在2021年9月1日,《中华人民共和国数据安全法》生效施行,提出国家推进数据安全标准体系建设,参与数据安全国际标准制定的要求。全国信息安全标准化技术委员会(TC260)作为负责网络安全国家标准的专业技术组织,已经制定26项数据安全国家标准(其中7项已发布),研制发布3项技术文件和实践指南,主导和参与5项国际标准(其中主导提出4项)。
接着在2021年11月1日,《中华人民共和国个人信息保护法》生效施行,提出制定个人信息保护具体标准、专门标准,推动与其他国家、地区、国际组织之间的个人信息保护标准互认的要求。全国信息安全标准化技术委员会(TC260)作为负责网络安全国家标准的专业技术组织,已经制定29项个人信息保护国家标准(其中17项已发布),研制发布8项技术文件和实践指南,参与4项国际标准。
此前一周年之际,信安标委秘书处分析了《数据安全法》标准化需求,梳理出已有30余项标准可为《数据安全法》21项条款落地实施提供支撑,提出了下一步标准研制建议,供各方参阅。文末下载导图。
一、数据安全制度
1、数据分类分级保护
【法律条款】:《数据安全法》第21条。
【标准需求】:明确数据分类分级、重要数据和核心数据识别的规则和方法,对数据实行分类分级保护,加强对重要数据的保护。
【已有标准】:《网络数据分类分级要求》(征求意见稿)、《重要数据识别指南》(送审稿)、《重要数据处理安全要求》(草案)。
2、数据安全风险评估
【法律条款】:《数据安全法》第22条、第30条。
【标准需求】:明确数据安全风险评估的方法、流程、评估报告编制等内容,给出数据安全评估机构和人员管理、资格评定、技术能力等相关要求。
【已有标准】:《数据安全风险评估方法》(草案)、《数据安全评估机构能力要求》(草案)。
3、数据安全风险信息监测预警
【法律条款】:《数据安全法》第22条、第29条。
【标准需求】:支撑数据安全风险信息的获取、报告、共享、分析、研判、监测预警等工作,指导数据处理者开展数据处理活动加强风险监测,发现数据安全缺陷、漏洞等风险时立即采取补救措施。
【已有标准】:可参考网络安全信息监测预警相关标准,如GB/T 36643-2018《网络安全威胁信息格式规范》、GB/T 32924-2016《网络安全预警指南》、《网络安全信息共享指南》(送审稿)、《网络安全信息报送指南》(征求意见稿)、《网络安全态势感知通用技术要求》(报批稿)等。
4、数据安全应急处置
【法律条款】:《数据安全法》第23条、第29条。
【标准需求】:明确数据安全事件、应急预案、应急处置措施等相关要求或指南,指导数据处理者发生数据安全事件时立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
【已有标准】:可参考网络安全应急处置相关标准,如GB/Z 20986《信息安全事件分类分级指南》(修订中)、GB/T 38645-2020《网络安全事件应急演练指南》、GB/T 20985.2-2020《信息安全事件管理 第2部分:事件响应规划和准备指南》、《网络安全应急能力评估准则》(送审稿)等。
二、数据安全与发展
1、数据要素市场安全
【法律条款】:《数据安全法》第7条。
【标准需求】:围绕以数据为关键要素的数字经济健康发展需求,明确数据共享、交易、开放、开发利用、融合计算等相关安全规则,促进数据依法有序自由流动。
【已有标准】:GB/T 39477-2020《政务信息共享 数据安全技术要求》、GB/T 37932《数据交易服务安全要求》(修订中)、《公共数据开放安全要求》(草案)等。
2、智能化公共服务安全
【法律条款】:《数据安全法》第15条。
【标准需求】:智能化公共服务充分考虑老年人、残疾人的数据安全保护需求,避免对老年人、残疾人的日常生活造成障碍。
3、数据安全技术和产品
【法律条款】:《数据安全法》第16条。
【标准需求】:规范数据安全产品开发使用,引导推广数据安全技术应用和产业实践。
【已有标准】:《机密计算通用框架》(草案)、GB/T 29765-2021《数据备份与恢复产品技术要求与测试评价方法》、GB/T 29766-2021《网站数据恢复产品技术要求与测试评价方法》等。
4、数据安全检测评估认证
【法律条款】:《数据安全法》第18条。
【标准需求】:支撑数据安全检测评估、认证等专业机构开展服务活动,促进数据安全检测评估、认证等服务发展。
【已有标准】:GB/T 41479-2022《网络数据处理安全要求》、GB/T 37988-2019《数据安全能力成熟度模型》、《数据安全评估机构能力要求》(草案)、《数据安全风险评估方法》(草案)等。
5、数据交易安全
【法律条款】:《数据安全法》第19条、第33条。
【标准需求】:明确数据交易中介服务机构、数据交易的参与方、交易对象和交易过程的安全要求,规范数据交易行为。
【已有标准】:GB/T 37932《数据交易服务安全要求》(修订中)。
6、数据安全人才培养
【法律条款】:《数据安全法》第20条。
【标准需求】:支撑数据安全相关教育和培训,促进数据安全专业人才培养。
【已有标准】:可参考网络安全人员相关标准,如《网络安全从业人员能力基本要求》(报批稿)。
三、数据安全保护义务
1、全流程数据安全治理
【法律条款】:《数据安全法》第27条。
【标准需求】:给出覆盖数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理全流程的数据安全管理和技术措施,为数据处理者建立健全全流程数据安全治理提供指引。
【已有标准】:GB/T 37988-2019《数据安全能力成熟度模型》、GB/T 35274《大数据服务安全能力要求》(修订中)、GB/T 37973-2019《大数据安全管理指南》。
2、数据处理伦理
【法律条款】:《数据安全法》第28条。
【标准需求】:开展数据处理活动以及研究开发数据新技术,应当符合社会公德和伦理。
【已有标准】:《机器学习算法安全评估规范》(送审稿)、《基因识别数据安全要求》(报批稿)、标准化技术文件《网络安全标准实践指南—人工智能伦理安全风险防范指引》。
3、数据收集合法正当
【法律条款】:《数据安全法》第32条。
【标准需求】:收集数据采取合法、正当的方式,不得窃取或者以其他非法方式获取数据,在法律、行政法规规定的目的和范围内收集、使用数据。
【已有标准】:目前标准主要集中在个人信息收集方面,如GB/T 35273-2020《个人信息安全规范》、GB/T 41391-2022《移动互联网应用程序(App)收集个人信息基本要求》等。
四、政务数据安全与开放
1、政务数据安全
【法律条款】:《数据安全法》第38条、第39条、第40条。
【标准需求】:规范政务部门自行和委托第三方开展的政务数据处理活动,明确政务数据处理安全管理要求、安全技术要求及对各类数据处理者的安全监督要求。
【已有标准】:《政务数据处理安全要求》(草案)、GB/T 39477-2020《政务信息共享 数据安全技术要求》。
2、政务数据共享和开放
【法律条款】:《数据安全法》第42条。
【标准需求】:明确政务数据或公共数据共享、开放的个人信息保护要求、数据安全技术和管理要求,推动政务数据共享和开放平台建设及政务数据开放利用。
【已有标准】:GB/T 39477-2020《政务信息共享 数据安全技术要求》、《公共数据开放安全要求》(草案)。
五、行业领域数据安全
【法律条款】:《数据安全法》第6条。
【标准需求】:在通用共性数据安全标准基础上,结合重点行业领域的数据分类分级、数据处理活动特点和数据安全需求,研究行业领域数据安全指南,为行业领域数据安全工作提供参考。
【已有标准】:
● 电信领域:《电信领域数据安全指南》(报批稿)。
● 互联网领域:《网络预约汽车服务数据安全要求》(报批稿)、《网上购物服务数据安全要求》(报批稿)、《即时通信服务数据安全要求》(报批稿)、《快递物流服务数据安全要求》(报批稿)、《网络支付服务数据安全要求》(报批稿)、《网络音视频服务数据安全要求》(报批稿)。
● 智能网联汽车:《汽车数据处理安全要求》(报批稿)。
● 卫生健康领域:GB/T 39725-2020《健康医疗数据安全指南》。
六、下一步标准建议
1、数据安全技术和产品:为进一步支撑《数据安全法》第16条,还需针对数据安全特色技术、急需的数据安全产品、数据安全产业等开展相关标准研制。
2、数据安全风险监测和应急:为进一步支撑《数据安全法》第22条、第23条、第29条,可在网络安全风险监测预警、事件应急等相关标准基础上,结合数据安全监测和应急的特点,开展数据安全风险监测报送、应急处置等相关标准研制。
3、数据要素市场安全:为进一步支撑《数据安全法》第7条,促进数字经济有序健康发展,还需围绕数据开发利用、数据共享、数据公开、多方融合计算等方面开展相关标准研制。
4、其他数据安全标准主题:为进一步支撑《数据安全法》第15条、第20条、第32条等,还需开展智能化公共服务数据安全、数据安全人员、自动化采集数据安全等相关标准研制。
值此一周年之际,信安标委秘书处分析了《个人信息保护法》标准化需求,梳理出已有37项标准可为《个人信息保护法》42项条款落地实施提供支撑,提出了下一步标准研制建议,供各方参阅。文末下载导图。
一、总则
【相关条款】:《个人信息保护法》第5、6、7、8、9条。
【标准需求】:给出处理个人信息遵循合法、正当、必要和诚信,目的明确和最小化处理,公开、透明,个人信息质量,责任和安全保障等原则的具体要求。
【已有标准】:GB/T 35273-2020《个人信息安全规范》、GB/T 41391-2022《移动互联网应用程序(App)收集个人信息基本要求》。
二、个人信息处理规则
1、个人信息处理活动
【相关条款】:《个人信息保护法》第10、19、20、21、22、23、25、27、59条。
【标准需求】:给出个人信息收集、存储、使用、加工、传输、提供、公开、删除等个人信息处理活动的通用要求。
【已有标准】:GB/T 35273-2020《个人信息安全规范》。
2、个人信息告知同意
【相关条款】:《个人信息保护法》第13、14、15、16、17、18、22、23、25、26、27、29、30、31、39条。
【标准需求】:规定个人信息处理规则制定、公开要求,明确个人信息处理告知内容、告知方式等内容;针对个人信息处理合法性基础和个人同意规则,明确同意的作出、重新取得同意、撤回同意、禁止强制获取用户同意等内容。
【已有标准】:GB/T 35273-2020《个人信息安全规范》、GB/T 41391-2022《移动互联网应用程序(App)收集个人信息基本要求》、《个人信息处理中告知和同意的实施指南》(报批稿)、《互联网平台及产品服务隐私协议要求》(送审稿)。
3、敏感个人信息处理
【相关条款】:《个人信息保护法》第28、29、30、31、32条。
【标准需求】:针对医疗健康、金融账户、行踪轨迹等敏感个人信息,明确数据处理者进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求,重点针对采集必要性、安全保护、脱敏规则、告知同意等方面提出要求。
【已有标准】:《敏感个人信息处理安全要求》(草案)。
4、个人信息自动化决策
【相关条款】:《个人信息保护法》第24条。
【标准需求】:明确数据处理者在进行自动化决策及相关应用过程中的数据安全和个人信息保护要求。
【已有标准】:《基于个人信息的自动化决策安全要求》(草案)、《机器学习算法安全评估规范》(报批稿)。
三、个人信息跨境提供的规则
【相关条款】:《个人信息保护法》第38、39条。
【标准需求】:明确个人信息跨境提供的安全原则、安全要求和认证规则等,支撑个人信息跨境流动相关工作。
【已有标准】:《个人信息跨境传输认证要求》(草案)、标准化技术文件《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》。
四、个人在个人信息处理活动中的权利
【相关条款】:《个人信息保护法》第44、45、46、47、48、49、50条。
【标准需求】:给出保障个人在个人信息处理活动中权利的要求或指南,如查阅、复制权和可携带权,更正、补充权,删除权,解释说明权等。
【已有标准】:GB/T 35273-2020《个人信息安全规范》。
五、个人信息处理者的义务
1、个人信息保护技术
【相关条款】:《个人信息保护法》第51条。
【标准需求】:给出个人信息去标识化等技术要求或应用指南,包括目标、原则、实施过程、方法等,以及实施效果的评估方法。
【已有标准】:GB/T 37964-2019《个人信息去标识化指南》、GB/T 41817-2022《个人信息安全工程指南》、《个人信息去标识化效果评估指南》(报批稿)。
2、个人信息安全管理
【相关条款】:《个人信息保护法》第51、52条。
【标准需求】:给出个人信息分类管理、个人信息保护负责人等管理要求或指南。
【已有标准】:GB/T 35273-2020《个人信息安全规范》、《网络数据分类分级要求》(征求意见稿)、《敏感个人信息处理安全要求》(草案)。
3、个人信息保护影响评估
【相关条款】:《个人信息保护法》第55、56条。
【标准需求】:给出个人信息安全影响评估的基本原理、实施流程等,为个人信息处理者开展个人信息保护影响评估提供指引。
【已有标准】:GB/T 39335-2020《个人信息安全影响评估指南》。
4、个人信息安全应急处置
【相关条款】:《个人信息保护法》第51、57条。
【标准需求】:给出个人信息安全事件应急预案制定和实施要求,明确个人信息安全事件补救、通知等内容。
【已有标准】:GB/T 35273-2020《个人信息安全规范》,同时可参考网络安全应急处置相关标准,如GB/Z 20986《信息安全事件分类分级指南》(修订中)、GB/T 38645-2020《网络安全事件应急演练指南》、GB/T 20985.2-2020《信息安全事件管理 第2部分:事件响应规划和准备指南》、《网络安全应急能力评估准则》(送审稿)等。
六、个人信息保护专门标准
1、互联网平台个人信息保护
【相关条款】:《个人信息保护法》第58条。
【标准需求】:明确提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的范围,大型互联网企业内设监督机构人员选择、人员结构、人员资质、人员约束、运行机制等要求;针对典型互联网平台提出数据安全和个人信息保护要求。
【已有标准】:GB/T 42012-2022《即时通信服务数据安全要求》、GB/T 42013-2022《快递物流服务数据安全要求》、GB/T 42014-2022《网上购物服务数据安全要求》、GB/T 42015-2022《网络支付服务数据安全要求》、GB/T 42016-2022《网络音视频服务数据安全要求》、GB/T 42017-2022《网络预约汽车服务数据安全要求》、《大型互联网企业内设个人信息保护监督机构要求》(草案)。
2、应用程序个人信息保护
【相关条款】:《个人信息保护法》第6、16、61条等。
【标准需求】:支撑应用程序个人信息保护情况测评工作,促进移动应用生态落实《个人信息保护法》要求。
【已有标准】:GB/T 41391-2022《移动互联网应用程序(App)收集个人信息基本要求》、《移动互联网应用程序(APP)个人信息安全测评规范》(报批稿)、《移动互联网应用程序(APP)SDK 安全指南》(送审稿)、《应用商店的App个人信息处理规范性审核与管理指南》(送审稿)、《移动智能终端的App个人信息处理活动管理指南》(送审稿)、《智能手机预装应用程序基本安全要求》(征求意见稿)。
3、生物识别信息保护
【相关条款】:《个人信息保护法》第26、62条。
【标准需求】:给出人脸等各类生物识别信息收集、存储、使用、提供、公开、删除等处理活动的安全要求。
【已有标准】:GB/T 40660-2021《生物特征识别信息保护基本要求》、GB/T 41819-2022《人脸识别数据安全要求》、GB/T 41806-2022《基因识别数据安全要求》、GB/T 41773-2022《步态识别数据安全要求》、GB/T 41807-2022《声纹识别数据安全要求》。
4、个人信息保护评估认证
【相关条款】:《个人信息保护法》第38、62条。
【标准需求】:给出个人信息保护评估、认证的相关依据、规则,支持有关机构开展个人信息保护评估、认证服务。
【已有标准】:《移动互联网应用程序(APP)个人信息安全测评规范》(报批稿)、GB/T 35273-2020《个人信息安全规范》、GB/T 41391-2022《移动互联网应用程序(App)收集个人信息基本要求》、《个人信息跨境传输认证要求》(草案)、标准化技术文件《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》。
5、受托人个人信息保护
【相关条款】:《个人信息保护法》第21、59条。
【标准需求】:针对接受委托处理个人信息的典型场景,给出受托人个人信息保护的要求或指南。
【已有标准】:GB/T 41574-2022《公有云中个人信息保护实践指南》。
6、其他新技术、新应用个人信息保护
【相关条款】:《个人信息保护法》第62条。
【标准需求】:针对汽车数据处理等新技术、新应用,制定专门的个人信息保护标准。
【已有标准】:GB/T 41871-2022《汽车数据处理安全要求》。
七、下一步标准建议
按照法律法规要求,持续完善个人信息保护标准体系。针对个人信息保护突出问题,结合国家个人信息保护监管和技术产业发展需求,加快移动应用个人信息保护、个人信息出境认证、敏感个人信息处理等急需标准研制。开展人工智能应用等新技术新应用个人信息保护标准研制,以及小型个人信息处理者、个人信息删除等具体标准或实践指南研究。
导图下载:
2 评论