2024年8月7日,为规范互联网平台停服数据处理活动,保障数据安全,促进数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南—互联网平台停服数据处理安全要求(征求意见稿)》。
依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,本指南给出了互联网平台停服数据处理的基本要求,以及重要数据处理的要求,可用于指导互联网平台数据处理者开展数据安全保护工作,也可为主管监管部门实施安全监管或安全评估提供参考。
紧跟数字中国建设趋势落政策、学法规、读研报、用标准,有问题来 Q 小治,以下针对指南全文由生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。
总的来说,本指南为互联网平台停服时的数据处理活动提供了详细的安全要求和操作指南,确保数据处理活动符合法律法规的要求,保护个人隐私和数据安全。
- 范围:本文件提出了互联网平台停服数据处理的基本要求和重要数据处理的要求,适用于指导互联网平台数据处理者及主管监管部门实施安全监管或安全评估。
- 术语与定义:明确了互联网平台、停服和重要数据等关键术语的定义。
- 数据处理通用要求:包括数据分类、敏感个人信息处理、数据安全措施、未成年人信息保护、及时处置长期未服务App、数据转移通知等要求。
- 个人信息处理要求:详细规定了个人信息处理的基本要求、处置公告、转移、继续保存、委托处理和删除的具体要求。
- 重要数据处理要求:包括重要数据处理的基本要求、处置方案报告、删除和转移的重要数据的具体要求。
Q 小治:在互联网平台停服时,如何确保个人信息的安全处理?
互联网平台停服时确保个人信息安全处理的措施包括:
- 发布个人信息处置公告,至少提前30个工作日通知用户,明确告知停服时间、个人信息处理方式及影响。
- 停止收集个人信息和重要数据,涉及未成年人的信息要特别保护其权利。
- 及时处置长期未对外提供服务的App、小程序等。
- 需要转移数据时,应制定明确的数据转移方案并通知用户。
- 如继续保存个人信息,应采取必要措施并规范内部访问权限,加密保护数据。
- 委托处理个人信息时,停服前至少15个工作日通知受托人处理个人信息。
- 需要删除个人信息时,应在公告时限届满后主动删除,并对删除效果进行评估。
- 重要数据处理要遵守处置方案报告和删除要求,重要数据删除后要评估并保存评估报告至少三年。
相关原文:[8][9][10][7][6][11]
Q 小治:停服期间如何保障用户数据的安全性?
互联网平台运营者在停服期间应采取以下措施来保障用户数据的安全性:
- 应按照国家和行业分类分级要求,参照GB/T43697区分核心数据、重要数据和一般数据;
- 应参照敏感个人信息国家标准,区分敏感个人信息和个人信息;
- 应采取必要措施保障数据安全,切实履行数据安全和个人信息保护职责;
- 自停服之日起停止收集个人信息和重要数据;
- 涉及未成年人个人信息的,应保障未成年人及其监护人对不满十四周岁未成年人个人信息的查阅、复制、更正、补充、删除的权利;
- 应及时处置长期未对外提供服务的App、小程序等;
- 因停服需要转移数据的,应明确数据转移方案,并通过电话、短信、邮件、公告等方式通知受影响用户。
相关原文:[6][8][3][10][5][9]
Q 小治:互联网平台停服时如何告知用户影响?
互联网平台在停服时应该通过个人信息处置公告来告知用户影响。公告应当在平台停服前的至少30个工作日发布,使用显著方式并以清晰易懂的语言来真实、准确、完整地告知个人相关信息。公告内容需要包括平台停服的具体时间及关闭的服务或功能情况,个人查阅、复制、下载、转移、删除个人信息的处置时限与途径,拟转移个人信息的范围、种类以及接收方的基本信息和安全管理措施等,以及平台隐私政策已转移或删除个人信息的情况及其对个人权益的影响。
相关原文:[8][10][6][3][5][9]
Q 小治:在互联网平台停服过程中,如何保障未成年人的个人信息权益?
互联网平台停服过程中保障未成年人的个人信息权益应遵循以下要求:
- 自停服之日起停止收集个人信息和重要数据,特别是涉及未成年人的个人信息。
- 保障未成年人及其监护人对不满十四周岁未成年人个人信息的查阅、复制、更正、补充、删除的权利。
- 及时响应并处置个人(包括未成年人及其监护人)对其个人信息进行查阅、复制、更正、补充、删除的合理请求。
相关原文:[8][9][10][7][3][6]
Q 小治:互联网平台停服时,若需要继续保存个人信息,应采取哪些必要措施?
互联网平台停服时若需要继续保存个人信息,应采取以下必要措施:
a) 互联网平台运营者具有以下情形之一的,可以继续保存个人信息,但应采取必要的措施:
- 涉及互联网保险销售、网络支付、信托登记等业务,或者履行配合反洗钱等法定职责、义务,确需继续保存用户身份信息、交易记录;
- 以预收款方式提供产品、服务,或者提供代收费的互联网平台,在退回相关款项前保存用户身份信息、缴费记录、计费记录等;
- 为配合公安机关侦查打击违法犯罪,确需继续保存相关数据的。
b) 应将继续保存的个人信息单独存储,明确个人信息保护负责人。
c) 应规范内部访问权限、流程,采取加密等技术措施和其他必要措施对数据进行保护。
d) 法律、行政法规以及有关部门规定的保存期限届满的,应当删除个人信息。
相关原文:[8][9][10][7][6][11]
Q 小治:互联网平台停服后,对于重要数据的删除和转移有哪些特别要求?
互联网平台停服后,对于重要数据的删除和转移有以下特别要求:
重要数据删除要求:
互联网平台运营者应当委托第三方机构对掌握的重要数据、1000万人以上个人信息的删除效果进行评估。
评估的目的是确保重要数据和个人信息不可被识别、恢复。
评估报告应当至少保存三年。
重要数据转移要求:
因停服需要转移数据的,如果涉及重要数据和核心数据备案内容发生变化,应当履行备案和变更手续。
相关原文:[10][6][8][5][3][11]
根据《全国网络安全标准化技术委员会<网络安全标准实践指南>管理办法(暂行)》要求,《网络安全标准实践指南—互联网平台停服数据处理安全要求(征求意见稿)》面向社会公开征求意见。如有意见或建议,请于2024年8月22日前反馈至秘书处。
联系人:王寒生 010-64102730 wanghs@cesi.cn
下载附件:
1. 《网络安全标准实践指南—互联网平台停服数据处理安全要求(征求意见稿)》
来源:全国网安标委网站
