GB/T 41479—2022《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》解讀及應(yīng)用建議

前言

根據(jù)2022年4月15日國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)公告（2022年第6號），全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口的10項國家標(biāo)準(zhǔn)正式發(fā)布。其中包括了一項數(shù)據(jù)安全方面的重點標(biāo)準(zhǔn)：GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》，是數(shù)據(jù)安全國家標(biāo)準(zhǔn)的核心標(biāo)準(zhǔn)之一，引起了社會的廣泛關(guān)注。本標(biāo)準(zhǔn)查閱和獲取方式附后！

本文由標(biāo)準(zhǔn)的牽頭編制單位中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心的標(biāo)準(zhǔn)參編專家，針對該標(biāo)準(zhǔn)的編制背景、適用范圍、主要內(nèi)容、關(guān)鍵問題等方面進(jìn)行解讀，并提出應(yīng)用實施建議，供各界參考：

GB/T 41479-2022 《信息安全技術(shù)?網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》

01? 編制背景

目前，數(shù)據(jù)安全成為熱點，國際國內(nèi)均希望通過法律手段加強(qiáng)數(shù)據(jù)安全保障，一方面要保障國家安全，另一方面要保障公眾權(quán)益，同時還要推動數(shù)據(jù)的應(yīng)用，保障組織的權(quán)益，相關(guān)的法律法規(guī)也相繼出臺。

為了落實網(wǎng)絡(luò)運營者在進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)處理時的法律責(zé)任，特別是落實《數(shù)據(jù)安全法》的要求，保障網(wǎng)絡(luò)運營者的運營數(shù)據(jù)安全，合法有序利用數(shù)據(jù)，中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心牽頭，聯(lián)合中國電子技術(shù)標(biāo)準(zhǔn)化研究院等單位，研制了《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》。

02? 標(biāo)準(zhǔn)主要內(nèi)容

標(biāo)準(zhǔn)給出了網(wǎng)絡(luò)數(shù)據(jù)處理安全的總體要求、技術(shù)要求、管理要求以及突發(fā)公共衛(wèi)生安全事件時的數(shù)據(jù)處理安全要求。

1.在標(biāo)準(zhǔn)第4章總體要求中，首先明確了網(wǎng)絡(luò)數(shù)據(jù)處理安全的數(shù)據(jù)識別是基礎(chǔ)、分類分級是根本、風(fēng)險防控是核心、審計追溯是底線的四項基本原則，即需要完整識別需要保護(hù)的數(shù)據(jù)形成數(shù)據(jù)保護(hù)清單目錄；根據(jù)網(wǎng)絡(luò)運營者的實際在符合法律法規(guī)要求的前提下，對數(shù)據(jù)進(jìn)行分類分級管理；全面分析安全影響和安全風(fēng)險，積極采取有效措施保障數(shù)據(jù)安全；在整個數(shù)據(jù)處理過程保證完整的審計日志，確保處理可追溯。

2.標(biāo)準(zhǔn)主要要求體現(xiàn)在第5章中，該部分在進(jìn)行安全影響分析和風(fēng)險評估的通則要求基礎(chǔ)上，提出了數(shù)據(jù)處理安全的技術(shù)要求：

（1）標(biāo)準(zhǔn)5.2至5.8中，對應(yīng)《數(shù)據(jù)安全法》中提出的數(shù)據(jù)處理（收集、存儲、使用、加工、傳輸、提供、公開）活動，明確了相應(yīng)的安全要求：

數(shù)據(jù)收集方面，對網(wǎng)絡(luò)運營者收集個人信息提出了安全要求，并在個人信息保護(hù)政策、征得個人信息主體同意、不強(qiáng)制誤導(dǎo)收集等方面進(jìn)行了細(xì)化，針對個人信息收集的具體要求，引用了GB/T 35273—2020的具體內(nèi)容。此外，在網(wǎng)絡(luò)運營者應(yīng)用標(biāo)準(zhǔn)時，如通過App收集個人信息，相關(guān)安全要求見GB/T 41391—2022；

GB/T 41391—2022查閱渠道：標(biāo)準(zhǔn)應(yīng)用 | （附查閱渠道）GB/T 41391-2022《App收集個人信息基本要求》解讀及實踐思路

數(shù)據(jù)存儲方面，對網(wǎng)絡(luò)運營者存儲網(wǎng)絡(luò)數(shù)據(jù)提出了安全要求，如安全措施、存儲期限及個人生物特征識別信息的存儲等；同時對于數(shù)據(jù)接收方存儲數(shù)據(jù)提出以合同約定安全措施的要求；

數(shù)據(jù)使用方面，針對定向推送及信息合成及第三方應(yīng)用管理二方面對網(wǎng)絡(luò)運營者提出了要求；

數(shù)據(jù)加工方面，要求網(wǎng)絡(luò)運營者在開展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動的過程中，知道或者應(yīng)知道可能危害國家安全、公共安全、經(jīng)濟(jì)安全和社會穩(wěn)定的，應(yīng)立即停止加工活動。

數(shù)據(jù)傳輸方面，對網(wǎng)絡(luò)運營者傳輸重要數(shù)據(jù)及個人敏感信息的安全措施提出了要求，同時對于數(shù)據(jù)接收方傳輸數(shù)據(jù)提出以合同約定安全措施的要求；

數(shù)據(jù)提供方面，從向他人提供及數(shù)據(jù)出境二類數(shù)據(jù)提供場景提出了數(shù)據(jù)安全要求。在向他人提供場景下，要求提供前進(jìn)行安全影響分析及風(fēng)險評估，并針對提供個人信息、共享/轉(zhuǎn)讓重要數(shù)據(jù)、委托第三方處理數(shù)據(jù)，及發(fā)生收購/兼并/重組/破產(chǎn)情況下的具體要求進(jìn)行了細(xì)化；

數(shù)據(jù)公開方面，提出公開市場預(yù)測、統(tǒng)計等信息的場景下，不應(yīng)危害國家安全、公共安全、經(jīng)濟(jì)安全和社會穩(wěn)定。

（2）標(biāo)準(zhǔn)5.9中，提出了私人信息和可轉(zhuǎn)發(fā)信息的處理方式要求；

（3）標(biāo)準(zhǔn)5.10中，提出了對個人信息查閱、更正、刪除及用戶賬號注銷的要求，響應(yīng)了《個人信息保護(hù)法》中對個人信息主體權(quán)益進(jìn)行充分保護(hù)的相關(guān)要求；

（4）標(biāo)準(zhǔn)5.11中，提出了投訴、舉報受理處置的要求，這是平臺責(zé)任的角度對網(wǎng)絡(luò)運營者提出的具體要求；

（5）標(biāo)準(zhǔn)5.12中，提出了訪問控制與審計的要求；

（6）標(biāo)準(zhǔn)5.13中，提出了數(shù)據(jù)刪除和匿名化處理，對數(shù)據(jù)介質(zhì)銷毀及個人信息的刪除及匿名化等場景下的要求進(jìn)行了明確。

3.標(biāo)準(zhǔn)第6章中，從數(shù)據(jù)安全責(zé)任人、人力資源能力保障與考核、事件應(yīng)急處置等三個方面提出了數(shù)據(jù)處理安全管理要求。但組織可以參考信息安全管理體系要求等相關(guān)國際、國家標(biāo)準(zhǔn)完善數(shù)據(jù)安全管理架構(gòu)。

4.本標(biāo)準(zhǔn)專門針對突發(fā)公共衛(wèi)生事件專項預(yù)案啟動Ⅰ級（特別重大）、Ⅱ級（重大）響應(yīng)的事件時的數(shù)據(jù)處理安全要求，以規(guī)范性附錄的形式提出了要求，效用與正文等同。附錄就個人信息服務(wù)協(xié)議、個人信息收集、個人信息調(diào)用、人臉識別驗證、信息查閱服務(wù)、公開/向他人提供個人信息及改變個人信息用途、應(yīng)對工作結(jié)束后的個人信息處理、日志留存等方面提出了具體要求。

03? 標(biāo)準(zhǔn)應(yīng)用

（一）提升數(shù)據(jù)處理安全性

網(wǎng)絡(luò)運營者應(yīng)用標(biāo)準(zhǔn)規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動，從而落實《數(shù)據(jù)安全法》等相關(guān)法律對數(shù)據(jù)安全保護(hù)的要求，履行社會責(zé)任。

（二）開展數(shù)據(jù)安全管理認(rèn)證（DSM）

《數(shù)據(jù)安全法》第十八條明確指出，國家促進(jìn)數(shù)據(jù)安全檢測評估、認(rèn)證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測評估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動。

網(wǎng)絡(luò)運營者應(yīng)用提升其數(shù)據(jù)處理安全性的基礎(chǔ)上，通過第三方認(rèn)證來證明其滿足標(biāo)準(zhǔn)中提出的數(shù)據(jù)安全基線要求，從而給予社會、公眾和客戶信心。

2022年6月5日，國家市場監(jiān)督管理總局與國家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《關(guān)于開展數(shù)據(jù)安全管理認(rèn)證工作的公告》（閱讀原文可查看），鼓勵網(wǎng)絡(luò)運營者通過認(rèn)證方式規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)。從事數(shù)據(jù)安全管理認(rèn)證活動的認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)依法設(shè)立，并按照《數(shù)據(jù)安全管理認(rèn)證實施規(guī)則》實施認(rèn)證?！稊?shù)據(jù)安全管理認(rèn)證實施規(guī)則》中，明確數(shù)據(jù)安全管理認(rèn)證的依據(jù)為GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》。