前言

根據(jù)2022年4月15日國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)公告（2022年第6號(hào)），全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的10項(xiàng)國(guó)家標(biāo)準(zhǔn)正式發(fā)布。其中包括了一項(xiàng)數(shù)據(jù)安全方面的重點(diǎn)標(biāo)準(zhǔn)：GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》，是數(shù)據(jù)安全國(guó)家標(biāo)準(zhǔn)的核心標(biāo)準(zhǔn)之一，引起了社會(huì)的廣泛關(guān)注。本標(biāo)準(zhǔn)查閱和獲取方式附后！

本文由標(biāo)準(zhǔn)的牽頭編制單位中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心的標(biāo)準(zhǔn)參編專(zhuān)家，針對(duì)該標(biāo)準(zhǔn)的編制背景、適用范圍、主要內(nèi)容、關(guān)鍵問(wèn)題等方面進(jìn)行解讀，并提出應(yīng)用實(shí)施建議，供各界參考：

GB/T 41479-2022 《信息安全技術(shù)?網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》

01? 編制背景

目前，數(shù)據(jù)安全成為熱點(diǎn)，國(guó)際國(guó)內(nèi)均希望通過(guò)法律手段加強(qiáng)數(shù)據(jù)安全保障，一方面要保障國(guó)家安全，另一方面要保障公眾權(quán)益，同時(shí)還要推動(dòng)數(shù)據(jù)的應(yīng)用，保障組織的權(quán)益，相關(guān)的法律法規(guī)也相繼出臺(tái)。

為了落實(shí)網(wǎng)絡(luò)運(yùn)營(yíng)者在進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)處理時(shí)的法律責(zé)任，特別是落實(shí)《數(shù)據(jù)安全法》的要求，保障網(wǎng)絡(luò)運(yùn)營(yíng)者的運(yùn)營(yíng)數(shù)據(jù)安全，合法有序利用數(shù)據(jù)，中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心牽頭，聯(lián)合中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院等單位，研制了《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》。

02? 標(biāo)準(zhǔn)主要內(nèi)容

標(biāo)準(zhǔn)給出了網(wǎng)絡(luò)數(shù)據(jù)處理安全的總體要求、技術(shù)要求、管理要求以及突發(fā)公共衛(wèi)生安全事件時(shí)的數(shù)據(jù)處理安全要求。

1.在標(biāo)準(zhǔn)第4章總體要求中，首先明確了網(wǎng)絡(luò)數(shù)據(jù)處理安全的數(shù)據(jù)識(shí)別是基礎(chǔ)、分類(lèi)分級(jí)是根本、風(fēng)險(xiǎn)防控是核心、審計(jì)追溯是底線(xiàn)的四項(xiàng)基本原則，即需要完整識(shí)別需要保護(hù)的數(shù)據(jù)形成數(shù)據(jù)保護(hù)清單目錄；根據(jù)網(wǎng)絡(luò)運(yùn)營(yíng)者的實(shí)際在符合法律法規(guī)要求的前提下，對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)管理；全面分析安全影響和安全風(fēng)險(xiǎn)，積極采取有效措施保障數(shù)據(jù)安全；在整個(gè)數(shù)據(jù)處理過(guò)程保證完整的審計(jì)日志，確保處理可追溯。

2.標(biāo)準(zhǔn)主要要求體現(xiàn)在第5章中，該部分在進(jìn)行安全影響分析和風(fēng)險(xiǎn)評(píng)估的通則要求基礎(chǔ)上，提出了數(shù)據(jù)處理安全的技術(shù)要求：

（1）標(biāo)準(zhǔn)5.2至5.8中，對(duì)應(yīng)《數(shù)據(jù)安全法》中提出的數(shù)據(jù)處理（收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)）活動(dòng)，明確了相應(yīng)的安全要求：

數(shù)據(jù)收集方面，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者收集個(gè)人信息提出了安全要求，并在個(gè)人信息保護(hù)政策、征得個(gè)人信息主體同意、不強(qiáng)制誤導(dǎo)收集等方面進(jìn)行了細(xì)化，針對(duì)個(gè)人信息收集的具體要求，引用了GB/T 35273—2020的具體內(nèi)容。此外，在網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)用標(biāo)準(zhǔn)時(shí)，如通過(guò)App收集個(gè)人信息，相關(guān)安全要求見(jiàn)GB/T 41391—2022；

GB/T 41391—2022查閱渠道：標(biāo)準(zhǔn)應(yīng)用 | （附查閱渠道）GB/T 41391-2022《App收集個(gè)人信息基本要求》解讀及實(shí)踐思路

數(shù)據(jù)存儲(chǔ)方面，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)提出了安全要求，如安全措施、存儲(chǔ)期限及個(gè)人生物特征識(shí)別信息的存儲(chǔ)等；同時(shí)對(duì)于數(shù)據(jù)接收方存儲(chǔ)數(shù)據(jù)提出以合同約定安全措施的要求；

數(shù)據(jù)使用方面，針對(duì)定向推送及信息合成及第三方應(yīng)用管理二方面對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出了要求；

數(shù)據(jù)加工方面，要求網(wǎng)絡(luò)運(yùn)營(yíng)者在開(kāi)展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動(dòng)的過(guò)程中，知道或者應(yīng)知道可能危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的，應(yīng)立即停止加工活動(dòng)。

數(shù)據(jù)傳輸方面，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者傳輸重要數(shù)據(jù)及個(gè)人敏感信息的安全措施提出了要求，同時(shí)對(duì)于數(shù)據(jù)接收方傳輸數(shù)據(jù)提出以合同約定安全措施的要求；

數(shù)據(jù)提供方面，從向他人提供及數(shù)據(jù)出境二類(lèi)數(shù)據(jù)提供場(chǎng)景提出了數(shù)據(jù)安全要求。在向他人提供場(chǎng)景下，要求提供前進(jìn)行安全影響分析及風(fēng)險(xiǎn)評(píng)估，并針對(duì)提供個(gè)人信息、共享/轉(zhuǎn)讓重要數(shù)據(jù)、委托第三方處理數(shù)據(jù)，及發(fā)生收購(gòu)/兼并/重組/破產(chǎn)情況下的具體要求進(jìn)行了細(xì)化；

數(shù)據(jù)公開(kāi)方面，提出公開(kāi)市場(chǎng)預(yù)測(cè)、統(tǒng)計(jì)等信息的場(chǎng)景下，不應(yīng)危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定。

（2）標(biāo)準(zhǔn)5.9中，提出了私人信息和可轉(zhuǎn)發(fā)信息的處理方式要求；

（3）標(biāo)準(zhǔn)5.10中，提出了對(duì)個(gè)人信息查閱、更正、刪除及用戶(hù)賬號(hào)注銷(xiāo)的要求，響應(yīng)了《個(gè)人信息保護(hù)法》中對(duì)個(gè)人信息主體權(quán)益進(jìn)行充分保護(hù)的相關(guān)要求；

（4）標(biāo)準(zhǔn)5.11中，提出了投訴、舉報(bào)受理處置的要求，這是平臺(tái)責(zé)任的角度對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出的具體要求；

（5）標(biāo)準(zhǔn)5.12中，提出了訪問(wèn)控制與審計(jì)的要求；

（6）標(biāo)準(zhǔn)5.13中，提出了數(shù)據(jù)刪除和匿名化處理，對(duì)數(shù)據(jù)介質(zhì)銷(xiāo)毀及個(gè)人信息的刪除及匿名化等場(chǎng)景下的要求進(jìn)行了明確。

3.標(biāo)準(zhǔn)第6章中，從數(shù)據(jù)安全責(zé)任人、人力資源能力保障與考核、事件應(yīng)急處置等三個(gè)方面提出了數(shù)據(jù)處理安全管理要求。但組織可以參考信息安全管理體系要求等相關(guān)國(guó)際、國(guó)家標(biāo)準(zhǔn)完善數(shù)據(jù)安全管理架構(gòu)。

4.本標(biāo)準(zhǔn)專(zhuān)門(mén)針對(duì)突發(fā)公共衛(wèi)生事件專(zhuān)項(xiàng)預(yù)案啟動(dòng)Ⅰ級(jí)（特別重大）、Ⅱ級(jí)（重大）響應(yīng)的事件時(shí)的數(shù)據(jù)處理安全要求，以規(guī)范性附錄的形式提出了要求，效用與正文等同。附錄就個(gè)人信息服務(wù)協(xié)議、個(gè)人信息收集、個(gè)人信息調(diào)用、人臉識(shí)別驗(yàn)證、信息查閱服務(wù)、公開(kāi)/向他人提供個(gè)人信息及改變個(gè)人信息用途、應(yīng)對(duì)工作結(jié)束后的個(gè)人信息處理、日志留存等方面提出了具體要求。

03? 標(biāo)準(zhǔn)應(yīng)用

（一）提升數(shù)據(jù)處理安全性

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)用標(biāo)準(zhǔn)規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，從而落實(shí)《數(shù)據(jù)安全法》等相關(guān)法律對(duì)數(shù)據(jù)安全保護(hù)的要求，履行社會(huì)責(zé)任。

（二）開(kāi)展數(shù)據(jù)安全管理認(rèn)證（DSM）

《數(shù)據(jù)安全法》第十八條明確指出，國(guó)家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專(zhuān)業(yè)機(jī)構(gòu)依法開(kāi)展服務(wù)活動(dòng)。

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)用提升其數(shù)據(jù)處理安全性的基礎(chǔ)上，通過(guò)第三方認(rèn)證來(lái)證明其滿(mǎn)足標(biāo)準(zhǔn)中提出的數(shù)據(jù)安全基線(xiàn)要求，從而給予社會(huì)、公眾和客戶(hù)信心。

2022年6月5日，國(guó)家市場(chǎng)監(jiān)督管理總局與國(guó)家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《關(guān)于開(kāi)展數(shù)據(jù)安全管理認(rèn)證工作的公告》（閱讀原文可查看），鼓勵(lì)網(wǎng)絡(luò)運(yùn)營(yíng)者通過(guò)認(rèn)證方式規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)。從事數(shù)據(jù)安全管理認(rèn)證活動(dòng)的認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)依法設(shè)立，并按照《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》實(shí)施認(rèn)證?！稊?shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》中，明確數(shù)據(jù)安全管理認(rèn)證的依據(jù)為GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》。