DB4401T+276-2024+網(wǎng)絡(luò)數(shù)據(jù)安全管理規(guī)范

ICS35.040CCSL80

DB4401廣 州 市 地 方 標(biāo) 準(zhǔn)DB4401/T276—2024網(wǎng)絡(luò)數(shù)據(jù)安全管理規(guī)范Networkdatasecuritymanagementspecification2024-08-282024-08-282024-09-28廣州市市場(chǎng)監(jiān)督管理局發(fā)布DB4401/T276—2024DB4401/T276—2024DB4401/T276—2024DB4401/T276—2024目 次前言 Ⅲ范圍 1規(guī)范性引用文件 1術(shù)語(yǔ)和定義 1網(wǎng)絡(luò)數(shù)據(jù)安全管理總體框架 4網(wǎng)絡(luò)數(shù)據(jù)安全管理要求 5數(shù)據(jù)安全總體策略 5數(shù)據(jù)安全管理組織 5數(shù)據(jù)安全管理制度 6數(shù)據(jù)安全人員管理 6數(shù)據(jù)安全教育培訓(xùn) 7數(shù)據(jù)合作方管理 7第三方應(yīng)用數(shù)據(jù)安全管理 8數(shù)據(jù)安全管理認(rèn)證 8投訴、舉報(bào)受理處置 8網(wǎng)絡(luò)數(shù)據(jù)通用安全要求 9數(shù)據(jù)分類分級(jí)保護(hù) 9數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估 9數(shù)據(jù)訪問(wèn)控制 10數(shù)據(jù)接口安全 10數(shù)據(jù)防泄露 11數(shù)據(jù)脫敏 11數(shù)據(jù)安全審計(jì) 11數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警 12數(shù)據(jù)安全應(yīng)急處置 12網(wǎng)絡(luò)安全等級(jí)保護(hù) 13網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)安全要求 13數(shù)據(jù)收集安全 13數(shù)據(jù)存儲(chǔ)安全 13數(shù)據(jù)使用安全 14數(shù)據(jù)加工安全 14數(shù)據(jù)傳輸安全 15數(shù)據(jù)提供安全 15數(shù)據(jù)公開安全 16數(shù)據(jù)刪除與銷毀安全 16個(gè)人信息保護(hù)擴(kuò)展要求 17個(gè)人信息保護(hù)一般要求 17個(gè)人信息保護(hù)管理要求 17I個(gè)人信息處理安全要求 18個(gè)人信息主體的權(quán)利 21參考文獻(xiàn) 22IIII前??言本文件按GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本文件由廣州市互聯(lián)網(wǎng)信息辦公室提出并歸口。本文件起草單位：廣州市信息安全測(cè)評(píng)中心、廣州市標(biāo)準(zhǔn)化研究院、北京安華金和科技有限公司、（北京州市分公司、廣州綠盟網(wǎng)絡(luò)安全技術(shù)有限公司。ⅢⅢDB4401/T276—2024DB4401/T276—2024DB4401/T276—2024DB4401/T276—2024網(wǎng)絡(luò)數(shù)據(jù)安全管理規(guī)范范圍網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)安全要求和個(gè)人信息保護(hù)擴(kuò)展要求。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T25069—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1數(shù)據(jù)data任何以電子或者其他方式對(duì)信息的記錄。3.2GB/T25069—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1數(shù)據(jù)data任何以電子或者其他方式對(duì)信息的記錄。3.2網(wǎng)絡(luò)network交換、處理的系統(tǒng)。3.3網(wǎng)絡(luò)數(shù)據(jù)networkdata通過(guò)網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。3.4數(shù)據(jù)安全datasecurity通過(guò)采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。3.5數(shù)據(jù)處理活動(dòng)dataprocessingactivities數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除與銷毀等活動(dòng)。1數(shù)據(jù)處理者dataprocessor在數(shù)據(jù)處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人。[來(lái)源：GB/T43697—2024，3.11]3.6重要數(shù)據(jù)keydata國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全的數(shù)據(jù)。注：僅影響組織自身或公民個(gè)體的數(shù)據(jù)一般不作為重要數(shù)據(jù)。[來(lái)源：GB/T43697—2024，3.2]3.7核心數(shù)據(jù)coredata共享，可能直接影響政治安全的重要數(shù)據(jù)。注：家有關(guān)部門評(píng)估確定的其他數(shù)據(jù)。[來(lái)源：GB/T43697—2024，3.3]3.8一般數(shù)據(jù)generaldata一般數(shù)據(jù)generaldata核心數(shù)據(jù)、重要數(shù)據(jù)之外的其他數(shù)據(jù)。[來(lái)源：GB/T43697—2024，3.4]3.9個(gè)人信息personalinformation以電子或者其他方式記錄的與已識(shí)別或者可以識(shí)別自然人有關(guān)的各種信息。注1：個(gè)人信息不包括匿名化處理后的信息。注2：個(gè)人信息包括姓名、出生日期、公民身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。[來(lái)源：GB/T41479—2022，3.6]3.10敏感個(gè)人信息sensitivepersonalinformation信息。注：歲未成年人的個(gè)人信息。[來(lái)源：GB/T41479—2022，3.7]3.112個(gè)人信息主體personalinformationsubject個(gè)人信息已識(shí)別或可識(shí)別（所標(biāo)識(shí)或關(guān)聯(lián)到）的自然人。[來(lái)源：GB/T41479—2022，3.8]3.12個(gè)人信息處理者personalinformationprocessor個(gè)人信息處理者，是指在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人。3.13數(shù)據(jù)合作方datapartner通過(guò)業(yè)務(wù)合作、提供技術(shù)支撐和數(shù)據(jù)服務(wù)等，并可能接觸到組織機(jī)構(gòu)數(shù)據(jù)的外部機(jī)構(gòu)。3.14第三方應(yīng)用thirdpartyapplication由第三方提供的產(chǎn)品或者服務(wù)，以及被接入或者嵌入網(wǎng)絡(luò)運(yùn)營(yíng)者產(chǎn)品或者服務(wù)中的自動(dòng)化工具。注：[來(lái)源：GB/T41479—2022，3.12]3.15匿名化anonymization個(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程。[來(lái)源：GB/T41479—2022，3.13]3.16去標(biāo)識(shí)化de-identification過(guò)程。注：標(biāo)識(shí)。[來(lái)源：GB/T35273—2020，3.15]3.17數(shù)據(jù)脫敏datadesensitization通過(guò)一系列數(shù)據(jù)處理方法對(duì)原始數(shù)據(jù)進(jìn)行處理以屏蔽敏感數(shù)據(jù)的一種數(shù)據(jù)保護(hù)方法。[來(lái)源：GB/T37988—2019，3.12]3.18數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估datasecurityriskassessment對(duì)數(shù)據(jù)和數(shù)據(jù)處理活動(dòng)安全進(jìn)行風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過(guò)程。注：（監(jiān)管3的數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行的評(píng)估活動(dòng)。3.19大型互聯(lián)網(wǎng)平臺(tái)largeinternetplatform注1：較大規(guī)模是指在過(guò)去的一年期間，在我國(guó)累計(jì)活躍用戶總數(shù)不低于5000萬(wàn)。注2：提供業(yè)務(wù)包括但不限于即時(shí)通信、社交網(wǎng)絡(luò)、電子商務(wù)、直播、短視頻、信息資訊、應(yīng)用商店、網(wǎng)絡(luò)預(yù)約汽車、網(wǎng)絡(luò)支付等。網(wǎng)絡(luò)數(shù)據(jù)安全管理總體框架網(wǎng)絡(luò)數(shù)據(jù)安全管理應(yīng)包括網(wǎng)絡(luò)數(shù)據(jù)安全管理要求、網(wǎng)絡(luò)數(shù)據(jù)通用安全要求、網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)安1。圖1總體框架圖4圖1總體框架圖4網(wǎng)絡(luò)數(shù)據(jù)安全管理要求建立完善符合法律法規(guī)、相關(guān)標(biāo)準(zhǔn)規(guī)范的數(shù)據(jù)安全管理組織。網(wǎng)絡(luò)數(shù)據(jù)通用安全要求全管理措施。網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)安全要求安全管理，落實(shí)技術(shù)保護(hù)措施。個(gè)人信息保護(hù)擴(kuò)展要求網(wǎng)絡(luò)數(shù)據(jù)安全管理要求數(shù)據(jù)安全總體策略基本保護(hù)要求制定數(shù)據(jù)安全管理總體策略應(yīng)以重要數(shù)據(jù)、個(gè)人信息為重點(diǎn)。重要數(shù)據(jù)保護(hù)擴(kuò)展要求無(wú)重要數(shù)據(jù)保護(hù)擴(kuò)展要求。數(shù)據(jù)安全管理組織基本保護(hù)要求應(yīng)通過(guò)正式文件或制度明確數(shù)據(jù)安全管理各級(jí)組織及相應(yīng)職責(zé)。應(yīng)明確數(shù)據(jù)安全負(fù)責(zé)人。職責(zé)包括但不限于負(fù)責(zé)牽頭制定數(shù)據(jù)安全管理制度、指導(dǎo)數(shù)據(jù)安全對(duì)策建議、監(jiān)督管理制度和措施的執(zhí)行落實(shí)情況等。應(yīng)明確數(shù)據(jù)安全管理機(jī)構(gòu)。數(shù)據(jù)安全管理機(jī)構(gòu)在數(shù)據(jù)安全負(fù)責(zé)人的領(lǐng)導(dǎo)下，履行以下職責(zé)：研究提出數(shù)據(jù)安全相關(guān)重大決策建議；制定實(shí)施數(shù)據(jù)安全保護(hù)計(jì)劃和數(shù)據(jù)安全事件應(yīng)急預(yù)案；開展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)，及時(shí)處置數(shù)據(jù)安全風(fēng)險(xiǎn)和事件；定期組織開展數(shù)據(jù)安全宣傳教育培訓(xùn)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練等活動(dòng)；受理、處置數(shù)據(jù)安全投訴、舉報(bào)；按照要求及時(shí)向網(wǎng)信部門和主管、監(jiān)管部門報(bào)告數(shù)據(jù)安全情況。5應(yīng)明確數(shù)據(jù)安全管理部門，牽頭承擔(dān)單位整體數(shù)據(jù)安全管理工作，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。數(shù)據(jù)安全評(píng)估、數(shù)據(jù)安全監(jiān)測(cè)、數(shù)據(jù)安全事件應(yīng)急處置等工作。應(yīng)明確崗位職責(zé)和能力要求，足額配備具備相應(yīng)崗位能力的數(shù)據(jù)安全人員，負(fù)責(zé)具體落實(shí)數(shù)據(jù)安全管理工作。包括但不限于數(shù)據(jù)梳理、分類分級(jí)、安全評(píng)估、合規(guī)性檢查、權(quán)限管理、安全審計(jì)、理層直接匯報(bào)。重要數(shù)據(jù)保護(hù)擴(kuò)展要求識(shí)和相關(guān)管理工作經(jīng)歷。構(gòu)應(yīng)獨(dú)立設(shè)立。數(shù)據(jù)安全管理制度基本保護(hù)要求控制，并嚴(yán)格執(zhí)行。應(yīng)形成由總體策略、管理規(guī)范、操作規(guī)程、記錄表單等構(gòu)成的數(shù)據(jù)安全管理制度體系。制度體系內(nèi)容應(yīng)包括但不限于數(shù)據(jù)安全總體策略、組織機(jī)構(gòu)與人員管理、數(shù)據(jù)分類分級(jí)、數(shù)數(shù)據(jù)安全應(yīng)急與處置、數(shù)據(jù)安全教育培訓(xùn)、合作方管理、數(shù)據(jù)出境、投訴舉報(bào)受理處置等制度。實(shí)施文件版本控制，確保制度文件的及時(shí)更新和有效訪問(wèn)。改進(jìn)的數(shù)據(jù)安全管理制度進(jìn)行修訂。重要數(shù)據(jù)保護(hù)擴(kuò)展要求策、組織架構(gòu)或業(yè)務(wù)發(fā)生重大變化時(shí)及時(shí)評(píng)估和修訂數(shù)據(jù)安全管理制度和安全策略。數(shù)據(jù)安全人員管理基本保護(hù)要求應(yīng)明確規(guī)定人員錄用、人員培訓(xùn)、人員考核、保密協(xié)議、離崗離職、外部人員管理等方面的數(shù)據(jù)安全管理要求并予以落實(shí)。應(yīng)明確人員崗位職責(zé)、數(shù)據(jù)訪問(wèn)和操作權(quán)限管理要求、人員調(diào)離保密要求、保密期限、違約責(zé)任等，定期審查其行為，對(duì)其數(shù)據(jù)操作行為進(jìn)行有效約束。員參與。6信息報(bào)送記錄等。重要數(shù)據(jù)保護(hù)擴(kuò)展要求數(shù)據(jù)安全教育培訓(xùn)基本保護(hù)要求應(yīng)建立數(shù)據(jù)安全教育培訓(xùn)制度，明確培訓(xùn)周期、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、次數(shù)、課時(shí)和考核評(píng)價(jià)等。應(yīng)制定數(shù)據(jù)安全培訓(xùn)計(jì)劃，定期（至少每年一次）或者政策發(fā)生變化時(shí)組織數(shù)據(jù)安全專業(yè)化培訓(xùn)工作，并對(duì)培訓(xùn)結(jié)果進(jìn)行考核評(píng)價(jià)，留存相關(guān)記錄（如培訓(xùn)計(jì)劃、培訓(xùn)通知、培訓(xùn)課件、簽到表、）。數(shù)據(jù)安全教育培訓(xùn)應(yīng)覆蓋單位全員，培訓(xùn)內(nèi)容覆蓋數(shù)據(jù)安全法律法規(guī)、單位制度要求和實(shí)操員的培訓(xùn)內(nèi)容包括但不限于標(biāo)準(zhǔn)規(guī)范、技能培訓(xùn)、安全評(píng)估、應(yīng)急響應(yīng)、應(yīng)急演練等。數(shù)據(jù)安全人員宜考取資質(zhì)證書，持證上崗。重要數(shù)據(jù)保護(hù)擴(kuò)展要求考核結(jié)果確定任職資格。數(shù)據(jù)合作方管理基本保護(hù)要求明確工作職責(zé)。應(yīng)梳理形成數(shù)據(jù)合作方清單并定期更新，合作方清單包含合作方名稱、合作業(yè)務(wù)或系統(tǒng)、合作形式、合作期限、合作方聯(lián)系人、合作涉及數(shù)據(jù)類型、數(shù)量以及數(shù)據(jù)重要程度等信息。應(yīng)建立數(shù)據(jù)合作方安全管理機(jī)制，如對(duì)合作方的選擇、評(píng)價(jià)、管理、監(jiān)督機(jī)制等。明確合作發(fā)生、數(shù)據(jù)安全事件應(yīng)急響應(yīng)和處置能力等情況，并開展安全評(píng)估。應(yīng)通過(guò)服務(wù)合同或安全保密協(xié)議等形式明確數(shù)據(jù)合作方的數(shù)據(jù)安全保護(hù)責(zé)任和義務(wù)。明確具（應(yīng)符合最小化原則（保障措施不低于本方的安全要求和處罰等。7對(duì)數(shù)據(jù)進(jìn)行刪除。重要數(shù)據(jù)保護(hù)擴(kuò)展要求數(shù)據(jù)提供安全、數(shù)據(jù)刪除與銷毀等方面的風(fēng)險(xiǎn)并加強(qiáng)管控。及時(shí)督促整改，必要時(shí)停止合作，并留存相關(guān)檢查和安全評(píng)估記錄不少于三年。第三方應(yīng)用數(shù)據(jù)安全管理基本保護(hù)要求數(shù)據(jù)安全責(zé)任和義務(wù)。術(shù)檢測(cè)時(shí)發(fā)現(xiàn)超出雙方約定的行為應(yīng)及時(shí)停止接入。停止接入。服務(wù)結(jié)束后，應(yīng)停用或下線相關(guān)系統(tǒng)權(quán)限和接口。重要數(shù)據(jù)保護(hù)擴(kuò)展要求督促整改，必要時(shí)停止合作，并留存相關(guān)檢查和安全評(píng)估記錄不少于三年。第三方應(yīng)用發(fā)生重大變更或更新時(shí)，應(yīng)在變更和更新前進(jìn)行安全評(píng)估。數(shù)據(jù)安全管理認(rèn)證基本保護(hù)要求宜開展數(shù)據(jù)安全管理認(rèn)證工作，通過(guò)認(rèn)證方式規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)。重要數(shù)據(jù)保護(hù)擴(kuò)展要求無(wú)重要數(shù)據(jù)保護(hù)擴(kuò)展要求。投訴、舉報(bào)受理處置基本保護(hù)要求重要數(shù)據(jù)保護(hù)擴(kuò)展要求8無(wú)重要數(shù)據(jù)保護(hù)擴(kuò)展要求。網(wǎng)絡(luò)數(shù)據(jù)通用安全要求數(shù)據(jù)分類分級(jí)保護(hù)基本保護(hù)要求應(yīng)結(jié)合數(shù)據(jù)識(shí)別技術(shù)手段，梳理數(shù)據(jù)，形成數(shù)據(jù)清單。清單內(nèi)容包括所屬部門、數(shù)據(jù)類型、（訪問(wèn)、導(dǎo)出、共享、出境等）、數(shù)據(jù)關(guān)聯(lián)系統(tǒng)等，并定期對(duì)已形成的數(shù)據(jù)清單進(jìn)行更新。應(yīng)依據(jù)數(shù)據(jù)分類分級(jí)制度和方法，在數(shù)據(jù)清單的基礎(chǔ)上標(biāo)記類別和級(jí)別，形成數(shù)據(jù)分類分級(jí)（如（錄。應(yīng)在數(shù)據(jù)分類分級(jí)的基礎(chǔ)上，落實(shí)不同數(shù)據(jù)安全等級(jí)差異化防護(hù)措施要求。明確在數(shù)據(jù)處理識(shí)。宜使用數(shù)據(jù)管理技術(shù)工具定期對(duì)相關(guān)平臺(tái)系統(tǒng)數(shù)據(jù)進(jìn)行定期掃描，能夠發(fā)現(xiàn)識(shí)別重要數(shù)據(jù)和處理場(chǎng)景中數(shù)據(jù)保護(hù)的持續(xù)有效性和合規(guī)性。重要數(shù)據(jù)保護(hù)擴(kuò)展要求有關(guān)規(guī)定從嚴(yán)保護(hù)。宜對(duì)重要數(shù)據(jù)的流轉(zhuǎn)進(jìn)行跟蹤溯源。備案內(nèi)容包括：數(shù)據(jù)處理者基本信息，數(shù)據(jù)安全管理機(jī)構(gòu)信息、數(shù)據(jù)安全負(fù)責(zé)人姓名和聯(lián)系方式等；國(guó)家網(wǎng)信部門和主管、監(jiān)管部門規(guī)定的其他備案內(nèi)容；數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估基本保護(hù)要求9應(yīng)制定數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度，明確評(píng)估目的、范圍、依據(jù)、流程、方法、內(nèi)容、頻率等內(nèi)容。規(guī)、數(shù)據(jù)安全防護(hù)措施落實(shí)、個(gè)人信息保護(hù)等情況，并根據(jù)評(píng)估結(jié)果進(jìn)行處置。開展數(shù)據(jù)共享、交易、委托處理等活動(dòng)前，出現(xiàn)法律法規(guī)重大更改或增刪，業(yè)務(wù)活動(dòng)發(fā)生重行局部或全面數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，形成數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告。重要數(shù)據(jù)保護(hù)擴(kuò)展要求數(shù)據(jù)訪問(wèn)控制基本保護(hù)要求號(hào)權(quán)限的分配、開通、使用、變更、注銷等安全管理要求以及審批流程要求。數(shù)據(jù)處理活動(dòng)使用的賬號(hào)權(quán)限分配應(yīng)遵循“職責(zé)明確、權(quán)限分離、最小特權(quán)”原則，并分配最小化數(shù)據(jù)訪問(wèn)權(quán)限。應(yīng)對(duì)數(shù)據(jù)處理全流程使用的各類賬號(hào)及對(duì)應(yīng)權(quán)限進(jìn)行記錄。賬號(hào)關(guān)聯(lián)對(duì)象包括內(nèi)部、外部和限發(fā)生變更時(shí)及時(shí)更新記錄。應(yīng)對(duì)業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)訪問(wèn)采取身份鑒別、訪問(wèn)控制、安全審計(jì)、傳輸加密等技術(shù)措施。應(yīng)對(duì)數(shù)據(jù)跨安全域傳輸采取安全管控措施，包括但不限于網(wǎng)絡(luò)及應(yīng)用層的訪問(wèn)控制策略。主體為用戶級(jí)或服務(wù)、接口級(jí)別，客體為接口、應(yīng)用功能、文件、數(shù)據(jù)庫(kù)表級(jí)或數(shù)據(jù)項(xiàng)級(jí)別等。應(yīng)集中管控賬號(hào)權(quán)限，對(duì)賬號(hào)進(jìn)行統(tǒng)一身份認(rèn)證和授權(quán)，可采用口令管理、生物識(shí)別、數(shù)字證書、多因子認(rèn)證等技術(shù)措施。重要數(shù)據(jù)保護(hù)擴(kuò)展要求數(shù)據(jù)接口安全基本保護(hù)要求應(yīng)明確數(shù)據(jù)接口的安全要求、管控措施和控制策略，對(duì)數(shù)據(jù)接口實(shí)施調(diào)用審批流程。應(yīng)在數(shù)據(jù)接口調(diào)用前進(jìn)行身份鑒別，通過(guò)技術(shù)手段限制非白名單接口接入，對(duì)接口不安全輸要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽。應(yīng)與接口調(diào)用方明確數(shù)據(jù)的使用目的、供應(yīng)方式、保密約定及數(shù)據(jù)安全責(zé)任等情況。應(yīng)對(duì)相關(guān)接口調(diào)用行為和數(shù)據(jù)交互行為進(jìn)行監(jiān)測(cè)，并進(jìn)行日志記錄。10應(yīng)建立數(shù)據(jù)接口全生命周期管理機(jī)制。定期梳理數(shù)據(jù)接口，形成接口清單，明確不同接口的（）。落實(shí)整改或關(guān)停。宜實(shí)現(xiàn)對(duì)異常數(shù)據(jù)接口調(diào)用行為自動(dòng)預(yù)警、攔截功能。重要數(shù)據(jù)保護(hù)擴(kuò)展要求對(duì)重要數(shù)據(jù)傳輸接口的調(diào)用應(yīng)采取嚴(yán)格的層級(jí)審批程序，由數(shù)據(jù)安全負(fù)責(zé)人進(jìn)行接口調(diào)用審批。數(shù)據(jù)防泄露基本保護(hù)要求應(yīng)對(duì)網(wǎng)絡(luò)、終端等數(shù)據(jù)泄露、流轉(zhuǎn)途徑進(jìn)行監(jiān)控，及時(shí)對(duì)異常數(shù)據(jù)操作行為進(jìn)行預(yù)警，實(shí)現(xiàn)對(duì)異常數(shù)據(jù)操作行為及時(shí)定位和阻斷。應(yīng)定期驗(yàn)證數(shù)據(jù)防泄露技術(shù)措施的有效性。重要數(shù)據(jù)保護(hù)擴(kuò)展要求無(wú)重要數(shù)據(jù)保護(hù)擴(kuò)展要求。數(shù)據(jù)脫敏基本保護(hù)要求應(yīng)制定數(shù)據(jù)脫敏制度，明確數(shù)據(jù)脫敏處理的應(yīng)用場(chǎng)景、處理流程、脫敏規(guī)則、脫敏方法、操作記錄和脫敏數(shù)據(jù)的使用限制等要求。應(yīng)建立靜態(tài)數(shù)據(jù)脫敏和動(dòng)態(tài)數(shù)據(jù)脫敏的技術(shù)能力。應(yīng)定期對(duì)開發(fā)測(cè)試、人員信息公示等應(yīng)用場(chǎng)景的數(shù)據(jù)脫敏開展有效性驗(yàn)證。重要數(shù)據(jù)保護(hù)擴(kuò)展要求無(wú)重要數(shù)據(jù)保護(hù)擴(kuò)展要求。數(shù)據(jù)安全審計(jì)基本保護(hù)要求應(yīng)制定數(shù)據(jù)安全審計(jì)制度，審計(jì)覆蓋數(shù)據(jù)處理活動(dòng)各環(huán)節(jié)，明確審計(jì)策略、審計(jì)對(duì)象、審計(jì)等要求。應(yīng)對(duì)數(shù)據(jù)處理活動(dòng)環(huán)節(jié)實(shí)施日志留存管理，日志記錄至少包括時(shí)間、IPMAC180全審計(jì)報(bào)告。針對(duì)異常情況進(jìn)行復(fù)核并處置，留存處置記錄。重要數(shù)據(jù)保護(hù)擴(kuò)展要求11備份、恢復(fù)等關(guān)鍵操作進(jìn)行安全審計(jì)，并采取技術(shù)措施保護(hù)審計(jì)記錄的完整、準(zhǔn)確、真實(shí)和有效應(yīng)用。數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警基本保護(hù)要求應(yīng)建立數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警機(jī)制，設(shè)置合理有效的風(fēng)險(xiǎn)監(jiān)測(cè)指標(biāo)。應(yīng)配備專人負(fù)責(zé)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)工作，定期出具風(fēng)險(xiǎn)監(jiān)測(cè)報(bào)告。建立數(shù)據(jù)安全監(jiān)測(cè)預(yù)警流程，有效保障業(yè)務(wù)系統(tǒng)所承載數(shù)據(jù)的機(jī)密性、完整性、可用性。應(yīng)定期對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)工作的有效性、全面性進(jìn)行審核驗(yàn)證。宜采取技術(shù)工具對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行收集、分析判斷和持續(xù)監(jiān)控預(yù)警。重要數(shù)據(jù)保護(hù)擴(kuò)展要求獲取發(fā)生的位置、操作以及風(fēng)險(xiǎn)和威脅等信息。數(shù)據(jù)安全應(yīng)急處置基本保護(hù)要求急處置工作。應(yīng)制定數(shù)據(jù)安全應(yīng)急預(yù)案。預(yù)案包括但不限于數(shù)據(jù)泄露（丟失）、數(shù)據(jù)濫用、數(shù)據(jù)被篡改、置機(jī)制，事件場(chǎng)景包括但不限于數(shù)據(jù)泄露、丟失、濫用、篡改、毀損、違規(guī)使用等。發(fā)生數(shù)據(jù)泄露、毀損、丟失、篡改等數(shù)據(jù)安全事件時(shí)，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的應(yīng)急處置措施，及時(shí)告知相關(guān)權(quán)利人，并按照有關(guān)規(guī)定向網(wǎng)信、公安部門和有關(guān)行業(yè)主管部門報(bào)告。數(shù)據(jù)安全應(yīng)急處置后，應(yīng)分析事件發(fā)生原因，總結(jié)應(yīng)急處置經(jīng)驗(yàn)，調(diào)整數(shù)據(jù)安全策略，形成事件調(diào)查記錄和總結(jié)報(bào)告，避免再次發(fā)生類似情況。關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生數(shù)據(jù)泄露時(shí)，應(yīng)及時(shí)上報(bào)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作部門。應(yīng)跟蹤和記錄數(shù)據(jù)收集、分析、加工、挖掘等處理過(guò)程，實(shí)現(xiàn)數(shù)據(jù)安全事件可溯源。密性。重要數(shù)據(jù)保護(hù)擴(kuò)展要求在事件處置完畢后5個(gè)工作日內(nèi)報(bào)告事件原因、危害后果、責(zé)任處置、改進(jìn)措施等情況。12網(wǎng)絡(luò)安全等級(jí)保護(hù)基本保護(hù)要求應(yīng)落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，按要求開展網(wǎng)絡(luò)定級(jí)備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)和自查等工作。重要數(shù)據(jù)保護(hù)擴(kuò)展要求處理重要數(shù)據(jù)和100萬(wàn)人及以上個(gè)人信息的信息系統(tǒng)應(yīng)滿足三級(jí)及以上網(wǎng)絡(luò)安全等級(jí)保護(hù)要求。網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)安全要求數(shù)據(jù)收集安全基本保護(hù)要求應(yīng)明確數(shù)據(jù)收集的目的、規(guī)模、用途、范圍、類型、渠道、頻度、存儲(chǔ)期限、存儲(chǔ)地點(diǎn)以及時(shí)對(duì)數(shù)據(jù)源進(jìn)行追蹤和溯源，防止數(shù)據(jù)仿冒和數(shù)據(jù)偽造。的安全管控措施。性進(jìn)行鑒別，確保數(shù)據(jù)收集渠道的合法性和正當(dāng)性。的機(jī)密性、完整性和可用性。重要數(shù)據(jù)保護(hù)擴(kuò)展要求應(yīng)采取加密、訪問(wèn)控制等安全措施保證數(shù)據(jù)收集過(guò)程中重要數(shù)據(jù)不被泄露。在收集重要數(shù)據(jù)前應(yīng)進(jìn)行安全評(píng)估，評(píng)估內(nèi)容包括收集數(shù)據(jù)的目的、范圍、頻度、方式、存儲(chǔ)期限等是否符合法律法規(guī)的規(guī)定。數(shù)據(jù)存儲(chǔ)安全基本保護(hù)要求應(yīng)制定數(shù)據(jù)存儲(chǔ)管理制度，對(duì)安全管控措施、數(shù)據(jù)訪問(wèn)流程、訪問(wèn)控制、介質(zhì)管理、存儲(chǔ)時(shí)限等作出規(guī)定。風(fēng)險(xiǎn)。存儲(chǔ)介質(zhì)應(yīng)進(jìn)行安全性檢測(cè)，在確保安全的情況下方可使用。式、備份地點(diǎn)、數(shù)據(jù)恢復(fù)性驗(yàn)證機(jī)制等。應(yīng)建立數(shù)據(jù)備份與恢復(fù)功能，定期開展數(shù)據(jù)備份及恢復(fù)測(cè)試，保障數(shù)據(jù)的可用性與完整性。宜具備勒索病毒事前預(yù)警、事中阻斷及事后恢復(fù)的保障能力。宜提供數(shù)據(jù)處理環(huán)節(jié)關(guān)聯(lián)信息系統(tǒng)的熱冗余，保證數(shù)據(jù)的高可用性。13宜建立異地災(zāi)難備份中心，提供數(shù)據(jù)的實(shí)時(shí)切換。重要數(shù)據(jù)保護(hù)擴(kuò)展要求應(yīng)采用加密技術(shù)對(duì)重要數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。應(yīng)在中國(guó)境內(nèi)存儲(chǔ)境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)。對(duì)重要數(shù)據(jù)的存儲(chǔ)區(qū)域應(yīng)采取嚴(yán)格的訪問(wèn)控制，對(duì)不同區(qū)域之間的數(shù)據(jù)流動(dòng)開展安全管控。數(shù)據(jù)應(yīng)及時(shí)銷毀。應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地。數(shù)據(jù)使用安全基本保護(hù)要求應(yīng)明確數(shù)據(jù)使用業(yè)務(wù)場(chǎng)景的目的、范圍、審批流程（含權(quán)限授予、變更、撤銷等）、人員崗位職責(zé)等，在保障安全、數(shù)據(jù)合法正、當(dāng)使用的情況下開展數(shù)據(jù)利用。應(yīng)根據(jù)不同數(shù)據(jù)使用場(chǎng)景和數(shù)據(jù)安全等級(jí)明確安全管理要求，采用相應(yīng)級(jí)別的安全措施（如經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的情況。應(yīng)對(duì)不同數(shù)據(jù)使用場(chǎng)景采取數(shù)字水印等技術(shù)，實(shí)現(xiàn)數(shù)據(jù)防泄密及溯源能力。應(yīng)完整記錄數(shù)據(jù)使用過(guò)程的操作日志，以備對(duì)潛在違約使用者責(zé)任的識(shí)別和追責(zé)。生產(chǎn)環(huán)境應(yīng)與測(cè)試環(huán)境隔離。測(cè)試數(shù)據(jù)應(yīng)脫敏，并定期清理。重要數(shù)據(jù)保護(hù)擴(kuò)展要求3法、正當(dāng)、必要、安全使用重要數(shù)據(jù)。應(yīng)對(duì)重要數(shù)據(jù)使用實(shí)施嚴(yán)格的訪問(wèn)控制策略和制度，實(shí)施安全保護(hù)措施。重要數(shù)據(jù)批量查詢、批量修改、批量導(dǎo)出時(shí)，應(yīng)建立多層級(jí)的審批程序，并進(jìn)行記錄。數(shù)據(jù)加工安全基本保護(hù)要求合法合規(guī)的組織機(jī)構(gòu)或個(gè)人。在數(shù)據(jù)加工前，應(yīng)明確數(shù)據(jù)加工目的、范圍、期限、規(guī)則及數(shù)據(jù)加工主體的責(zé)任與義務(wù)。定的，應(yīng)立即停止加工活動(dòng)。開展數(shù)據(jù)加工活動(dòng)，應(yīng)采取訪問(wèn)控制、數(shù)據(jù)防泄露、日志留存、安全審計(jì)等安全措施確保過(guò)程安全、合規(guī)可控、可溯源。14委托他人加工處理數(shù)據(jù)的，應(yīng)與其訂立數(shù)據(jù)安全保護(hù)合同，明確雙方安全保護(hù)責(zé)任，約定委對(duì)數(shù)據(jù)加工的過(guò)程應(yīng)進(jìn)行評(píng)估與監(jiān)控，對(duì)數(shù)據(jù)加工過(guò)程的數(shù)據(jù)操作行為進(jìn)行記錄、審計(jì)，對(duì)異常數(shù)據(jù)操作行為及時(shí)預(yù)警、處置。對(duì)數(shù)據(jù)加工結(jié)果應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，確保新數(shù)據(jù)合法、正當(dāng)。應(yīng)提供安全的數(shù)據(jù)加工環(huán)境，包括網(wǎng)絡(luò)環(huán)境、物理環(huán)境等，避免因加工活動(dòng)產(chǎn)生數(shù)據(jù)泄露、數(shù)據(jù)破壞等安全風(fēng)險(xiǎn)。重要數(shù)據(jù)保護(hù)擴(kuò)展要求應(yīng)制定重要數(shù)據(jù)加工的審批制度，明確審批流程、審批內(nèi)容、安全評(píng)估等，并執(zhí)行及保存審3在加工重要數(shù)據(jù)前應(yīng)進(jìn)行安全評(píng)估，評(píng)估內(nèi)容包括目的、范圍、方式、安全措施等，確保合法、正當(dāng)、必要、安全加工重要數(shù)據(jù)。數(shù)據(jù)傳輸安全基本保護(hù)要求數(shù)據(jù)傳輸終端身份鑒別等。應(yīng)對(duì)數(shù)據(jù)傳輸兩端進(jìn)行身份鑒別，確保數(shù)據(jù)傳輸雙方可信任。應(yīng)采用加密技術(shù)保證數(shù)據(jù)在傳輸過(guò)程中的保密性。應(yīng)采用校驗(yàn)技術(shù)保證數(shù)據(jù)在傳輸過(guò)程中的完整性。宜對(duì)關(guān)鍵網(wǎng)絡(luò)傳輸線路及核心設(shè)備實(shí)施冗余建設(shè)，確保數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)可用性?，F(xiàn)數(shù)據(jù)原發(fā)行為的抗抵賴和數(shù)據(jù)接收行為的抗抵賴。重要數(shù)據(jù)保護(hù)擴(kuò)展要求傳輸重要數(shù)據(jù)時(shí)，應(yīng)采用加密、簽名、防重放等安全措施。數(shù)據(jù)提供安全基本保護(hù)要求向他人提供數(shù)據(jù)前，應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并采取有效的相應(yīng)安全級(jí)別的保護(hù)措施。共享、轉(zhuǎn)讓、委托處理數(shù)據(jù)的，應(yīng)與數(shù)據(jù)接收方通過(guò)合同等方式，明確數(shù)據(jù)使用目的、供應(yīng)享、轉(zhuǎn)讓情況及安全管理記錄。發(fā)生收購(gòu)、兼并、重組、破產(chǎn)時(shí)，應(yīng)通過(guò)合同等方式明確數(shù)據(jù)接收方應(yīng)繼續(xù)履行相關(guān)數(shù)據(jù)安果。數(shù)據(jù)交易應(yīng)按照相關(guān)法律、法規(guī)、規(guī)章的要求開展，加強(qiáng)交易過(guò)程的數(shù)據(jù)安全保護(hù)。應(yīng)具備數(shù)據(jù)提供場(chǎng)景的數(shù)據(jù)溯源能力（如對(duì)數(shù)據(jù)進(jìn)行簽名、添加數(shù)字水印等），確保共享、轉(zhuǎn)讓數(shù)據(jù)可溯源。宜采用數(shù)據(jù)空間、隱私計(jì)算、數(shù)據(jù)沙箱、數(shù)字身份等技術(shù)實(shí)現(xiàn)數(shù)據(jù)流通的安全性。15數(shù)據(jù)出境應(yīng)遵守以下要求：數(shù)據(jù)出境行為；建立跨境數(shù)據(jù)的評(píng)估、審批及監(jiān)管控制流程，并依據(jù)流程實(shí)施相關(guān)控制并記錄過(guò)程；境內(nèi)用戶在境內(nèi)訪問(wèn)境內(nèi)網(wǎng)絡(luò)的，其流量不應(yīng)路由至境外。重要數(shù)據(jù)保護(hù)擴(kuò)展要求3在對(duì)外共享、轉(zhuǎn)讓、交易、委托處理等重要數(shù)據(jù)提供活動(dòng)前，應(yīng)進(jìn)行安全評(píng)估，評(píng)估內(nèi)容包括目的、范圍、方式、數(shù)量、安全措施、接收方情況等，確保合法、正當(dāng)、必要、安全。提供重要數(shù)據(jù)，應(yīng)采取加密等安全措施。數(shù)據(jù)公開安全基本保護(hù)要求公開時(shí)效、安全保障措施、可能的風(fēng)險(xiǎn)與影響范圍等。安全產(chǎn)生重大影響的，不應(yīng)公開（法律、法規(guī)、規(guī)章另有規(guī)定的除外）。應(yīng)定期審查公開發(fā)布的數(shù)據(jù)及其衍生數(shù)據(jù)中是否含有非公開信息。重要數(shù)據(jù)保護(hù)擴(kuò)展要求毀處理。數(shù)據(jù)刪除與銷毀安全基本保護(hù)要求應(yīng)建立數(shù)據(jù)銷毀規(guī)程，明確數(shù)據(jù)刪除與銷毀場(chǎng)景、方式及審批機(jī)制，設(shè)置相關(guān)監(jiān)督角色，記錄數(shù)據(jù)刪除與銷毀操作過(guò)程（包括操作人、操作時(shí)間、操作內(nèi)容、操作方式等）。應(yīng)建立數(shù)據(jù)存儲(chǔ)介質(zhì)的銷毀管理制度，明確存儲(chǔ)介質(zhì)銷毀處理策略、流程、技術(shù)措施、銷毀方法等，并記錄存儲(chǔ)介質(zhì)銷毀操作過(guò)程。有下列情形之一的，應(yīng)當(dāng)主動(dòng)刪除數(shù)據(jù)：數(shù)據(jù)處理目的已實(shí)現(xiàn)、無(wú)法實(shí)現(xiàn)或者不再必要；停止履行相關(guān)職能或者提供服務(wù)；數(shù)據(jù)保存期限已到期；違反法律、法規(guī)、規(guī)章及相關(guān)規(guī)定處理數(shù)據(jù)；因安全等原因需要進(jìn)行回收處理的數(shù)據(jù)；法律、法規(guī)、規(guī)章規(guī)定的其他情形。從技術(shù)上難以實(shí)現(xiàn)刪除的，應(yīng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理活動(dòng)。磁、多次擦寫等。16應(yīng)在中國(guó)境內(nèi)對(duì)數(shù)據(jù)進(jìn)行刪除和對(duì)存儲(chǔ)介質(zhì)進(jìn)行銷毀。或數(shù)據(jù)發(fā)現(xiàn)工具進(jìn)行數(shù)據(jù)的嘗試恢復(fù)及檢查，驗(yàn)證數(shù)據(jù)刪除與銷毀結(jié)果的有效性。重要數(shù)據(jù)保護(hù)擴(kuò)展要求安全措施、再利用的可能性等方面開展評(píng)估，并經(jīng)數(shù)據(jù)安全負(fù)責(zé)人批準(zhǔn)。應(yīng)對(duì)重要數(shù)據(jù)刪除與銷毀過(guò)程留存審計(jì)日志，記錄數(shù)據(jù)刪除的審批、實(shí)施過(guò)程，以及被刪除數(shù)據(jù)的具體情況。在刪除重要數(shù)據(jù)后，應(yīng)及時(shí)更新重要數(shù)據(jù)清單和目錄。能被恢復(fù)。個(gè)人信息保護(hù)擴(kuò)展要求個(gè)人信息保護(hù)一般要求5710057個(gè)人信息保護(hù)管理要求個(gè)人信息保護(hù)管理組織應(yīng)通過(guò)正式文件或制度明確法定代表人或主要負(fù)責(zé)人對(duì)個(gè)人信息保護(hù)負(fù)全面領(lǐng)導(dǎo)責(zé)任。人信息安全負(fù)直接責(zé)任。處理個(gè)人信息滿足以下條件之一的，應(yīng)通過(guò)正式文件或制度明確專職個(gè)人信息保護(hù)工作機(jī)構(gòu)方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)部門：2001001210010外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。境外個(gè)人信息處理者應(yīng)明確境內(nèi)專門個(gè)人信息保護(hù)機(jī)構(gòu)或指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)處責(zé)的部門。個(gè)人信息保護(hù)管理制度內(nèi)容包括個(gè)人信息分類管理、權(quán)限管理、個(gè)人信息保護(hù)影響評(píng)估、合規(guī)審計(jì)、兒童個(gè)人信息保護(hù)等。宜每年按要求制定個(gè)人信息保護(hù)工作計(jì)劃，并組織按時(shí)完成，留存相關(guān)記錄，留存時(shí)間符合法律法規(guī)的要求。個(gè)人信息保護(hù)人員管理與教育培訓(xùn)17應(yīng)對(duì)接觸個(gè)人信息或敏感個(gè)人信息人員進(jìn)行資格審查、簽署保密協(xié)議、審批和登記，并明確崗位職責(zé)、數(shù)據(jù)訪問(wèn)范圍、操作權(quán)限、人員調(diào)離保密要求、保密期限、違約責(zé)任等，定期審查其行為，有效約束其數(shù)據(jù)操作行為。結(jié)果確定任職資格。個(gè)人信息保護(hù)投訴舉報(bào)管理核。人信息主體查詢、使用。個(gè)人信息安全應(yīng)急處置個(gè)人信息處理者應(yīng)制定個(gè)人信息安全事件應(yīng)急預(yù)案，發(fā)生個(gè)人信息安全事件或發(fā)生個(gè)人信息短信、郵件或信函等方式告知個(gè)人信息主體及相關(guān)權(quán)利人，并記錄事件全過(guò)程。105況。個(gè)人信息保護(hù)認(rèn)證宜開展個(gè)人信息保護(hù)認(rèn)證工作，通過(guò)認(rèn)證方式提升個(gè)人信息保護(hù)能力。個(gè)人信息保護(hù)合規(guī)審計(jì)處理個(gè)人信息應(yīng)定期（處理超過(guò)100萬(wàn)人個(gè)人信息的應(yīng)每年至少一次，其他每?jī)赡曛辽僖淮危┫⑦`規(guī)使用、濫用等情況，并留存審計(jì)記錄。個(gè)人信息處理安全要求個(gè)人信息收集安全應(yīng)遵循合法、正當(dāng)、必要和誠(chéng)信原則，不收集與其提供的服務(wù)無(wú)直接或無(wú)合理關(guān)聯(lián)，或超出個(gè)人信息主體明示同意期限的個(gè)人信息，且遵守以下收集要求：GB/T35273—20205.5的要求；收集前明示政策，征得主體同意（GB/T35273—20205.6）；改變及時(shí)告知，修改政策并重新征得同意，改變涵蓋目的、類型、范圍、用途；明示產(chǎn)品服務(wù)類型，不得以用戶不同意收集非必要個(gè)人信息為由拒絕服務(wù)；用戶同意收集；收集敏感個(gè)人信息前，應(yīng)取得主體單獨(dú)同意，確保完全知情、意愿自主；1814開啟自主選擇功能，僅在主體自主選擇后才開始收集個(gè)人信息；要求提供方說(shuō)明個(gè)人信息來(lái)源與主體授權(quán)同意的范圍。應(yīng)采取加密、訪問(wèn)控制等安全措施保證數(shù)據(jù)收集過(guò)程中個(gè)人信息不被泄露。所必需，并設(shè)置顯著提示標(biāo)志，若用于維護(hù)公共安全以外用途的，應(yīng)取得個(gè)人單獨(dú)同意。個(gè)人信息存儲(chǔ)安全個(gè)人信息存儲(chǔ)期限為實(shí)現(xiàn)個(gè)人信息主體授權(quán)使用目的所必需的最短時(shí)間（法律法規(guī)另有規(guī)定或者個(gè)人信息主體另行授權(quán)同意的除外理。存儲(chǔ)個(gè)人生物識(shí)別信息（如樣本、圖像等）時(shí)，應(yīng)僅存儲(chǔ)摘要信息，并將個(gè)人生物識(shí)別信息應(yīng)與個(gè)人身份信息分開存儲(chǔ)。（GB/T35273–20206.3b)和c)的要求及生物特征識(shí)別信息保護(hù)相關(guān)國(guó)家標(biāo)準(zhǔn)要求）。境內(nèi)收集的個(gè)人信息應(yīng)在境內(nèi)存儲(chǔ)。應(yīng)加密存儲(chǔ)敏感個(gè)人信息。加強(qiáng)訪問(wèn)和使用的權(quán)限管理。個(gè)人信息使用安全同意。應(yīng)對(duì)被授權(quán)訪問(wèn)個(gè)人信息的人員，建立最小授權(quán)的訪問(wèn)控制策略。對(duì)個(gè)人信息傳輸接口的調(diào)用應(yīng)采取嚴(yán)格的審批程序和訪問(wèn)控制。對(duì)個(gè)人信息的批量修改、拷貝、刪除、下載等重大操作行為，應(yīng)設(shè)置內(nèi)部審批和審計(jì)流程，執(zhí)行并記錄操作行為。應(yīng)在對(duì)角色權(quán)限控制的基礎(chǔ)上，對(duì)敏感個(gè)人信息的訪問(wèn)、修改、刪除、導(dǎo)出等操作行為，按審計(jì)。息保護(hù)工作機(jī)構(gòu)進(jìn)行審批，并記錄在冊(cè)。應(yīng)對(duì)需展示的個(gè)人信息采取去標(biāo)識(shí)化處理等措施，降低個(gè)人信息在展示環(huán)節(jié)的泄露風(fēng)險(xiǎn)。自動(dòng)化決策機(jī)制的使用應(yīng)保證決策的透明度和結(jié)果公平、公正，同時(shí)應(yīng)滿足以下要求：使用前及使用期間（至少每年一次）開展個(gè)人信息安全影響評(píng)估；拒絕方式；提供針對(duì)自動(dòng)化決策結(jié)果的投訴渠道，并支持對(duì)自動(dòng)化決策結(jié)果的人工復(fù)核；（像個(gè)人信息加工安全19息處理活動(dòng)進(jìn)行監(jiān)督、審計(jì)，不得超出已征得個(gè)人信息主體授權(quán)同意的范圍。個(gè)人信息傳輸安全傳輸個(gè)人敏感信息時(shí)，應(yīng)該采取加密等安全措施。個(gè)人信息提供安全個(gè)人信息對(duì)外提供場(chǎng)景包括委托處理、共享、轉(zhuǎn)讓、交易、出境等場(chǎng)景。個(gè)人信息處理者對(duì)外提供個(gè)人信息時(shí)，應(yīng)與接收方簽訂合同或協(xié)議，約定提供數(shù)據(jù)的目的、期限、方式及個(gè)人信息的種類、接收方應(yīng)當(dāng)采取的技術(shù)措施和管理措施、雙方的權(quán)利義務(wù)等；個(gè)人信息處理者對(duì)外提供個(gè)人信息時(shí)，應(yīng)向個(gè)人信息主體告知接收方的名稱或者姓名、聯(lián)系產(chǎn)生的后果，并取得個(gè)人信息主體同意（GB/T35273