数字安全 | 数据安全生命周期管理规范

数据采集要求：采集数据应坚持“合法、正当、必要”原则，明确数据采集和处理的目的、方式、范围、规则，保障采集过程的数据安全性、数据来源可追溯。

外部数据采购要求：制定外部数据采购、合作引入的集中审批管理制度，统筹建立数据需求、安全评估、采集引入、数据运维、登记备案和监督评价管理机制，对数据来源的真实性、合法性进行安全审查，评估数据提供者的安全保障能力及其数据安全风险，明确双方数据安全责任及义务。

数据跨境存储要求：中华人民共和国境内产生的数据原则上应在境内存储，国家或行业监督部门另有规定的除外。

数据使用要求：开展数据清洗转换、汇聚融合、分析挖掘等数据加工活动时，当采用匿名化等措施保护数据主体权益。数据汇聚融合衍生敏感级及以上数据，或导致数据安全级别变化的，及时评估、调整安全保护措施。数据使用不应超出数据采集时所声明的目的和范围。

数据加工要求：目前数据使用业务场景的目的、范围、审批流程（含权限授予、变更、撤销等）、人员岗位职责等，在保障安全，数据合法正当使用的情况下开展数据利用。根据不同数据使用场景，明确安全管理要求，采用安全处理措施（如去标识化、匿名化、脱敏、数据访问控制等），并采取技术措施保证汇聚大量数据时不暴露敏感信息，降低数据敏感度及暴露风险。

数据共享要求：明确对内、对外数据共享策略，评估数据共享使用的必要性、合规性、安全性、是否符合伦理道德规范要求，建立数据安全隔离的防火墙，并对共享数据进行有效保护。

数据委托处理、外部共享要求：机构在委托数据处理、对外共享数据时，明确所涉数据外部使用和处理的条件、场景、方式。委托处理数据时，以合同协议方式约定委托的目的、期限、处理方式、数据范围、保护措施、双方的数据安全责任和义务，以及受托方返还或删除数据的方式等，对数据处理活动进行记录和审计，可对外公开披露的数据除外。

数据联合处理要求：与第三方机构进行数据联合处理时，应以合同协议等方式予以明确，制定方案并采取有效保护措施，确保数据“可用不可见”，并以合同协议方式明确双方在数据处理过程中的数据安全责任和义务。

数据转移要求：因兼并、重组、破产等需要转移数据，明确数据转移内容，通过协议、承诺等方式约定数据接收方面承接对应数据的安全保护义务，通过公告等告知数据主体。数据转移采用安全可靠方式进行，并确保过程可追溯。涉及敏感级及以上数据转移，向主管监管单位进行报告。

数据公开要求：建立公开披露数据的审批机制，研判可能产生的影响，数据公开应在机构官方渠道进行发布，确保数据真实、准确、防篡改，记录审批和发布情况。敏感级及以上数据不得公开，国家法律法规另有规定或取得数据主体授权同意的除外。

数据跨境要求：遵循“合法、正当、必要”原则建立数据出境评估与管控机制，评估出境数据内容、范围、安全级别、数据接收方的数据安全责任和保护能力等，编制出境报告。数据出境应采取妥善安全保护措施，避免数据泄露、篡改、破坏。核心数据不得出境。向境外提供在中华人民共和国境内运营中收集和产生的重要数据，应当按照国家相关政策要求通过数据出境安全评估。敏感级数据出境需获得数据主体授权同意。

数据删除与销毁要求：按照国家、行业有关规定与数据主体的约定进行数据删除或匿名化处理，制定数据销毁管理制度。

扫码进星球下载公众号文件