GB/T 41479-2022 网络数据处理安全要求

GB/T 41479-2022 信息安全技术 网络数据处理安全要求

Information security technology—Network data processing security requirements

主要内容

总体要求

技术要求

• 数据收集：对网络运营者收集个人信息提出明确要求，如制定个人信息保护政策、征得个人信息主体同意、不得强制误导收集等，还引用了 GB/T 35273—2020 的具体内容，通过 App 收集个人信息的安全要求可参考 GB/T 41391—20221.
• 数据存储：要求网络运营者采取安全措施存储网络数据，规定存储期限及个人生物特征识别信息的存储等，同时要求数据接收方按合同约定安全措施存储数据。
• 数据使用：针对定向推送、信息合成及第三方应用管理等方面对网络运营者提出要求。
• 数据加工：网络运营者开展数据加工活动时，若知道或应知道可能危害国家安全、公共安全、经济安全和社会稳定的，应立即停止加工。
• 数据传输：对网络运营者传输重要数据及个人敏感信息的安全措施提出要求，也要求数据接收方按合同约定安全措施传输数据。
• 数据提供：从向他人提供及数据出境两类场景提出数据安全要求，包括提供前的安全影响分析及风险评估，以及提供个人信息、共享 / 转让重要数据、委托第三方处理数据等具体要求。
• 数据公开：规定公开市场预测、统计等信息时，不应危害国家安全、公共安全、经济安全和社会稳定。
• 其他：还提出了私人信息和可转发信息的处理方式要求、个人信息查阅等要求、投诉举报受理处置要求，以及访问控制与审计、数据删除和匿名化处理等方面的要求。
•  

管理要求

突发公共卫生安全事件时的数据处理安全要求

术语和定义

1 数据 data

任何以电子或者其他方式对信息的记录。

2 网络数据 network data

通过网络收集、存储、使用、加工、传输、提供、公开的各种数据。

示例：个人信息、重要数据等。

3 数据处理 data processing

数据的收集、存储、使用、加工、传输、提供、公开等。

4 数据安全 data security

通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

5 网络运营者 network operator

网络的所有者、管理者和网络服务提供者。

注：本文件中的网络为开放公共网络。

6 个人信息 personal information

以电子或者其他方式记录的与已识别或者可以识别自然人有关的各种信息。

注 1: 个人信息包括姓名、出生日期、公民身份号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

注 2: 不包括匿名化处理后的信息。

7 敏感个人信息 sensitive personal information

一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财严安全受到危害的个人信息。

注：敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

8 个人信息主体 personal information subject

个人信息已识别或者可识别的自然人。

9 重要数据 important data

一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据。

注：重要数据包括未公开的政府信息，数量达到一定规模的基因、地理、矿产信息等，原则上不包括个人信息、企业内部经营管理信息等。

10 私人信息 private information

个人发送给特定对象不可转发给其他人的信息。

11 数据接收方 data receiver

数据处理中接收数据的组织或者个人。

12 第三方应用 third party application

由第三方提供的产品或者服务，以及被接入或者嵌入网络运营者产品或者服务中的自动化工具。

注：本文件中的第三方应用包括但不限于软件开发工具包、第三方代码、组件、脚本、接口、算法模型、小程序等。

13 匿名化 anonymization

个人信息经过处理无法识别特定自然人且不能复原的过程。