（高清版）GBT 41479-2022 信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求VIP

信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求2022-04-15發(fā)布2022-11-01實(shí)施國家市場監(jiān)督管理總局 I 2規(guī)范性引用文件 3術(shù)語與定義 4數(shù)據(jù)處理安全總體要求 4.1數(shù)據(jù)識別 4.2分類分級 4.3風(fēng)險(xiǎn)防控 34.4審計(jì)追溯 35數(shù)據(jù)處理安全技術(shù)要求 35.1通則 35.2收集 5.3存儲 5.4使用 45.6傳輸 5.7提供 55.8公開 5.9私人信息和可轉(zhuǎn)發(fā)信息的處理方式 55.10個(gè)人信息查閱、更正、刪除及用戶賬號注銷 5.11投訴、舉報(bào)受理處置 55.12訪問控制與審計(jì) 65.13數(shù)據(jù)刪除和匿名化處理 66數(shù)據(jù)處理安全管理要求 6.1數(shù)據(jù)安全責(zé)任人 6.2人力資源保障與考核 66.3事件應(yīng)急處置 附錄A(規(guī)范性)突發(fā)公共衛(wèi)生事件個(gè)人信息保護(hù)要求 8參考文獻(xiàn) I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位：中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、清華大學(xué)、國家信息中心、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、公安部第三研究所、中國信息通信研究院、陜西省網(wǎng)絡(luò)與信息安全測評中心、中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司。1信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求1范圍技術(shù)與管理要求。本文件適用于網(wǎng)絡(luò)運(yùn)營者規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理，以及監(jiān)管部門、第三方評估機(jī)構(gòu)對網(wǎng)絡(luò)數(shù)據(jù)處理進(jìn)行監(jiān)督管理和評估。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范3術(shù)語與定義GB/T25069和GB/T35273—2020界定的以及下列術(shù)語和定義適用于本文件。數(shù)據(jù)data任何以電子或者其他方式對信息的記錄。數(shù)據(jù)處理dataprocessing數(shù)據(jù)安全datasecurity通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。網(wǎng)絡(luò)運(yùn)營者networkoperator網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。注：本文件中的網(wǎng)絡(luò)為開放公共網(wǎng)絡(luò)。2以電子或者其他方式記錄的與已識別或者可以識別自然人有關(guān)的各種信息。注2:不包括匿名化處理后的信息。一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息。成年人的個(gè)人信息。個(gè)人信息已識別或者可識別的自然人。一旦泄露可能直接影響國家安全、公共安全、經(jīng)濟(jì)安全和社會穩(wěn)定的數(shù)據(jù)。內(nèi)部經(jīng)營管理信息等。私人信息privateinformation個(gè)人發(fā)送給特定對象不可轉(zhuǎn)發(fā)給其他人的信息。數(shù)據(jù)處理中接收數(shù)據(jù)的組織或者個(gè)人。由第三方提供的產(chǎn)品或者服務(wù)，以及被接入或者嵌入網(wǎng)絡(luò)運(yùn)營者產(chǎn)品或者服務(wù)中的自動(dòng)化工具。個(gè)人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程。4數(shù)據(jù)處理安全總體要求4.1數(shù)據(jù)識別網(wǎng)絡(luò)運(yùn)營者應(yīng)識別數(shù)據(jù)處理中涉及的數(shù)據(jù)，包括個(gè)人信息、重要數(shù)據(jù)和其他數(shù)據(jù)，形成數(shù)據(jù)保護(hù)目34.2分類分級網(wǎng)絡(luò)運(yùn)營者應(yīng)按照相關(guān)國家標(biāo)準(zhǔn)，根據(jù)合同規(guī)定和業(yè)務(wù)運(yùn)營需要，對所識別的數(shù)據(jù)進(jìn)行分類分級4.3風(fēng)險(xiǎn)防控網(wǎng)絡(luò)運(yùn)營者開展數(shù)據(jù)處理時(shí)，應(yīng)按照合同約定履行數(shù)據(jù)安全保護(hù)義務(wù)，開展數(shù)據(jù)處理活動(dòng)應(yīng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)采取加密、脫敏、備份、人信息進(jìn)行重點(diǎn)保護(hù)，應(yīng)按照規(guī)定對其數(shù)據(jù)處理活動(dòng)定期開展風(fēng)險(xiǎn)評估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告。風(fēng)險(xiǎn)評估報(bào)告應(yīng)包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動(dòng)的情況，面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對措施等。應(yīng)建立數(shù)據(jù)安全管理責(zé)任和評價(jià)考核制度，制定數(shù)據(jù)安全保護(hù)計(jì)劃，開展安全風(fēng)險(xiǎn)評估，及時(shí)處置安全事件，組織開展教育培訓(xùn)。網(wǎng)絡(luò)運(yùn)營者應(yīng)對數(shù)據(jù)處理的全生存周期進(jìn)行記錄，確保數(shù)據(jù)處理可審計(jì)、可追溯。5數(shù)據(jù)處理安全技術(shù)要求5.1通則網(wǎng)絡(luò)運(yùn)營者在開展數(shù)據(jù)處理時(shí)應(yīng)進(jìn)行影響分析和風(fēng)險(xiǎn)評估，采取必要的措施對識別的風(fēng)險(xiǎn)進(jìn)行控制，以保障數(shù)據(jù)安全。在發(fā)生突發(fā)公共衛(wèi)生事件時(shí)，數(shù)據(jù)處理還應(yīng)遵守附錄A的要求。影響或者可能影響國家安全的數(shù)據(jù)處理活動(dòng)應(yīng)接受國家安全審查。網(wǎng)絡(luò)運(yùn)營者為提供服務(wù)而必需處理個(gè)人信息的，應(yīng)遵循合法、正當(dāng)、必要的原則，不應(yīng)收集與其提供的服務(wù)無直接或無合理關(guān)聯(lián)，或超出個(gè)人信息主體明示同意期限的個(gè)人信息，且遵守以下要求：a)應(yīng)制定和公開個(gè)人信息保護(hù)政策并嚴(yán)格遵守，個(gè)人信息保護(hù)政策應(yīng)符合GB/T35273—2020中5.5要求；b)收集個(gè)人信息前，應(yīng)明示個(gè)人信息保護(hù)政策，并征得個(gè)人信息主體同意；注：GB/T35273—2020中5.6規(guī)定的情形除外。c)改變處理個(gè)人信息的目的、類型、范圍、用途的，應(yīng)及時(shí)告知個(gè)人信息主體，修改個(gè)人信息保護(hù)政策，并重新征得個(gè)人信息主體同意，涉及個(gè)人信息保護(hù)政策變動(dòng)的應(yīng)修改個(gè)人信息保護(hù)政策；d)明示所提供產(chǎn)品或服務(wù)的類型，以及該產(chǎn)品或服務(wù)所必需的個(gè)人信息，不應(yīng)因用戶不同意或撤回同意，提供該產(chǎn)品或服務(wù)所必需個(gè)人信息以外的信息，而拒絕提供該產(chǎn)品或服務(wù)；e)不應(yīng)僅以改善服務(wù)質(zhì)量、提升用戶體驗(yàn)、定向推送信息、研發(fā)新產(chǎn)品等為目的，強(qiáng)制要求、誤導(dǎo)用戶同意收集個(gè)人信息；4f)收集敏感個(gè)人信息前，應(yīng)取得個(gè)人信息主體的單獨(dú)同意，確保單獨(dú)同意是在完全知情的基礎(chǔ)上g)收集不滿十四周歲未成年人個(gè)人信息前，應(yīng)取得未成年人的父母或其他監(jiān)護(hù)人的單獨(dú)同意；h)從個(gè)人信息主體以外的其他途徑獲得個(gè)人信息的，應(yīng)了解個(gè)人信息來源、個(gè)人信息提供方已獲得的個(gè)人信息處理授權(quán)同意范圍，并按照本文件的要求履行安全保護(hù)義務(wù)。網(wǎng)絡(luò)運(yùn)營者應(yīng)對數(shù)據(jù)存儲活動(dòng)采取安全措施，包括：b)存儲重要數(shù)據(jù)和個(gè)人信息，不應(yīng)超過與重要數(shù)據(jù)和個(gè)人信息主體約定的存儲期限或個(gè)人信息主體授權(quán)同意有效期；c)存儲個(gè)人生物特征識別信息的，應(yīng)遵守GB/T35273—2020中6.3b)和c)的要求及生物特征識別信息保護(hù)相關(guān)國家標(biāo)準(zhǔn)要求。數(shù)據(jù)接收方存儲數(shù)據(jù)時(shí)，應(yīng)按要求采取安全措施并以合同進(jìn)行約定。5.4.1定向推送及信息合成網(wǎng)絡(luò)運(yùn)營者在為用戶提供定向推送或信息合成服務(wù)時(shí)的要求如下：a)網(wǎng)絡(luò)運(yùn)營者利用個(gè)人信息和算法為用戶提供定向推送信息服務(wù)的，同時(shí)應(yīng)提供非定向推送信息的服務(wù)選項(xiàng)；注：宜參照GB/T35273—2020的7.5。b)在向個(gè)人信息主體提供新聞、博客類信息服務(wù)的過程中，網(wǎng)絡(luò)運(yùn)營者利用算法自動(dòng)合成文字、5.4.2第三方應(yīng)用管理網(wǎng)絡(luò)運(yùn)營者應(yīng)對接入或嵌入其產(chǎn)品或服務(wù)的第三方應(yīng)用加強(qiáng)數(shù)據(jù)安全管理，包括：a)應(yīng)通過合同等形式，明確雙方的數(shù)據(jù)安全保護(hù)責(zé)任和義務(wù)；b)應(yīng)監(jiān)督第三方應(yīng)用運(yùn)營者加強(qiáng)數(shù)據(jù)安全管理，發(fā)現(xiàn)第三方應(yīng)用沒有落實(shí)安全管理責(zé)任的，應(yīng)及時(shí)督促整改，必要時(shí)停止接入；c)網(wǎng)絡(luò)運(yùn)營者知道或者應(yīng)知道第三方應(yīng)用利用其平臺侵害用戶民事權(quán)益，未采取必要措施的，應(yīng)與第三方應(yīng)用運(yùn)營者承擔(dān)連帶責(zé)任；d)宜對接入或嵌入的第三方應(yīng)用開展技術(shù)檢測，確保其數(shù)據(jù)處理行為符合雙方約定要求，對審計(jì)發(fā)現(xiàn)超出雙方約定的行為及時(shí)停止接入。網(wǎng)絡(luò)運(yùn)營者在開展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動(dòng)的過程中，知道或者應(yīng)知道可能危害國家安全、公共安全、經(jīng)濟(jì)安全和社會穩(wěn)定的，應(yīng)立即停止加工活動(dòng)。網(wǎng)絡(luò)運(yùn)營者在應(yīng)對數(shù)據(jù)傳輸活動(dòng)采取安全措施，包括：5a)傳輸重要數(shù)據(jù)和敏感個(gè)人信息時(shí)，應(yīng)采用加密、脫敏等安全措施；b)向數(shù)據(jù)接收方傳輸數(shù)據(jù)時(shí)，應(yīng)按要求采取安全措施并以合同進(jìn)行約定。5.7.1向他人提供網(wǎng)絡(luò)運(yùn)營者向他人提供數(shù)據(jù)前，應(yīng)進(jìn)行安全影響分析和風(fēng)險(xiǎn)評估，可能危害國家安全、公共安全、經(jīng)濟(jì)安全和社會穩(wěn)定的，不應(yīng)向他人提供。要求如下：a)向他人提供個(gè)人信息，應(yīng)向個(gè)人信息主體告知接收方的名稱、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類、存儲期限，并取得個(gè)人信息主體同意；b)共享、轉(zhuǎn)讓重要數(shù)據(jù)，應(yīng)與數(shù)據(jù)接收方通過合同等形式明確雙方的數(shù)據(jù)安全保護(hù)責(zé)任和義務(wù)，采取加密、脫敏等措施保障重要數(shù)據(jù)安全；c)委托第三方開展數(shù)據(jù)處理活動(dòng)的，應(yīng)通過合同等形式明確約定委托處理的目的、期限、處理方式、數(shù)據(jù)的種類、保護(hù)措施、雙方的權(quán)利和義務(wù)，以及第三方返還或刪除數(shù)據(jù)的方式等，要求第三方以合同中約定的形式返還、刪除接收和產(chǎn)生的數(shù)據(jù)，并對數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)督；d)發(fā)生收購、兼并、重組、破產(chǎn)時(shí)，數(shù)據(jù)接收方應(yīng)繼續(xù)履行相關(guān)數(shù)據(jù)安全保護(hù)義務(wù)；沒有數(shù)據(jù)接收網(wǎng)絡(luò)運(yùn)營者向境外提供個(gè)人信息或者重要數(shù)據(jù)的，應(yīng)遵循國家相關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)的要求。境內(nèi)用戶在境內(nèi)訪問境內(nèi)網(wǎng)絡(luò)的，其流量不應(yīng)路由至境外。5.8公開網(wǎng)絡(luò)運(yùn)營者利用所掌握的數(shù)據(jù)資源，公開市場預(yù)測、統(tǒng)計(jì)等信息時(shí)，不應(yīng)危害國家安全、公共安全、經(jīng)濟(jì)安全和社會穩(wěn)定。5.9私人信息和可轉(zhuǎn)發(fā)信息的處理方式即時(shí)通信等社交平臺運(yùn)營者宜為用戶提供發(fā)送私人信息和可轉(zhuǎn)發(fā)信息的選項(xiàng)，并按照以下方式a)宜對以私人選項(xiàng)發(fā)送的信息予以嚴(yán)格保護(hù)，不提供轉(zhuǎn)發(fā)功能；b)宜對以可轉(zhuǎn)發(fā)選項(xiàng)發(fā)送的信息，或者轉(zhuǎn)發(fā)此類信息的，同時(shí)發(fā)送信息始發(fā)者在該平臺上的賬號名稱，該賬號名稱唯一且不可更改。網(wǎng)絡(luò)運(yùn)營者應(yīng)建立渠道和機(jī)制，及時(shí)響應(yīng)個(gè)人信息主體查閱、復(fù)制、更正、刪除其個(gè)人信息及注銷賬號的請求，不應(yīng)對請求設(shè)置不合理?xiàng)l件，應(yīng)遵守GB/T35273—2020中8.7有關(guān)響應(yīng)個(gè)人信息主體請求的要求。網(wǎng)絡(luò)運(yùn)營者應(yīng)建立投訴、舉報(bào)受理處置制度。收到通過其平臺編造、傳播虛假信息，發(fā)布侵害他人6接受投訴舉報(bào)起，受理時(shí)間不超過3d。受理后進(jìn)行調(diào)查取證，對于查實(shí)的編造、傳播虛假信息，發(fā)布侵害他人名譽(yù)、隱私、知識產(chǎn)權(quán)和其他合法權(quán)益信息，以及假冒、仿冒、盜用他人名義發(fā)布信息的投訴、舉5.12訪問控制與審計(jì)網(wǎng)絡(luò)運(yùn)營者開展數(shù)據(jù)處理活動(dòng)時(shí)，應(yīng)：a)基于數(shù)據(jù)分類分級，明確相關(guān)人員的訪問權(quán)限，防止非授權(quán)訪問。b)對重要數(shù)據(jù)、個(gè)人信息的關(guān)鍵操作(例如批量修改、拷貝、刪除、下載等),設(shè)置內(nèi)部審批和審計(jì)5.13數(shù)據(jù)刪除和匿名化處理符合GB/T35273—2020中8.3的要求或符合以下情形時(shí)，網(wǎng)絡(luò)運(yùn)營者應(yīng)及時(shí)對個(gè)人信息做刪除或匿名化處理：a)個(gè)人信息超出雙方約定的存儲期限；b)網(wǎng)絡(luò)產(chǎn)品和服務(wù)停止運(yùn)營；c)個(gè)人信息主體注銷賬號，或者當(dāng)用戶撤回同意。存儲重要數(shù)據(jù)和個(gè)人信息的介質(zhì)進(jìn)行報(bào)廢處理時(shí)，網(wǎng)絡(luò)運(yùn)營者應(yīng)采用物理損毀等方式銷毀介質(zhì)，以確保重要數(shù)據(jù)和個(gè)人信息不能被恢復(fù)。6數(shù)據(jù)處理安全管理要求6.1數(shù)據(jù)安全責(zé)任人網(wǎng)絡(luò)運(yùn)營者開展經(jīng)營和服務(wù)活動(dòng)，處理重要數(shù)據(jù)和敏感個(gè)人信息的，應(yīng)明確數(shù)據(jù)安全責(zé)任人，并為其提供必要的資源保障，保證其獨(dú)立履行職責(zé)。數(shù)據(jù)安全責(zé)任人應(yīng)具備數(shù)據(jù)安全專業(yè)知識和相關(guān)管理工作經(jīng)歷，參與有關(guān)數(shù)據(jù)處理的重要決策，履行以下職責(zé)：a)組織確定數(shù)據(jù)保護(hù)目錄，制定數(shù)據(jù)安全保護(hù)計(jì)劃并督促落實(shí)；b)組織開展數(shù)據(jù)安全影響分析和風(fēng)險(xiǎn)評估，督促整改安全隱患；c)依法向有關(guān)部門報(bào)告數(shù)據(jù)安全保護(hù)和事件處置情況；d)組織受理和處置數(shù)據(jù)安全投訴、舉報(bào)。6.2人力資源保障與考核在人力資源保障與考核方面，網(wǎng)絡(luò)運(yùn)營者應(yīng)：a)明確數(shù)據(jù)安全保護(hù)崗位及職責(zé)，并提供人力資源保障。b)建立人力資源考核制度，明確數(shù)據(jù)安全管理考核指標(biāo)和問責(zé)機(jī)制，對相關(guān)人員特別是重要崗位人員的履職情況進(jìn)行考核。出現(xiàn)數(shù)據(jù)安全重大事件時(shí)，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員進(jìn)行問責(zé)。6.3事件應(yīng)急處置網(wǎng)絡(luò)運(yùn)營者應(yīng)建立數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制，并根據(jù)數(shù)據(jù)安全計(jì)劃的變化而及時(shí)調(diào)整，確保數(shù)據(jù)安全事件得到及時(shí)有效處置。7a)應(yīng)急響應(yīng)機(jī)制包括：1)數(shù)據(jù)安全事件分級；2)啟動(dòng)條件；4)流程、人員安排和操作手冊。b)配備應(yīng)急響應(yīng)所需的資源，確保應(yīng)急響應(yīng)機(jī)制能夠有效實(shí)施。c)制定應(yīng)急演練計(jì)劃，按計(jì)劃或者在應(yīng)急響應(yīng)機(jī)制發(fā)生變化后，組織開展應(yīng)急演練，檢驗(yàn)和完善應(yīng)急響應(yīng)機(jī)制，提高實(shí)戰(zhàn)能力。發(fā)生數(shù)據(jù)安全事件時(shí)，網(wǎng)絡(luò)運(yùn)營者應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)機(jī)制，采取相應(yīng)的補(bǔ)救和防范措施。涉及個(gè)人信息的，及時(shí)以電話、短信、郵件或者信函等方式告知個(gè)人信息主體，同時(shí)對可能危害國家安全、公共安全、經(jīng)濟(jì)安全和社會穩(wěn)定的按相關(guān)要求向有關(guān)部門報(bào)告。8(規(guī)范性)突發(fā)公共衛(wèi)生事件個(gè)人信息保護(hù)要求A.1概述本附錄所稱突發(fā)公共衛(wèi)生事件，是指依據(jù)突發(fā)公共衛(wèi)生事件專項(xiàng)預(yù)案啟動(dòng)I級(特別重大)、Ⅱ級(重大)響應(yīng)的事件。A.2個(gè)人信息服務(wù)協(xié)議為應(yīng)對突發(fā)公共衛(wèi)生事件，由國務(wù)院衛(wèi)生健康行政部門或者省級人民政府有關(guān)部門指定的機(jī)構(gòu)(以下稱“指定機(jī)構(gòu)”),利用個(gè)人信息為社會提供位置、行蹤查詢等信息服務(wù)時(shí)，應(yīng)按照與國務(wù)院衛(wèi)生健康行政部門或者省級人民政府有關(guān)部門簽訂的服務(wù)合同或者其他有約束力的協(xié)議，履行個(gè)人信息保護(hù)要求，承擔(dān)違約責(zé)任等。A.3個(gè)人信息收集突發(fā)公共衛(wèi)生事件應(yīng)對中，指定機(jī)構(gòu)收集個(gè)人信息的要求包括：b)收集個(gè)人信息應(yīng)遵守本文件5.2b)規(guī)定的要求，為控制事件擴(kuò)大、減輕事件危害，不能及時(shí)征得個(gè)人信息主體同意而必須收集的，應(yīng)告知收集目的、數(shù)據(jù)類型、收集方式、存儲期限等信息，實(shí)現(xiàn)個(gè)人信息主體查詢、更正、刪除，以及獲取個(gè)人信息副本等權(quán)利的途徑，由指定機(jī)構(gòu)依法實(shí)施并經(jīng)相關(guān)應(yīng)急指揮部門或者國務(wù)院衛(wèi)生健康行政部門同意。A.4個(gè)人信息調(diào)用為控制事件擴(kuò)大、減輕事件危害，指定機(jī)構(gòu)確需調(diào)用已經(jīng)收集的個(gè)人信息，應(yīng)堅(jiān)持最小化原則，根據(jù)應(yīng)對突發(fā)公共衛(wèi)生事件實(shí)際需要，嚴(yán)格限定調(diào)用個(gè)人信息的范圍、規(guī)模、數(shù)量以及行蹤信息的回溯時(shí)間跨度。應(yīng)經(jīng)相關(guān)指揮部門同意，或者由國務(wù)院衛(wèi)生健康行政部門會同相關(guān)行業(yè)管理部門同意，并明確調(diào)用個(gè)人信息的范圍、類型及程序，并告知個(gè)人信息主體。A.5人臉識別驗(yàn)證指定機(jī)構(gòu)在提供信息服務(wù)過程中，以人臉識別作為身份驗(yàn)證方式時(shí)，宜提供其他身份驗(yàn)證方式供用戶選擇。利用人臉識別信息進(jìn)行身份驗(yàn)證的，不宜留存可提取人臉識別信息的原始圖像。A.6信息查閱服務(wù)指定機(jī)構(gòu)提供信息查閱服務(wù)，應(yīng)通過境內(nèi)手機(jī)號碼等能夠確認(rèn)身份的方式核驗(yàn)查閱人身份，防止非授權(quán)查閱他人個(gè)人信息。A.7公開、向他人提供個(gè)人信息及改變個(gè)人信息用途指定機(jī)構(gòu)收集掌握的個(gè)人信息，未經(jīng)個(gè)人信息主體同意，不得公開或者非法向他人提供，不得改變9用途。確需公開、向他人提供或者改變用途的，應(yīng)征