信息安全技术 网络数据处理安全要求

1范围

本文件规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求。

本文件适用于网络运营者规范网络数据处理，以及监管部门、第三方评估机构对网络数据处理进行监督管理和评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 25069 信息安全技术   术语

GB/T 35273-2020 信息安全技术   个人信息安全规范

3 术语与定义

GB/T 25069和GB/T 35273-2020界定的以及下列术语和定义适用于本文件。

3.1数据 data

任何以电子或者其他方式对信息的记录。

3.2 网络数据 network data

通过网络收集、存储、适用、加工、传输、提供、公开的各种数据。

实例：个人信息、重要数据等

3.3 数据处理 data processing

数据的收集、存储、使用、加工、传输、提供、公开等。

3.4 数据安全 data security

通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

3.5 网络运营者 network operator

网络的所有者、管理者和网络服务提供者。

注：本文件中的网络为开放公共网络。

3.6 个人信息 personal information

以电子或者其他方式记录的与已识别或者可以识别自然人有关的各种信息。

注1：个人信息包括姓名、出生日期、公共身份证号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

注2:不包括匿名化处理后的信息。

「来源：GB/T 35273-2020。3.1，有修改」

3.7 敏感个人信息 sensitive personal information

一旦泄漏或者非法使用，容易导致自然人的人格尊重受到侵害或者人身、财产安全受到危害的个人信息。

注：敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

3.8 个人信息主体 personal information subject

个人信息已识别或者可识别的自然人。

「来源：GB/T 35273-2020。3.3，有修改」

3.9 重要数据 important data

一旦泄漏可能直接影响国家安全、公共安全、经济安全和社会稳定的数据。

注：重要数据包括未公开的政府信息，数量达到一定规模的基因、地理、矿产信息等，原则上不包括个人信息、企业内部经营管理信息等。

3.10 私人信息 private information

个人发送给特定对象不可转发给其他人的信息。

3.11 数据接收方 data receiver

数据处理中接收数据的组织或者个人

3.12 第三方应用  third party application

由第三方提供的产品或者服务，以及被接入或者嵌入网络运营者产品或服务中的自动化工具。

注：本文件中的第三方应用包括但不限于软件开发工具包、第三方代码、组件、脚本、接口、算法模型、小程序等。

3.13 匿名化 anonymization

个人信息经过处理无法识别特定自然人且不能复原的过程。

4数据处理安全总体要求