用户个人电子信息保护技术要求和管理要求.docx
《用户个人电子信息保护技术要求和管理要求.docx》由会员分享,可在线阅读,更多相关《用户个人电子信息保护技术要求和管理要求.docx(10页珍藏版)》请在课桌文档上搜索。
1、用户个人电子信息保护技术要求和管理要求目录1.概述11. 1.范围11.2. 安全防护内容12. 安全防护要求22.1.收集环节22.1.1.管理要求22.1.2.技术要求32.2.存储环节32.2.1.管理要求32.2.2.技术要求32.3.操作环节42.3.1.管理要求42.3.2.技术要求52.4.转移环节72.4.1.管理要求72.4.2.技术要求82.5.删除环节82.5.1.管理要求82.5.2.技术要求81.概述1.1. 范围用户个人电子信息是指信息服务提供者在提供服务的过程中以电子形式存储和使用的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信
2、息结合识别用户的信息以及用户使用服务的时间、地点、通信内容等信息。用户个人电子信息按照内容可以分为身份信息、鉴权信息、日志信息和内容信息,具体如下:身份信息:指能够单独或相互结合识别特定用户身份的信息,如用户基本资料、通讯录信息和虚拟身份信息等。个人用户基本资料包括个人姓名、出生日期、个人有效证件类别和号码、职业、单位、居住地址、家庭成员信息和通信联系方式等;单位用户基本资料包括单位名称、单位有效证件类别和号码、办公或注册地址、通信联系方式、单位负责人和联系人基本信息等。通信录信息包括存储于用户终端设备或同步到服务器上的联系人列表、电话号码薄等。虚拟身份信息包括用户昵称、级别和积分等。 鉴权信
3、息:指用于鉴定用户身份是否合法的信息,如用户登录各种业务系统的账号和密码、服务密码等。 日志信息:指用户使用业务过程中产生的信息,如用户消费信息、服务订购关系、终端信息、访问信息(如IP地址)、位置信息、使用服务的时间及使用相关业务的记录(如通话详单、网页购物记录、搜索内容等)。 内容信息:指用户使用业务过程中所传递的信息内容,如短信内容记录、移动上网内容及记录、应用平台上交互的信息内容等。1.2. 安全防护内容用户个人电子信息的生命周期可分为收集、存储、操作、转移、删除五个环节。对用户个人电子信息的安全防护要求贯穿于五个环节中; 收集环节:指对用户个人电子信息进行获取并记录的过程。 存储环节
4、:指用户个人电子信息在通信网络单元中存储的过程。 操作环节:指用户个人电子信息收集者操作使用信息的过程。 转移环节:指用户个人电子信息从收集者向第三者的流转过程,包括向公众或特定对象公开、合伙伙伴间信息共享、委托加工等情形。 删除环节:指使用户个人电子信息在信息系统中不再可用的过程。2.安全防护要求2.1. 收集环节2. 1.1.管理要求收集用户个人电子信息应当有正当、明确的目的。收集用户个人电子信息时,应满足以下条件之一:;D法律法规明确授权或经用户同意;2)与用户有合法的合同关系;3)用户自行公开或已合法公开的信息。收集用户个人电子信息前应采用用户能够知悉的方式,至少向用户明确告知如下事项
5、:1)收集用户个人电子信息的目的、方式、类别和留存时限;2)用户个人电子信息的使用范围,包括披露或向其他组织和机构提供用户个人电子信息范围;3)用户个人电子信息的保护措施;4)提供用户个人电子信息后可能存在的风险;5)不提供用户个人电子信息可能出现的后果;6)用户个人电子信息管理者的名称、地址、联系方式等信息;7)用户的投诉渠道。d)应只收集能够达到已告知目的的最少信息,不得收集与其所告知的收集目的无直接关系的用户个人电子信息。应采用已告知的手段和方式直接向用户收集用户个人电子信息,不采取隐蔽手段或以间接方式收集用户个人电子信息。2.1.2.技术要求a)通过在线方式进行用户身份信息收集时,应使
6、用加密传输以保障用户在线提交信息的安全性。b)应对用户设置访问控制,每个用户只能访问自己所上传的用户信息。c)用户鉴权信息应有位数要求,并有复杂度要求(使用大写字母、小写字母、数字、标点及特殊字符四种字符中至少三种的组合,且与用户名无相关性)。d)应对收集用户个人电子信息的操作进行日志记录,并对日志记录中的身份信息和鉴权信息进行模糊化处理。e)身份信息、鉴权信息在用户端显示时应进行模糊化处理,如:用户注册面页身份证号码显示、密码找回页面手机号码显示、密码找回页面邮箱显示、用户输入密码显示等。2.2.存储环节2.2.1.管理要求a)对于存储用户个人电子信息的存储介质(如磁阵、硬盘和磁带等)的维护
7、、更换、升级和销毁等操作和管理流程,应制定严格的登记和审批制度并落实。b)应采取有效的管理手段加强对涉及用户个人电子信息的系统使用移动存储介质的管控,对向移动介质输出用户个人信息的情况进行日志记录,并定期审核。2.2.2.技术要求a)应采取技术手段保障用户个人电子信息的安全性和完整性,鉴权信息应加密存储。b)作为后台的存储系统须与前端的用户信息收集系统在物理上进行分离,不得共用服务器。c)应实现网络安全域划分,不同安全域之间使用防火墙进行隔离和访问控制。存储系统应处于内部安全域,不对互联网提供服务,并与用户信息收集系统处于不同安全域。d)防火墙对存储系统的访问策略应设置为默认拒绝,只对特定的用
8、户信息收集系统、用户信息使用系统及管理终端开放访问权限。e)用户个人电子信息必须存储在境内。2.3.操作环节2.3.1.管理要求2.3.1.L业务人员要求a)对业务人员操作用户个人电子信息的行为,应建立明确的操作审批流程,定期进行严密的事后审核。b)涉及身份信息的操作,业务人员应获得用户的同意,并且按照正常的鉴权流程通过身份认证。c)涉及内容信息的查询,业务人员只能在响应用户请求时,并且用户自身按照正常流程通过身份鉴权的情况下,协助用户查询,禁止业务人员擅自进行查询。2.3.1.2.运维支撑人员要求a)对运维支撑人员操作用户个人电子信息的行为,应建立明确的操作审批流程,定期进行严密的事后审核。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 用户 个人 电子信息 保护 技术 要求 管理
链接地址:https://www.desk33.com/p-934488.html