DB21-T 3892-2023 工業(yè)數(shù)據(jù)流通 合規(guī)性檢查規(guī)范_第1頁
DB21-T 3892-2023 工業(yè)數(shù)據(jù)流通 合規(guī)性檢查規(guī)范_第2頁
DB21-T 3892-2023 工業(yè)數(shù)據(jù)流通 合規(guī)性檢查規(guī)范_第3頁
DB21-T 3892-2023 工業(yè)數(shù)據(jù)流通 合規(guī)性檢查規(guī)范_第4頁
DB21-T 3892-2023 工業(yè)數(shù)據(jù)流通 合規(guī)性檢查規(guī)范_第5頁
已閱讀5頁,還剩9頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

21ICS

21

工業(yè)數(shù)據(jù)流通合規(guī)性檢查規(guī)范遼寧省市場監(jiān)督管理局 發(fā)布

3892—2023

本文件起草單位:沈陽華睿博信息技術(shù)有限公司、上海數(shù)據(jù)交易所、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心遼寧分中心、遼寧艾特斯智能交通技術(shù)有限公司、東北大學(xué)、遼寧職業(yè)學(xué)院、遼寧省大數(shù)據(jù)管理中心、北京賽迪時代信息產(chǎn)業(yè)股份有限公司、交通運輸部公路科學(xué)研究所、遼寧省先進裝備制造業(yè)基地建設(shè)本文件主要起草人:邵華、申翔宇、李凱、黃書鵬、王宇飛、宋憲輝、譚振華、王義剛、楊成實、張本文件發(fā)布實施后,任何單位和個人如有問題和意見建議,均可以通過來電和來函等方式進行反饋,

XXXX—XXXX

本文件規(guī)定了數(shù)據(jù)供方合規(guī)檢查、數(shù)據(jù)來源合規(guī)檢查、交易數(shù)據(jù)合規(guī)檢查、數(shù)據(jù)處理過程合規(guī)檢查、

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文

第1部分:基本術(shù)語

注2:數(shù)據(jù)交易包括以大數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易,也包括以傳統(tǒng)數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)

以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活注1:個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容注2:個人信息控制者通過個人信息或其他信息加工處理后形成的信息,例如,用戶畫像或特征標簽,能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的,屬于個人信息

公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的重

Kit)2

XXXX—XXXX

應(yīng)根據(jù)數(shù)據(jù)供方的經(jīng)營范圍、具體業(yè)務(wù)模式和數(shù)據(jù)產(chǎn)品類別等,對數(shù)據(jù)供方取得的行政許可及相關(guān)證照的完備性、運營主體的一致性、授權(quán)范圍與實際數(shù)據(jù)處理相關(guān)活動的匹配性以及質(zhì)量管理體系的健全性

按照

中的測評要求對網(wǎng)絡(luò)信息系統(tǒng)進行檢查。必要時,對網(wǎng)絡(luò)信息系統(tǒng)安全保

按照

的要求對數(shù)據(jù)提供方是否滿足最低安全防護要求或技術(shù)保護措施進行檢查及在數(shù)據(jù)流通過程中是否遵循有關(guān)法律法規(guī)及部門規(guī)定要求采取數(shù)據(jù)脫敏、數(shù)據(jù)加密、安全通道

備性、運營主體的一致性、授權(quán)范圍與實際數(shù)據(jù)處理相關(guān)活動的匹配性以及質(zhì)量管理體系的健全

處理目的、處理期限、處理方式、信息種類、保護措施、處理地點、銷毀、轉(zhuǎn)委托處理、分享以

用目的等方面進行檢查;針對數(shù)據(jù)主體自主輸入上傳或同意采集的數(shù)據(jù),除應(yīng)重點審查授權(quán)情況外,還應(yīng)檢查數(shù)據(jù)源是否涉密;針對以第三方組件方式采集數(shù)據(jù)的,除檢查授權(quán)外,還需審查采集方是否對第三方組件具有完整的內(nèi)控制度;針對采集水文、氣候及地理測繪等客

同意或許可,應(yīng)檢查重要數(shù)據(jù)傳輸過程中是否采取校驗技術(shù)、密碼技術(shù)、安全傳輸通道或者安全

存儲個人生物特征識別信息的,是否符合

b)和

c)的要求及生物特征識別

4

XXXX—XXXX

涉及第三方

組件或

接口的,檢查是否對

組件或

接口進行安全檢測,是否存在已

應(yīng)檢查是否采用商用密碼等技術(shù),將數(shù)據(jù)供方、數(shù)據(jù)需方身份信息,交易合同或協(xié)議,交易數(shù)據(jù)和交應(yīng)檢查數(shù)據(jù)交易服務(wù)平臺是否具備交易過程信息,數(shù)據(jù)供方、數(shù)據(jù)需方身份信息及交易數(shù)據(jù)等信息的

為保證數(shù)據(jù)交易可追溯,數(shù)據(jù)交易服務(wù)機構(gòu)宜建立數(shù)據(jù)確權(quán)登記、數(shù)據(jù)權(quán)利對抗登記和數(shù)據(jù)交易存證

數(shù)據(jù)確權(quán)登記是針對權(quán)利歸屬情況清晰、產(chǎn)權(quán)主體單一的數(shù)據(jù)進行的登記,如在不涉及數(shù)據(jù)安全問題的情況下,應(yīng)對企業(yè)自行收集的實驗數(shù)據(jù)、測繪數(shù)據(jù)進行的初始權(quán)利登記,其目的在于通過嚴格審查程序

數(shù)據(jù)權(quán)利對抗登記是對數(shù)據(jù)整體轉(zhuǎn)讓和排他許可使用進行的登記,登記產(chǎn)生對抗第三方的法律效力。數(shù)據(jù)權(quán)利對抗登記的目的在于通過對數(shù)據(jù)權(quán)利主體、使用權(quán)限和轉(zhuǎn)讓過程的記載,明確數(shù)據(jù)供方處理數(shù)據(jù)

數(shù)據(jù)交易存證登記是針對涉及普通許可使用或者數(shù)據(jù)服務(wù)場景下,數(shù)據(jù)交易歷程的登記,登記對象為數(shù)據(jù)產(chǎn)品的普通許可使用和數(shù)據(jù)開發(fā)服務(wù),其目的在于通過對歷次交易核心內(nèi)容的記錄與公示,為交易溯

重要數(shù)據(jù)和個人信息在出境前,應(yīng)由數(shù)據(jù)交易服務(wù)機構(gòu)向數(shù)據(jù)出境安全相關(guān)主管部門提交數(shù)據(jù)出境安全評估申報,提出申報前,還需自行進行出境風(fēng)險自評估或委托具有工業(yè)數(shù)據(jù)流通服務(wù)機構(gòu)授權(quán)或許可的第三方機構(gòu)進行評估。委托處理可參考T/SZBA

001-2023中7.2.2中的要求。出境風(fēng)險自評估應(yīng)從以下角度

據(jù)接收方的名稱、聯(lián)系方式、出境目的、出境方式、個人信息種類及個人向境外數(shù)據(jù)接收方行使

接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性,是否符合最小必要原則;關(guān)

使用境外的數(shù)據(jù)服務(wù)商和

組件可能引起的潛在的數(shù)據(jù)出境風(fēng)險情況,以及個人信息權(quán)益維護

全保護責(zé)任義務(wù),且合同中應(yīng)至少約定數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍,境外接收方處理數(shù)據(jù)

法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化,以及發(fā)生其他不可抗力情形導(dǎo)致難以保障數(shù)據(jù)安全時,應(yīng)當(dāng)采取

6

XXXX—XXXX改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險時,妥善開展應(yīng)急處置的要求和

數(shù)據(jù)出境評估人員需要具備一定的專業(yè)知識和技能,以確保對數(shù)據(jù)出境過程的全面評估和監(jiān)控。以下

個人信息的種類以及個人向境外接收方行使本文件規(guī)定權(quán)利的方式和程序等事項,并取得個人的

注2:檢查范圍可包括組織范圍、物理地域范圍、項目范圍、業(yè)務(wù)流程和業(yè)務(wù)活動范圍、信息系統(tǒng)和技術(shù)工具范圍、人

掃描活動對業(yè)務(wù)運行和數(shù)據(jù)正確性的影響、檢查工作自身的局限性及約束等,檢查實施應(yīng)采取最

8

XXXX—XXXX

度文件、程序文件、行業(yè)準則和承諾、指引文件、培訓(xùn)考核和監(jiān)督要求以及近三年執(zhí)行相關(guān)活動

可根據(jù)檢查需求,通過對公開信息進行查詢的方式獲取評估對象的相關(guān)信息,以對收到的資料進行印國家及地方網(wǎng)信部門網(wǎng)站以及執(zhí)行和裁判信息公開網(wǎng)站等。檢查實施過程中,可根據(jù)實際情況,要求被檢

檢查實施主要通過文檔審查、安全檢測、人員訪談三種方式進行。具體的檢查內(nèi)容可根據(jù)不同的情形

和輸出結(jié)果,檢查被測系統(tǒng)的安全技術(shù)保障措施是否有效。進行安全檢測時,需要注意測試數(shù)據(jù)

以核實數(shù)據(jù)安全合規(guī)的情況。訪談對象包括但不限于:信息系統(tǒng)相關(guān)的研發(fā)人員、產(chǎn)品經(jīng)理、業(yè)務(wù)設(shè)計人員、業(yè)務(wù)負責(zé)人、技術(shù)負責(zé)人、數(shù)據(jù)安全負責(zé)人、法律合規(guī)負責(zé)人、運維人員和信息安

檢查工作完成后,應(yīng)編制數(shù)據(jù)合規(guī)性檢查報告,明確數(shù)據(jù)是否合規(guī)的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論