《信息安全技术 即时通信服务数据安全要求GBT 42012-2022》详细解读.pptx

《信息安全技术即时通信服务数据安全要求GB/T42012-2022》详细解读;;;;;;;;内容涵盖;;;信息安全技术网络安全等级保护基本要求，该标准规定了网络安全等级保护的基本技术要求和管理要求。;行业标准;欧盟《通用数据保护条例》（GDPR）;;;;;3.4服务提供者;;IM

即时通信（InstantMessaging），指能够即时发送和接收互联网消息等的业务。

DM

直接消息（DirectMessage），指用户之间点对点直接发送的消息。

E2EE

端到端加密（End-to-EndEncryption），指只有发送方和指定的接收方可以访问数据内容的加密方式，在传输过程中数据保持加密状态，且无法被中间节点（包括服务提供商）解密或篡改。

MTF

消息传输格式（MessageTransferFormat），指即时通信服务中用于消息传输的格式标准。;在本标准中，IM用于指代即时通信服务，强调服务的实时性。;;;即时通信服务;IM;5.4数据安全原则;;文本消息传输;;账号安全保护;;包括但不限于用户名、昵称、头像、个人简介等用户自主设置的信息。;用户之间发送的文本聊天内容。;记录用户登录时间、登录设备、登录地点等信息。;用户设备信息;;合规性与安全性;即时通信服务提供者应严格按照用户同意的范围使用数据，并避免将数据用于其他未经用户同意的用途。在共享数据时，应确保接收方具备相应的数据安全保护能力，并明确双方的责任和义务。;;隐私政策;7数据收集;;;;;确保收集的用户信息真实、准确、完整，避免收集虚假或无效信息。;;;;;;即时通信服务提供者应遵循相关法律法规，明确告知用户数据处理的目的、方式、范围和结果，并获得用户的明确同意。;;;;存储位置与安全性;数据传;;;;数据传输加密

在即时通信服务中，数据传输过程中应采用加密措施，确保数据的机密性和完整性。这可以防止数据在传输过程中被窃取或篡改。

传输协议安全性

应使用安全的传输协议，如HTTPS或SFTP等，以确保数据在传输过程中的安全性。这些协议提供了数据加密和身份验证功能，有助于保护数据的完整性和真实性。

传输监控与日志记录

应对数据传输进行实时监控，并记录传输日志。这有助于及时发现并应对潜在的安全威胁，同时为后续的安全审计提供可追溯的证据。

跨境数据传输限制

对于涉及跨境数据传输的情况，应遵守相关法律法规和监管要求，确保数据的合法跨境传输。这包括获取必要的跨境数据传输许可或证明，以及确保接收方具备相应的数据保护能力和措施。;;9数据使用和加工;;数据展示的原则;;;;数据加工的定义;;10数据提供和公开;数据提供和公开流程

即时通信服务提供者应建立完善的数据提供和公开流程，包括数据申请、审批、提供或公开等环节。在数据申请环节，应要求申请者提供明确的申请目的、数据范围和使用方式等信息。在审批环节，即时通信服务提供者应对申请进行严格审查，确保符合法律法规和内部规定。在数据提供或公开环节，应确保数据的传输和存储安全，并记录相关数据操作日志以备查。

监督与责任

即时通信服务提供者应接受监管部门和第三方评估机构的监督与检查，确保其数据提供和公开行为符合法律法规和本标准的要求。对于违反规定的行为，即时通信服务提供者应承担相应的法律责任，并采取措施及时整改以消除影响。;;11数据删除;;;;;权利内容概述;;监管保障;即时通信服务提供者违反本标准规定，侵犯个人信息主体权利的，应承担相应的法律责任。;;;个人信息更正;;;;存储介质处理;法律责任与合规性;;依据相关法律法规，个人有权随时撤回对数据处理者处理其个人信息的同意。;;撤回同意的效力;若数据处理者未按照要求执行个人撤回同意的操作，将视为违规处理个人信息，可能面临相关法律法规的处罚。;;;跨平台互通需求;场景三：群组通信;企业级即时通信需求;;严格限制收集;;限制使用时间;;;;;通过安全提示、案例分析等方式，提高用户对网络诈骗的识别和防范能力。;;;用户注册与登录;;;涉及国家安全、国民经济命脉、重要民生、重大公共利益等的数据可视为重要数据。;;;收集用户银行卡号、密码、有效期等支付相关信息，以及交易记录、账户余额等。;即时通信服务位置功能;即时通信服务社交功能;;;;权限使用要求;;;THANKS