数据和个人信息的介质进行报废处理时，网络运营者应采用物理损毁等方式销毁介质，以确保重要数据和个人信息不能被恢。