“數(shù)據(jù)安全管理認(rèn)證”是什么？怎么做？

合規(guī)要求

核心要點(diǎn)

數(shù)據(jù)處理安全總體要求

數(shù)據(jù)識(shí)別

識(shí)別數(shù)據(jù)并形成數(shù)據(jù)保護(hù)目錄，及時(shí)更新。

分類(lèi)分級(jí)

按照國(guó)家標(biāo)準(zhǔn)、依據(jù)國(guó)家規(guī)定和業(yè)務(wù)運(yùn)營(yíng)需要，分類(lèi)分級(jí)管理。

風(fēng)險(xiǎn)防控

建立數(shù)據(jù)安全管理責(zé)任和評(píng)價(jià)考核制度，制定數(shù)據(jù)安全保護(hù)計(jì)劃，開(kāi)展安全風(fēng)險(xiǎn)評(píng)估，及時(shí)處置安全事件，組織開(kāi)展教育培訓(xùn)。

審計(jì)追溯

對(duì)數(shù)據(jù)處理的全生存周期進(jìn)行記錄，確保數(shù)據(jù)處理可審計(jì)、可追溯。

數(shù)據(jù)處理安全技術(shù)要求

通用

開(kāi)展數(shù)據(jù)處理時(shí)應(yīng)進(jìn)行影響分析和風(fēng)險(xiǎn)評(píng)估，采取必要措施進(jìn)行控制。

收集

遵循合法、正當(dāng)、必要的原則，不收集與其提供的服務(wù)無(wú)直接或無(wú)合理關(guān)聯(lián)的個(gè)人信息，不強(qiáng)迫收集個(gè)人信息；收集敏感個(gè)人信息前應(yīng)獲取單獨(dú)同意。

存儲(chǔ)

存儲(chǔ)重要數(shù)據(jù)和個(gè)人信息不應(yīng)超過(guò)約定期限或授權(quán)同意有效期；存儲(chǔ)重要數(shù)據(jù)和個(gè)人信息等敏感網(wǎng)絡(luò)數(shù)據(jù)，應(yīng)采用加密、訪問(wèn)控制、安全審計(jì)等安全措施。

使用

(1)定向推送及信息合成：提供定向推送信息服務(wù)的同時(shí)應(yīng)提供非定向推的選項(xiàng)；在提供新聞、博客類(lèi)信息服務(wù)的過(guò)程中，利用算法自動(dòng)合成文字、圖片、音視頻等信息，應(yīng)明確告知用戶(hù)。

(2)第三方應(yīng)用管理：監(jiān)督第三方應(yīng)用運(yùn)營(yíng)者加強(qiáng)數(shù)據(jù)安全管理；通過(guò)合同等形式明確雙方的責(zé)任和義務(wù)；宜對(duì)接入或嵌入的第三方應(yīng)用開(kāi)展技術(shù)檢測(cè)。

加工

在開(kāi)展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動(dòng)的過(guò)程中，知道或者應(yīng)知道可能危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的，應(yīng)立即停止加工活動(dòng)。

傳輸

傳輸重要數(shù)據(jù)和敏感個(gè)人信息時(shí)，應(yīng)采用加密、脫敏等安全措施；向數(shù)據(jù)接收方傳輸數(shù)據(jù)時(shí)，應(yīng)按要求采取安全措施并以合同進(jìn)行約定。

提供

(1)向他人提供：進(jìn)行安全影響分析和風(fēng)險(xiǎn)評(píng)估；向他人提供個(gè)人信息應(yīng)履行告知義務(wù)并獲取同意；委托第三方開(kāi)展數(shù)據(jù)處理活動(dòng)應(yīng)通過(guò)合同等形式明確處理目的、權(quán)利義務(wù)等相關(guān)信息；共享、轉(zhuǎn)讓重要數(shù)據(jù)需簽訂合同明確數(shù)據(jù)保護(hù)責(zé)任并采取保障措施。

(2)數(shù)據(jù)出境：遵循國(guó)家相關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)的要求。境內(nèi)用戶(hù)在境內(nèi)訪問(wèn)境內(nèi)網(wǎng)絡(luò)的，其流量不應(yīng)路由至境外。

公開(kāi)

利用所掌握的數(shù)據(jù)資源，公開(kāi)市場(chǎng)預(yù)測(cè)、統(tǒng)計(jì)等信息時(shí)，不應(yīng)危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定。

私人信息和可轉(zhuǎn)發(fā)信息的處理方式

即時(shí)通信等社交平臺(tái)運(yùn)營(yíng)者宜為用戶(hù)提供發(fā)送私人信息和可轉(zhuǎn)發(fā)信息的選項(xiàng)，宜對(duì)以私人選項(xiàng)發(fā)送的信息不提供轉(zhuǎn)發(fā)功能；宜對(duì)以可轉(zhuǎn)發(fā)選項(xiàng)發(fā)送的信息或者轉(zhuǎn)發(fā)此類(lèi)信息的，同時(shí)發(fā)送信息始發(fā)者在該平臺(tái)上的賬號(hào)名稱(chēng)，該賬號(hào)名稱(chēng)唯一且不可更改。

個(gè)人信息查閱、更正、刪除及用戶(hù)賬號(hào)注銷(xiāo)

建立渠道和機(jī)制，及時(shí)響應(yīng)個(gè)人信息主體查閱、復(fù)制、更正、刪除其個(gè)人信息及注銷(xiāo)賬號(hào)的請(qǐng)求，不應(yīng)對(duì)請(qǐng)求設(shè)置不合理?xiàng)l件。

投訴、舉報(bào)受理處置

建立投訴、舉報(bào)受理處置制度。

訪問(wèn)控制與審計(jì)

基于數(shù)據(jù)分類(lèi)分級(jí)，明確相關(guān)人員的訪問(wèn)權(quán)限；對(duì)重要數(shù)據(jù)、個(gè)人信息的關(guān)鍵操作(例如批量修改、拷貝、刪除、下載等)，設(shè)置內(nèi)部審批和審計(jì)流程，并嚴(yán)格執(zhí)行。

數(shù)據(jù)刪除和匿名化

符合法定情形時(shí)要及時(shí)履行刪除義務(wù)；存儲(chǔ)重要數(shù)據(jù)和個(gè)人信息的介質(zhì)進(jìn)行報(bào)廢處理時(shí)，應(yīng)采用物理?yè)p毀等方式銷(xiāo)毀介質(zhì)，以確保數(shù)據(jù)不能被恢復(fù)。

數(shù)據(jù)處理安全管理要求

數(shù)據(jù)安全責(zé)任人

處理重要數(shù)據(jù)和敏感個(gè)人信息的，應(yīng)明確數(shù)據(jù)安全責(zé)任人，并為其提供必要的資源保障，保證其獨(dú)立履行相關(guān)職責(zé)。

人力資源保障與考核

明確數(shù)據(jù)安全保護(hù)崗位及職責(zé)，并提供人力資源保障；建立人力資源考核制度，明確數(shù)據(jù)安全管理考核指標(biāo)和問(wèn)責(zé)機(jī)制。

事件應(yīng)急處置

應(yīng)建立數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制，配備應(yīng)急響應(yīng)所需的資源，制定應(yīng)急演練計(jì)劃。

突發(fā)公共衛(wèi)生事件個(gè)人信息保護(hù)要求

影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)應(yīng)接受?chē)?guó)家安全審查；指定機(jī)構(gòu)在提供信息服務(wù)過(guò)程中，以人臉識(shí)別作為身份驗(yàn)證方式時(shí)，宜提供其他身份驗(yàn)證方式供用戶(hù)選擇；指定機(jī)構(gòu)收集掌握的個(gè)人信息，未經(jīng)個(gè)人信息主體同意，不得公開(kāi)或者非法向他人提供，不得改變用途。

對(duì)比項(xiàng)

數(shù)據(jù)安全管理

認(rèn)證

APP安全

認(rèn)證

認(rèn)證流程

申請(qǐng)

可以申請(qǐng)的主體

網(wǎng)絡(luò)運(yùn)營(yíng)者

APP運(yùn)營(yíng)者（通過(guò)APP向用戶(hù)提供服務(wù)的網(wǎng)絡(luò)運(yùn)營(yíng)者，且取得市場(chǎng)監(jiān)督管理部門(mén)或有關(guān)機(jī)構(gòu)注冊(cè)登記的法人資格）

不可以申請(qǐng)的主體

/

APP運(yùn)營(yíng)者有下列情形之一的，不得申請(qǐng)認(rèn)證：

(1)違反相關(guān)法律法規(guī)；

(2)在12個(gè)月內(nèi)發(fā)生重大信息安全事件；

(3)所持同類(lèi)證書(shū)在撤銷(xiāo)認(rèn)證影響期內(nèi)；

(4)認(rèn)證機(jī)構(gòu)規(guī)定的其他情況。

提交資料

按照認(rèn)證機(jī)構(gòu)的要求提交認(rèn)證委托資料，包括但不限于認(rèn)證委托人基本材料、認(rèn)證委托書(shū)、相關(guān)證明文檔等。

提交的文檔資料應(yīng)至少包含以下內(nèi)容：

(1)認(rèn)證申請(qǐng)書(shū)；

(2)法人資格證明材料；

(3)APP版本控制說(shuō)明；

(4)對(duì)認(rèn)證要求符合性的自評(píng)價(jià)結(jié)果及相關(guān)證明文檔；

(5)對(duì)APP符合相關(guān)安全技術(shù)標(biāo)準(zhǔn)的證明文件；

(6)不同發(fā)布渠道的版本差異性聲明；

(7)其他需要的文件。

受理

受理審核

認(rèn)證機(jī)構(gòu)在對(duì)申請(qǐng)資料審查后進(jìn)行受理反饋。

制定方案

確定受理后，認(rèn)證機(jī)構(gòu)會(huì)根據(jù)認(rèn)證委托資料確定認(rèn)證方案，包括數(shù)據(jù)類(lèi)型和數(shù)量、涉及的數(shù)據(jù)處理活動(dòng)范圍、技術(shù)驗(yàn)證機(jī)構(gòu)信息等。

/

認(rèn)證依據(jù)

《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》及相關(guān)標(biāo)準(zhǔn)規(guī)范。

《信息安全技術(shù)個(gè)人信息安全規(guī)范》及相關(guān)標(biāo)準(zhǔn)規(guī)范。

技術(shù)驗(yàn)證

樣品獲取

/

按照申請(qǐng)書(shū)填寫(xiě)的送樣方式提交樣本。送樣副本應(yīng)反映所有發(fā)布渠道APP副本與認(rèn)證相關(guān)的技術(shù)特性；不能反映時(shí)，還應(yīng)選送申請(qǐng)單元內(nèi)其他APP副本。

驗(yàn)證實(shí)施

技術(shù)驗(yàn)證機(jī)構(gòu)應(yīng)當(dāng)按照認(rèn)證方案實(shí)施技術(shù)驗(yàn)證，并出具技術(shù)驗(yàn)證報(bào)告。

按照技術(shù)驗(yàn)證規(guī)范，采用實(shí)驗(yàn)室檢測(cè)和現(xiàn)場(chǎng)核查等方式進(jìn)行技術(shù)驗(yàn)證，并出具技術(shù)驗(yàn)證報(bào)告。

現(xiàn)場(chǎng)審核

認(rèn)證機(jī)構(gòu)實(shí)施現(xiàn)場(chǎng)審核，并出具現(xiàn)場(chǎng)審核報(bào)告。

制定現(xiàn)場(chǎng)審核規(guī)范，確定針對(duì)標(biāo)準(zhǔn)要求的現(xiàn)場(chǎng)審核內(nèi)容、方法和評(píng)價(jià)準(zhǔn)則，并據(jù)此實(shí)施現(xiàn)場(chǎng)審核，出具現(xiàn)場(chǎng)審核報(bào)告。

認(rèn)證決定

綜合評(píng)價(jià)

根據(jù)申請(qǐng)資料、技術(shù)驗(yàn)證報(bào)告、現(xiàn)場(chǎng)審核報(bào)告等其他相關(guān)資料信息進(jìn)行綜合評(píng)價(jià)，作出認(rèn)證決定。

頒發(fā)證書(shū)

對(duì)符合認(rèn)證要求的，頒發(fā)認(rèn)證證書(shū)；

對(duì)暫不符合認(rèn)證要求的，可要求限期整改，整改后仍不符合的，以書(shū)面形式通知終止認(rèn)證。

認(rèn)證決定通過(guò)后，頒發(fā)認(rèn)證證書(shū)；

認(rèn)證決定不通過(guò)的，終止認(rèn)證。

申訴

/

可在收到認(rèn)證結(jié)果通知后10個(gè)工作日內(nèi)通過(guò)認(rèn)證機(jī)構(gòu)指定的申訴渠道進(jìn)行申訴。

獲證后監(jiān)督

自評(píng)價(jià)

/

獲證APP運(yùn)營(yíng)者應(yīng)對(duì)持續(xù)符合認(rèn)證要求的情況進(jìn)行自評(píng)價(jià)。當(dāng)出現(xiàn)如下情形時(shí)，獲證APP運(yùn)營(yíng)者應(yīng)向認(rèn)證機(jī)構(gòu)提交自評(píng)價(jià)報(bào)告：

(1)獲證APP的分發(fā)渠道發(fā)生變化；

(2)認(rèn)證標(biāo)志使用情況發(fā)生變化；

(3)獲證APP發(fā)生變更，以及所引起的收集、處理和使用個(gè)人信息的目的、類(lèi)型、方式發(fā)生變化；

(4)獲證APP運(yùn)營(yíng)者對(duì)所收集個(gè)人信息的共享、轉(zhuǎn)讓、公開(kāi)披露的對(duì)象、方式和目的發(fā)生變化；

(5)獲證APP運(yùn)營(yíng)者收到獲證APP個(gè)人信息保護(hù)相關(guān)的投訴舉報(bào)。

監(jiān)督執(zhí)行

認(rèn)證機(jī)構(gòu)應(yīng)對(duì)獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營(yíng)者進(jìn)行持續(xù)監(jiān)督，并合理確定監(jiān)督頻次。

認(rèn)證機(jī)構(gòu)應(yīng)對(duì)獲證APP和APP運(yùn)營(yíng)者實(shí)施持續(xù)的日常監(jiān)督和專(zhuān)項(xiàng)監(jiān)督。

監(jiān)督結(jié)果

監(jiān)督評(píng)價(jià)通過(guò)的，可繼續(xù)保持認(rèn)證證書(shū)；不通過(guò)的，認(rèn)證機(jī)構(gòu)會(huì)作出暫停直至撤銷(xiāo)認(rèn)證證書(shū)的處理。

監(jiān)督中發(fā)現(xiàn)不符合時(shí)，認(rèn)證機(jī)構(gòu)應(yīng)要求限期整改，并對(duì)整改結(jié)果進(jìn)行驗(yàn)證。未在規(guī)定期限內(nèi)完成整改或整改結(jié)果未通過(guò)驗(yàn)證的，會(huì)進(jìn)行暫停、撤銷(xiāo)和注銷(xiāo)處置。

認(rèn)證時(shí)限

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)認(rèn)證各環(huán)節(jié)的時(shí)限作出明確規(guī)定。

一般為90個(gè)工作日(不包含整改時(shí)間)。

證書(shū)有效期

認(rèn)證證書(shū)有效期為3年，期滿前 6個(gè)月內(nèi)應(yīng)提出再認(rèn)證申請(qǐng)。

認(rèn)證機(jī)構(gòu)應(yīng)對(duì)認(rèn)證證書(shū)的有效期做出規(guī)定。

重要審核點(diǎn)

數(shù)據(jù)安全管理認(rèn)證

DSMM

技術(shù)安全

管理安全