ICS35.240 CCSL80 团 体 标 准 T/CIQA 105—2024 2024-12-20实施 中国出入境检验检疫协会发布2024-12-20发布数字产品数据安全和隐私保护要求 Datasecurityandprivacyprotectionrequirementsfordigitalproducts 全国团体标准信息平台 T/CIQA105—2024 目录 前 言.............................................................................I 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4数据安全和隐私保护原则...............................................................3 5数据收集.............................................................................4 6数据存储和传输.......................................................................5 7数据使用和加工.......................................................................5 8数据提供和公开.......................................................................6 9数据删除.............................................................................6 10数据出境............................................................................7 11数据安全事件应急处置................................................................7 参考文献.........................................................................1 全国团体标准信息平台 T/CIQA105—2024 I前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中国出入境检验检疫协会网络安全标准化技术委员会（CIQA/TC16）提出并归口。 本文件起草单位：北京时代新威信息技术有限公司、中国汽车工程研究院股份有限公司、四川省电 子产品监督检验所、中国软件评测中心（工业和信息化部软件与集成电路促进中心）、力鸿检验控股有 限公司、中移物联网有限公司、吉林省电子信息产品检验研究院。 本文件主要起草人：王新杰、杨玉忠、潘文博、全代勇、谢天瀛、邓刚、刘海涛、张德馨、张学扬、 张晓华、张一沛、刘利军、文远、张家铭、刘天慧。 本文件知识产权归中国出入境检验检疫协会所有。任何单位或个人未经许可，不得以营利为目的， 印制、出版、翻译、转发或复制全文或部分文字。 本文件是首次发布。 全国团体标准信息平台 T/CIQA105—2024 1数字产品数据安全和隐私保护要求 1范围 本文件规定了数字产品针对用户信息的收集、存储、使用、加工、是供、公开、出境等数据处理活 动的安全要求。 本文件适用于数字产品提供者规范数据处理活动，也可为监管部门、第三方评估机构对数字产品中 数据处理活动进行监督、评估提供参考。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T25069信息安全技术术语 GB/T35273信息安全技术个人信息安全规范 GB/T41391信息安全技术移动互联网应用程序（App）收集个人信息基本要求 GB/T41479信息安全技术网络数据处理安全要求 3术语和定义 下列术语和定义适用于本文件。 3.1 数字产品digitalproducts 数字产品是指支撑数字信息处理的终端设备或高度应用数字化技术的智能设备，主要包括：智能办 公产品、智能娱乐产品、智能健康产品、智能穿戴产品、智能车联网产品、智能监控设备、智能无人机、 智能机器人等。 3.2 数据data 信息的可再解释的形式化表示，以适用于通信、解释或处理。 注：数据可以由人工或自动的方式加工处理。 [来源：GB/T18391.1-2009，定义3.2.6] 3.3 用户信息userinformation 与个人、法人或其他组织有关的信息，以及定义和描述此类信息的数据。 全国团体标准信息平台 T/CIQA105—2024 2注：用户信息包括个人信息，用户生成的文档、程序、多媒体资料，用户通信的内容、地址、时间, 产品的配置、运行及位置数据，系统运行过程产生的日志等。 [来源：ISO/IEC17027:2014，2.56] 3.4 个人信息personalinformation 以电子或者其他方式记录的能够单独或者与其他信息结合来识别特定自然人身份或者反映其活动 情况的各种信息。 注1：个人信息包括姓名、出生日期、公民身份号码、个人生物特征信息、住址、联系方式、通信 记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 注2：个人信息控制者通过个人信息或其他加工处理后形成的信息，例如，用户画像特征标签，能 够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,也属于个人信息。 [来源：GB/T25069-2022，3.196] 3.5 隐私privacy 隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。 [来源《中华人民共和国民法典》第一千零三十二条第二款] 3.6 隐私信息privacyinformation 是指自然人或个人不愿意公开的与个人身份、行为、通信、财务状况、健康状况等相关的信息。这 些信息包括但不限于： 个人身份信息：如姓名、身份证号码、护照号码、社会保险号码等。 联系信息：如家庭地址、电话号码、电子邮箱地址等。 金融信息：如银行账户信息、信用卡信息、交易记录等。 健康信息：包括医疗记录、健康检查结果、遗传信息等。 在线活动信息：如浏览历史、搜索记录、社交媒体账户、商品和服务交易信息等。 通信内容：如电子邮件、短信、即时通讯应用中的消息内容等。 位置数据：通过GPS或其他技术收集的个人位置信息。 其他：国家法律法规规定的其他信息。 3.7 个人信息主体personalinformationsubject 个人信息所标识或关联的自然人。 [来源：GB/T35273-2020，定义3.3] 3.8 全国团体标准信息平台 T/CIQA105—2024 3匿名化anonymization 通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原 的过程。 注:个人信息经匿名化处理后所得的信息不属于个人管息 [来源：GB/T35273—2020，定义3.147] 3.9 去标识化de-identification 通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的 过程。 注：去标识化建立在个体基础之上,保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替 代对个人信息的标识。 [来源：GB/T35273-2020，定义3.157] 3.10 数据安全datasecurity 数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续 安全状态的能力。 3.11 隐私保护privacyprotection 为保护隐私而采取的措施，如对个人信息的收集、处理和使用加以保护。 4数据安全和隐私保护原则 数字产品提供者应遵循以下原则： a)同步原则：在数字产品设计、安装和运行维护过程中，以及数据从收集到销毁的全生命周期中， 数字产品提供者应对用户数据安全与隐私保护进行同步规划、同步建设、同步使用； b)公开透明原则：用户信息或隐私的收集、处理与利用，组织必须获得个人的明确同意，并应公 开信息处理规则，明示处理目的、方式和范围，信息处理者的名称或姓名和联系方式，可能披 露个人数据的第三方的类型或身份以及披露目的，用户个人权利等； c)最少必需原则：在数据的收集、存储、使用、加工、传输、提供、公开、销毁等活动中,所使 用的数据类型及数据范围仅限定为实现产品功能所必需的最小范围，且具有合法、正当、必要 的目的；隐私信息的保存期限应当为实现处理目的所必