GB/T 41479—2022《網絡數據處理安全要求》解讀及應用建議
前言
根據2022年4月15日國家市場監督管理總局、國家標準化管理委員會發布的中華人民共和國國家標準公告(2022年第6號),全國信息安全標準化技術委員會歸口的10項國家標準正式發布。其中包括了一項數據安全方面的重點標準:GB/T 41479—2022《信息安全技術 網絡數據處理安全要求》,是數據安全國家標準的核心標準之一,引起了社會的廣泛關注。本標準查閱和獲取方式附后!
本文由標準的牽頭編制單位中國網絡安全審查技術與認證中心的標準參編專家,針對該標準的編制背景、適用范圍、主要內容、關鍵問題等方面進行解讀,并提出應用實施建議,供各界參考:
數據安全審計
GB/T 41479-2022 《信息安全技術?網絡數據處理安全要求》
01? 編制背景
目前,數據安全成為熱點,國際國內均希望通過法律手段加強數據安全保障,一方面要保障國家安全,另一方面要保障公眾權益,同時還要推動數據的應用,保障組織的權益,相關的法律法規也相繼出臺。
為了落實網絡運營者在進行網絡數據處理時的法律責任,特別是落實《數據安全法》的要求,保障網絡運營者的運營數據安全,合法有序利用數據,中國網絡安全審查技術與認證中心牽頭,聯合中國電子技術標準化研究院等單位,研制了《信息安全技術 網絡數據處理安全要求》。
02? 標準主要內容
標準給出了網絡數據處理安全的總體要求、技術要求、管理要求以及突發公共衛生安全事件時的數據處理安全要求。
1.在標準第4章總體要求中,首先明確了網絡數據處理安全的數據識別是基礎、分類分級是根本、風險防控是核心、審計追溯是底線的四項基本原則,即需要完整識別需要保護的數據形成數據保護清單目錄;根據網絡運營者的實際在符合法律法規要求的前提下,對數據進行分類分級管理;全面分析安全影響和安全風險,積極采取有效措施保障數據安全;在整個數據處理過程保證完整的審計日志,確保處理可追溯。
2.標準主要要求體現在第5章中,該部分在進行安全影響分析和風險評估的通則要求基礎上,提出了數據處理安全的技術要求:
(1)標準5.2至5.8中,對應《數據安全法》中提出的數據處理(收集、存儲、使用、加工、傳輸、提供、公開)活動,明確了相應的安全要求:
數據收集方面,對網絡運營者收集個人信息提出了安全要求,并在個人信息保護政策、征得個人信息主體同意、不強制誤導收集等方面進行了細化,針對個人信息收集的具體要求,引用了GB/T 35273—2020的具體內容。此外,在網絡運營者應用標準時,如通過App收集個人信息,相關安全要求見GB/T 41391—2022;
GB/T 41391—2022查閱渠道:標準應用 | (附查閱渠道)GB/T 41391-2022《App收集個人信息基本要求》解讀及實踐思路
數據存儲方面,對網絡運營者存儲網絡數據提出了安全要求,如安全措施、存儲期限及個人生物特征識別信息的存儲等;同時對于數據接收方存儲數據提出以合同約定安全措施的要求;
數據使用方面,針對定向推送及信息合成及第三方應用管理二方面對網絡運營者提出了要求;
數據加工方面,要求網絡運營者在開展轉換、匯聚、分析等數據加工活動的過程中,知道或者應知道可能危害國家安全、公共安全、經濟安全和社會穩定的,應立即停止加工活動。
數據傳輸方面,對網絡運營者傳輸重要數據及個人敏感信息的安全措施提出了要求,同時對于數據接收方傳輸數據提出以合同約定安全措施的要求;
數據提供方面,從向他人提供及數據出境二類數據提供場景提出了數據安全要求。在向他人提供場景下,要求提供前進行安全影響分析及風險評估,并針對提供個人信息、共享/轉讓重要數據、委托第三方處理數據,及發生收購/兼并/重組/破產情況下的具體要求進行了細化;
數據公開方面,提出公開市場預測、統計等信息的場景下,不應危害國家安全、公共安全、經濟安全和社會穩定。
(2)標準5.9中,提出了私人信息和可轉發信息的處理方式要求;
(3)標準5.10中,提出了對個人信息查閱、更正、刪除及用戶賬號注銷的要求,響應了《個人信息保護法》中對個人信息主體權益進行充分保護的相關要求;
(4)標準5.11中,提出了投訴、舉報受理處置的要求,這是平臺責任的角度對網絡運營者提出的具體要求;
(5)標準5.12中,提出了訪問控制與審計的要求;
(6)標準5.13中,提出了數據刪除和匿名化處理,對數據介質銷毀及個人信息的刪除及匿名化等場景下的要求進行了明確。
3.標準第6章中,從數據安全責任人、人力資源能力保障與考核、事件應急處置等三個方面提出了數據處理安全管理要求。但組織可以參考信息安全管理體系要求等相關國際、國家標準完善數據安全管理架構。
4.本標準專門針對突發公共衛生事件專項預案啟動Ⅰ級(特別重大)、Ⅱ級(重大)響應的事件時的數據處理安全要求,以規范性附錄的形式提出了要求,效用與正文等同。附錄就個人信息服務協議、個人信息收集、個人信息調用、人臉識別驗證、信息查閱服務、公開/向他人提供個人信息及改變個人信息用途、應對工作結束后的個人信息處理、日志留存等方面提出了具體要求。
03? 標準應用
(一)提升數據處理安全性
網絡運營者應用標準規范網絡數據處理活動,從而落實《數據安全法》等相關法律對數據安全保護的要求,履行社會責任。
(二)開展數據安全管理認證(DSM)
《數據安全法》第十八條明確指出,國家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機構依法開展服務活動。
網絡運營者應用提升其數據處理安全性的基礎上,通過第三方認證來證明其滿足標準中提出的數據安全基線要求,從而給予社會、公眾和客戶信心。
2022年6月5日,國家市場監督管理總局與國家互聯網信息辦公室聯合發布《關于開展數據安全管理認證工作的公告》(閱讀原文可查看),鼓勵網絡運營者通過認證方式規范網絡數據處理活動,加強網絡數據安全保護。從事數據安全管理認證活動的認證機構應當依法設立,并按照《數據安全管理認證實施規則》實施認證。《數據安全管理認證實施規則》中,明確數據安全管理認證的依據為GB/T 41479—2022《信息安全技術 網絡數據處理安全要求》。
