YD_T 2782-2014电信和互联网服务 用户个人信息保护 分级指南.pdf

ICS 33.030M 21YD中华人民共和国通信行业标准YD/T信和互联网服务用户个人信息保护分级指南TelecomandinternetseviceUserpersonal informationprotection-Classificationandguideline2014-12-24发布2014-12-24实施中华人民共和国工业和信息化部发布 YD/T次前言范围·2规范性引用文件.3缩略语.4用户个人信息保护分级概述..用户个人信息保护分级方法5.1分级对象.5.2级别划分.5.3分级方法 YD/T言本标准是“电信和互联网服务用户个人信息保护”系列标准之一。该系列标准的名称及结构预计如下：一电信和互联网服务用户个人信息保护定义及分类：一电信和互联网服务用户个人信息保护分级指南：电信和互联网服务用户个人信息保护技术要求移动应用商店：一电信和互联网服务用户个人信息保护技术要求即时通信服务；一电信和互联网服务用户个人信息保护技术要求电子商务服务。随着服务管理要求的逐步细化，将不断补充和完善电信和互联网服务用户个人信息保护的相关标准。本标准按照GB/T1.1-2009给出的规则起草。本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院、阿里巴巴（中国）有限公司、深圳腾讯计算机系统有限公司、北京奇虎科技有限公司、中国联合网络通信集团有限公司、中国移动通信集团公司、中国电信集团公司、新浪网技术(中国)有限公司、北京搜寰互联网信息服务有限公司、北京中创信测信息技术有限公司、北京卓易讯畅科技有限公司、苏宁云商集团、浙江维尔科技有限公司。本标准主要起草人：李成、汤立波、葛雨明、韩涵、张雪丽、崔嫂媛、陈小江、蔡晓丹、张元宵、更琳、傅彤、范勇、马多铮、刘利军、胡莉琼、王兰芳、许章毅、周晶、杨澄宇、周惠雯、王春阳、陆捷。II YD/T信和互联网服务用户个人信息保护分级指南1范围本标准规定了电信和互联网服务用户个人信息保护的分级对象和分级方法。..2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。3缩略语下列缩略语适用于本文件。IMEIInternational Mobile Equipment Identity移动设备国际身份码IMSIIntermational Mobile Subscriber Identification Number国际移动用户识别码MACMedia Access Control介质访间控制SIMSubscriber Identity Module用户身份识别模块4用户个人信息保护分级概述用户个人信息保护分级的对象是电信和互联网服务。用户个人信息保护分级的目标是根据服务所收集和使用的用户个人信息，对电信和互联网服务进行用户个人信息保护级别划分，电信和互联网服务提供方应按照本标准中规定的分级方法对其提供的服务进行分级。本系列标准对不同类型和级别的电信和互联网服务提出不同的用户个人信息保护要求，遵循同级别的不同类型服务应当承担同等程度的用户个人信息保护要求的原则。电信和互联网服务提供方应按照相应级别的管理要求及技术要求对其提供服务过程中涉及的用户个人信息的收集、存储、转移、使用和销毁等工作流程进行规范化管理。5用户个人信息保护分级方法-5.1分级对象用户个人信息保护分级对象为特定的电信和互联网服务，该服务包含用于信息交互的各类硬件、软件及相关应用逻辑和业务流程。5.2级别划分电信和互联网服务用户个人信息保护级别划分的原则：根据电信和互联网服务所收集、存储、转移和使用的用户个人信息确定服务的用户个人信息保护级别。本标准按照YD/T2781-2014《电信和互联网服务用户个人信息保护定义及分类》中定义的用户个人信息分类，确定电信和互联网服务的用户个人信息保护级别。1 YD/T和使用的用户个人信息敏感性越高，该服务的用户个人信息保护级别就越高。按照用户个人信息保护分级方法确定服务的用户个人信息保护级别后，服务提供方应按照对应级别所规定的要求在收集和使用个人信息过程中提供相应的保护机制。由于服务内容发生变化而导政收集、存储、转移和使用过程中涉及的用户个人信息发生变化时，应对该服务重新分级。5.3分级方法5.3.1第5级服务的分级方法及基本保护要求第5级服务分级要素包括（以下分级要索依据YD/T2781-2014《电信和互联网服务用户个人信息保护定义及分类》的规定）：—A1-2（身份证明）：包括但不限于身份证、军官证、护照、驾照、社保卡等影印件；—A1-3（生理标识》：包括但不限