《个人信息保护保障能力评估规范 深度合成服务》.doc

TAF-WG4AS0001-V1.0.0

PAGEII

团体标准

T/TAFXXX-XXXX

个人信息保护保障能力评估规范深度合成服务

Personalinformationprotectionandguaranteeability—Deepsynthesisservice

XXXX-XX-XX发布

XXXX-XX-XX实施

电信终端产业协会发布

ICS33.050

CCSM30

T/TAFXXX-XXXX

PAGEI

目??次

TOC\o1-2\h\z\u前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 1

5个人信息保护保障能力评估概述 2

5.1评估原则 2

5.2评估内容 2

5.3评估对象 2

6个人信息保护保障能力评估要求 2

6.1保障功能要求 2

6.2保障管理要求 3

7个人信息保护保障能力评估方法 4

7.1总体要求 4

7.2确定评估对象 5

7.3调研评估对象 6

7.4制定评估计划 6

7.5评估方法 6

7.6实施评估 6

7.7出具评估结论 6

参考文献 8

个人信息保护保障能力评估规范深度合成服务

范围

本文件规定电信和互联网行业深度合成服务提供者在评估提供深度合成服务时应满足的个人信息保护保障能力要求等内容。

本文件适用于深度合成服务提供者进行自评估，同时也适用于第三方评估机构开展评估工作。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

T/TAF148-2023电信和互联网个人信息保护保障能力评估规范

术语和定义

深度合成技术deepsynthesistechnology

利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等信息的技术，包括语音合成、人脸再现、全身合成、数字虚拟人、虚拟现实等场景。

深度合成服务deepsynthesisservice

利用深度合成技术，合成出图像、视频、音频等数字化内容的服务。

深度合成服务提供者deepsynthesisserviceprovider

提供深度合成服务的组织、个人。

深度合成服务使用者deepsynthesisserviceuser

使用深度合成服务，制作、复制、发布、传播信息的组织、个人。

缩略语

下列缩略语适用于本文件。

APP：移动互联网应用程序（mobileinternetapplication）

个人信息保护保障能力评估概述

评估原则

开展基于深度合成服务的个人信息保护保障能力评估应遵循以下原则：

目的性原则：评估目的应明确具体，评估范围应与评估目的相适应。

可用性原则：应确保评估指标可覆盖保障能力措施实施情况。

全面性原则：评估应当贯穿个人信息保护全生命周期，实现对个人信息保护全面评价。

可调性原则：评估方应确保能够根据评估对象及应用场景不同进行调整，以适应多种情况的评估。

评估内容

深度合成服务提供者提供的深度合成服务，在数据安全、深度合成模型、深度合成服务使用等方面提供的个人信息保护保障能力。

评估对象

本文件中的评估对象为深度合成服务提供者。

个人信息保护保障能力评估要求

保障功能要求

6.1.1基本要求

深度合成服务提供者处理个人信息时，应符合T/TAF148—2023中6.1个人信息处理活动、6.2.1个人信息处理者基本要求、6.2.2访问控制与审计中的相关要求；

6.1.2深度合成模型安全防护能力要求

深度合成模型安全防护能力应符合如下要求：

应采取加密、访问控制等技术手段保证算法模型的存储安全，防止被恶意组织或个人窃取，造成深度合成服务使用者个人信息泄露；

应采取权限管控等措施保证模型设计文件的安全性，防止因设计文件被利用而导致深度合成服务使用者个人信息泄露；

应采取代码审计等措施保证模型代码的安全性，防止因代码中的潜在问题和错误导致深度合成服务使用者个人信息泄露；

应建立算法模型管理制度，明确算法涉及的个人信息范围、个人信息主体授权同意情况、存储位置、存储时间、测评记录、上线记录、下线记录、部署记录等信息；

应建立深度合成服务使用制度，明确做好使用流程记录，包括深度合成服务使用者唯一标识、深度合成服务提供者唯一标识、生成时间、内容唯一标识、算法模型标识等。

6.1.3深度合成服务数据