ICS 35.030 CCS L 80
中华人民共和国国家标准
GB/T 41479—2022
信息安全技术 网络数据处理安全要求Information security technology——Network data processing security requirements
2022-11-01实施2022-04-15发布
国家市场监督管理总局
发 布
国家标准化管理委员会
GB/T 41479—2022
信息安全技术 网络数据处理安全要求
1 范围
本文件规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求。
本文件适用于网络运营者规范网络数据处理，以及监管部门、第三方评估机构对网络数据处理进行监督管理和评估。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T 25069 信息安全技术 术语
GB/T 35273—2020 信息安全技术 个人信息安全规范
3 术语与定义
GB/T 25069和GB/T 35273—2020界定的以及下列术语和定义适用于本文件。3.1
数据 data
任何以电子或者其他方式对信息的记录。3.2
网络数据 network data
通过网络收集、存储、使用、加工、传输、提供、公开的各种数据。示例：个人信息、重要数据等。3.3
数据处理 data processing
数据的收集、存储、使用、加工、传输、提供、公开等。3.4
数据安全 data security
通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。3.5
网络运营者 network operator 网络的所有者、管理者和网络服务提供者。注：本文件中的网络为开放公共网络。
GB/T 41479—2022 3.6
个人信息 personal information
以电子或者其他方式记录的与已识别或者可以识别自然人有关的各种信息。
注1：个人信息包括姓名、出生日期、公民身份号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、
账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。注2：不包括匿名化处理后的信息。【来源：GB/T35273—2020，3.1，有修改】3.7
敏感个人信息 sensitive personal information
一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。
注：敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未
成年人的个人信息。3.8
个人信息主体 personal information subject 个人信息已识别或者可识别的自然人。【来源：GB/T35273—2020，3.3，有修改】3.9
重要数据 important data
一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据。
注：重要数据包括未公开的政府信息，数量达到一定规模的基因、地理、矿产信息等，原则上不包括个人信息、企业
内部经营管理信息等。3.10
私人信息 private information
个人发送给特定对象不可转发给其他人的信息。3.11
数据接收方 data receiver 数据处理中接收数据的组织或者个人。3.12
第三方应用 third party application
由第三方提供的产品或者服务，以及被接入或者嵌入网络运营者产品或者服务中的自动化工具。注：本文件中的第三方应用包括但不限于软件开发工具包、第三方代码、组件、脚本、接口、算法模型、小程序等。3.13
匿名化 anonymization
个人信息经过处理无法识别特定自然人且不能复原的过程。
4 数据处理安全总体要求
4.1 数据识别
网络运营者应识别数据处理中涉及的数据，包括个人信息、重要数据和其他数据，形成数据保护目