ICS 35.030 CCS L 09 黑 DB23 龙 江 省 地 方 标 准 DB23/T 3325—2022 平台用户信息保护指南 Guidelines for platform user information protection 2022 - 08 - 22 发布 2022 - 09 - 21 实施 黑龙江省市场监督管理局 发 布 DB23/T 3325—2022 目 次 前言 .................................................................................. II 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 基本原则 ............................................................................ 2 5 管理能力 ............................................................................ 3 6 信息处理过程 ........................................................................ 4 7 相关利益方权益 ...................................................................... 9 8 服务监督、评价与改进 ............................................................... 10 附录 A （资料性） 安全环境相关标准.....................................................12 参考文献...............................................................................13 I DB23/T 3325—2022 前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由黑龙江省工业和信息化厅提出并归口。 本文件起草单位：黑龙江省运通科技有限公司。 本文件主要起草人：吕翔宇、王业光、王国辉、许加利、田鑫、李飒 。 II DB23/T 3325—2022 平台用户信息保护指南 1 范围 本文件给出了平台用户信息保护的术语和定义、基本原则、管理能力、信息处理过程、相关利益方 权益、服务监督、评价与改进相关利益方权益。 本文件适用于指导平台用户信息的保护工作。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 2887 计算机场地通用规范 GB/T 9361 计算机场地安全要求 GB/T 20985.2 信息技术 安全技术 信息安全事件管理 第 2 部分：事件响应规划和准备指南 GB/T 20985.1 信息技术 安全技术 信息安全事件管理 第 1 部分：事件管理原理 GB/T 24363 信息安全技术 信息安全应急响应计划规范 GB/T 25069-2010 信息安全技术 术语 GB/T 31167 信息安全技术 云计算服务安全指南 GB/T 31168 信息安全技术 云计算服务安全能力要求 GB/T 31722 信息技术 安全技术 信息安全风险管理 GB/T 34942 信息安全技术 云计算服务安全能力评估方法 GB/T 35273 信息安全技术 个人信息安全规范 GB/T 40652 信息安全技术 恶意软件事件预防和处理指南 3 术语和定义 GB/T 25069-2010 界定的以及下列术语和定义适用于本文件。 3.1 平台 platform 充分运用互联网和移动技术，构建由数据驱动、平台支撑、网络协同的活动单元，在本质上是市场 的具化，是一种虚拟或真实的交易场所。 3.2 用户信息 user information 基于平台提供的服务，收集用户喜好、用户细分、用户需求、用户联系方式等基本资料信息，主要 分为描述类信息、行为类信息和关联类信息。 3.3 最小元素集合 minimum collection 以明确、合理的目的收集与用户直接相关的信息，并确定对用户权益影响最小的要素范围。 1 DB23/T 3325—2022 注：直接关联是指没有该信息的参与，无法实现功能。 3.4 用户信息主体 subject of personal information 用户信息所标识的自然人、法人和非法人组织。 3.5 用户信息管理者 administrator of personal information 决定用户信息处理的目的和方式，实际控制用户信息并利用信息系统处理用户信息的组织和机构。 3.6 用户信息获得者 receiver of personal information 从信息系统获取用户信息的个人、组织和机构，依据用户信息主体的意愿对获得的用户信息进行处 理。 3.7 敏感信息 sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人或组织身心健康、名誉受损或 受到歧视性待遇等的信息。 注 1：个人、法人和非法人组织身份证件号码个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信 息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 周岁以下(含)儿童的个人信息等。 注 2：法人和非法人组织的商业秘密等。 3.8 用户一般信息 user general information 除用户敏感信息以外的用户信息。 3.9 用户信息处理 personal information handing 处置用户信息的行为，包括收集、存储、使用、加工、传输、提供、公开、删除等。 3.10 去标识化 de-identification 通过对用户信息的技术处理，使其在不借助额外信息的情况下，无法识别用户信息主体的过程。 3.11 匿名化 anonymization 通过对用户信息的技术处理，使得用户信息主体无法被识别，且处理后的信息不能被复原的过程。 4 基本原则 4.1 总体原则 遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。 4.2 目的原则 为实现关联处理目的，以用户信息处理为核心，采取最小元素集合限度的手段。 4.3 公开透明原则 明示用户信息的处理目的、方式和范围，强化用户的主体地位，保障用户的知情权和决定权。 2 DB23/T 3325—2022 4.4 质量原则 保证用户信息质量的准确性、完整性、时效性，避免因用户信息不准确、不完整对用户权益造成不 利影响。 4.5 责任原则 处理者对用户信息处理活动负责，将用户信息安全作为工作重点，并采取必要的保障措施。 5 管理能力 5.1 组织的管理能力 5.1.1 明确用户信息保护管理目标，规划内容和范围，制定信息处理过程管理制度，并对过程管理进 行记录。 5.1.2 建立组织结构框架图，规定用户信息管理人员职务或职位，明确各岗位责任。 注 1：公开用户信息保护负责人，包括姓名、联系方式等，并报送履行用户信息保护职责的部门。 注 2：规定的中华人民共和国境外的用户信息处理者，需在中华人民共和国境内设立专门机构或者指定代表，负责 处理用户信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行用户信息保护职责 的部门。 5.1.3 制定并组织实施用户信息安全事件应急预案。 5.1.4 建立定期评估管理制度，对处理用户信息遵守的法律、行政法规的情况，进行合规审计。 5.1.5 制定岗位培训计划，进行岗前、在岗和离岗管理，定期对从业人员进行安全教育和岗位培训。 注 1：调查和了解从业人员背景，签署保密协议或在劳动合同中设置相应的条款。 注 2：按照管理制度，及时终止离职人员对用户信息的访问权限。 5.1.6 建立用户投诉渠道，用户行使权利方式宜便捷，拒绝用户行使权利请求时，应当说明理由。 5.2 人员的职业能力 5.2.1 能够掌握用户信息安全相关法律、法规、标准、管理制度、岗位职责及保密条款。 5.2.2 能够落实和宣传用户信息保护策略，开展用户信息保护日常管理。 5.2.3 能够执行用户信息保护制度，在授权范围内进行用户信息的处理。 5.2.4 能够分析处理用户信息保护存在的问题，提出风险控制建议和技术改进指导方案。 5.2.5 能够按照国家网信部门要求，监督检查用户信息处理活动全过程。 注：设置专职用户信息保护负责人管理岗位。 5.3 环境的保护条件 5.3.1 建立安全环境保护制度，包括但不限于：物理环境、网络环境、计管机环境和应用环境，宜参 考附录 A 的相关标准。 5.3.2 建立用户信息存储相关设备和各类介质安全管理制度，对设备移入或移出保护区域，进行严格 的申请和审批管理。 注：介质包括但不限于：磁介质、半导体介质和光介质。 5.3.3 建立机房分区管理制度，设置不同区域，区域之间设置物理隔离装置或隔离标识，在重要区域 前设置交付或安装等过渡区。 3 DB23/T 3325—2022 5.3.4 机房环境安全宜分类保护、多级保护，包括但不限于：增加防盗技术、安装报警设备、布设监 控设施、安装空调系统与报警系统联动控制设施、防电磁泄露装置，严格控制静电源、安全可靠及时消 除机房的静电、定期对防静电设施进行检测和维护。 5.3.5 建立物理线路安全、物理访问控制、电力供应安全保障制度。 5.3.6 计算机场地基础建设符合 GB/T 2887，计算机场地安全保障符合 GB/T 93