信息安全技术 网络数据处理安全要求（GB∕T 41479-2022）.docxVIP

ICS 35.030 CCS L 80 中华人民共和国国家标准 GB/T 41479-2022 信息安全技术 网络数据处理安全要求 Information security technology—Network data processing security requirements 2022-04-15发布 2022-11-01实施 GB/T 41479-2022 PAGE \* Arabic 2 / 2 PAGE \* Arabic 1 / NUMPAGES \* Arabic 22 目 次 TOC \o 1-3 \h \z \u 前 言 1 1 范围 2 2 规范性引用文件 2 3 术语与定义 2 4数据处理安全总体要求 5 4.1 数据识别 5 4.2 分类分级 6 4.3风险防控 6 4.4 审计追溯 6 5数据处理安全技术要求 7 5.1 通则 7 5.2 收集 7 5.3 存储 8 5.4 使用 9 5.4.1定向推送及信息合成 9 5.4.2第三方应用管理 9 5.5加工 10 5.6 传输 10 5.7 提供 11 5.7.1 向他人提供 11 5.7.2 数据出境 11 5.8 公开 12 5.9私人信息和可转发信息的处理方式 12 5.10个人信息查阅更正、删除及用户账号注销 12 5.11 投诉、举报受理处置 13 5.12 访问控制与审计 13 5.13数据删除和匿名化处理 13 6数据处理安全管理要求 14 6.1 数据安全责任人 14 6.2 人力资源保障与考核 14 6.3 事件应急处置 15 附录A（规范性）突发公共卫生事件个人信息保护要求 16 A.1 概述 16 A.2个人信息服务协议 16 A.3 个人信息收集 16 A.4个人信息调用 17 A.5人脸识别验证 17 A.6信息查阅服务 17 A.7公开向他人提供个人信息及改变个人信息用途 18 A.8应对工作结束后的个人信息处理 18 A.9 日志留存 18 参 考 文 献 19 GB/T 41479-2022 PAGE \* Arabic 17 / 19 前 言 本文件按照GB/T11-2020《标准化工作导则第1部分;标准化文件的结构和起草规则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:中国网络安全审查技术与认证中心、中国电子技术标准化研究院、清华大学、国家信息中心、国家计算机网络应急技术处理协调中心、公安部第三研究所、中国信息通信研究院、陕西省网络与信息安全测评中心、中电长城网际系统应用有限公司。 本文件主要起草人:魏昊、吴晓龙、程瑜琦、上官晓丽、胡影、刘贤刚、闵京华、金涛、王佳慧、郑礼雄、任卫红、陈湉、徐羽佳、张宇光、张创、魏立茹、陈世翔、樊华、杨向东。 信息安全技术 网络数据处理安全要求 1 范围 本文件规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求。 本文件适用于网络运营者规范网络数据处理，以及监管部门，第三方评估机构对网络数据处理进行监督管理和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款。其中，注日期的引用文件,仅该日期对应的报本适用于本文件:不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。 GB/T25069 信息安全技术术语 GB/T35273-2020信息安全技术个人信息安全规范 3 术语与定义 GB/T25069和GH/T3G273-2020界定的以及下列术语和定义适用于本文件。 3.1 数据 data 任何以电子或者其他方式对信息的记录。 3.2 网络数据 network data 通过网络收集、存储、使用、加工、传输、提供、公开的各种数据。示例，个人信息，重要数据等。 3.3 数据处理 data prucessing 数据的收集、存储使用、加工、传输、提供、公开等。 3.4 数据安全data security 通过采取必要措施。确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 3.5 网络运营者 network operator 网络的所有者、管理者和网络服务提供者 注：本文件中的网络为开放网络 3.6 个人信息