解讀1：圖解《網絡數(shù)據處理安全要求》V1.0

煉石網絡2022年06月圖解

《網絡數(shù)據處理安全要求》（GB/T41479-2022）1標準概述：保障數(shù)據處理的安全性和規(guī)范性為落實網絡運營者在進行網絡數(shù)據處理時的法律責任，落實《數(shù)據安全法》要求，保障網絡運營者的運營數(shù)據安全，合法有序利用數(shù)據，中國網絡安全審查技術與認證中心牽頭，聯(lián)合中國電子技術標準化研究院等單位，研制《信息安全技術網絡數(shù)據處理安全要求（GB/T41479-2022）》，將于2022年11月1日正式實施。出臺目的主要內容適用范圍標準概述網絡運營者數(shù)據處理

收集、存儲、使用、加工、傳輸、提供、公開安全技術管理要求網絡運營者監(jiān)管部門第三方評估機構規(guī)范網絡數(shù)據處理對網絡數(shù)據處理進行監(jiān)督管理對網絡數(shù)據處理進行評估不同主體活動范圍引用文件GB/T25069-2022信息安全技術術語GB/T35273-2020

信息安全技術個人信息安全規(guī)范標準意義：界定了信息安全技術領域中基本或通用概念的術語和定義，并對其進行了分類標準意義：規(guī)定了開展收集、存儲、使用、共享、轉讓、公開披露、刪除等個人信息處理活動的原則和安全要求關鍵術語：重要數(shù)據原則上不包括個人信息等數(shù)據概念的內涵延伸數(shù)據概念的外延整理數(shù)據任何以電子或者其他方式對信息的記錄網絡數(shù)據通過網絡收集、存儲、使用、加工、傳輸、提供、公開的各種數(shù)據。例如：個人信息、重要數(shù)據等個人信息以電子或者其他方式記錄的與已識別或者可以識別自然人有關的各種信息重要數(shù)據一旦泄露可能直接影響國家安全、公共安全、經濟安全和社會穩(wěn)定的數(shù)據數(shù)據處理相關數(shù)據安全數(shù)據處理：數(shù)據的收集、存儲、使用、加工、傳輸、提供、公開等數(shù)據接收方：數(shù)據處理中接收數(shù)據的組織或者個人通過采取必要措施，確保數(shù)據處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力注：重要數(shù)據包括未公開的政府信息，數(shù)量達到一定規(guī)模的基因、地理、礦產信息等，原則上不包括個人信息、企業(yè)內部經營管理信息等私人信息：是指個人發(fā)送給特定對象不可轉發(fā)給其他人的信息關鍵術語：匿名化處理后的信息不屬于個人信息敏感個人信息個人信息個人信息包括姓名、出生日期、公民身份號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內容、賬號密碼﹑財產信息﹑征信信息﹑行蹤軌跡﹑住宿信息﹑健康生理信息﹑交易信息等種類個人信息主體是指個人信息已識別或者可識別的自然人主體敏感個人信息是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息定義敏感個人信息包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息種類匿名化定義：個人信息經過處理無法識別特定自然人且不能復原的過程注：匿名化處理后的信息不屬于個人信息特殊情況“個人信息”相關定義關鍵術語：網絡的所有者、管理者、服務提供者均是網絡運營者網絡運營者第三方應用定義：網絡運營者是指網絡的所有者、管理者和網絡服務提供者

注：本文件中的網絡為開放公共網絡定義：第三方應用是指由第三方提供的產品或者服務﹐以及被接入或者嵌入網絡運營者產品或者服務中的自動化工具

注：本文件中的第三方應用包括但不限于軟件開發(fā)工具包、第三方代碼、組件、腳本、接口、算法模型、小程序等確定“網絡運營者”“第三方應用”等相關定義數(shù)據識別后需形成數(shù)據保護目錄2.技術要求3.管理要求附錄A：突發(fā)公共衛(wèi)生事件個人信息保護要求1.總體要求數(shù)據識別分類分級風險防控審計追溯識別數(shù)據形成目錄個人信息重要數(shù)據其他數(shù)據形成數(shù)據保護目錄及時更新注：各地區(qū)、各部門應當按照數(shù)據分類分級保護制度，確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據具體目錄，對列入目錄的數(shù)據進行重點保護。（來源：《數(shù)據安全法》）所識別的數(shù)據需進行分類分級管理2.技術要求3.管理要求附錄A：突發(fā)公共衛(wèi)生事件個人信息保護要求1.總體要求數(shù)據識別分類分級風險防控審計追溯按照相關國家標準依據根據合同規(guī)定和業(yè)務運營需要需求對所識別的數(shù)據進行分類分級管理行動注：國家建立數(shù)據分類分級保護制度，根據數(shù)據在經濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數(shù)據實行分類分級保護。（來源：《數(shù)據安全法》）注：分類分級相關的國家標準包括《信息安全技術網絡數(shù)據分類分級要求》（制訂中）等風險防控需加強安全防護措施2.技術要求3.管理要求附錄A：突發(fā)公共衛(wèi)生事件個人信息保護要求1.總體要求數(shù)據識別分類分級風險防控審計追溯安全保護綜合要求風險監(jiān)測開展數(shù)據處理活動應加強風險監(jiān)測數(shù)據保護發(fā)現(xiàn)數(shù)據安全缺陷，漏洞等風險時，應采取加密、脫敏、備份、訪問控制、審計等技術或者其他必要措施，加強數(shù)據安全防護，保護數(shù)據免受泄露、竊取、篡改、損毀、不正當使用等重要數(shù)據和敏感個人信息對重要數(shù)據和敏感個人信息進行重點保護，應按照規(guī)定對其數(shù)據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。風險評估報告應包括處理的重要數(shù)據的種類、數(shù)量，開展數(shù)據處理活動的情況，面臨的數(shù)據安全風險及其應對措施等建立數(shù)據安全管理責任和評價考核制度制定數(shù)據安全保護計劃開展安全風險評估組織開展教育培訓及時處置安全事件建立制度制定計劃開展評估處置事件開展培訓數(shù)據處理需確保可審計、可追溯2.技術要求3.管理要求附錄A：突發(fā)公共衛(wèi)生事件個人信息保護要求1.總體要求數(shù)據識別分類分級風險防控審計追溯網絡運營者應對數(shù)據處理的全生存周期進行記錄責任確保數(shù)據處理可審計、可追溯目的審計追溯的技術解決方案思路：在數(shù)據加密基礎上，將“主體到應用內用戶、客體到字段級/文檔級”的訪問控制、風險監(jiān)測、審計追溯等技術相結合，獨立部署數(shù)據訪問審計，每條日志支持主體追溯到應用內業(yè)務用戶，為審計日志進行完整性保護，保障信息泄漏后可追溯源頭，打造防繞過的數(shù)據保護機制個人信息收集中應遵循合法、正當、必要原則通則收集存儲使用加工傳輸提供公開2.技術要求3.管理要求附錄A：突發(fā)公共衛(wèi)生事件個人信息保護要求1.總體要求網絡運營者在開展數(shù)據處理時應進行：突發(fā)公共衛(wèi)生事件時：遵守附錄A的要求（可能）影響國家安全的數(shù)據處理活動：通則影響分析和風險評估采取必要的措施對識別的風險進行控制應接受國家安全審查收集網絡運營者

的，應遵循合法、正當、必要原則，遵守以下收集要求：【保護政策】制定和公開個人信息保護保護政策并嚴格遵守，政策符合GB/T35273-2020中5.5要求【明示同意】收集前明示政策，征得主體同意（GB/T35273-2020中5.6規(guī)定情形除外）【改變告知同意】改變及時告知，修改政策并重新征得同意，改變涵蓋目的、類型、范圍、用途【不得拒絕服務】明示產品服務類型，不得以用戶不同意提供信息為由拒絕服務【不得強制誤導】不應以改善服務質量、提升用戶體驗、定向推送信息、研發(fā)新產品等為目的，強制要求、誤導用戶同意收集【敏感個人信息】收集敏感個人信息前，應取得主體單獨同意，確保完全知情、意愿自主【未成年個人信息】收集不滿14周歲未成年人個人信息前，取得監(jiān)護人單獨同意【其他途徑獲取】應了解個人來源、提供方已獲得處理授權同意范圍，依規(guī)履行義務為提供服務而必須處理個人信息數(shù)據存儲、傳輸中應采取加密等安全措施通則收集存儲使用加工傳輸提供公開網絡運營者應對存儲活動

采取安全措施，包括：存儲數(shù)據存儲活動重要數(shù)據和個人信息等【安全措施】加密、安全存儲、訪問控制、安全審計等【存儲期限】不應超過與重要數(shù)據和個人信息主體約定的

存儲期限或個人信息主體授權同意有效期;【標準要求】應遵守GB/T35273—2020中6.3b）和c）的

要求及生物特征識別信息保護相關國家標準要求。

注：數(shù)據接收方存儲數(shù)據時，應按要求采取安全措施并

以合同進行約定。個人生物特征識別信息加工網絡運營者在開展轉換、匯聚、分析等數(shù)據加工活動的過程中，知道或者應知道可能危害國家安全、公共安全、經濟安全和社會穩(wěn)定的，應立即停止加工活動。轉換、匯聚分析等數(shù)據加工活動網絡運營者在應對數(shù)據傳輸活動采取安全措施，包括∶采用加密、脫敏等安全措施采取安全措施并與數(shù)據接收方以合同進行約定傳輸數(shù)據傳輸活動使用定向推送信息合成第三方應用管理網絡運營者應提供非定向推送信息的服務選項;注∶宜參照GB/T35273—2020的7.5。在向個人信息主體提供新聞、博客類信息服務的過程中，網絡運營者利用算法自動信息合成，應明確告知用戶。通過合同等形式明確責任義務監(jiān)督第三方加強數(shù)據安全管理網絡運營者（應）知道第三方侵害民事權益，未采取必要措施承擔連帶責任對接入或嵌入第三方應用開展技術檢測，確保符合約定，審計超出約定行為及時停止接入12342.技術要求3.管理要求附錄A：突發(fā)公共衛(wèi)生事件個人信息保護要求1.總體要求數(shù)據提供中明確“向他人提供”和“數(shù)據出境”兩類具體要求通則收集存儲使用加工傳輸提供公開提供向他人提供數(shù)據出境網絡運營者向他人提供數(shù)據前，應進行安全影響分析和風險評估，可能危害國家安全、公共安全、經濟安全和社會穩(wěn)定的，不應向他人提供。要求如下∶遵循國家相關規(guī)定和相關標準要求；注：《網絡數(shù)據安全管理條例（征求意見稿）》第五章、《數(shù)據出境安全評估辦法(征求意見稿)》等境內用戶在境內訪問境內網絡的，其流量不應路由至境外。向他人提供個人信息共享、轉讓重要數(shù)據委托第三方數(shù)據處理收購兼并重組破產向個人信息主體告知接收方的名稱、聯(lián)系方式、處理目的、處理方式、個人信息的種類、存儲期限取得個人信息主體同意與數(shù)據接收方通過合同等形式明確雙方的數(shù)據安全保護責任和義務采取加密、脫敏等措施保障重要數(shù)據安全通過合同等形式明確目的、期限、處理方式、數(shù)據種類、保護措施、雙方權利義務要求第三方以合同中約定形式返還、刪除接收和產生的數(shù)據有數(shù)據接收方，應繼續(xù)履行相關數(shù)據安全保護義務沒有數(shù)據接收方的，應刪除數(shù)據網絡運營者

利用所掌握的數(shù)據資源，公開市場預測、統(tǒng)計等信息時，不應危害國家安全、公共安全、經濟安全和社會穩(wěn)定。公開利用所掌握的數(shù)據資源，公開市場預測、統(tǒng)計等信息2.技術要求3.管理要求附錄A：突發(fā)公共衛(wèi)生事件個人信息保護要求1.總體要求明確私人信息和可轉發(fā)信息的處理方式私人信息和可轉發(fā)信息的處理方式個人信息查閱、更正、刪除及用戶賬號注銷投訴、舉報受理處置訪問控制與審計數(shù)據刪除和匿名化處理私人信息和可轉發(fā)信息的處理方式【私人選項發(fā)送信息】予以嚴格保護，不提供轉發(fā)功能;【可轉發(fā)選項發(fā)送的信息或轉發(fā)此類信息】同時發(fā)送信息始發(fā)者在該平臺上的賬號名稱，該賬號名稱唯一且不可更改。個人信息查閱、更正、刪除及用戶賬號注銷網絡運營者應建立渠道和機制及時響應個人信息主體查閱、復制、更正、刪除其個人信息及注銷賬號的請求，不應對請求設置不合理條件應遵守GB/T35273—2020中8.7有關響應個人信息主體請求的要求投訴、舉報受理處置投訴舉報調查取證處置受理通過其平臺編造、傳播虛假信息發(fā)布侵害他人名譽、隱私、知識產權和其他合法權益信息假冒、仿冒、盜用他人名義發(fā)布信息的投訴、舉報的自接受投訴舉報起，受理時間不超過3d查實依法采取停止傳輸、消除等處置措施2.技術要求3.管理要求附錄A：突發(fā)公共衛(wèi)生事件個人信息保護要求1.總體要求明確對數(shù)據介質銷毀及個人信息刪除和匿名化的要求私人信息和可轉發(fā)信息的處理方式個人信息查閱、更正、刪除及用戶賬號注銷投訴、舉報受理處置訪問控制與審計數(shù)據刪除和匿名化處理訪問控制與審計數(shù)據刪除和匿名化處理符合GB/T35273—2020中8.3的要求或符合以下情形時，網絡運營者應及時對個人信息做刪除或匿名化處理∶個人信息超出雙方約定的存儲期限網絡產品和服務停止運營;個人信息主體注銷賬號，或者當用戶撤回同意。存儲重要數(shù)據和個人信息的介質進行報廢處理時，網絡運營者應采用物理損毀等方式銷毀介質.以確保重要數(shù)據和個人信息不能被恢復。訪問控制審計基于數(shù)據分類分級，明確相關人員的訪問權限，防止非授權訪問。對重要數(shù)據、個人信息的關鍵操作（例如批量修改、拷貝、刪除、下載等），設置內部審批和審計流程，并嚴格執(zhí)行。a）符合以下情形，個人信息主體要求刪除的，應及時刪除個人信息：

1）個人信息控制者違反法律法規(guī)規(guī)定，收集、使用個人信息的;

2）個人信息控制者違反與個人信息主體約定，收集、使用個人信息。b）個人信息控制者違反法律法規(guī)規(guī)定或違反與個人信息主體的約定向第三方共享、轉讓個人信息，且個人信息主體要求刪除的，個人信息控制者應立即停止共享、轉讓的行為，并通知第三方及時刪除。c）個人信息控制者違反法律法規(guī)規(guī)定或違反與個人信息主體的約定，公開披露個人信息。目個人信息主體要求刪除的，個人信息控制者應立即停止公開披露的行為，并發(fā)布通知要求相關接收方刪除相應的信息。2.技術要求3.管理要求附錄A：突發(fā)公共衛(wèi)生事件個人信息保護要求1.總體要求開展經營和服務活動人力資源保障與考核提供必要的資源保障落實數(shù)據安全責任人及考核制度數(shù)據安全責任人人力資源保障與考核事件應急處置2.技術要求3.管理要求附錄A：突發(fā)公共衛(wèi)生事件個人信息保護要求1.總體要求網絡運營者數(shù)據安全責任人應具備數(shù)據安全專業(yè)知識和相關管理工作經歷，參與有關數(shù)據處理的重要決策數(shù)據安全責任人組織確定數(shù)據保護目錄，制定數(shù)據安全保護計劃并督促落實組織開展數(shù)據安全影響分析和風險評估，督促整改安全隱患依法向有關部門報告數(shù)據安全保護和事件處置情況組織受理和處置數(shù)據安全投訴、舉報保證其獨立履行職責明確數(shù)據安全管理考核指標和問責機制對相關人員特別是重要崗位人員的履職情況進行考核出現(xiàn)數(shù)據安全重大事件時，對直接負責的主管人員和其他直接責任人員進行問責數(shù)據安全責任人建立設立要求處理重要數(shù)據和敏感個人信息建立響應機制保障個人信息安全數(shù)據安全責任人人力資源保障與考核事件應急處置2.技術要求3.管理要求附錄A：突發(fā)公共衛(wèi)生事件個人信息保護要求1.總體要求數(shù)據安全事件分級啟動條件啟動所需的資源，如人員、設備、場所、工具、資金等流程、人員安排和操作手冊數(shù)據安全事件應急響應機制配備應急響應所需的資源，確保應急響應機制能夠有效實施制定應急演練計劃，按計劃或者在應急響應機制發(fā)生變化后，組織開展應急演練，檢驗和完善應急響應機制，提高實戰(zhàn)能力涉及個人信息的,及時以電話、短信、郵件或者信函等方式告知個人信息主體，同時對可能危害國家安全、公共安全、經濟安全和社會穩(wěn)定的按相關要求向有關部門報告發(fā)生數(shù)據安全事件相應補救和防范措施啟動采取明確突發(fā)公共衛(wèi)生事件定義和個人信息保護服務協(xié)議2.技術要求3.管理要求附錄A：突發(fā)公共衛(wèi)生事件個人信息保護要求1.總體要求指依據突發(fā)公共衛(wèi)生事件專項預案啟動I級(特別重大)、II級(重大)響應的事件國務院衛(wèi)生健康行政部門省級人民政府有關部門指定機構位置查詢行蹤查詢服務合同或有約束力的協(xié)議個人信息為社會提供簽署“突發(fā)公共衛(wèi)生事件”定義個人信息保護...突發(fā)公共衛(wèi)生事件個人信息處理流程2.技術要求3.管理要求附錄A：突發(fā)公共衛(wèi)生事件個人信息保護要求1.總體要求收集調用提供公開應堅持最小化原則，一般只限于個人信息主體的聯(lián)系方式、位置、行蹤信息收集個人信息應遵守本文件5.2b)規(guī)定的要求，為控制事件擴大、減輕事件危害，不能及時征得個人信息主體同意而必須收集的，應告知收集目的、數(shù)據類型、收集方式、存儲期限等信息，實現(xiàn)個人信息主體查詢、更正、刪除，以及獲取個人信息副本等權利的途徑，由指定機構依法實施并經相關應急指揮部門或者國務院衛(wèi)生健康行政部門同意為控制事件擴大、減輕事件危害，指定機構確需調用已經收集的個人信息，應堅持最小化原則根據應對突發(fā)公共衛(wèi)生事件實際需要，嚴格限定調用個人信息的范圍、規(guī)模、數(shù)量以及行蹤信息的回溯時間跨度。應經相關指揮部門同意，或者由國務院衛(wèi)生健康行政部門會同相關行業(yè)管理部門同意，并明確調用個人信息的范圍、類型及程序，并告知個人信息主體。人臉識別驗證。指定機構在提供信息服務過程中，以人臉識別作為身份驗證方式時,宜提供其他身份