电信网和互联网数据合作安全管理指南.pdfVIP

电信网和互联网数据合作安全管理指南

1范围

本文件明确了在数据合作过程中电信网和互联网组织机构宜遵循的安全管理原则和采取的安全管

理措施，以及组织机构宜对外部机构提出的数据安全保障要求与监督管理办法。

本文件适用于电信网和互联网组织机构与外部机构开展数据技术服务、数据建模服务、数据平台

服务、数据开发服务、联合数据服务、数据代理、数据业务推广等合作过程中，外部机构可以接触到

电信网和互联网组织机构所控数据的场景。本文件不适用于数据出境相关场景。

注：外部机构是指与电信网和互联网组织机构间既不存在隶属关系，也不隶属同一母公司的组织。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用

于本文件。

YD/T3802-2020电信网和互联网数据安全通用要求

YD/TAAAA-202X电信网和互联网数据生命周期日志留存指南

3术语和定义

下列术语和定义适用于本文件。

3.1

数据合作datacooperation

本单位在生产经营或服务提供过程中，与合作方开展的涉及本单位所控数据的合作，具体合作形

式包括数据技术服务、数据建模服务、数据平台服务、数据开发服务、联合数据服务、数据代理、数

据业务推广等。数据合作过程中，合作方可以接触到本单位所控数据。

注：本文件将电信网和互联网组织机构统称为“本单位”，将外部机构统称为“合作方”

3.2

合作方datapartner

受托代理市场销售和提供业务合作、技术支撑、数据服务等可能接触到本单位数据的外部机构。

3.3

敏感个人信息sensitivepersonalinformation

1

一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个

人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十

四周岁未成年人的个人信息。

4缩略语

下列缩略语适用于本文件。

CISA国际信息系统审计师CertifiedInformationSystemsAuditor

CISM注册信息安全员CertifiedInformationSecurityMember

CISP注册信息安全专业人员CertifiedInformationSecurityProfessional

CISSP信息系统安全专业认证CertificationforInformationSystemSecurityProfessional

PDPF隐私和数据保护基础PrivacyandDataProtectionFoundation

PDPP隐私和数据保护从业者PrivacyandDataProtectionPractitioner

5数据合作安全保护基本原则

5.1合法合规原则

按照法律法规规定开展数据合作，不得危害国家安全和发展利益，不得损害个人、组织的合法权

益。

5.2权责一致原则

合作方对合作数据的安全保障措施符合法律法规的相应保护要求，不同数据难以分别采取保护措

施的，应当按照其中级别最高的要求实施保护，并对合作数据处理活动造成的损害承担相应的责任。

5.3目的明确原则

合作数据处理具有合法、正当、必要、明确的数据处理目的，只处理满足处理目的所需的最少数

据的类型和数量。数据合作目的达成后，及时根据约定进行数据删除或返还。

6数据合作场景

6.1场景总述

为开展数据合作，本单位需要围绕自身数据资源搭建基础数据平台，进行统一的数据资产的管理。

在基础数据平台之上，本单位建设数据服务平台、数据开发平台开展数据应用、开发等合作。

围绕本单位的数据系统的建设和数据的运营，常见的数据合作方式有数据技术服务合作、数据建

模服务合作。同时，本单位通过数据服务平台可向合作方提供定制化的数据服务，合作方通过本单位

提供的定制化的数据平台服务使用数据；本