【干货】网络数据处理安全要求

来源：国家市场监督管理总局国家标准化管理委员会

本文件规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全 技术与管理要求。

本文件适用于网络运营者规范网络数据处理,以及监管部门、第三方评估机构对网络数据处理进行 监督管理和评估。

部分术语和定义

数据（data）：任何以电子或者其他方式对信息的记录

网络数据（networkdata）：通过网络收集、存储、使用、加工、传输、提供、公开的各种数据。

示例:个人信息、重要数据等。

数据处理（dataprocessing）：数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全（datasecurity）：通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

数据接收方（datareceiver）：数据处理中接收数据的组织或者个人。

第三方应用（thirdpartyapplication）：由第三方提供的产品或者服务,以及被接入或者嵌入网络运营者产品或者服务中的自动化工具。

注:本文件中的第三方应用包括但不限于软件开发工具包、第三方代码、组件、脚本、接口、算法模型、小程序等。

数据处理安全总体要求

数据识别

网络运营者应识别数据处理中涉及的数据,包括个人信息、重要数据和其他数据,形成数据保护目录,并及时更新。

分类分级

网络运营者应按照相关国家标准,根据合同规定和业务运营需要,对所识别的数据进行分类分级管理。

风险防控

网络运营者开展数据处理时，应按照合同约定履行数据安全保护义务,开展数据处理活动应加强风险监测,发现数据安全缺陷、漏洞等风险时,应采取加密、脱敏、备份、访问控制、审计等技术或者其他必要措施,加强数据安全防护,保护数据免受泄露、窃取、篡改、损毁、不正当使用等。

审计追溯

网络运营者应对数据处理的全生存周期进行记录,确保数据处理可审计、可追溯。

数据处理安全技术要求

网络运营者在开展数据处理时应进行影响分析和风险评估，采取必要的措施对识别的风险进行控制，以保障数据安全。

在发生突发公共卫生事件时，数据处理还应遵守附录 A（突发公共卫生事件个人信息保护要求） 的要求。影响或者可能影响国家安全的数据处理活动应接受国家安全审查。

个人信息收集

遵循合法、正当、必要的原则,不应收集与其提供 的服务无直接或无合理关联,或超出个人信息主体明示同意期限的个人信息

数据存储

网络运营者应对数据存储活动采取安全措施，如：加密、安全存储、访问控制、安全审计等安全措施

数据传输

网络运营者在应对数据传输活动采取安全措施，包括:

• 传输重要数据和敏感个人信息时,应采用加密、脱敏等安全措施;

• 向数据接收方传输数据时,应按要求采取安全措施并以合同进行约定。

提供

网络运营者向他人提供数据前,应进行安全影响分析和风险评估,可能危害国家安全、公共安全、经 济安全和社会稳定的,不应向他人提供

数据出境

网络运营者向境外提供个人信息或者重要数据的,应遵循国家相关规定和相关标准的要求。境内用户在境内访问境内网络的,其流量不应路由至境外。