ICS35.030 CSS L 60 因 体 标 廣准 T/ISC0046--2024 数据跨境流通安全技术要求 Technical requirements for security of cross-border data flow 2024-06-12发布 2024-07-12实施 中国互联网协会 发布
T/1SC 0046-2024 目次 前言.. 1范围. 2规范性引用文件 3术语和定义, 4缩略语. 5数据跨境流通概述. 5.1数据跨境流通活动 5.2数据跨境流通模式 5.3数据跨境流通风险 6数据跨境安全原则 6.1合法合规 6.2目的明确 6.3最小必要. 6.4安全可控.. 6.5权责一致, 7数据跨境流通安全流程 7.1基本流程.. 3 7.2数据跨境流通安全评估 7.3数据跨境流通准备 7.4数据跨境执行. 7.5跨境数据存储 7.6跨境数据使用. 5 7.7跨境数据销毁 8数据跨境安全保障 8.1外部环境, 8.2制度体系.
8.3组织人员.
8.4技术能力. 8.5监督检查.
8.6应急处置.
参考文献..
T/1SC 0046--2024 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由奇安信科技集团股份有限公司提出.
本文件由中国互联网协会归口.
本文件起草单位:奇安信科技集团股份有限公司、桂林电子科技大学、智研高科(北京)信息技术 发展有限公司、国科华创认证有限责任公司、上海计算机软件技术开发中心、运易通科技有限公司、北 京万里红科技有限公司、北京大学长沙计算与数字经济研究院、联通数字科技有限公司、东软集团股份 有限公司、清华大学丘成桐数学科学中心、数力聚(北京)科技有限公司、中科信息安全共性技术国家 工程研究中心有限公司、北京政务信息安全保障中心(北京信息安全测评中心)、中国电信数据发展中心.
本文件主要起草人:安锦程、孔坚、李春海、杨昌松、梁海、张礼、杨小琴、刘振宇、张孟、刘海 峰、刘利、江海昇、王巧丽、周昌令、唐源、刘建国、李冰、李凡、杨硕、丁津泰、李乐平、杨晨光、 付昆、曹国华、刘元、李媛、高琦、姜晨、刘前伟、黄亮、刘洋、胡建勋、许宏伟.
I1
T/1SC 0046-2024 数据跨境流通安全技术要求 1范围 本文件规定了数据跨境的模式、基本原则、基本流程,以及跨境过程中相关方的行为准则与信息安 全保障措施.
本文件适用于开展数据跨境活动的相关机构参考使用,并为数据跨境活动的相关机构信息安全控制 措施的部署提供指导.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GB/T22239信息安全技术信息系统安全等级保护基本要求 GB/T35273-2020信息安全技术个人信息安全规范 3术语和定义 下列术语和定义适用于本文件.
3.1 数据data 任何以电子或者其他方式对信息的记录.
3.2 个人信息personalinformation 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息,不包括匿名化处理后的信息.
[来源:GB/T 35273-2020 3.6] 3.3 重要数据important data 一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据.
[来源:GB/T 41479-2022,3.9] 3.4 数据跨境活动datacross-borderactivities 将境内收集或产生的数据通过网络传输方式提供给境外机构的一次性或连续性活动.
3.5 数据跨境评估datacross-border transmission assessment 对数据和数据处理活动的安全风险和违法违规问题进行检测评估的过程.
4缩略语
T/1SC 0046-2024 下列缩略语适用于本文件.
API:应用程序接口(Application ProgrammingInterface) 5数据跨境流通概述 5.1数据跨境流通活动 本文件所述数据跨境活动是指在中华人民共和国境内(不含香港、澳门)收集或产生的数据通过网 络传输方式提供给境外机构的一次性或连续性活动.
5.2数据跨境流通模式 数据跨境活动的参与方包括: 一数据发送方:数据跨境活动的发起者,在境内收集、产生数据的机构: 一数据接收方:境外运营的接收并进行数据处理的机构: 境外数据处理相关方:通过数据接收方间接参与跨境数据处理的境外机构.
5.3数据跨境流通风险 数据跨境流通风险是指数据跨境活动可能对国家安全、社会利益、个人权益等造成的不良影响,包 括但不限于: a)数据提供风险:数据发送方提供数据的行为可能损害自身、客户及相关方权益等,包括行为造 成的风险和数据内容造成的风险: b)数据传输风险:数据传输过程中存在数据损坏、纂改、泄露等风险: c)数据存储风险:数据出境后,存在接收方、数据处理相关方因数据存储不当或数据安全保障措 施落实不到位等造成的数据泄露风险: d)数据使用风险:数据出境后,存在未经授权的访问、修改、转让、共享等安全风险.
6数据跨境安全原则 6.1合法合规 数据跨境活动的开展按照国家及行业相关法律法规要求及数据跨境参与方的有关合同约定.
6.2目的明确 数据跨境活动具有明确、清晰、具体的数据跨境目的.
6.3最小必要 数据跨境活动所使用的数据为完成当前跨境业务所需要的最少数据类型和数据量.
6.4安全可控 数据跨境活动各参与方具备与所面临的安全风险相匹配的安全保障能力,并采取足够的管理措施和 技术手段,保护跨境数据的保密性、完整性及可用性.
6.5权责一致 2