ICS

35.030CCS

09

DB23 DB23/T

3325—2022平臺用戶信息保護指南Guidelines

platform

user

information

protection2022

-

08

-

22

發布 2022

-

09

-

21

實施黑龍江省市場監督管理局?發

布DB23/T

3325—2022

II

10

.................................................... 12.............................................................................. DB23/T

3325—2022 本文件按照

GB/T

1.1—2020《標準化工作導則

部分：標準化文件的結構和起草規則》的規

IIDB23/T

3325—2022

GB/T

GB/T

GB/T

20985.2

GB/T

20985.1

GB/T

GB/T

25069-2010

GB/T

GB/T

GB/T

GB/T

GB/T

GB/T

GB/T

3.1

platform3.2

user

information3.3

minimum

collectionDB23/T

3325—20223.4

subject

of

information3.5

of

information3.6

receiver

of

personal

information3.7

information

個人、法人和非法人組織身份證件號碼個人生物識別信息、銀行賬號、通信記錄和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14

3.8

user

general

information3.9

personal

information

handing

4.1 4.2 4.3 DB23/T

3325—20224.4 4.5

5.15.1.1 明確用戶信息保護管理目標，規劃內容和范圍，制定信息處理過程管理制度，并對過程管理進5.1.2 建立組織結構框架圖，規定用戶信息管理人員職務或職位，明確各崗位責任。

規定的中華人民共和國境外的用戶信息處理者，需在中華人民共和國境內設立專門機構或者指定代表，負責處理用戶信息保護相關事務，并將有關機構的名稱或者代表的姓名、聯系方式等報送履行用戶信息保護職責5.1.3 制定并組織實施用戶信息安全事件應急預案。5.1.45.1.5

5.1.6建立用戶投訴渠道，用戶行使權利方式宜便捷，拒絕用戶行使權利請求時，應當說明理由。5.2 5.2.1能夠掌握用戶信息安全相關法律、法規、標準、管理制度、崗位職責及保密條款。5.2.2 5.2.35.2.4能夠分析處理用戶信息保護存在的問題，提出風險控制建議和技術改進指導方案。5.2.55.35.3.1建立安全環境保護制度，包括但不限于：物理環境、網絡環境、計管機環境和應用環境，宜參

5.3.2建立用戶信息存儲相關設備和各類介質安全管理制度，對設備移入或移出保護區域，進行嚴格5.3.3 建立機房分區管理制度，設置不同區域，區域之間設置物理隔離裝置或隔離標識，在重要區域DB23/T

3325—20225.3.4機房環境安全宜分類保護、多級保護，包括但不限于：增加防盜技術、安裝報警設備、布設監5.3.5 5.3.6

GB/T

9361

5.3.7制定應用環境運行管理制度，包括但不限于：測評機構、設備供應商、電信運營商、外來參觀

6.1 6.1.1 6.1.2 6.1.3

14

6.1.4 6.1.56.2DB23/T

3325—20226.2.1 6.2.26.2.3 個人生物識別信息實現身份識別、認證等功能；在使用面部識別特征、

指紋、掌紋、虹膜等實現識別身份、6.2.4 6.2.5 6.2.6當用戶信息處理者停止運營其產品或服務時,停止收集用戶更新的信息，對其所持有的用戶信息進6.2.76.3 6.3.1DB23/T

3325—20226.3.2

6.3.36.3.46.3.5設定用戶登錄服務器連續失敗次數（宜為

次-5

次），在用戶賬號凍結后，宜經系統管理員對用6.3.66.46.4.1 6.4.2 6.4.36.4.46.4.5DB23/T

3325—2022

GB/T

6.4.6

GB/T

6.5 6.5.16.5.26.5.36.5.46.5.56.5.66.6 6.6.16.6.2 DB23/T

3325—20226.6.36.7 6.7.1 6.7.26.7.36.7.46.7.56.8 6.8.16.8.26.8.3DB23/T

3325—20226.8.46.8.56.8.6

7.1 用戶有權要求用戶信息處理者對其用戶信息處理規則進行解釋說明；用戶有權向用戶信息處理者訪問、查閱、復制其用戶信息；用戶發現其用戶信息不準確或者不完整的，有權請求用戶信息處理者更正、補充；用戶有權請求將用戶信息轉移至其指定的用戶信息處理者；7.2 對受委托者進行審計；為，且采取或要求受委托者采取有效補救措施控制或消除用戶信息面臨的安全風險，必要時可終止與受委托者的業務關系,并要求受委托者及時刪除從用戶信息控制者獲得的用戶信息。7.3 用戶信息的處理目的、處理方式，公開，并且便于查閱和保存；DB23/T

3325—20227.4第三方用戶信息處理者建立第三方產品或服務管理機制和工作流程；收集、改變用戶信息前，征得用戶的授權同意，做好管理記錄，確?？晒┫嚓P方查閱；7.5 采用云計算部署處理信息者

定期對信息系統進行安全檢查和風險評估，宜采用

GB/T

24363、GB/T

提高組織用戶信息保護的安全預防和預警能力，宜采用

GB/T

20985.2、GB/T

8.18.210DB23/T

3325—20228.3建立平臺用戶信息管理制度，明確用戶信息收集、存儲、使用、加工、傳輸、提供、公開、建立審計制定，定期開展內部或外部審計，并根據審計結果持續改善流程，完善相關制度；11GB

4943.23-2012

23

35.020

09GB/T

17903.2-2021

35.040

80GB/T

17903.3-2008

35.040

80GB/T

20009-2019

35.020

09GB/T

20261-2020

35.040

80GB/T

20273-2019

35.040

80GB/T

20275-2021

35.030

80GB/T

20277-2015

35.040

80GB/T

20278-2022

35.040

80GB/T

20281-2020

35.030

80GB/T

21050-2019

35.040

80GB/T

21052-2007

35.040

80GB/T

22239-2019

35.040

80GB/T

28450-2020

35.040

80GB/T

28454-2020

35.040

80GB/T

28458-2020

35.040

80GB/T

30276-2020

35.040

80GB/Z

32906-2016

35.040

80GB/T

34978-2017

35.040

80GB/T

34990-2017

35.040

80GB/T

36618-2018

35.040

80GB/T

37939-2019

35.040

80GB/T

37988-2019

35.040

80GB/T

37964-2019

35.040

80GB/T

40653-2021

35.030

80GB/T

40660-2021

35.030

80DB23/T

3325—2022A.1

給出了安全環境的相關標準，在使用的過程中，宜考慮標準的修訂和廢止，及在體系中的增12DB23/T

3325—2022

GB

4943.23-2012

23

GB/T

部分：采用對稱技術的機制

GB/T

GB/T

20009-2019

GB/T

20261-2020

GB/T

20273-2019

GB/T

20275-2021

GB/T

20277-2015

GB/T

20278-2022

10

GB/T

20281-2020

GB/T

21050-2019

12

GB/T

21052-2007

13

GB/T

22239-2019

14

GB/T

28450-2020

15

GB/T

28454-2020

16

GB/T

28458-2020

17

GB/T

30276-2020

18

GB/Z

32906-2016

19

GB/T

34978-2017

20

GB/T

34990-2017

21

GB/T

36618-2018

22

GB/T

37939-2019

23

GB/T

37988-2019

24

GB/T

37964-2019

25

GB/T

40653-2021

26

GB/T

40660-2021