【合规资讯】
根据2022年10月14日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第13号),全国信息安全标准化技术委员会归口的14项国家标准正式发布,将于2023年5月1日起施行。此次公布的14项标准中,涵盖生物识别数据安全要求、个人信息安全工程指南、汽车数据处理安全要求、互联网信息服务数据安全要求等多个重要领域。在网络安全方面,包含《信息技术 安全技术 网络安全 第 3 部分:面向网络接入场景的威胁、设计技术和控制》和《信息技术 安全技术 网络安全 第 4 部分:使用安全网关的网间通信安全保护》。在数据安全方面,不仅包含个人信息工程、步态识别数据、基因识别数据、声纹识别数据以及人脸识别数据等个人生物识别信息安全的相关标准,还包含即时通信服务、快递物流服务、网上购物服务、网络支付服务、网络音视频服务、网络预约汽车服务等领域的数据安全相关标准。(资讯来源:全国信息安全标准化技术委员会)
【合规提示】
14项标准涉及到了网络安全以及不同数据类型、业务领域下的数据安全要求。建议业务涉及收集、处理个人生物识别数据的企业,除应遵循授权同意、最小必要原则,数据主体权益保障,以及采取安全措施进行数据安全防护和个人信息保护等通用要求外,还应参照本批标准的相关内容,进一步梳理相关生物识别数据生命周期的关键处理环节,从数据的收集、存储、使用、委托处理、共享、转让和公开披露环节对其应遵循的要求进行明确并逐步细化落实,建立健全相关数据的保护策略与处理规则,完善数据本地存储策略,按要求开展出境前安全评估,强化对数据主体的知情和授权选择的保护程度等。业务涉及即时通信服务、快递物流服务、网上购物服务、网络支付服务、网络音视频服务、网络预约汽车服务的企业,应梳理公司与标准对相关领域的专门数据安全保护要求之间差距,并根据标准提供的行业最佳数据安全解决方案开展数据安全合规体系建设。
[ 期号:20221017-20221023]
附件下载:
粤公网安备 44030402002963号