GB/T 41479—2022《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》解讀及應(yīng)用建議
前言
根據(jù)2022年4月15日國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)公告(2022年第6號(hào)),全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的10項(xiàng)國(guó)家標(biāo)準(zhǔn)正式發(fā)布。其中包括了一項(xiàng)數(shù)據(jù)安全方面的重點(diǎn)標(biāo)準(zhǔn):GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》,是數(shù)據(jù)安全國(guó)家標(biāo)準(zhǔn)的核心標(biāo)準(zhǔn)之一,引起了社會(huì)的廣泛關(guān)注。本標(biāo)準(zhǔn)查閱和獲取方式附后!
本文由標(biāo)準(zhǔn)的牽頭編制單位中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心的標(biāo)準(zhǔn)參編專(zhuān)家,針對(duì)該標(biāo)準(zhǔn)的編制背景、適用范圍、主要內(nèi)容、關(guān)鍵問(wèn)題等方面進(jìn)行解讀,并提出應(yīng)用實(shí)施建議,供各界參考:
數(shù)據(jù)安全審計(jì)
GB/T 41479-2022 《信息安全技術(shù)?網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》
01? 編制背景
目前,數(shù)據(jù)安全成為熱點(diǎn),國(guó)際國(guó)內(nèi)均希望通過(guò)法律手段加強(qiáng)數(shù)據(jù)安全保障,一方面要保障國(guó)家安全,另一方面要保障公眾權(quán)益,同時(shí)還要推動(dòng)數(shù)據(jù)的應(yīng)用,保障組織的權(quán)益,相關(guān)的法律法規(guī)也相繼出臺(tái)。
為了落實(shí)網(wǎng)絡(luò)運(yùn)營(yíng)者在進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)處理時(shí)的法律責(zé)任,特別是落實(shí)《數(shù)據(jù)安全法》的要求,保障網(wǎng)絡(luò)運(yùn)營(yíng)者的運(yùn)營(yíng)數(shù)據(jù)安全,合法有序利用數(shù)據(jù),中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心牽頭,聯(lián)合中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院等單位,研制了《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》。
02? 標(biāo)準(zhǔn)主要內(nèi)容
標(biāo)準(zhǔn)給出了網(wǎng)絡(luò)數(shù)據(jù)處理安全的總體要求、技術(shù)要求、管理要求以及突發(fā)公共衛(wèi)生安全事件時(shí)的數(shù)據(jù)處理安全要求。
1.在標(biāo)準(zhǔn)第4章總體要求中,首先明確了網(wǎng)絡(luò)數(shù)據(jù)處理安全的數(shù)據(jù)識(shí)別是基礎(chǔ)、分類(lèi)分級(jí)是根本、風(fēng)險(xiǎn)防控是核心、審計(jì)追溯是底線(xiàn)的四項(xiàng)基本原則,即需要完整識(shí)別需要保護(hù)的數(shù)據(jù)形成數(shù)據(jù)保護(hù)清單目錄;根據(jù)網(wǎng)絡(luò)運(yùn)營(yíng)者的實(shí)際在符合法律法規(guī)要求的前提下,對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)管理;全面分析安全影響和安全風(fēng)險(xiǎn),積極采取有效措施保障數(shù)據(jù)安全;在整個(gè)數(shù)據(jù)處理過(guò)程保證完整的審計(jì)日志,確保處理可追溯。
2.標(biāo)準(zhǔn)主要要求體現(xiàn)在第5章中,該部分在進(jìn)行安全影響分析和風(fēng)險(xiǎn)評(píng)估的通則要求基礎(chǔ)上,提出了數(shù)據(jù)處理安全的技術(shù)要求:
(1)標(biāo)準(zhǔn)5.2至5.8中,對(duì)應(yīng)《數(shù)據(jù)安全法》中提出的數(shù)據(jù)處理(收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi))活動(dòng),明確了相應(yīng)的安全要求:
數(shù)據(jù)收集方面,對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者收集個(gè)人信息提出了安全要求,并在個(gè)人信息保護(hù)政策、征得個(gè)人信息主體同意、不強(qiáng)制誤導(dǎo)收集等方面進(jìn)行了細(xì)化,針對(duì)個(gè)人信息收集的具體要求,引用了GB/T 35273—2020的具體內(nèi)容。此外,在網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)用標(biāo)準(zhǔn)時(shí),如通過(guò)App收集個(gè)人信息,相關(guān)安全要求見(jiàn)GB/T 41391—2022;
GB/T 41391—2022查閱渠道:標(biāo)準(zhǔn)應(yīng)用 | (附查閱渠道)GB/T 41391-2022《App收集個(gè)人信息基本要求》解讀及實(shí)踐思路
數(shù)據(jù)存儲(chǔ)方面,對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)提出了安全要求,如安全措施、存儲(chǔ)期限及個(gè)人生物特征識(shí)別信息的存儲(chǔ)等;同時(shí)對(duì)于數(shù)據(jù)接收方存儲(chǔ)數(shù)據(jù)提出以合同約定安全措施的要求;
數(shù)據(jù)使用方面,針對(duì)定向推送及信息合成及第三方應(yīng)用管理二方面對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出了要求;
數(shù)據(jù)加工方面,要求網(wǎng)絡(luò)運(yùn)營(yíng)者在開(kāi)展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動(dòng)的過(guò)程中,知道或者應(yīng)知道可能危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的,應(yīng)立即停止加工活動(dòng)。
數(shù)據(jù)傳輸方面,對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者傳輸重要數(shù)據(jù)及個(gè)人敏感信息的安全措施提出了要求,同時(shí)對(duì)于數(shù)據(jù)接收方傳輸數(shù)據(jù)提出以合同約定安全措施的要求;
數(shù)據(jù)提供方面,從向他人提供及數(shù)據(jù)出境二類(lèi)數(shù)據(jù)提供場(chǎng)景提出了數(shù)據(jù)安全要求。在向他人提供場(chǎng)景下,要求提供前進(jìn)行安全影響分析及風(fēng)險(xiǎn)評(píng)估,并針對(duì)提供個(gè)人信息、共享/轉(zhuǎn)讓重要數(shù)據(jù)、委托第三方處理數(shù)據(jù),及發(fā)生收購(gòu)/兼并/重組/破產(chǎn)情況下的具體要求進(jìn)行了細(xì)化;
數(shù)據(jù)公開(kāi)方面,提出公開(kāi)市場(chǎng)預(yù)測(cè)、統(tǒng)計(jì)等信息的場(chǎng)景下,不應(yīng)危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定。
(2)標(biāo)準(zhǔn)5.9中,提出了私人信息和可轉(zhuǎn)發(fā)信息的處理方式要求;
(3)標(biāo)準(zhǔn)5.10中,提出了對(duì)個(gè)人信息查閱、更正、刪除及用戶(hù)賬號(hào)注銷(xiāo)的要求,響應(yīng)了《個(gè)人信息保護(hù)法》中對(duì)個(gè)人信息主體權(quán)益進(jìn)行充分保護(hù)的相關(guān)要求;
(4)標(biāo)準(zhǔn)5.11中,提出了投訴、舉報(bào)受理處置的要求,這是平臺(tái)責(zé)任的角度對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出的具體要求;
(5)標(biāo)準(zhǔn)5.12中,提出了訪(fǎng)問(wèn)控制與審計(jì)的要求;
(6)標(biāo)準(zhǔn)5.13中,提出了數(shù)據(jù)刪除和匿名化處理,對(duì)數(shù)據(jù)介質(zhì)銷(xiāo)毀及個(gè)人信息的刪除及匿名化等場(chǎng)景下的要求進(jìn)行了明確。
3.標(biāo)準(zhǔn)第6章中,從數(shù)據(jù)安全責(zé)任人、人力資源能力保障與考核、事件應(yīng)急處置等三個(gè)方面提出了數(shù)據(jù)處理安全管理要求。但組織可以參考信息安全管理體系要求等相關(guān)國(guó)際、國(guó)家標(biāo)準(zhǔn)完善數(shù)據(jù)安全管理架構(gòu)。
4.本標(biāo)準(zhǔn)專(zhuān)門(mén)針對(duì)突發(fā)公共衛(wèi)生事件專(zhuān)項(xiàng)預(yù)案啟動(dòng)Ⅰ級(jí)(特別重大)、Ⅱ級(jí)(重大)響應(yīng)的事件時(shí)的數(shù)據(jù)處理安全要求,以規(guī)范性附錄的形式提出了要求,效用與正文等同。附錄就個(gè)人信息服務(wù)協(xié)議、個(gè)人信息收集、個(gè)人信息調(diào)用、人臉識(shí)別驗(yàn)證、信息查閱服務(wù)、公開(kāi)/向他人提供個(gè)人信息及改變個(gè)人信息用途、應(yīng)對(duì)工作結(jié)束后的個(gè)人信息處理、日志留存等方面提出了具體要求。
03? 標(biāo)準(zhǔn)應(yīng)用
(一)提升數(shù)據(jù)處理安全性
網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)用標(biāo)準(zhǔn)規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng),從而落實(shí)《數(shù)據(jù)安全法》等相關(guān)法律對(duì)數(shù)據(jù)安全保護(hù)的要求,履行社會(huì)責(zé)任。
(二)開(kāi)展數(shù)據(jù)安全管理認(rèn)證(DSM)
《數(shù)據(jù)安全法》第十八條明確指出,國(guó)家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)的發(fā)展,支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專(zhuān)業(yè)機(jī)構(gòu)依法開(kāi)展服務(wù)活動(dòng)。
網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)用提升其數(shù)據(jù)處理安全性的基礎(chǔ)上,通過(guò)第三方認(rèn)證來(lái)證明其滿(mǎn)足標(biāo)準(zhǔn)中提出的數(shù)據(jù)安全基線(xiàn)要求,從而給予社會(huì)、公眾和客戶(hù)信心。
2022年6月5日,國(guó)家市場(chǎng)監(jiān)督管理總局與國(guó)家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《關(guān)于開(kāi)展數(shù)據(jù)安全管理認(rèn)證工作的公告》(閱讀原文可查看),鼓勵(lì)網(wǎng)絡(luò)運(yùn)營(yíng)者通過(guò)認(rèn)證方式規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng),加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)。從事數(shù)據(jù)安全管理認(rèn)證活動(dòng)的認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)依法設(shè)立,并按照《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》實(shí)施認(rèn)證。《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》中,明確數(shù)據(jù)安全管理認(rèn)證的依據(jù)為GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》。
