《数字产品数据安全和隐私保护要求》编制说明.docx

《《数字产品数据安全和隐私保护要求》编制说明.docx》由会员分享，可在线阅读，更多相关《《数字产品数据安全和隐私保护要求》编制说明.docx（7页珍藏版）》请在优知文库上搜索。

1、附件8中国出入境检验检疫协会团体标准数字产品数据安全和隐私保护要求（征求意见稿）编制说明标准起草小组2024年8月工作简况1.1 立项目的和意义1.2 任务来源标准编制原则标准核心技术内容及应用情况3.1标准制定的适用葩困3.2主要内容及其确定依据目录45678910标准中涉及专利的情况采用国际标;隹和国外先进标准的情况.与现行法律、法规、强制性国家标准及相关标准的关系至大分歧意见的处理和依据贯彻标准的要求和措施建议其他应予说明的事项(*i(aa(*i(预期效果1工作简况1.1立项目的和意义随着近年来数字化、网络化、智能化的迅猛发展，数字产品已经深入到我们生活的方方面面，从智能手机、平板电脑到

2、智能家居，再到各种线上服务和应用，数字产品正以前所未有的速度改变着我们的生活方式。据数字中国发展报告（2022年）数据，2022年数字经济规模达到50.2万亿元,同比名义增长10.3%,占GDP比重达到41.5%。数字技术的发展和数字产品的应用，使信息获取更加便捷，数据处理更加高效，创新变得更容易，生活变得更智能化，并推动了社会的数字化转型。然而，我们也要认识到数字技术所带来的挑战和风险，个人信息和数据泄露带来个人隐私保护风险、算法推荐加剧“信息革房”、人工智能技术带来伦理安全风险等等。推进数字中国建设，必须切实维护网络和数据安全。中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共

3、和国个人信息保护法等法律法规的出台，为数据安全提供了法律框架和明确要求，强化了数据分类分级保护、风险评估、应急处置、安全审查等制度措施，确保数据的合法收集、存储、使用和传输。当前，数字产品的种类越来越多样化，涵盖了智能手机、平板电脑、智能手表、智能家居设备等多个领域。这些产品不仅满足了人们的基本通信和娱乐需求，还在健康监测、教育、生活便捷化等方面提供了更多可能性。与此同时，数字产品存在诸多网络安全和数据安全风险。主要表现在，一是数字产品提供者为了提高市场份额，较为注重产品的功能和性能，对网络安全和数据安全的重要性认识不足，安全功能不能完全满足合规要求：二是数字产品提供者在收集用户数据时往往缺乏

4、充分的透明度，用户对于自己的数据如何被收集、使用和共享通常了解不足。这种不透明性导致用户难以做出知情同意，也难以有效控制自己的个人信息：三是数字产品提供者存在滥采滥用用户个人信息的问题，例如，过度索取用户权限、收集非必要个人信息等，这些问题不仅侵犯了用户的隐私权，还可能导致个人信息的泄露和滥用；四是网络安全保护、数据保护措施不足，随着数字技术的快速发展，新的安全威胁不断出现，而数字产品提供者在应对新威胁投入不足，用户数据存在安全风险；五是用户隐私权益在数字产品使用过程中容易受到侵犯，尤其是在大数据杀熟、个性化推荐等方面，用户的隐私权益保护措施往往不够充分：六是目前国内数字产品安全标准相对缺乏，

5、不能满足企业和用户的安全需求。为落实国家法律法规要求，满足企业、用户的网络安全、数据安全需求，提高数字产品的网络安全保护能力，维护企业、用户的合法权益，有必要制订数字产品数据安全与隐私保护要求相关的标准。1.2任务来源根据中国出入境检验检疫协会关于批准数字产品网络安全要求等3项团体标准立项的通知（中检协标（2024）15号），数字产品数据安全和隐私保护要求（立项编号：I7C1Q-2OO-2O24）团体标准于2024年6月28日由中国出入境检验检疫协会标准化委员会批准立项，该标准牵头单位是北京时代新威信息技术有限公司，归口单位是中国出入境检验检疫协会。2标准编制原则本标准起草过程遵循以下原则。a

6、）规范性。本标准是根据GB/T1.1-2020标准化工作导则第1部分:标准化文件的结构和起草规则、中国出入境检验检疫协会团体标准管理办法及其实施细则的要求进行格式和结构编写，以确保制定的团体标准的规范性。b）合规性。严格遵循国家相关的法律法规，如中华人民共和国民法典、中华人民共和国网络安全法等，提出数字产品数据安全和隐私保护的范围、技术要求等内容。c）协调性。本标准规范性引用了GB/T352732020等标准，确保标准间相互协调，避免市第和不必要的差异。3标准核心技术内容及应用情况1 .1标准制定的适用范围本标准规定了数据产品针对用户信息、隐私的收集、存储、使用、加工、是供、公开、出境等数据处

7、理活动的安全要求。本文件适用于数字产品提供者规范个人信息、隐私信息处理活动，也可为监管部门、第三方评估机构对数字产品中个人信息与隐私保护能力进行监督、评估提供参考。本标准是数字产品和数字产品提供者均需满足的基线要求。3 .2主要内容及其确定依据本标准依据中华人民共和国产品个人信息保护法、中华人民共和国产品数据安全法等法律法规，规定了数字产品数据安全和隐私保护原则，数字产品生命周期内的个人信息、隐私信息安全保护要求。适用于数据产品开发者规范数字产品的设计、开发、应用以及维护等活动。主要内容包括：（1）本标准给出了数字产品数据安全和隐私保护原则，包括“同步原则”J公开原则”、“最少必需原则”、“分

8、类分级原则”、“覆盖产品生命周期原则”和“持续监测审计原则”。（2）依据中华人民共和国产品个人信息保护法第四条、中华人民共和国产品民法典第一千零三十二条、第一千零三十四条以及未成年人网络保护条例相关规定，针对个人信息、隐私信息的收集、存储、使用、加工、传输、提供、公开、删除等活动给出了具体的安全保护要求。4标准中涉及专利的情况本标准不涉及专利和知识产权问题。5采用国际标准和国外先进标准的情况通过查找全国标准信息公共服务平台、全国信安标委信息安全标准项目管理与服务平台、全国团体标准信息平台等相关标准平台，均未找到数字产品数据安全和隐私保护要求类似标准。本标准未采用（包括等同采用、修改采用及非等效

9、采用）国际标准或国外先进标准。可以提供参考和借鉴的标准包括：GBZT39276-2020信息安全技术网络产品和服务安全通用要求：GB/T41479-2022信息安全技术网络数据处理安全要求；GB/T40979-2021智能家用电器个人信息保护要求和测评方法:GB/T34978-2017信息安全技术移动智能终端个人信息保护技术要求：GB/T22239-2019信息安全技术网络安全等级保护基本要求。6与现行法律、法规、强制性国家标准及相关标准的关系本标准完全满足现行国家法规的要求，与其他现行标准不冲突。7重大分歧意见的处理和依据无重大分歧。8贯彻标准的要求和措施建议标准颁布实施后，需要依托协会开展宣贯工作，组织会员单位积极采用或应用该标准，在提高大众数字产品隐私保护意识、提高数字产品数据安全保障能力等方面发挥积极作用。9其他应予说明的事项无。10预期效果数字产品数据安全和隐私保护要求由中国出入境检验检疫协会批准、发布后，可以充分发挥协会的行业引领作用，推动该标准的应用。一是依托协会，通过组织培训等形式，向协会会员单位进行宣贯,使其了解掌握标准的重要意义和具体内容，用于指导、规范数字产品开发生产企业合规处理个人信息和隐私信息，不断提高数据安全合规性。二是依托协会，组织检验检测机构为数字产品开发、生产企业提供检测评估服务，不断提高数字产品生产企业的竞争力。