本文件规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求。
本文件适用于网络运营者规范网络数据处理,以及监管部门、第三方评估机构对网络数据处理进行监督管理和评估。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;
不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。
GB/T 25069 信息安全技术 术语
GB/T 35273—2020 信息安全技术 个人信息安全规范
GB/T 25069 和GB/T 35273—2020界定的以及下列术语和定义适用于本文件。
任何以电子或者其他方式对信息的记录。
通过网络收集、存储、使用、加工、传输、提供、公开的各种数据。 示例:个人信息、重要数据等。
数据的收集、存储、使用、加工、传输、提供、公开等。
通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
网络的所有者、管理者和网络服务提供者。 注:本文件中的网络为开放公共网络。
以电子或者其他方式记录的与已识别或者可以识别自然人有关的各种信息。
注1:个人信息包括姓名、出生日期、公民身份号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
注2:不包括匿名化处理后的信息。
[来源:GB/T 35273—2020,3.1,有修改]
一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人 信息。
注 :敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
个人信息已识别或者可识别的自然人。
[来源:GB/T 35273—2020,3.3,有修改]
一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据。
注 :重要数据包括未公开的政府信息,数量达到一定规模的基因、地理、矿产信息等,原则上不包括个人信息、企业 内部经营管理信息等。
个人发送给特定对象不可转发给其他人的信息。
数据处理中接收数据的组织或者个人。
由第三方提供的产品或者服务,以及被接入或者嵌入网络运营者产品或者服务中的自动化工具。
注:本文件中的第三方应用包括但不限于软件开发工具包、第三方代码、组件、脚本、接口、算法模型、小程序等。
个人信息经过处理无法识别特定自然人且不能复原的过程。
《GB/T 41479—2022 信息安全技术 网络数据处理安全要求》
因篇幅问题不能全部显示,请点此查看更多更全内容