a)在服务实施前，应与服务需求方明确约定数据保护的相关条款，包括服务过程中涉及的个人信息（如身份信息等）、业务数据、系统数据、安全数据、文本资料等的保护要求，以及数据的使用目的和周期、最小处理范围、最小特权访问、事后处置等保护措施；

b)处理网络安全服务过程中获取的各类数据，应遵守法律、法规要求，履行数据安全保护义务，承担社会责任，不应危害国家安全、公共利益，不得损害个人、组织的合法权益；

c)不应将网络安全服务过程中获取的数据变更目的使用，不应向第三方提供或进行公开，服务协议中明确授权或经服务需求方同意的除外；

d)应采取必要的安全措施，如加密、完整性校验、备份等，保证所获取数据的真实性、准确性，未经服务需求方同意，不应更改、删除、销毁原始数据；

e)因服务所需向境外提供、传输网络安全服务过程中获取的各类数据，应在事前向服务需求方单独告知出境目的、数据种类、数量、周期、接收方等情况，取得服务需求方书面同意。同时，还应遵守数据出境管理相关法律法规的要求；

f)因处理外国司法或执法机构的要求提供数据时，应遵守国家有关法律法规要求，上报有关主管机关批准后方可提供；

g）在服务实施完成之后，应按服务需求方和服务协议的要求，进行数据的脱敏、移交、清理、销毁等处置；服务需求方对处理情况提出核验或审计的，应予以充分配合。

*来源：全国信息安全标准化技术委员会