11月9日,全国信安标委发布《信息安全技术 网络安全服务能力要求(征求意见稿)》,征求意见稿规定,网络安全服务机构应对服务过程中获取的数据(包括原始数据、加工分析产生的数据等)进行安全保护,并满足以下要求:
a)在服务实施前,应与服务需求方明确约定数据保护的相关条款,包括服务过程中涉及的个人信息(如身份信息等)、业务数据、系统数据、安全数据、文本资料等的保护要求,以及数据的使用目的和周期、最小处理范围、最小特权访问、事后处置等保护措施;
b)处理网络安全服务过程中获取的各类数据,应遵守法律、法规要求,履行数据安全保护义务,承担社会责任,不应危害国家安全、公共利益,不得损害个人、组织的合法权益;
c)不应将网络安全服务过程中获取的数据变更目的使用,不应向第三方提供或进行公开,服务协议中明确授权或经服务需求方同意的除外;
d)应采取必要的安全措施,如加密、完整性校验、备份等,保证所获取数据的真实性、准确性,未经服务需求方同意,不应更改、删除、销毁原始数据;
e)因服务所需向境外提供、传输网络安全服务过程中获取的各类数据,应在事前向服务需求方单独告知出境目的、数据种类、数量、周期、接收方等情况,取得服务需求方书面同意。同时,还应遵守数据出境管理相关法律法规的要求;
f)因处理外国司法或执法机构的要求提供数据时,应遵守国家有关法律法规要求,上报有关主管机关批准后方可提供;
g)在服务实施完成之后,应按服务需求方和服务协议的要求,进行数据的脱敏、移交、清理、销毁等处置;服务需求方对处理情况提出核验或审计的,应予以充分配合。
