根据2022年4月15日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第6号),全国信息安全标准化技术委员会归口的10项国家标准正式发布。其中包括了一项数据安全方面的重点标准:GB/T 41479—2022《信息安全技术 网络数据处理安全要求》,是数据安全国家标准的核心标准之一,引起了社会的广泛关注。本标准查阅和获取方式附后!
本文由标准的牵头编制单位中国网络安全审查技术与认证中心的标准参编专家,针对该标准的编制背景、适用范围、主要内容、关键问题等方面进行解读,并提出应用实施建议,供各界参考:
编制背景
目前,数据安全成为热点,国际国内均希望通过法律手段加强数据安全保障,一方面要保障国家安全,另一方面要保障公众权益,同时还要推动数据的应用,保障组织的权益,相关的法律法规也相继出台。
为了落实网络运营者在进行网络数据处理时的法律责任,特别是落实《数据安全法》的要求,保障网络运营者的运营数据安全,合法有序利用数据,中国网络安全审查技术与认证中心牵头,联合中国电子技术标准化研究院等单位,研制了《信息安全技术 网络数据处理安全要求》。
标准主要内容
标准给出了网络数据处理安全的总体要求、技术要求、管理要求以及突发公共卫生安全事件时的数据处理安全要求。
1.在标准第4章总体要求中,首先明确了网络数据处理安全的数据识别是基础、分类分级是根本、风险防控是核心、审计追溯是底线的四项基本原则,即需要完整识别需要保护的数据形成数据保护清单目录;根据网络运营者的实际在符合法律法规要求的前提下,对数据进行分类分级管理;全面分析安全影响和安全风险,积极采取有效措施保障数据安全;在整个数据处理过程保证完整的审计日志,确保处理可追溯。
2.标准主要要求体现在第5章中,该部分在进行安全影响分析和风险评估的通则要求基础上,提出了数据处理安全的技术要求:
(1)标准5.2至5.8中,对应《数据安全法》中提出的数据处理(收集、存储、使用、加工、传输、提供、公开)活动,明确了相应的安全要求:
数据收集方面,对网络运营者收集个人信息提出了安全要求,并在个人信息保护政策、征得个人信息主体同意、不强制误导收集等方面进行了细化,针对个人信息收集的具体要求,引用了GB/T 35273—2020的具体内容。此外,在网络运营者应用标准时,如通过App收集个人信息,相关安全要求见GB/T 41391—2022;
GB/T 41391—2022查阅渠道:标准应用 | (附查阅渠道)GB/T 41391-2022《App收集个人信息基本要求》解读及实践思路
数据存储方面,对网络运营者存储网络数据提出了安全要求,如安全措施、存储期限及个人生物特征识别信息的存储等;同时对于数据接收方存储数据提出以合同约定安全措施的要求;
数据使用方面,针对定向推送及信息合成及第三方应用管理二方面对网络运营者提出了要求;
数据加工方面,要求网络运营者在开展转换、汇聚、分析等数据加工活动的过程中,知道或者应知道可能危害国家安全、公共安全、经济安全和社会稳定的,应立即停止加工活动。
数据传输方面,对网络运营者传输重要数据及个人敏感信息的安全措施提出了要求,同时对于数据接收方传输数据提出以合同约定安全措施的要求;
数据提供方面,从向他人提供及数据出境二类数据提供场景提出了数据安全要求。在向他人提供场景下,要求提供前进行安全影响分析及风险评估,并针对提供个人信息、共享/转让重要数据、委托第三方处理数据,及发生收购/兼并/重组/破产情况下的具体要求进行了细化;
数据公开方面,提出公开市场预测、统计等信息的场景下,不应危害国家安全、公共安全、经济安全和社会稳定。
(2)标准5.9中,提出了私人信息和可转发信息的处理方式要求;
(3)标准5.10中,提出了对个人信息查阅、更正、删除及用户账号注销的要求,响应了《个人信息保护法》中对个人信息主体权益进行充分保护的相关要求;
(4)标准5.11中,提出了投诉、举报受理处置的要求,这是平台责任的角度对网络运营者提出的具体要求;
(5)标准5.12中,提出了访问控制与审计的要求;
(6)标准5.13中,提出了数据删除和匿名化处理,对数据介质销毁及个人信息的删除及匿名化等场景下的要求进行了明确。
3.标准第6章中,从数据安全责任人、人力资源能力保障与考核、事件应急处置等三个方面提出了数据处理安全管理要求。但组织可以参考信息安全管理体系要求等相关国际、国家标准完善数据安全管理架构。
4.本标准专门针对突发公共卫生事件专项预案启动Ⅰ级(特别重大)、Ⅱ级(重大)响应的事件时的数据处理安全要求,以规范性附录的形式提出了要求,效用与正文等同。附录就个人信息服务协议、个人信息收集、个人信息调用、人脸识别验证、信息查阅服务、公开/向他人提供个人信息及改变个人信息用途、应对工作结束后的个人信息处理、日志留存等方面提出了具体要求。
标准应用
(一)提升数据处理安全性
网络运营者应用标准规范网络数据处理活动,从而落实《数据安全法》等相关法律对数据安全保护的要求,履行社会责任。
(二)开展数据安全管理认证(DSM)
《数据安全法》第十八条明确指出,国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
网络运营者应用提升其数据处理安全性的基础上,通过第三方认证来证明其满足标准中提出的数据安全基线要求,从而给予社会、公众和客户信心。
2022年6月5日,国家市场监督管理总局与国家互联网信息办公室联合发布《关于开展数据安全管理认证工作的公告》(阅读原文可查看),鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施规则》实施认证。《数据安全管理认证实施规则》中,明确数据安全管理认证的依据为GB/T 41479—2022《信息安全技术 网络数据处理安全要求》。
本文作者:
中国网络安全审查技术与认证中心 程瑜琦 张剑
中国电子技术标准化研究院网安中心 徐羽佳 胡影