DB32-T 3161-2016信息消費(fèi)信息安全基本保護(hù)要求

ICS35.240

L70

備案號(hào)：52396-2017

DB32

江蘇省地方標(biāo)準(zhǔn)

DB32/T3161-2016

信息消費(fèi)信息安全基本保護(hù)要求

Baselineforinformationsecurityprotectionofinformation

consumption

2016-11-20發(fā)布2016-12-20實(shí)施

江蘇省質(zhì)量技術(shù)監(jiān)督局發(fā)布

DB32/T3161-2016

前言

本標(biāo)準(zhǔn)依據(jù)GB/T1.1—2009《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫》給出的

規(guī)則起草。

本標(biāo)準(zhǔn)由江蘇省經(jīng)濟(jì)和信息化委員會(huì)提出并歸口。

本標(biāo)準(zhǔn)起草單位：江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)研究院（江蘇省信息安全測(cè)評(píng)中

心）。

本標(biāo)準(zhǔn)主要起草人：王玉斐、黃申、王丹中、趙衛(wèi)強(qiáng)、吳蘭

II

DB32/T3161-2016

信息消費(fèi)信息安全基本保護(hù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)范了全部或部分信息消費(fèi)要素和過(guò)程，為信息消費(fèi)不同要素的信息安全保護(hù)提

供指導(dǎo)。

本標(biāo)準(zhǔn)適用于參與信息消費(fèi)過(guò)程的各類組織和機(jī)構(gòu)，如信息消費(fèi)者、提供信息消費(fèi)基礎(chǔ)

環(huán)境的機(jī)構(gòu)、信息服務(wù)提供者和信息產(chǎn)品生產(chǎn)商，開展信息消費(fèi)過(guò)程中的信息安全保護(hù)工作。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本

適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求

GB/Z20986信息安全技術(shù)信息安全事件分類分級(jí)指南

GB/Z28828信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南

3術(shù)語(yǔ)和定義

GB/Z20986和GB/Z28828界定的及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。

3.1

信息消費(fèi)informationconsumption

一種直接或間接以信息產(chǎn)品和信息服務(wù)為消費(fèi)對(duì)象的經(jīng)濟(jì)活動(dòng)。是信息消費(fèi)者獲取信

息、認(rèn)知信息和再生信息等基本環(huán)節(jié)所構(gòu)成的社會(huì)活動(dòng)。

3.2

信息產(chǎn)品informationproduct

在信息化社會(huì)中產(chǎn)生的以傳播信息為目的的服務(wù)性產(chǎn)品，包括依附于物質(zhì)載體存在的有

形產(chǎn)品和無(wú)固定物質(zhì)載體的產(chǎn)品。

3.3

信息服務(wù)informationservice

是傳播信息、交流信息、存儲(chǔ)信息等活動(dòng)，例如信息檢索服務(wù)、信息報(bào)道與發(fā)布服務(wù)、

信息咨詢服務(wù)、網(wǎng)絡(luò)信息服務(wù)等。

3.4

信息消費(fèi)基礎(chǔ)環(huán)境informationconsumptionfoundationenvironment

3

DB32/T3161-2016

為信息消費(fèi)活動(dòng)提供技術(shù)支撐和保障的基礎(chǔ)平臺(tái)環(huán)境，主要包括信息消費(fèi)平臺(tái)系統(tǒng)、支

付業(yè)務(wù)系統(tǒng)和相關(guān)的數(shù)據(jù)信息等。

3.5

信息系統(tǒng)informationsystem

計(jì)算機(jī)信息系統(tǒng)，由計(jì)算機(jī)（含移動(dòng)通信終端）及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)

絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理

的人機(jī)系統(tǒng)。

[GB/Z28828，定義3.1]

3.6

消費(fèi)者個(gè)人信息consumperpersonalinformation

可為信息系統(tǒng)所處理、與信息消費(fèi)者相關(guān)、能夠單獨(dú)或通過(guò)與其他信息結(jié)合識(shí)別該信息

消費(fèi)者的計(jì)算機(jī)數(shù)據(jù)。

3.7

消費(fèi)者個(gè)人敏感信息consumperpersonalsensitiveinformation

一旦遭到泄漏或修改，會(huì)對(duì)標(biāo)識(shí)的消費(fèi)者造成不良影響的個(gè)人信息，具體內(nèi)容根據(jù)消費(fèi)

者主體意愿和信息消費(fèi)業(yè)務(wù)特點(diǎn)確定，可以包括圖片、視頻、身份證號(hào)碼、手機(jī)號(hào)碼、種族、

政治觀點(diǎn)、宗教信仰、基因、指紋等。

3.8

第三方測(cè)評(píng)機(jī)構(gòu)thirdpartytestingandevaluationagency

獨(dú)立于信息消費(fèi)各方的專業(yè)測(cè)評(píng)機(jī)構(gòu)。

4信息消費(fèi)信息安全保護(hù)責(zé)任

4.1信息消費(fèi)者安全責(zé)任

4.1.1在信息消費(fèi)前，要甄別信息消費(fèi)對(duì)象、信息消費(fèi)基礎(chǔ)環(huán)境和信息消費(fèi)對(duì)象生產(chǎn)商的合

法性和真實(shí)性。

4.1.2注意保護(hù)消費(fèi)者個(gè)人敏感信息，當(dāng)要求提供消費(fèi)者個(gè)人信息時(shí)，要了解信息消費(fèi)基礎(chǔ)

環(huán)境運(yùn)營(yíng)方、信息產(chǎn)品和信息服務(wù)生產(chǎn)商收集消費(fèi)者個(gè)人信息的目的、用途等信息，按照個(gè)

人意愿提供個(gè)人信息。

4.1.3信息消費(fèi)過(guò)程中發(fā)現(xiàn)涉及信息安全的問(wèn)題或消費(fèi)者個(gè)人信息被泄露、丟失、篡改等，

向信息消費(fèi)基礎(chǔ)環(huán)境運(yùn)營(yíng)方投訴或提出質(zhì)詢，或向信息消費(fèi)監(jiān)管部門和信息安全管理部門發(fā)

起申訴。

4.2信息消費(fèi)基礎(chǔ)環(huán)境運(yùn)營(yíng)方信息安全責(zé)任

4.2.1負(fù)責(zé)對(duì)通過(guò)信息消費(fèi)平臺(tái)進(jìn)行交易的信息產(chǎn)品和信息服務(wù)的合法性、合規(guī)性進(jìn)行甄別

和審核，嚴(yán)禁非法的、不合規(guī)的信息產(chǎn)品和信息服務(wù)。

4

DB32/T3161-2016

4.2.2負(fù)責(zé)依照國(guó)家法律、法規(guī)、標(biāo)準(zhǔn)和本指導(dǎo)性技術(shù)文件，建立信息消費(fèi)基礎(chǔ)環(huán)境信息安

全保障體系和消費(fèi)者個(gè)人信息處理流程；從管理制度和技術(shù)措施層面，保障其所運(yùn)營(yíng)的信息

消費(fèi)基礎(chǔ)環(huán)境在規(guī)劃、設(shè)計(jì)、開發(fā)、建設(shè)、運(yùn)維、下線等全生命周期各階段信息安全。

4.2.3信息消費(fèi)基礎(chǔ)環(huán)境要按照在公安部門備案的信息系統(tǒng)等級(jí)進(jìn)行等級(jí)化信息安全防護(hù)，

要定期開展信息安全風(fēng)險(xiǎn)評(píng)估和加固，嚴(yán)控信息安全風(fēng)險(xiǎn)。

4.2.4指定專門機(jī)構(gòu)或人員負(fù)責(zé)管理和保護(hù)所收集的信息消費(fèi)者個(gè)人信息；制定消費(fèi)者個(gè)人

信息管理制度，落實(shí)消費(fèi)者個(gè)人信息管理責(zé)任；接受消費(fèi)者關(guān)于個(gè)人信息保護(hù)的投訴與質(zhì)詢；

建立消費(fèi)者個(gè)人信息保護(hù)內(nèi)控機(jī)制；當(dāng)消費(fèi)者個(gè)人信息遭到泄露、丟失、篡改時(shí)，及時(shí)采取

應(yīng)對(duì)措施并告知受影響的消費(fèi)者。

4.2.5定期對(duì)信息消費(fèi)基礎(chǔ)環(huán)境的信息安全狀況和消費(fèi)者個(gè)人信息安全狀況進(jìn)行自查，必要

時(shí)委托第三方測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)；制定信息安全應(yīng)急預(yù)案并定期演練，當(dāng)發(fā)生重大信息安全

事件時(shí)，及時(shí)向信息消費(fèi)監(jiān)管部門和信息安全管理部門通報(bào)。

4.2.6接受信息安全管理部門對(duì)信息安全狀況的檢查、監(jiān)督和指導(dǎo)，積極參與和配合第三方

測(cè)評(píng)機(jī)構(gòu)對(duì)信息消費(fèi)基礎(chǔ)環(huán)境信息安全保護(hù)狀況的測(cè)評(píng)。

4.3信息服務(wù)和信息產(chǎn)品生產(chǎn)商信息安全責(zé)任

4.3.1對(duì)所生產(chǎn)或提供的信息服務(wù)和信息產(chǎn)品的合法性和合規(guī)性負(fù)責(zé)。

4.3.2對(duì)所生產(chǎn)或提供的信息服務(wù)和信息產(chǎn)品自身的信息安全屬性負(fù)責(zé)。

4.3.3當(dāng)提供的信息服務(wù)和信息產(chǎn)品需要收集消費(fèi)者個(gè)人信息時(shí)，應(yīng)當(dāng)向消費(fèi)者明示并取得

同意，依據(jù)消費(fèi)者的意愿處理所收集的消費(fèi)者個(gè)人信息。收集消費(fèi)者個(gè)人信息時(shí)，應(yīng)當(dāng)遵守

國(guó)家有關(guān)法律法規(guī)關(guān)于公民個(gè)人信息保護(hù)的規(guī)定。

4.3.4當(dāng)所提供的信息服務(wù)和信息產(chǎn)品包含對(duì)消費(fèi)者個(gè)人信息的加工處理等內(nèi)容時(shí)，應(yīng)經(jīng)消

費(fèi)者委托或授權(quán)后，對(duì)獲得的消費(fèi)者個(gè)人信息進(jìn)行加工處理，并在完成加工處理后，立即刪

除相關(guān)消費(fèi)者個(gè)人信息。

4.4第三方測(cè)評(píng)機(jī)構(gòu)信息安全責(zé)任

4.4.1從維護(hù)公眾利益和信息消費(fèi)者角度出發(fā)，根據(jù)信息消費(fèi)監(jiān)管部門和信息安全管理部門

授權(quán)，或受信息消費(fèi)基礎(chǔ)環(huán)境運(yùn)營(yíng)方的委托，依據(jù)相關(guān)國(guó)家法律、法規(guī)和本指導(dǎo)性技術(shù)文件，

對(duì)信息消費(fèi)基礎(chǔ)環(huán)境所涉及的信息系統(tǒng)進(jìn)行安全測(cè)試和風(fēng)險(xiǎn)評(píng)估，獲取信息安全保障狀況和

消費(fèi)者個(gè)人信息保護(hù)狀況，作為信息消費(fèi)基礎(chǔ)環(huán)境運(yùn)營(yíng)方評(píng)價(jià)、監(jiān)督和指導(dǎo)信息消費(fèi)信息安

全保障的依據(jù)。

4.4.2對(duì)信息產(chǎn)品和服務(wù)的安全性進(jìn)行檢測(cè)和認(rèn)證。

5信息消費(fèi)信息安全保護(hù)基本原則

信息消費(fèi)基礎(chǔ)環(huán)境運(yùn)營(yíng)方、信息服務(wù)和信息產(chǎn)品生產(chǎn)商在整個(gè)信息消費(fèi)過(guò)程中，進(jìn)行信

息安全保障和對(duì)消費(fèi)者個(gè)人信息進(jìn)行處理時(shí)，宜遵循以下基本原則：

a)責(zé)任明確原則—明確信息消費(fèi)過(guò)程中的信息安全責(zé)任，采取相應(yīng)的措施落實(shí)相關(guān)責(zé)

任，實(shí)現(xiàn)信息消費(fèi)關(guān)鍵過(guò)程可審計(jì)、可追溯。

b)消費(fèi)者個(gè)人信息保護(hù)原則—在信息消費(fèi)過(guò)程中，采取有效措施保障消費(fèi)者個(gè)人信

息，收集和處理消費(fèi)者個(gè)人信息時(shí)，應(yīng)遵循目的明確、最少夠用、公開告知、個(gè)人

同意、誠(chéng)信履行承諾等基本要求。

5

DB32/T3161-2016

c)安全保障原則—采取適當(dāng)?shù)?、與信息消費(fèi)基礎(chǔ)環(huán)境相關(guān)信息系統(tǒng)及相關(guān)數(shù)據(jù)重要程

度相匹配的管理措施和技術(shù)手段，保障信息消費(fèi)安全。

6信息消費(fèi)信息安全基本保護(hù)要求

6.1消費(fèi)者個(gè)人信息基本保護(hù)要求

6.1.1信息消費(fèi)基礎(chǔ)環(huán)境平臺(tái)運(yùn)營(yíng)方、信息服務(wù)和信息產(chǎn)品生產(chǎn)商應(yīng)根據(jù)國(guó)家相關(guān)法律法規(guī)

和管理辦法，遵循合法、正當(dāng)、必要的原則，保護(hù)信息消費(fèi)者個(gè)人信息，加強(qiáng)消費(fèi)者個(gè)人信

息在收集、加工、轉(zhuǎn)移、刪除等主要處理環(huán)節(jié)的保護(hù)。

6.1.2信息消費(fèi)基礎(chǔ)環(huán)境平臺(tái)運(yùn)營(yíng)方、信息服務(wù)和信息產(chǎn)品生產(chǎn)商收集消費(fèi)者個(gè)人信息要有

特定、明確、合理的目的，收集前要向消費(fèi)者明示并征得信息消費(fèi)者的同意，遵循“業(yè)務(wù)必

需”和“最少收集”原則，并明確告知使用目的、使用范圍、收集和處理方式手段、具體內(nèi)

容、留存時(shí)限、保護(hù)措施、投訴渠道等事項(xiàng)，警示消費(fèi)者個(gè)人敏感信息泄露風(fēng)險(xiǎn)。

6.1.3信息消費(fèi)基礎(chǔ)環(huán)境平臺(tái)運(yùn)營(yíng)方、信息服務(wù)和信息產(chǎn)品生產(chǎn)商對(duì)收集到的消費(fèi)者個(gè)人信

息進(jìn)行加工時(shí)，應(yīng)不違背收集前告知的使用目的、范圍，采用已告知的方法手段對(duì)消費(fèi)者個(gè)

人信息進(jìn)行加工，保證加工過(guò)程中消費(fèi)者個(gè)人信息機(jī)密性、完整性和可用性。

6.1.4信息消費(fèi)基礎(chǔ)環(huán)境平臺(tái)運(yùn)營(yíng)方、信息服務(wù)和信息產(chǎn)品生產(chǎn)商應(yīng)當(dāng)妥善保管消費(fèi)者個(gè)人

信息；保管的消費(fèi)者個(gè)人敏感信息泄露或者可能泄露時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施；造成或者

可能造成嚴(yán)重后果的，應(yīng)當(dāng)立即向準(zhǔn)予其互聯(lián)網(wǎng)信息服務(wù)許可或者備案的電信管理機(jī)構(gòu)報(bào)

告，并配合相關(guān)部門進(jìn)行的調(diào)查處理。

6.1.5信息消費(fèi)基礎(chǔ)環(huán)境平臺(tái)運(yùn)營(yíng)方、信息服務(wù)和信息產(chǎn)品生產(chǎn)商如需要對(duì)收集和處理的消

費(fèi)者個(gè)人信息進(jìn)行向公眾公開、向特定群體披露、將消費(fèi)者個(gè)人信息復(fù)制到其他信息系統(tǒng)等

轉(zhuǎn)移操作，應(yīng)提前告知信息消費(fèi)者轉(zhuǎn)移目的、轉(zhuǎn)移范圍并不得違背告知事項(xiàng)，經(jīng)消費(fèi)者同意

后（法律、行政法規(guī)另有規(guī)定除外），方可進(jìn)行轉(zhuǎn)移，并保證轉(zhuǎn)移過(guò)程中消費(fèi)者個(gè)人信息的

機(jī)密性、完整性和可用性。

6.1.6信息消費(fèi)基礎(chǔ)環(huán)境平臺(tái)運(yùn)營(yíng)方、信息服務(wù)和信息產(chǎn)品生產(chǎn)商如果出現(xiàn)以下情況，應(yīng)及

時(shí)刪除消費(fèi)者個(gè)人信息：信息消費(fèi)者有正當(dāng)理由要求刪除時(shí)，收集時(shí)告知的使用目的達(dá)到時(shí)，

超出告知的的消費(fèi)者個(gè)人信息留存期限時(shí)，無(wú)法繼續(xù)履行消費(fèi)者個(gè)人信息管理責(zé)任時(shí)。若刪

除消費(fèi)者個(gè)人信息可能會(huì)影響執(zhí)法機(jī)構(gòu)調(diào)查取證時(shí)，采取適當(dāng)?shù)拇鎯?chǔ)和屏蔽措施。

6.1.7信息消費(fèi)基礎(chǔ)環(huán)境平臺(tái)運(yùn)營(yíng)方、信息服務(wù)和信息產(chǎn)品生產(chǎn)商應(yīng)當(dāng)加強(qiáng)信息系統(tǒng)安全防

護(hù)，依法維護(hù)用戶上載信息的安全，保障用戶對(duì)上載信息的使用、修改和刪除。

6.1.8信息消費(fèi)相關(guān)應(yīng)用程序在完成信息收集后，應(yīng)自動(dòng)清除客戶端和服務(wù)器端緩存的消費(fèi)

者個(gè)人信息。

6.2信息消費(fèi)基礎(chǔ)環(huán)境信息安全基本保護(hù)要求

6.2.1信息消費(fèi)信任體系

6.2.1.1對(duì)于信息消費(fèi)者在線遠(yuǎn)程身份認(rèn)證，宜采用由國(guó)家主管部門簽發(fā)給公民的網(wǎng)絡(luò)身份

標(biāo)識(shí)，在不泄露身份信息的前提下實(shí)現(xiàn)在線遠(yuǎn)程身份識(shí)別。

6.2.1.2對(duì)于信息服務(wù)和信息產(chǎn)品生產(chǎn)商（提供商）的在線合法身份認(rèn)證，宜采用由工商部

門監(jiān)制、核發(fā)的，以數(shù)字證書為基礎(chǔ)的電子營(yíng)業(yè)執(zhí)照。

6.2.1.3信息消費(fèi)基礎(chǔ)環(huán)境的所有者或運(yùn)營(yíng)者應(yīng)根據(jù)國(guó)家法律法規(guī)，對(duì)信息消費(fèi)網(wǎng)站或交易

平臺(tái)在國(guó)家有關(guān)部門進(jìn)行備案。

6

DB32/T3161-2016

6.2.1.4信息消費(fèi)網(wǎng)站或交易平臺(tái)宜具有第三方權(quán)威機(jī)構(gòu)對(duì)網(wǎng)站身份及相關(guān)信息認(rèn)證（如官

網(wǎng)認(rèn)證、網(wǎng)站身份認(rèn)證、技術(shù)安全認(rèn)證、資質(zhì)認(rèn)證和信用認(rèn)證等）并向信息消費(fèi)者展示。

6.2.1.5信息消費(fèi)交易各方宜依據(jù)《中華人民共和國(guó)電子簽名法》等相關(guān)法律法規(guī)和規(guī)定要

求，采用基于數(shù)字證書的電子簽名，保證交易信息的真實(shí)性、完整性、可靠性和抗抵賴性，

以保障基于互聯(lián)網(wǎng)的信息消費(fèi)基礎(chǔ)環(huán)境下信息消費(fèi)各方的合法權(quán)益，數(shù)字證書認(rèn)證中心宜選

用權(quán)威、可信、公正的第三方。

6.2.2互聯(lián)網(wǎng)支付

6.2.2.1經(jīng)中國(guó)人民銀行批準(zhǔn)在中華人民共和國(guó)境內(nèi)設(shè)立的各類銀行機(jī)構(gòu)通過(guò)互聯(lián)網(wǎng)提供

的金融服務(wù)（網(wǎng)上銀行業(yè)務(wù)）應(yīng)遵循中華人民共和國(guó)有關(guān)金融法律、法規(guī)和網(wǎng)上銀行業(yè)務(wù)相

關(guān)管理辦法，并保證信息消費(fèi)支付信息和支付過(guò)程的機(jī)密性、完整性、可用性。

6.2.2.2經(jīng)中國(guó)人民銀行批準(zhǔn)從事支付業(yè)務(wù)的非金融機(jī)構(gòu)和個(gè)人應(yīng)遵循非金融機(jī)構(gòu)支付服

務(wù)管理辦法等中華人民共和國(guó)相關(guān)法律法規(guī)和管理辦法，提供信息消費(fèi)互聯(lián)網(wǎng)支付服務(wù)的非

金融機(jī)構(gòu)和個(gè)人應(yīng)獲得中華人民共和國(guó)支付業(yè)務(wù)許可證，并保證信息消費(fèi)支付信息和支付過(guò)

程的機(jī)密性、完整性、可用性。

6.2.2.3具備互聯(lián)網(wǎng)支付功能的信息消費(fèi)網(wǎng)站或交易平臺(tái)，應(yīng)保證所提供互聯(lián)網(wǎng)支付渠道和

鏈接的合法性、合規(guī)性和正確性。

6.2.2.4移動(dòng)支付應(yīng)用應(yīng)遵從中國(guó)金融移動(dòng)支付系列技術(shù)標(biāo)準(zhǔn)，宜選用在國(guó)家權(quán)威平臺(tái)上注

冊(cè)和上架的安全可信的移動(dòng)金融服務(wù)。

6.2.3信息消費(fèi)交易平臺(tái)系統(tǒng)

6.2.3.1應(yīng)按照GB/T22239的要求，從技術(shù)和管理層面保障信息消費(fèi)交易平臺(tái)系統(tǒng)免受干

擾、破壞或未經(jīng)授權(quán)的訪問(wèn)，防止數(shù)據(jù)泄露或者被竊取、篡改。

6.2.3.2在信息消費(fèi)交易平臺(tái)系統(tǒng)安全保護(hù)方面，信息消費(fèi)交易平臺(tái)系統(tǒng)運(yùn)營(yíng)者應(yīng)當(dāng)履行以

下義務(wù)：

a)制定內(nèi)部安全管理制度和操作規(guī)程，確定信息消費(fèi)交易平臺(tái)系統(tǒng)信息安全負(fù)責(zé)人，

落實(shí)信息安全保護(hù)責(zé)任。

b)采取防范計(jì)算機(jī)病毒和攻擊、侵入等危害信息消費(fèi)交易平臺(tái)系統(tǒng)安全行為的技術(shù)措

施。

c)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)及平臺(tái)系統(tǒng)運(yùn)行狀態(tài)、安全事件的技術(shù)措施，并留存網(wǎng)絡(luò)和系

統(tǒng)日志不少于六個(gè)月。

d)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。

e)國(guó)家法律、行政法規(guī)規(guī)定的其他義務(wù)。

6.2.4信息產(chǎn)品和信息服務(wù)

6.2.4.1信息產(chǎn)品和信息服務(wù)應(yīng)當(dāng)符合相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求。

6.2.4.2信息產(chǎn)品和信息服務(wù)的生產(chǎn)商（提供者）不得設(shè)置惡意程序，發(fā)現(xiàn)其信息產(chǎn)品、信

息服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)及時(shí)告知消費(fèi)者并采取補(bǔ)救措施，并按照規(guī)定向

有關(guān)主管部門報(bào)告。

6.2.4.3信息產(chǎn)品和信息服務(wù)生產(chǎn)商（提供者）應(yīng)當(dāng)為其信息產(chǎn)品、信息服務(wù)持續(xù)提供安全

維護(hù)，在規(guī)定或者消費(fèi)者約定的期間內(nèi)，不得終止提供安全維護(hù)。

7

DB32/T3161-2016

目次

前言.......................................................................II

1范圍......................................................................3

2規(guī)范性引用文件.............................................................3

3術(shù)語(yǔ)和定義.................................................................3

4信息消費(fèi)信息安全保護(hù)責(zé)任...................................................4

4.1信息消費(fèi)者安全責(zé)任.....................................................4

4.2信息消費(fèi)基礎(chǔ)環(huán)境運(yùn)營(yíng)方信息安全責(zé)任.....................................4

4.3信息服務(wù)和信息產(chǎn)品生產(chǎn)商信息安全責(zé)任...................................5

4.4第三方測(cè)評(píng)機(jī)構(gòu)信息安全責(zé)任.............................................5

5信息消費(fèi)信息安全保護(hù)基本原則...............................................5

6信息消費(fèi)信息安全基本保護(hù)要求...............................................6

6.1消費(fèi)者個(gè)人信息基本保護(hù)要求.............................................6

6.2信息消費(fèi)基礎(chǔ)環(huán)境信息安全基本保護(hù)要求...................................6

I

DB32/T3161-2016

信息消費(fèi)信息安全基本保護(hù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)范了全部或部分信息消費(fèi)要素和過(guò)程，為信息消費(fèi)不同要素的信息安全保護(hù)提

供指導(dǎo)。

本標(biāo)準(zhǔn)適用于參與信息消費(fèi)過(guò)程的各類組織和機(jī)構(gòu)，如信息消費(fèi)者、提供信息消費(fèi)基礎(chǔ)

環(huán)境的機(jī)構(gòu)、信息服務(wù)提供者和信息產(chǎn)品生產(chǎn)商，開展信息消費(fèi)過(guò)程中的信息安全保護(hù)工作。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本

適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求

GB/Z20986信息安全技術(shù)信息安全事件分類分級(jí)指南

GB/Z28828信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南

3術(shù)語(yǔ)和定義

GB/Z20986和GB/Z28828界定的及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。

3.1

信息消費(fèi)informationconsumption

一種直接或間接以信息產(chǎn)品和信息服務(wù)為消費(fèi)對(duì)象的經(jīng)濟(jì)活動(dòng)。是信息消費(fèi)者獲取信

息、認(rèn)知信息和再生信息等基本環(huán)節(jié)所構(gòu)成的社會(huì)活動(dòng)。

3.2

信息產(chǎn)品informationproduct

在信息化社會(huì)中產(chǎn)生的以傳播信息為目的的服務(wù)性產(chǎn)品，包括依附于物質(zhì)載體存在的有

形產(chǎn)品和無(wú)固定物質(zhì)載體的產(chǎn)品。

3.3

信息服務(wù)informationservice

是傳播信息、交流信息、存儲(chǔ)信息等活動(dòng)，例如信息檢索服務(wù)、信息報(bào)道與發(fā)布服務(wù)、

信息咨詢服務(wù)、網(wǎng)絡(luò)信息服務(wù)等。

3.4

信息消費(fèi)基礎(chǔ)環(huán)境informationconsumptionfoundationenvironment

3

DB32/T3161-2016

為信息消費(fèi)活動(dòng)提供技術(shù)支撐和保障的基礎(chǔ)平臺(tái)環(huán)境，主要包括信息消費(fèi)平臺(tái)系統(tǒng)、支

付業(yè)務(wù)系統(tǒng)和相關(guān)的數(shù)據(jù)信息等。

3.5

信息系統(tǒng)informationsystem

計(jì)算機(jī)信息系統(tǒng)，由計(jì)算機(jī)（含移動(dòng)通信終端）及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)

絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理

的人機(jī)系統(tǒng)。

[GB/Z28828，定義3.1]

3.6

消費(fèi)者個(gè)人信息consumperpersonalinformation

可為信息系統(tǒng)所處理、與信息消費(fèi)者相關(guān)、能夠單獨(dú)或通過(guò)與其他信息結(jié)合識(shí)別該信息

消費(fèi)者的計(jì)算機(jī)數(shù)據(jù)。

3.7

消費(fèi)者個(gè)人敏感信息consumperpersonalsensitiveinformation

一旦遭到泄漏或修改，會(huì)對(duì)標(biāo)識(shí)的消費(fèi)者造成不良影響的個(gè)人信息，具體內(nèi)容根據(jù)消費(fèi)

者主體意愿和信息消費(fèi)業(yè)務(wù)特點(diǎn)確定，可以包括圖片、視頻、身份證號(hào)碼、手機(jī)號(hào)碼、種族、

政治觀點(diǎn)、宗教信仰、基因、指紋等。

3.8

第三方測(cè)評(píng)機(jī)構(gòu)thirdpartytestingandevaluationagency

獨(dú)立于信息消費(fèi)各方的專業(yè)測(cè)評(píng)機(jī)構(gòu)。

4信息消費(fèi)信息安全保護(hù)責(zé)任

4.1信息消費(fèi)者安全責(zé)任

4.1.1在信息消費(fèi)前，要甄別信息消費(fèi)對(duì)象、信息消費(fèi)基礎(chǔ)環(huán)境和信息消費(fèi)對(duì)象生產(chǎn)商的合

法性和真實(shí)性。

4.1.2注意保護(hù)消費(fèi)者個(gè)人敏感信息，當(dāng)要求提供消費(fèi)者個(gè)人信息時(shí)，要了解信息消費(fèi)基礎(chǔ)

環(huán)境運(yùn)營(yíng)方、信息產(chǎn)品和信息服務(wù)生產(chǎn)商收集消費(fèi)者個(gè)人信息的目的、用途等信息，按照個(gè)

人意愿提供個(gè)人信息。

4.1.3信息消費(fèi)過(guò)程中發(fā)現(xiàn)涉及信息安全的問(wèn)題或消費(fèi)者個(gè)人信息被泄露、丟失、篡改等，

向信息消費(fèi)基礎(chǔ)環(huán)境運(yùn)營(yíng)方投訴或提出質(zhì)詢，或向信息消費(fèi)監(jiān)管部門和信息安全管理部門發(fā)

起申訴。

4.2信息消費(fèi)基礎(chǔ)環(huán)境運(yùn)營(yíng)方信息安全責(zé)任

4.2.1負(fù)責(zé)對(duì)通過(guò)信息消費(fèi)平臺(tái)進(jìn)行交易的信息產(chǎn)品和信息服務(wù)的合法性、合規(guī)性進(jìn)行甄別

和審核，嚴(yán)禁非法的、不合規(guī)的信息產(chǎn)品和信息服務(wù)。

4

DB32/T3161-2016

4.2.2負(fù)責(zé)依照國(guó)家法律、法規(guī)、標(biāo)準(zhǔn)和本指導(dǎo)性技術(shù)文件，建立信息消費(fèi)基礎(chǔ)環(huán)境信息安

全保障體系和消費(fèi)者個(gè)人信息處理流程；從管理制度和技術(shù)措施層面，保障其所運(yùn)營(yíng)的信息

消費(fèi)基礎(chǔ)環(huán)境在規(guī)劃、設(shè)計(jì)、開發(fā)、建設(shè)、運(yùn)維、下線等全生命周期各階段信息安全。

4.2.3信息消費(fèi)基礎(chǔ)環(huán)境要按照在公安部門備案的信息系統(tǒng)等級(jí)進(jìn)行等級(jí)化信息安全防護(hù)，

要定期開展信息安全風(fēng)險(xiǎn)評(píng)估和加固，嚴(yán)控信息安全風(fēng)險(xiǎn)。

4.2.4指定專門機(jī)構(gòu)或人員負(fù)責(zé)管理和保護(hù)所收集的信息消費(fèi)者個(gè)人信息；制定消費(fèi)者個(gè)人

信息管理制度，落實(shí)消費(fèi)者個(gè)人信息管理責(zé)任；接受消費(fèi)者關(guān)于個(gè)人信息保護(hù)的投訴與質(zhì)詢；

建立消費(fèi)者個(gè)人信息保護(hù)內(nèi)控機(jī)制；當(dāng)消費(fèi)者個(gè)人信息遭到泄露、丟失、篡改時(shí)，及時(shí)采取

應(yīng)對(duì)措施并告知受影響的消費(fèi)者。

4.2.5定期對(duì)信息消費(fèi)基礎(chǔ)環(huán)境的信息安全狀況和消費(fèi)者個(gè)人信息安全狀況進(jìn)行自查，必要

時(shí)委托第三方測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)；制定信息安全應(yīng)急預(yù)案并定期演練，當(dāng)發(fā)生重大信息安全

事件時(shí)，及時(shí)向信息消費(fèi)監(jiān)管部門和信息安全管理部門通報(bào)。

4.2.6接受信息安全管理部門對(duì)信息安全狀況的檢查、監(jiān)督和指導(dǎo)，積極參與和配合第三方

測(cè)評(píng)機(jī)構(gòu)對(duì)信息消費(fèi)基礎(chǔ)環(huán)境信息安全保護(hù)狀況的測(cè)評(píng)。

4.3信息服務(wù)和信息產(chǎn)品生產(chǎn)商信息安全責(zé)任

4.3.1對(duì)所生產(chǎn)或提供的信息服務(wù)和信息產(chǎn)品的合法性和合規(guī)性負(fù)責(zé)。

4.3.2對(duì)所生產(chǎn)或提供的信息服務(wù)和信息產(chǎn)品自身的信息安全屬性負(fù)責(zé)。

4.3.3當(dāng)提供的信息服務(wù)和信息產(chǎn)品需要收集消費(fèi)者個(gè)人信息時(shí)，應(yīng)當(dāng)向消費(fèi)者明示并取得

同意，依據(jù)消費(fèi)者的意愿處理所收集的消費(fèi)者個(gè)人信息。收集消費(fèi)者個(gè)人信息時(shí)，應(yīng)當(dāng)遵守

國(guó)家有關(guān)法律法規(guī)關(guān)于公民個(gè)人信息保護(hù)的規(guī)定。

4.3.4當(dāng)所提供的信息服務(wù)和信息產(chǎn)品包含對(duì)消費(fèi)者個(gè)人信息的加工處理等內(nèi)容時(shí)，應(yīng)經(jīng)消

費(fèi)者委托或授權(quán)后，對(duì)獲得的消費(fèi)者個(gè)人信息進(jìn)行加工處理，并在完成加工處理后，立即刪

除相關(guān)消費(fèi)者個(gè)人信息。

4.4第三方測(cè)評(píng)機(jī)構(gòu)信息安全責(zé)任

4.4.1從維護(hù)公眾利益和信息消費(fèi)者角度出發(fā)，根據(jù)信息消費(fèi)監(jiān)管部門和信息安全管理部門

授權(quán)，或受信息消費(fèi)基礎(chǔ)環(huán)境運(yùn)營(yíng)方的委托，依據(jù)相關(guān)國(guó)家法律、法規(guī)和本指導(dǎo)性技術(shù)文件，

對(duì)信息消費(fèi)基礎(chǔ)環(huán)境所涉及的信息系統(tǒng)進(jìn)行安全測(cè)試和風(fēng)險(xiǎn)評(píng)估，獲取信息安全保障狀況和

消費(fèi)者個(gè)人信息保護(hù)狀況，作為信息消費(fèi)基礎(chǔ)環(huán)境運(yùn)營(yíng)方評(píng)價(jià)、監(jiān)督和指導(dǎo)信息消費(fèi)信息安

全保障的依據(jù)。

4.4.2對(duì)信息產(chǎn)品和服務(wù)的安全性進(jìn)行檢測(cè)和認(rèn)證。

5信息消費(fèi)信息安全保護(hù)基本原則

信息消費(fèi)基礎(chǔ)環(huán)境運(yùn)營(yíng)方、信息服務(wù)和信息產(chǎn)品生產(chǎn)商在整個(gè)信息消費(fèi)過(guò)程中，進(jìn)行信

息安全保障和對(duì)消費(fèi)者個(gè)人信息進(jìn)行處理時(shí)，宜遵循以下基本原則：

a)責(zé)任明確原則—明確信息消費(fèi)過(guò)程中的信息安全責(zé)任，采取相應(yīng)的措施落實(shí)相關(guān)責(zé)

任，實(shí)現(xiàn)信息消費(fèi)關(guān)鍵過(guò)程可審計(jì)、可追溯。

b)消費(fèi)者個(gè)人信息保護(hù)原則—在信息消費(fèi)過(guò)程中，采取有效措施保障消費(fèi)者個(gè)人信

息，收集和處理消費(fèi)者個(gè)人信息時(shí)，應(yīng)遵循目的明確、最少夠用、公開告知、個(gè)人

同意、誠(chéng)信履行承諾等基本要求。

5

DB32/T3161-2016

c)