ICS33.030 CCSM42 中华人民共和国国家标准 GB/T43506—2023 电信和互联网服务 用户个人信息保护 技术要求 Telecomandinternetservice—Userpersonalinformationprotectionrequirements 2023-12-28发布 2024-04-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 1 …………………………………………………………………………………………………… 5 用户个人信息保护范围 1 ………………………………………………………………………………… 6 用户个人信息分类 2 ……………………………………………………………………………………… 6.1 分类概述 2 …………………………………………………………………………………………… 6.2 用户身份和鉴权信息 2 ……………………………………………………………………………… 6.3 用户数据和服务内容信息 2 ………………………………………………………………………… 6.4 用户服务相关信息 3 ………………………………………………………………………………… 7 用户个人信息保护分级及保护要求 3 …………………………………………………………………… 7.1 分级概述 3 …………………………………………………………………………………………… 7.2 分级方法 4 …………………………………………………………………………………………… 7.2.1 第5级服务的分级方法 4 ……………………………………………………………………… 7.2.2 第4级服务的分级方法 4 ……………………………………………………………………… 7.2.3 第3级服务的分级方法 4 ……………………………………………………………………… 7.2.4 第2级服务的分级方法 5 ……………………………………………………………………… 7.2.5 第1级服务的分级方法 5 ……………………………………………………………………… 7.3 保护要求 5 …………………………………………………………………………………………… 7.3.1 基本保护要求 5 ………………………………………………………………………………… 7.3.2 第5级服务保护要求 6 ………………………………………………………………………… 7.3.3 第4级服务保护要求 6 ………………………………………………………………………… 7.3.4 第3级服务保护要求 6 ………………………………………………………………………… 7.3.5 第2级服务保护要求 6 ………………………………………………………………………… 7.3.6 第1级服务保护要求 6 ………………………………………………………………………… 参考文献 7 ………………………………………………………………………………………………………GB/T43506—2023 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由工业和信息化部提出。 本文件由全国通信服务标准化技术委员会(SAC/TC543)归口。 本文件起草单位:中国信息通信研究院、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、 阿里巴巴云计算(北京)有限公司、中移互联网有限公司、中国联合网络通信集团有限公司、中国电信集 团有限公司、北京捷兴信源信息技术有限公司、北京卓易讯畅科技有限公司、北京百度网讯科技有限公 司、浙江鹏信信息科技股份有限公司、中发数安科技(北京)有限公司、北京京东叁佰陆拾度电子商务有 限公司、维沃移动通信有限公司、上海寻梦信息技术有限公司。 本文件主要起草人:汤立波、常浩伦、臧磊、李成、于润东、郭文双、李鑫、李宗祥、顾伟、黄晓林、葛雨明、 张雪丽、马峰、黎伟健、胡莉琼、高枫、王兰芳、杨澄宇、刘淼、张屹、周群、陈学宝、贾科、张航、朱政、陈鑫、 张亚男。 ⅠGB/T43506—2023 引 言 近年来,伴随大数据、云计算等新一代信息通信技术的快速发展,数据资产已经成为电信和互联网 企业不可或缺的重要财富,用户个人信息已经成为数据资产的重中之重。然而,企业个人信息保护意识 参差不齐,电信和互联网服务个人信息保护违规事件不断发生,用户个人信息和权益受到侵害。电信和 互联网服务用户个人信息保护已经被行业主管部门列为重要监管工作,个人信息和权益保护相关标准 是行业管理、企业自律的重要依据。 本文件依据《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《全国人民代表大会 常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求进 行编写。 现有《电信和互联网服务 用户个人信息保护》系列行业标准在电信和互联网服务行业广泛应 用,有效促进了电信和互联网服务行业在个人信息和权益保护方面的健康发展。为进一步保证电信和 互联网服务的规范性和安全性,避免用户个人信息和权益受到侵害,根据现有行业标准完善形成本文 件,进一步加强对用户个人信息和权益保护的广泛适用性。 ⅡGB/T43506—2023 电信和互联网服务 用户个人信息保护 技术要求 1 范围 本文件界定了电信和互联网服务用户个人信息和权益保护的术语和定义,规定了保护范围、信息分 类、分级对象、分级方法和保护要求。 本文件适用于电信业务经营者和互联网信息服务提供者在提供服务过程中的用户个人信息和权益 保护。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 3.1 电信和互联网服务用户个人信息 telecomandinternetserviceuserpersonalinformation 电信业务经营者和互联网信息服务提供者在提供服务过程中以电子或者其他方式记录的与已识别 或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 注:以下简称用户个人信息。 3.2 电信和互联网服务用户个人信息处理 telecomandinternetserviceuserpersonalinformationpro- cessing 电信业务经营者和互联网信息服务提供者对个人信息进行的收集、存储、使用、加工、传输、提供、公 开、删除等活动。 4 缩略语 下列缩略语适用于本文件。 IMEI:移动设备国际身份码(InternationalMobileEquipmentIdentity) IMSI:国际移动用户识别码(InternationalMobileSubscriberIdentificationNumber) MAC:介质访问控制(MediaAccessControl) SIM:用户身份识别模块(SubscriberIdentityModule) 5 用户个人信息保护范围 用户个人信息保护范围包括电信和互联网服务运营主体及其提供的服务在业务筹备、办理、注册、 开展、终止等全生命周期过程中所收集、存储、使用、加工、传输、提供、公开、删除的以电子或者其他方式 1GB/T43506—2023 记录的用户个人信息,以及在服务过程中的用户权益保护。 电信和互联网服务提供者和运营者应按照保护范围,依据本文件要求对用户个人信息和权益进行 保护。 6 用户个人信息分类 6.1 分类概述 综合考虑用户个人信息的属性和类型特征,将电信和互联网用户个人信息分为用户身份和鉴权信 息、用户数据和服务内容信息、用户服务相关信息三类。 a) 用户身份和鉴权信息:能够单独或与其他信息结合,对用户自然人身份进行识别,或代替用户 自然人身份属性在电信和互联网服务中使用的虚拟身份信息,也包括用于验证身份的鉴权相 关信息。 b) 用户数据和服务内容信息:电信和互联网服务过程中收集的具有用户隐私属性的数据和内容 信息。 c) 用户服务相关信息:电信和互联网服务过程中,所收集的服务使用情况及服务相关辅助类 信息。 6.2 用户身份和鉴权信息 用户身份和鉴权信息包括用户自然人身份和标识信息、用户虚拟身份和鉴权信息两个子类,具体描 述见表1。 表1 用户身份和鉴权信息子类和范围 子类 范围(包括但不限于) 信息举例 A1:用户自然人身份和标识 信息A1-1:用户基本资料姓名、证件类型及号码、年龄、性别、职业、工作单 位、地址、民族、国籍等 A1-2:身份证明 身份证、军官证、护照、驾照、社保卡等证件影印件 A1-3:生物特征 指纹、声纹、虹膜、脸谱等 A2:用户虚拟身份和鉴权 信息A2-1:普通服务身份标识和鉴权 信息电话号码、账号、邮箱地址、用户个人数字证书以及 服务涉及的密码、口令、密码保护答案等 A2-2:交易类服务身份标识和鉴 权信息各类交易账号和相应的密码、