DB32∕T 3161-2016 信息消费信息安全基本保护要求

ICS35.240L70备案号：52396-2017江苏省地方标准DB32DB32/T3161-2016信息消费信息安全基本保护要求Baselineforinformationsecurityprotectionofinformationconsumption2016-11-20发布2016-12-20实施江苏省质量技术监督局发布DB32/T3161-2016I目次前言.......................................................................II1范围......................................................................32规范性引用文件.............................................................33术语和定义.................................................................34信息消费信息安全保护责任...................................................44.1信息消费者安全责任.....................................................44.2信息消费基础环境运营方信息安全责任.....................................44.3信息服务和信息产品生产商信息安全责任...................................54.4第三方测评机构信息安全责任.............................................55信息消费信息安全保护基本原则...............................................56信息消费信息安全基本保护要求...............................................66.1消费者个人信息基本保护要求.............................................66.2信息消费基础环境信息安全基本保护要求...................................6DB32/T3161-2016II前言本标准依据GB/T1.1—2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。本标准由江苏省经济和信息化委员会提出并归口。本标准起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）。本标准主要起草人：王玉斐、黄申、王丹中、赵卫强、吴兰DB32/T3161-20163信息消费信息安全基本保护要求1范围本标准规范了全部或部分信息消费要素和过程，为信息消费不同要素的信息安全保护提供指导。本标准适用于参与信息消费过程的各类组织和机构，如信息消费者、提供信息消费基础环境的机构、信息服务提供者和信息产品生产商，开展信息消费过程中的信息安全保护工作。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术信息系统安全等级保护基本要求GB/Z20986信息安全技术信息安全事件分类分级指南GB/Z28828信息安全技术公共及商用服务信息系统个人信息保护指南3术语和定义GB/Z20986和GB/Z28828界定的及下列术语和定义适用于本标准。3.1信息消费informationconsumption一种直接或间接以信息产品和信息服务为消费对象的经济活动。是信息消费者获取信息、认知信息和再生信息等基本环节所构成的社会活动。3.2信息产品informationproduct在信息化社会中产生的以传播信息为目的的服务性产品，包括依附于物质载体存在的有形产品和无固定物质载体的产品。3.3信息服务informationservice是传播信息、交流信息、存储信息等活动，例如信息检索服务、信息报道与发布服务、信息咨询服务、网络信息服务等。3.4信息消费基础环境informationconsumptionfoundationenvironmentDB32/T3161-20164为信息消费活动提供技术支撑和保障的基础平台环境，主要包括信息消费平台系统、支付业务系统和相关的数据信息等。3.5信息系统informationsystem计算机信息系统，由计算机（含移动通信终端）及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。[GB/Z28828，定义3.1]3.6消费者个人信息consumperpersonalinformation可为信息系统所处理、与信息消费者相关、能够单独或通过与其他信息结合识别该信息消费者的计算机数据。3.7消费者个人敏感信息consumperpersonalsensitiveinformation一旦遭到泄漏或修改，会对标识的消费者造成不良影响的个人信息，具体内容根据消费者主体意愿和信息消费业务特点确定，可以包括图片、视频、身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。3.8第三方测评机构thirdpartytestingandevaluationagency独立于信息消费各方的专业测评机构。4信息消费信息安全保护责任4.1信息消费者安全责任4.1.1在信息消费前，要甄别信息消费对象、信息消费基础环境和信息消费对象生产商的合法性和真实性。4.1.2注意保护消费者个人敏感信息，当要求提供消费者个人信息时，要了解信息消费基础环境运营方、信息产品和信息服务生产商收集消费者个人信息的目的、用途等信息，按照个人意愿提供个人信息。4.1.3信息消费过程中发现涉及信息安全的问题或消费者个人信息被泄露、丢失、篡改等，向信息消费基础环境运营方投诉或提出质询，或向信息消费监管部门和信息安全管理部门发起申诉。4.2信息消费基础环境运营方信息安全责任4.2.1负责对通过信息消费平台进行交易的信息产品和信息服务的合法性、合规性进行甄别和审核，严禁非法的、不合规的信息产品和信息服务。DB32/T3161-201654.2.2负责依照国家法律、法规、标准和本指导性技术文件，建立信息消费基础环境信息安全保障体系和消费者个人信息处理流程；从管理制度和技术措施层面，保障其所运营的信息消费基础环境在规划、设计、开发、建设、运维、下线等全生命周期各阶段信息安全。4.2.3信息消费基础环境要按照在公安部门备案的信息系统等级进行等级化信息安全防护，要定期开展信息安全风险评估和加固，严控信息安全风险。4.2.4指定专门机构或人员负责管理和保护所收集的信息消费者个人信息；制定消费者个人信息管理制度，落实消费者个人信息管理责任；接受消费者关于个人信息保护的投诉与质询；建立消费者个人信息保护内控机制；当消费者个人信息遭到泄露、丢失、篡改时，及时采取应对措施并告知受影响的消费者。4.2.5定期对信息消费基础环境的信息安全状况和消费者个人信息安全状况进行自查，必要时委托第三方测评机构进行测评；制定信息安全应急预案并定期演练，当发生重大信息安全事件时，及时向信息消费监管部门和信息安全管理部门通报。4.2.6接受信息安全管理部门对信息安全状况的检查、监督和指导，积极参与和配合第三方测评机构对信息消费基础环境信息安全保护状况的测评。4.3信息服务和信息产品生产商信息安全责任4.3.1对所生产或提供的信息服务和信息产品的合法性和合规性负责。4.3.2对所生产或提供的信息服务和信息产品自身的信息安全属性负责。4.3.3当提供的信息服务和信息产品需要收集消费者个人信息时，应当向消费者明示并取得同意，依据消费者的意愿处理所收集的消费者个人信息。收集消费者个人信息时，应当遵守国家有关法律法规关于公民个人信息保护的规定。4.3.4当所提供的信息服务和信息产品包含对消费者个人信息的加工处理等内容时，应经消费者委托或授权后，对获得的消费者个人信息进行加工处理，并在完成加工处理后，立即删除相关消费者个人信息。4.4第三方测评机构信息安全责任4.4.1从维护公众利益和信息消费者角度出发，根据信息消费监管部门和信息安全管理部门授权，或受信息消费基础环境运营方的委托，依据相关国家法律、法规和本指导性技术文件，对信息消费基础环境所涉及的信息系统进行安全测试和风险评估，获取信息安全保障状况和消费者个人信息保护状况，作为信息消费基础环境运营方评价、监督和指导信息消费信息安全保障的依据。4.4.2对信息产品和服务的安全性进行检测和认证。5信息消费信息安全保护基本原则信息消费基础环境运营方、信息服务和信息产品生产商在整个信息消费过程中，进行信息安全保障和对消费者个人信息进行处理时，宜遵循以下基本原则：a)责任明确原则—明确信息消费过程中的信息安全责任，采取相应的措施落实相关责任，实现信息消费关键过程可审计、可追溯。b)消费者个人信息保护原则—在信息消费过程中，采取有效措施保障消费者个人信息，收集和处理消费者个人信息时，应遵循目的明确、最少够用、公开告知、个人同意、诚信履行承诺等基本要求。DB32/T3161-20166c)安全保障原则—采取适当的、与信息消费基础环境相关信息系统及相关数据重要程度相匹配的管理措施和技术手段，保障信息消费安全。6信息消费信息安全基本保护要求6.1消费者个人信息基本保护要求6.1.1信息消费基础环境平台运营方、信息服务和信息产品生产商应根据国家相关法律法规和管理办法，遵循合法、正当、必要的原则，保护信息消费者个人信息，加强消费者个人信息在收集、加工、转移、删除等主要处理环节的保护。6.1.2信息消费基础环境平台运营方、信息服务和信息产品生产商收集消费者个人信息要有特定、明确、合理的目的，收集前要向消费者明示并征得信息消费者的同意，遵循“业务必需”和“最少收集”原则，并明确告知使用目的、使用范围、收集和处理方式手段、具体内容、留存时限、保护措施、投诉渠道等事项，警示消费者个人敏感信息泄露风险。6.1.3信息消费基础环境平台运营方、信息服务和信息产品生产商对收集到的消费者个人信息进行加工时，应不违背收集前告知的使用目的、范围，采用已告知的方法手段对消费者个人信息进行加工，保证加工过程中消费者个人信息机密性、完整性和可用性。6.1.4信息消费基础环境平台运营方、信息服务和信息产品生产商应当妥善保管消费者个人信息；保管的消费者个人敏感信息泄露或者可能泄露时，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其互联网信息服务许可或者备案的电信管理机构报告，并配合相关部门进行的调查处理。6.1.5信息消费基础环境平台运营方、信息服务和信息产品生产商如需要对收集和处理的消费者个人信息进行向公众公开、向特定群体披露、将消费者个人信息复制到其他信息系统等转移操作，应提前告知信息消费者转移目的、转移范围并不得违背告知事项，经消费者同意后（法律、行政法规另有规定除外），方可进行转移，并保证转移过程中消费者个人信息的机密性、完整性和可用性。6.1.6信息消费基础环境平台运营方、信息服务和信息产品生产商如果出现以下情况，应及时删除消费者个人信息：信息消费者有正当理由要求删除时，收集时告知的使用目的达到时，超出告知的的消费者个人信息留存期限时，无法继续履行消费者个人信息管理责任时。若删除消费者个人信息可能会影响执法机构调查取证时，采取适当的存储和屏蔽措施。6.1.7信息消费基础环境平台运营方、信息服务和信息产品生产商应当加强信息系统安全防护，依法维护用户上载信息的安全，保障用户对上载信息的使用、修改和删除。6.1.8信息消费相关应用程序在完成信息收集后，应自动清除客户端和服务器端