T-ISC 0046-2024 數(shù)據(jù)跨境流通安全技術(shù)要求

CSSL60Technicalrequirementsforsecurityofcross-borderdataflow2024-06-12發(fā)布中國互聯(lián)網(wǎng)協(xié)會發(fā)布IT/ISC0046—2024前言 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5數(shù)據(jù)跨境流通概述 5.1數(shù)據(jù)跨境流通活動 5.2數(shù)據(jù)跨境流通模式 5.3數(shù)據(jù)跨境流通風(fēng)險 6數(shù)據(jù)跨境安全原則 6.1合法合規(guī) 6.3最小必要 6.4安全可控 6.5權(quán)責(zé)一致 7數(shù)據(jù)跨境流通安全流程 7.1基本流程 7.2數(shù)據(jù)跨境流通安全評估 7.3數(shù)據(jù)跨境流通準(zhǔn)備 7.4數(shù)據(jù)跨境執(zhí)行 7.5跨境數(shù)據(jù)存儲 7.6跨境數(shù)據(jù)使用 7.7跨境數(shù)據(jù)銷毀 8數(shù)據(jù)跨境安全保障 8.1外部環(huán)境 8.2制度體系 8.3組織人員 8.4技術(shù)能力 8.5監(jiān)督檢查 8.6應(yīng)急處置 參考文獻(xiàn) 8T/ISC0046—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由奇安信科技集團(tuán)股份有限公司提出。本文件由中國互聯(lián)網(wǎng)協(xié)會歸口。本文件起草單位：奇安信科技集團(tuán)股份有限公司、桂林電子科技大學(xué)、智研高科（北京）信息技術(shù)發(fā)展有限公司、國科華創(chuàng)認(rèn)證有限責(zé)任公司、上海計算機(jī)軟件技術(shù)開發(fā)中心、運(yùn)易通科技有限公司、北京萬里紅科技有限公司、北京大學(xué)長沙計算與數(shù)字經(jīng)濟(jì)研究院、聯(lián)通數(shù)字科技有限公司、東軟集團(tuán)股份有限公司、清華大學(xué)丘成桐數(shù)學(xué)科學(xué)中心、數(shù)力聚（北京）科技有限公司、中科信息安全共性技術(shù)國家工程研究中心有限公司、北京政務(wù)信息安全保障中心(北京信息安全測評中心)、中國電信數(shù)據(jù)發(fā)展中心。本文件主要起草人：安錦程、孔堅、李春海、楊昌松、梁海、張禮、楊小琴、劉振宇、張孟、劉海峰、劉利、江海昇、王巧麗、周昌令、唐源、劉建國、李冰、李凡、楊碩、丁津泰、李樂平、楊晨光、付昆、曹國華、劉元、李媛、高琦、姜晨、劉前偉、黃亮、劉洋、胡建勛、許宏偉。1T/ISC0046—2024數(shù)據(jù)跨境流通安全技術(shù)要求本文件規(guī)定了數(shù)據(jù)跨境的模式、基本原則、基本流程，以及跨境過程中相關(guān)方的行為準(zhǔn)則與信息安全保障措施。本文件適用于開展數(shù)據(jù)跨境活動的相關(guān)機(jī)構(gòu)參考使用，并為數(shù)據(jù)跨境活動的相關(guān)機(jī)構(gòu)信息安全控制措施的部署提供指導(dǎo)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1數(shù)據(jù)data任何以電子或者其他方式對信息的記錄。3.2個人信息personalinformation以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，不包括匿名化處理后的信息。[來源：GB/T35273—2020，3.6]3.3重要數(shù)據(jù)importantdata一旦泄露可能直接影響國家安全、公共安全、經(jīng)濟(jì)安全和社會穩(wěn)定的數(shù)據(jù)。[來源：GB/T41479—2022，3.9]3.4數(shù)據(jù)跨境活動datacross-borderactivities將境內(nèi)收集或產(chǎn)生的數(shù)據(jù)通過網(wǎng)絡(luò)傳輸方式提供給境外機(jī)構(gòu)的一次性或連續(xù)性活動。3.5數(shù)據(jù)跨境評估datacross-bordertransmissionassessment對數(shù)據(jù)和數(shù)據(jù)處理活動的安全風(fēng)險和違法違規(guī)問題進(jìn)行檢測評估的過程。4縮略語2T/ISC0046—2024下列縮略語適用于本文件。API：應(yīng)用程序接口（ApplicationProgrammingInterface）5數(shù)據(jù)跨境流通概述5.1數(shù)據(jù)跨境流通活動本文件所述數(shù)據(jù)跨境活動是指在中華人民共和國境內(nèi)（不含香港、澳門）收集或產(chǎn)生的數(shù)據(jù)通過網(wǎng)絡(luò)傳輸方式提供給境外機(jī)構(gòu)的一次性或連續(xù)性活動。5.2數(shù)據(jù)跨境流通模式數(shù)據(jù)跨境活動的參與方包括：——數(shù)據(jù)發(fā)送方：數(shù)據(jù)跨境活動的發(fā)起者，在境內(nèi)收集、產(chǎn)生數(shù)據(jù)的機(jī)構(gòu)；——數(shù)據(jù)接收方：境外運(yùn)營的接收并進(jìn)行數(shù)據(jù)處理的機(jī)構(gòu)；——境外數(shù)據(jù)處理相關(guān)方：通過數(shù)據(jù)接收方間接參與跨境數(shù)據(jù)處理的境外機(jī)構(gòu)。5.3數(shù)據(jù)跨境流通風(fēng)險數(shù)據(jù)跨境流通風(fēng)險是指數(shù)據(jù)跨境活動可能對國家安全、社會利益、個人權(quán)益等造成的不良影響，包括但不限于：a)數(shù)據(jù)提供風(fēng)險：數(shù)據(jù)發(fā)送方提供數(shù)據(jù)的行為可能損害自身、客戶及相關(guān)方權(quán)益等，包括行為造成的風(fēng)險和數(shù)據(jù)內(nèi)容造成的風(fēng)險；b)數(shù)據(jù)傳輸風(fēng)險：數(shù)據(jù)傳輸過程中存在數(shù)據(jù)損壞、篡改、泄露等風(fēng)險；c)數(shù)據(jù)存儲風(fēng)險：數(shù)據(jù)出境后，存在接收方、數(shù)據(jù)處理相關(guān)方因數(shù)據(jù)存儲不當(dāng)或數(shù)據(jù)安全保障措施落實(shí)不到位等造成的數(shù)據(jù)泄露風(fēng)險；d)數(shù)據(jù)使用風(fēng)險：數(shù)據(jù)出境后，存在未經(jīng)授權(quán)的訪問、修改、轉(zhuǎn)讓、共享等安全風(fēng)險。6數(shù)據(jù)跨境安全原則6.1合法合規(guī)數(shù)據(jù)跨境活動的開展按照國家及行業(yè)相關(guān)法律法規(guī)要求及數(shù)據(jù)跨境參與方的有關(guān)合同約定。6.2目的明確數(shù)據(jù)跨境活動具有明確、清晰、具體的數(shù)據(jù)跨境目的。6.3最小必要數(shù)據(jù)跨境活動所使用的數(shù)據(jù)為完成當(dāng)前跨境業(yè)務(wù)所需要的最少數(shù)據(jù)類型和數(shù)據(jù)量。6.4安全可控數(shù)據(jù)跨境活動各參與方具備與所面臨的安全風(fēng)險相匹配的安全保障能力，并采取足夠的管理措施和技術(shù)手段，保護(hù)跨境數(shù)據(jù)的保密性、完整性及可用性。6.5權(quán)責(zé)一致3T/ISC0046—2024數(shù)據(jù)跨境流通活動各參與方采取安全技術(shù)等必要措施跨境數(shù)據(jù)的安全，并承擔(dān)因數(shù)據(jù)跨境造成的數(shù)據(jù)主體合法權(quán)益損害責(zé)任。7數(shù)據(jù)跨境流通安全流程7.1基本流程數(shù)據(jù)跨境流通包含數(shù)據(jù)跨境評估、數(shù)據(jù)跨境準(zhǔn)備、數(shù)據(jù)跨境執(zhí)行、數(shù)據(jù)跨境完成、跨境數(shù)據(jù)使用五個關(guān)鍵環(huán)節(jié)，見圖1。工作流程覆蓋跨境數(shù)據(jù)發(fā)送方、數(shù)據(jù)接收方及數(shù)據(jù)處理相關(guān)方。數(shù)據(jù)發(fā)送方與數(shù)據(jù)接收方應(yīng)遵循流程要求，保存各流程產(chǎn)生的文件和記錄。圖1數(shù)據(jù)跨境流程7.2數(shù)據(jù)跨境流通安全評估數(shù)據(jù)跨境需求是數(shù)據(jù)跨境流程啟動的條件。跨境流程啟動后，應(yīng)首先開展數(shù)據(jù)跨境評估，為后續(xù)數(shù)據(jù)跨境活動是否能夠開展提供必要的判斷依據(jù)。a)數(shù)據(jù)跨境評估流程參考《數(shù)據(jù)出境安全評估辦法》執(zhí)行。b)數(shù)據(jù)跨境評估應(yīng)在數(shù)據(jù)跨境活動開始前，或數(shù)據(jù)跨境目的、業(yè)務(wù)、數(shù)據(jù)范圍、數(shù)據(jù)類型、數(shù)據(jù)量等發(fā)生較大變化、數(shù)據(jù)接收方變更或發(fā)生重大安全事件時開展。數(shù)據(jù)跨境評估的內(nèi)容包括但不限于：——合法合規(guī)評估。根據(jù)數(shù)據(jù)跨境中所涉及的業(yè)務(wù)、數(shù)據(jù)、數(shù)據(jù)處理機(jī)構(gòu)及相關(guān)數(shù)據(jù)處理活動，識別該數(shù)據(jù)跨境活動相關(guān)法律法規(guī)和監(jiān)管部門要求并開展評估?！匾栽u估。數(shù)據(jù)跨境必要性包括但不限于：業(yè)務(wù)開展的必要性；所提供數(shù)據(jù)類型、數(shù)量的必要性；履行機(jī)構(gòu)合同義務(wù)所必需；履行我國與其他國家和地區(qū)、國際組織等簽署的條約、協(xié)議所必需；其他維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、經(jīng)濟(jì)發(fā)展、社會公共利益和保護(hù)公民合法利益所需。——安全性評估。根據(jù)數(shù)據(jù)跨境中所涉及的數(shù)據(jù)類型、重要/敏感程度、數(shù)量、頻率、范圍以及數(shù)據(jù)接收方安全保障能力等開展數(shù)據(jù)跨境安全性評估。應(yīng)從國家安全、經(jīng)濟(jì)穩(wěn)定，以及數(shù)據(jù)一旦泄露將對社會穩(wěn)定與公眾利益造成損害的等方面評價數(shù)據(jù)跨境安全。c)應(yīng)根據(jù)數(shù)據(jù)跨境評估結(jié)果，對數(shù)據(jù)跨境活動的開展進(jìn)行調(diào)整：4T/ISC0046—20241)數(shù)據(jù)跨境各項(xiàng)評估均通過后，可開展數(shù)據(jù)跨境準(zhǔn)備活動；2)合法合規(guī)或必要性評估不通過的，禁止開展數(shù)據(jù)跨境活動；3)安全性評估不通過的，應(yīng)進(jìn)行安全策略檢查或更正，并重新開展數(shù)據(jù)安全性評估。7.3數(shù)據(jù)跨境流通準(zhǔn)備數(shù)據(jù)發(fā)送方和數(shù)據(jù)接收方應(yīng)協(xié)同制定安全、合理、可操作的數(shù)據(jù)跨境安全方案。a)數(shù)據(jù)跨境安全方案內(nèi)容包括但不限于：——數(shù)據(jù)出境的原因、目的、時間；——跨境數(shù)據(jù)的類型、數(shù)量、頻率、范圍等信息；——數(shù)據(jù)的跨境傳輸及使用方式、范圍、場景、注意事項(xiàng)等；——數(shù)據(jù)發(fā)送方、接收方的安全保障能力和安全責(zé)任；——跨境數(shù)據(jù)安全相關(guān)保障措施。b)數(shù)據(jù)發(fā)送方應(yīng)依據(jù)數(shù)據(jù)跨境安全方案開展數(shù)據(jù)準(zhǔn)備。應(yīng)對準(zhǔn)備的數(shù)據(jù)和相關(guān)信息系統(tǒng)采取有效安全措施，防止數(shù)據(jù)泄露等風(fēng)險。宜采取雙人控制的方式開展數(shù)據(jù)準(zhǔn)備和結(jié)果確認(rèn)。c)數(shù)據(jù)發(fā)送方在跨境傳輸個人信息時，應(yīng)告知個人信息主體開展個人信息跨境活動的數(shù)據(jù)發(fā)送方和數(shù)據(jù)接收方的基本情況，包括名稱或者姓名、聯(lián)系方式、向境外提供個人信息的目的、類型處理方式、保存期限，以及行使個人信息主體權(quán)利的方式和程序等事項(xiàng)，但是法律、行政法規(guī)規(guī)定不需要告知的除外；基于個人同意向境外提供個人信息的，數(shù)據(jù)放松方應(yīng)當(dāng)取得個人信息主體的單獨(dú)同意，涉及不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)取得未成人的父母或者其他監(jiān)護(hù)人的單獨(dú)同意。法律行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的，應(yīng)當(dāng)取得書面同意。7.4數(shù)據(jù)跨境執(zhí)行數(shù)據(jù)發(fā)送方和接收方應(yīng)按照跨境安全方案執(zhí)行數(shù)據(jù)跨境操作：a)應(yīng)利用通道加密、數(shù)據(jù)加密、專線通道等機(jī)制保護(hù)數(shù)據(jù)傳輸過程的安全性；b)應(yīng)對通信雙方（包括機(jī)構(gòu)、接口、設(shè)備、系統(tǒng)等）進(jìn)行身份驗(yàn)證，并通過數(shù)字簽名等方式保證數(shù)據(jù)傳輸抗抵賴性；c)應(yīng)采用數(shù)據(jù)加密、數(shù)據(jù)完整性校驗(yàn)等方式，保證數(shù)據(jù)存儲過程中所的數(shù)據(jù)保密性、完整性；d)應(yīng)在數(shù)據(jù)傳輸完成后及時關(guān)閉通信接口，并更改或刪除接口開放、使用等管控權(quán)限；e)應(yīng)對跨境數(shù)據(jù)建立有效的訪問控制機(jī)制，宜進(jìn)行字段級訪問控制；f)數(shù)據(jù)發(fā)送方采用API方式進(jìn)行跨境數(shù)據(jù)傳輸?shù)?，?yīng)當(dāng)對傳輸數(shù)據(jù)的API進(jìn)行風(fēng)險監(jiān)測，包括對信息采集、信息預(yù)處理、信息識別策略配置、分析告警等進(jìn)行監(jiān)測。7.5跨境數(shù)據(jù)存儲跨境數(shù)據(jù)存儲符合以下要求：a)數(shù)據(jù)接收方存儲數(shù)據(jù)時，應(yīng)按要求采取安全措施并以合同進(jìn)行約定；b)數(shù)據(jù)接收方存儲重要數(shù)據(jù)和個人信息等敏感網(wǎng)絡(luò)數(shù)據(jù)，應(yīng)采用加密、安全存儲、訪問控制、安全審計等安全措施；c)數(shù)據(jù)接收方存儲重要數(shù)據(jù)和個人信息，不應(yīng)超過與重要數(shù)據(jù)和個人信息主體約定的存儲期限或個人信息主體授權(quán)同意有效期；d)數(shù)據(jù)接收方存儲個人生物特征識別信息的，應(yīng)采取不低于GB/T35273—2020中6.3b）和c）的要求及生物特征識別信息保護(hù)相關(guān)國家標(biāo)準(zhǔn)的技術(shù)要求。5T/ISC0046—20247.6跨境數(shù)據(jù)使用跨境數(shù)據(jù)使用應(yīng)符合以下要求：a)數(shù)據(jù)發(fā)送方應(yīng)對數(shù)據(jù)接收方的資質(zhì)、數(shù)據(jù)安全保障能力、數(shù)據(jù)使用合法合規(guī)行等進(jìn)行持續(xù)的監(jiān)督和檢查；b)數(shù)據(jù)發(fā)送方應(yīng)采用技術(shù)檢驗(yàn)、安全審計等方式定期對數(shù)據(jù)跨境活動及各參與方進(jìn)行數(shù)據(jù)安全審c)數(shù)據(jù)接收方應(yīng)依據(jù)有關(guān)法律法規(guī)要求及與數(shù)據(jù)發(fā)送方的合同約定進(jìn)行數(shù)據(jù)使用；d)數(shù)據(jù)接收方數(shù)據(jù)使用超出約定使用范圍、處理方式及使用場景等發(fā)生變化時，應(yīng)事先獲得數(shù)據(jù)發(fā)送方的二次授權(quán)，數(shù)據(jù)發(fā)送方應(yīng)根據(jù)數(shù)據(jù)使用方式的變化情況確定是否重新開展數(shù)據(jù)跨境評估；e)數(shù)據(jù)接收方應(yīng)確保同一數(shù)據(jù)始終處于與事先約定同等或更高的安全保障能力，數(shù)據(jù)跨境安全保障能力見第7章要求；f)數(shù)據(jù)接收方應(yīng)接受和配合數(shù)據(jù)發(fā)送方進(jìn)行數(shù)據(jù)安全合規(guī)使用、審計等監(jiān)督和審核工作；g)數(shù)據(jù)接收方應(yīng)履行數(shù)據(jù)保護(hù)義務(wù)，并采取合約協(xié)議、技術(shù)檢驗(yàn)等方式，對數(shù)據(jù)處理相關(guān)方進(jìn)行約束和管理，防止數(shù)據(jù)泄露、濫用等風(fēng)險；h)數(shù)據(jù)接收方應(yīng)采用合約協(xié)議、安全檢查、安全評估等方式對數(shù)據(jù)處理相關(guān)方進(jìn)行約束和管理，并明確有關(guān)數(shù)據(jù)安全保護(hù)責(zé)任和義務(wù)。7.7跨境數(shù)據(jù)銷毀跨境數(shù)據(jù)銷毀應(yīng)符合以下要求：a)數(shù)據(jù)發(fā)送方應(yīng)在達(dá)到數(shù)據(jù)安全方案約定的保存期限、約定目的完成或者法律文件終止后，要求數(shù)據(jù)接收方銷毀跨境數(shù)據(jù)；b)數(shù)據(jù)接收方應(yīng)建立數(shù)據(jù)銷毀安全管理制度和數(shù)據(jù)銷毀審批機(jī)制，設(shè)置銷毀相關(guān)監(jiān)督角色，監(jiān)督操作過程；c)如無特殊情況，數(shù)據(jù)傳輸相關(guān)終端設(shè)備、移動應(yīng)用、前端業(yè)務(wù)系統(tǒng)等，不應(yīng)留存跨境數(shù)據(jù)（特別是重要/敏感信息相關(guān)數(shù)據(jù)），并應(yīng)及時對緩存數(shù)據(jù)進(jìn)行清理；d)數(shù)據(jù)接收方對軟件系統(tǒng)層數(shù)據(jù)進(jìn)行銷毀時，應(yīng)采用將數(shù)據(jù)庫中存儲的結(jié)構(gòu)化數(shù)據(jù)刪除或置空，或通過操作系統(tǒng)的圖形操作界面、命令或者調(diào)用接口對數(shù)據(jù)所在的文件執(zhí)行刪除操作等技術(shù)方e)數(shù)據(jù)接收方對閃存、硬盤、磁帶、光盤等存儲介質(zhì)中的數(shù)據(jù)進(jìn)行銷毀時，采用消磁、粉碎等方法和技術(shù)；f)數(shù)據(jù)接收方對重要數(shù)據(jù)進(jìn)行銷毀時，應(yīng)采取重復(fù)消除與消磁、粉碎等相結(jié)合的數(shù)據(jù)銷毀方法，防止被重標(biāo)識、重關(guān)聯(lián)或非授權(quán)使用和泄露等；g)數(shù)據(jù)接收方應(yīng)保留銷毀過程的有關(guān)記錄，并提交給數(shù)據(jù)發(fā)送方。8數(shù)據(jù)跨境安全保障8.1外部環(huán)境數(shù)據(jù)接收方所在國家或地區(qū)的數(shù)據(jù)安全方面現(xiàn)行的法律法規(guī)和標(biāo)準(zhǔn)情況，該國家或地區(qū)落實(shí)數(shù)據(jù)安全的機(jī)制、該國家或地區(qū)政府在執(zhí)法、國防、國家安全等部門調(diào)取數(shù)據(jù)的法律權(quán)力，該國家或地區(qū)與其6T/ISC0046—2024他國家或地區(qū)之間有關(guān)數(shù)據(jù)流通、共享等方面的雙邊或多邊協(xié)定進(jìn)行評估。涉及個人信息及業(yè)務(wù)數(shù)據(jù)出境時，應(yīng)對數(shù)據(jù)接收方所在國家或地區(qū)的政治法律環(huán)境進(jìn)行評估。8.2制度體系應(yīng)建立數(shù)據(jù)跨境安全管理體系，包括但不限于：a)安全策略：應(yīng)包含數(shù)據(jù)跨境總體原則、框架等；b)安全管理制度：應(yīng)包含數(shù)據(jù)跨境安全流程、組織人員、網(wǎng)絡(luò)環(huán)境安全等；c)數(shù)據(jù)跨境記錄：應(yīng)保留數(shù)據(jù)出境安全管理全過程的操作行為記錄，留存數(shù)據(jù)跨境流程各環(huán)節(jié)日志記錄，建立數(shù)據(jù)跨境活動清單。8.3組織人員應(yīng)建立組織人員保障體系，包括但不限于：a)應(yīng)在組織內(nèi)部建立數(shù)據(jù)跨境安全管理組織，包括數(shù)據(jù)跨境管理員、數(shù)據(jù)跨境評估員、數(shù)據(jù)跨境操作員、數(shù)據(jù)跨境審計員等崗位角色，并至少承擔(dān)以下工作：——數(shù)據(jù)跨境管理員負(fù)責(zé)數(shù)據(jù)跨境活動的統(tǒng)籌管理工作；——數(shù)據(jù)跨境評估員負(fù)責(zé)對數(shù)據(jù)跨境合法合規(guī)、必要性、安全性開展評估工作；——數(shù)據(jù)跨境操作員負(fù)責(zé)實(shí)際執(zhí)行數(shù)據(jù)跨境安全方案編制、數(shù)據(jù)準(zhǔn)備等活動；——數(shù)據(jù)跨境審計員負(fù)責(zé)對數(shù)據(jù)跨境活動的執(zhí)行情況進(jìn)行監(jiān)督審核。b)應(yīng)在組織內(nèi)部建立數(shù)據(jù)跨境相關(guān)崗位的持續(xù)培訓(xùn)和考核機(jī)制。8.4技術(shù)能力應(yīng)建立數(shù)據(jù)跨境的技術(shù)能力體系，包括但不限于：a)網(wǎng)絡(luò)安全防護(hù)能力應(yīng)滿足GB/T22239相應(yīng)要求或?qū)崿F(xiàn)同等能力要求；b)應(yīng)對數(shù)據(jù)跨境的目標(biāo)地址、流量、內(nèi)容等開展監(jiān)控，發(fā)現(xiàn)攻擊、流量異常、內(nèi)容違規(guī)等情況；c)應(yīng)采取有效措施保障數(shù)據(jù)跨境日志的完整性；d)在滿足當(dāng)?shù)胤煞ㄒ?guī)要求基礎(chǔ)上，數(shù)據(jù)跨境業(yè)務(wù)系統(tǒng)日志應(yīng)保存6個月以上；e)應(yīng)依據(jù)本行業(yè)數(shù)據(jù)安全有關(guān)標(biāo)準(zhǔn)建立數(shù)據(jù)全生存周期防護(hù)機(jī)制。8.5監(jiān)督檢查應(yīng)建立數(shù)據(jù)跨境活動的監(jiān)督檢查機(jī)制，至少每年開展一次數(shù)據(jù)跨境安全審計。數(shù)據(jù)跨境安全審計工作重點(diǎn)審查數(shù)據(jù)跨境安全流程的執(zhí)行情況。8.6應(yīng)急處置8.6.1應(yīng)急預(yù)案應(yīng)建立數(shù)據(jù)安全跨境風(fēng)險的應(yīng)急預(yù)案體系，包括但不限于：a)應(yīng)制定數(shù)據(jù)跨境安全事件應(yīng)急預(yù)案，包含對數(shù)據(jù)接收方發(fā)生數(shù)據(jù)泄露、損毀、濫用等安全事件的應(yīng)急處置、安全事件告知和上報等相關(guān)內(nèi)容；b)應(yīng)根據(jù)相關(guān)法律法規(guī)、安全技術(shù)、事件處置經(jīng)驗(yàn)等及時更新應(yīng)急響應(yīng)預(yù)案；c)應(yīng)定期組織內(nèi)部相關(guān)