ICS35. 030 CCS L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 42012—2022 信息安全技术 即时通信服务数据安全要求 I n f o rma t i ons e c u r i t e chno l o t as e c u r i t equ i r emen t sf o ri n s t an t yt gy—Da yr me s s a i ngs e r v i c e s g 2022 10 12 发布 2023 05 01 实施 国家市场监督管理总局 国家标准化管理委员会 发 布 GB/T 42012—2022 目 次 前言 ………………………………………………………………………………………………………… Ⅲ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 缩略语 …………………………………………………………………………………………………… 2 5 概述 ……………………………………………………………………………………………………… 2 5. 1 即时通信服务业务组成 …………………………………………………………………………… 2 5. 2 即时通信服务数据范围 …………………………………………………………………………… 3 6 基本要求 ………………………………………………………………………………………………… 3 7 数据收集 ………………………………………………………………………………………………… 3 7. 1 收集用户信息 ……………………………………………………………………………………… 3 7. 2 申请系统权限 ……………………………………………………………………………………… 4 7. 3 告知同意 …………………………………………………………………………………………… 4 8 数据存储和传输 ………………………………………………………………………………………… 4 8. 1 数据存储 …………………………………………………………………………………………… 4 8. 2 数据传输 …………………………………………………………………………………………… 4 9 数据使用和加工 ………………………………………………………………………………………… 5 9. 1 数据展示 …………………………………………………………………………………………… 5 9. 2 数据加工 …………………………………………………………………………………………… 5 10 数据提供和公开 ………………………………………………………………………………………… 5 11 数据删除 ………………………………………………………………………………………………… 6 12 数据出境 ………………………………………………………………………………………………… 6 13 个人信息主体权利 ……………………………………………………………………………………… 6 13. 1 个人信息查阅和更正 ……………………………………………………………………………… 6 13. 2 个人和组织信息删除 ……………………………………………………………………………… 6 13. 3 个人撤回同意 ……………………………………………………………………………………… 6 14 即时通信服务特殊场景 ………………………………………………………………………………… 7 14. 1 未成年人保护 ……………………………………………………………………………………… 7 14. 2 防范网络诈骗的保护措施 ………………………………………………………………………… 7 附录 A (资料性) 即时通信服务数据处理活动及安全风险 …………………………………………… 8 附录 B (资料性) 即时通信服务重要数据识别参考规则及数据分类示例 …………………………… 9 附录 C (资料性) 个人即时通信服务常见扩展业务功能收集个人信息范围 ………………………… 10 附录 D (资料性) 即时通信服务 App 相关系统权限申请范围及使用要求 ………………………… 11 参考文献 …………………………………………………………………………………………………… 13 Ⅰ GB/T 42012—2022 前 本文件按照 GB/T1. 1—2020《标准化工作导则 起草。 言 第 1 部分:标准化文件的结构和起草规则》的规定 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。 本文件起草单位:深圳市腾讯计算机系统有限公司、中国电子 技 术 标 准 化 研 究 院、国 家 信 息 技 术 安 全研究中心、浙江翼信科技有限公司、蓝信移动(北京)科技有限公司、中国信息通信研究院、国家计算机 网络应急技术处理协调中心、中国移动通信集团有限公司、阿里云计算 有 限 公 司、北 京 奇 虎 科 技 有 限 公 司、华为技术有限公 司、郑 州 信 大 捷 安 信 息 技 术 股 份 有 限 公 司、北 京 天 融 信 网 络 安 全 技 术 有 限 公 司、 OPPO 广东移动通信有限公司、上海观安信息技术股份有限公司、北京陌 陌 科 技 有 限 公 司、成 都 卫 士 通 信息产业股份有限公司、国家工业信息安全发展研究中心、格尔软件股份有限公司。 本文件 主 要 起 草 人:武 杨、杨 建 军、陈 舒、上 官 晓 丽、倪 平、徐 永 太、胡 影、周 晨 炜、潘 慧 炜、杨 韬、 赵芸伟、李海东、赵新强、王秉政、朱雪峰、吴华强、纪帅、裴利杰、楼喆、吴冬宇、郑磊、张屹、周蓬、刘为华、 王龑、陈湉、江为强、王小璞、谢江、代威、莫若、黄超、刘洋、杨厂普、孙岩。 Ⅲ GB/T 42012—2022 信息安全技术 即时通信服务数据安全要求 1 范围 本文件规定了即时通信服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的 安全要求。 本文件适用于即时通信服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对即时通 信服务数据处理活动进行监督、管理、评估提供参考。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必 不 可 少 的 条 款。其 中,注 日 期 的 引 用 文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包 括 所 有 的 修 改 单)适 用 于 本文件。 GB/T25069 信息安全技术 术语 GB/T35273—2020 信息安全技术 GB/T37964 信息安全技术 GB/T37988 信息安全技术 个人信息安全规范 个人信息去标识化指南 数据安全能力成熟度模型 GB/T39335 信息安全技术 个人信息安全影响评估指南 GB/T41391—2022 信息安全技术 移动互联网应用程序( App)收集个人信息基本要求 GB/T41479 信息安全技术 网络数据处理安全要求 3 术语和定义 3. 1 GB/T25069 和 GB/T35273—2020 界定的以及下列术语和定义适用于本文件。 即时通信服务 i n s t an tme s s a i ngs e r v i c e g 通过计算机、智能终端等客户端软件、浏览器等,向用户提 供 发 送 和 接 收 信 息(文 本、图 片、文 件、音 视频、链接等)的在线实时交互服务。 注 1:本文件所称的即时通信服务,主要针对相关商业服务,组织内部自建或自用服务不包含在内。 注 2:本文件所称的即时通信服务,典型应用场景包括单 聊(两 个 用 户 之 间、用 户 和 管 理 员 之 间 直 接 交 互)、群 聊 (在 群组内收发即时消息)、聊天室(一种多人在线实时 交 谈 的 网 络 空 间),基 于 即 时 通 信 的 社 交、社 区、在 线 客 服、 组织通信等。 3. 2 个人即时通信服务 c on s ume ri n s t an tme s s a i ngs e r v i c e g 面向个人用户的即时通信服务。 3. 3 组织即时通信服务 o r an i z a t i oni n s t an tme s s a i ngs e r v i c e g g 面向组织(例如企业、政务机关等)办公场景的即时通信服务。 1 GB/T 42012—2022 3. 4 即时通信服务平台 i n s t an tme s s a i ngs e r v i c ep l a t f o rm g 以互联网技术为依托,为用户提供个人即时通信或组织即时通信服务的信息系统。 3. 5 即时通信服务提供者 i n s t an tme s s a i ngs e r v i c epr o v i d e r g 利用即时通信服务平台,提供即时通信服务的企业法人。 注:本文件的即时通信服务提供者,主要是指即时通信服务平台运营者。 3. 6 用户 u s e r 即时通信服务( 3. 1)的使用者。 注:用户包括个人用户和组织用户。 3. 7 即时通信信息 i n s t an tme s s a i ngi n f o rma t i on g 由个人用户或组织用户在通信过程中形成的信息,包括社交标识、通信记录、通信内容等。 3. 8 关系链 s o c i a lcha i n 以用户为中心连接其他更多用户形成的关联结构。 3. 9 即时通信服务数据 i n s t an tme s s a i ngs e r v i c eda t a g 即时通信服务提供者在提供即时通信服务的过程中收集和产生的数据。 注:主要包括用户数据和业务数据,不包括即时通信服务提供者内部管理经营数据。 4 缩略语 以下缩略语适用于本文件: SDK:软件开发工具包( So f twa r eDeve l opmen tKi t) 5 概述 5. 1 即时通信服务业务组成 即时通信服务包括个人即时通信服务和组织即时通信服务,具体如下。 a) 个人即时通信服务: 个人即时通信服务的参与相关方包括个人 用 户、即 时 通 信 服 务 提 供 者。个 人 即 时 通 信 服 务 的 主要功能包括通信交互(单聊、群聊、实时聊 天)、关 系 链
GB/T 42012-2022 信息安全技术 即时通信服务数据安全要求
文档预览
中文文档
20 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共20页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 SC 于 2022-11-08 04:19:13上传分享