1、GB/T41479-2022信息安全技术网络数据处理安全要求1范围本文件规定了网络运营者开展网络数据收集、存诸、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求,本文件适用于网络运营者规范网络数据处理,以及监管部门、第三方评估机构对网络数据处理进行监督管理和评估,2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069信息安全技术术语GB/T35273一2020信息安全技术个人信息安全规范3术语与定义GB/T25069和GB
2、/T35273一2020界定的以及下列术语和定义适用于本文件。3.1数据data任何以电子或者其他方式对信息的记录。3.2网络数据network data通过网络收集、存储、使用、加工、传输、提供、公开的各种数据。示例:个人信息、重要数据等,3.3数据处理data processing数据的收集、存储、使用、加工、传输、提供、公开等。3.4数据安全data security通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。3.5网络运营者network operator网络的所有者、管理者和网骆服务提供者。注:本文件中的网络为开放公共网蜂。1GB/T414
3、79-20223.6个人信息personal information以电子或者其他方式记录的与已识别或者可以识别自然人有关的各种信息。注1:个人信息包括姓名,出生日期、公民身份号码,个人生物识别信息、住址,通信通讯联系方式,通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等,注2:不包括匿名化处理后的信息来源:GB/T35273一2020,3.1,有修改3.7敏感个人信息sensitive personal information一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。注:敏感个人信息包括生物识别、宗教
4、信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息,3.8个人信息主体personal information subject个人信息已识别或者可识别的自然人。来源:GB/T35273一2020,3.3,有修改3.9重要数据important data一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据。注:重要数据包括未公开的政府信息,数量达到一定规棋的基因、地理、矿产信息等,原则上不包括个人信息、企业内部经营管理信息等。3.10私人信息private information个人发送给特定对象不可转发给其他人的信息。3.11数据接收方data receiver数据处理中接收数据的组织或者个人。3.12第三方应用third party application由第三方提供的产品或者服务,以及被接入或者嵌入网络运营者产品或者服务中的自动化工具。注:本文件中的第三方应用包括但不限于软件开发工具包、第三方代码、组件、脚本、接口、算法模型、小程序等,3.13匿名化nonymization个人信息经过处理无法识别特定自然人且不能复原的过程。4数据处理安全总体要求4.1数据识别网络运营者应识别数据处理埋中涉及的数据,包括个人信息、重要数据和其他数据,形成数据保护目
