1.敏感信息定义

XXX数据开放信息级别：是指XXX允许开放数据的范围，共由完全公开类、D1类、D2类、D3类组成。级别越高、开放范围越小。

D3类：系统内公开数据。

D2类：业态内平台间公开数据。

D1类：业态间可公开数据。

公开数据：可供任何机构公共使用数据。

XXX数据敏感信息级别：用于将不同类型数据按照敏感级别划分，并集中管控的具体定义，共由C1类、C2类、C3类三个等级组成，等级越高管控越强。

C3类：用户生物识别信息，任何系统不得存储，允许转发至有资质的机构系统处理。

C2类：账户及个人身份信息、驾驶证信息、护照信息、头像照片、个人音视频、手机号等辅助鉴别信息、邮箱信息、性别、国籍、民族、职业、婚姻、家庭状况、收入状况、登录名、个人财产信息、借贷信息、交易信息、个人照片与音视频、个人住址、个人行为轨迹、性格特征、私人信件、私人日记、通信记录、个人通讯录、仲裁信息、个人健康生理信息、家庭成员关系、个人档案履历、个人宗教信仰等个人数据；合同、合约价、发票OFD文件、财务凭证、密码、门店经纬度与地址、股权结构、薪资等企业数据，安全管控措施较高且未经授权不得导出与使用。

C1类：出入退单据、物流单据、库存单据、XXX店铺选址与经营、物流运输轨迹等业务信息，需要进行安全管控。

2.专属名词定义

信息主体：指信息所标识的人或机构。

信息控制者：有权决定信息处理目的、方式的机构。

明示同意：通过书面声明或主动做出肯定动作，对信息进行特定处理做出明确授权的行为。

匿名化：对信息进行技术处理，使得信息无法识别信息主体，且处理后的信息不可被复原的过程。

去标识化：对信息进行技术处理，使其不借助额外信息的情况下，无法识别信息主体的过程。

3.数据信息生命周期

3.1 数据信息生命周期

1、收集：获得信息控制权的行为。包括信息主体主动提供、与信息主体交互或记录信息主体行为等采集行为，以及通过共享、转让、搜集公开信息等间接获取信息主体信息的行为

2、传输：信息在终端设备、信息系统内或信息系统间传递的过程。

3、存储：信息在终端设备、信息系统内保存的过程。

4、使用：对信息进行展示、共享和转让、公开披露、委托处理、加工处理等操作的过程。

5、删除：信息不可被检索、访问的过程。

6、销毁：信息进行清除、不可恢复的过程。

3.2 收集阶段技术要求

1.不得委托无资质机构或未经数据提供方授权情况下，收集个人信息/企业经营数据。

2.收集信息需要注明数据来源，确保可回溯。

3.收集信息前需要通过技术手段进行鉴权确认，如弹窗、明显URL等引导用户知悉隐私策略后提供。

4.C2类以上数据收集时需要传输与字段加密，确保不会被未授权第三方获取，收集完成后应立即进行去标识化处理。

5.设置密码应采取展示屏蔽措施，确保不会明文显示。

6.针对网络支付业务，需要采用安全控件对数据进行安全防护，并确保合作机构不获取、留存敏感信息。

7.业务停止运营时，应立即停止敏感信息收集。

8.收集应建立系统与操作日志，日志本地保存期至少3天，远程保存期至少30天。

3.3 传输阶段技术要求

1.必须建立基于https传输加密通道的数据接口，基于白名单认证等方式进行数据交互。

2.数据传输前双方需要进行身份有效性验证。

3.针对C2及以上类别数据，不得明文传输，必须进行数据加解密。

4.C1及以上类别数据，数据接收方必须的得到数据干系方授权同意。C2及以上类别数据，涉及个人信息部分，必须得到用户本人授权同意。

5.数据提供方需要对数据整体进行评估，若低敏感度信息通过组合后导致敏感度上升，需要按相应最高标准执行。

6.C1及以上类别数据进行传输前，信息总部需要对数据接口方案进行审核。审核内容包括传输账户与鉴权、传输内容与方式、传输时段与监控等进行评估，并确认相关数据合规。相关传输密钥与加密方式应设有保密措施等。

7.C2及以上类别数据传输必须确保传输链路冗余度最低。C1级数据应优先以查询方式进行数据传输。

8.传输应建立系统与操作日志，日志本地保存期至少3天，远程保存期至少30天。

3.4 存储阶段技术要求

1.C3类信息一般不留存，若必须留存必须得到用户或机构授权，同时独立存储于严格受控的、隔离的存储环境。

2.存储数据结构应遵循敏感信息冗余度最低原则，标识化、匿名化应为数据存储标准设计，并确保标识化、匿名化数据不被混用。

3.C2类及以上信息不得明文存储，相关数据加解密密钥、传输日志等不得明文存放在同一数据库中。

4.C1类数据应满足敏感度最低原则，非业务必要需要存储ID脱敏后的数据。

5.数据存储方案需要经过信息总部评审，评审包括但不局限于各类数据各级存储方案。若低敏感度信息可通过组合后导致敏感度上升，需要按相应最高标准执行。

6.数据存储环境转移时，需要安排高数据权限级别人员对C2及以上数据进行迁移，其他人员迁移C1及非敏感数据，确保数据无泄漏。

7.业务停止运营时，应依照国家、行业主管部门与XXX数据管控要求，对存储数据进行移交保存。

3.5 使用阶段技术要求

3.5.1数据一般使用

1.C3类数据一般不得明文展示。

2.C2类及以上数据进行展示时，需要信息屏蔽。

3.未登录用户不得查阅C1类及以上数据。

4.已登录用户查阅C2类及以上数据时，需要完整展示前，需要经过用户身份验证与确认操作，必要时需要提供警示信息。

5.数据展示必须满足区隔授权与逐级管理设计，非核心高级管理人员不得拥有同业务完整数据，或跨业务同区域全部数据，一般人员未经授权不得拥有C1及以上数据完整查看权限。

6.非业务必要不得进行数据全量展示，应采用分页展示设计。后台系统应具备高频查询熔断机制，具备非开放式查询设计，严格控制批量查询。一般不得提供C1类以上数据的下载服务。

7.对于确有明文查看需要的数据展示，后台系统需要确保明文查看权限，并对查询操作的数据粒度拥有授权、监控、审计等。

8.使用应建立系统与操作日志，日志本地保存期至少3天，远程保存期至少30天。

9.对嵌入的第三方工具，应对其进行技术性审计。

3.5.2 共享与转让

1.数据共享与转让前，必须确保数据接收方具备相应资质，采用去标识化数据并确保无法直接识别出单个对应个体的。

2.数据提供方需要进行数据安全评估，评估内容包括是否采取有效措施确保C1类以上数据安全传输、存储与使用，并对被存储方信息安全能力进行评估。

3.数据接收方需要签署数据资产保护协议，明确数据使用目的、日期、范围、规模等，并对数据保护责任进行承诺。

4.双方均应做好信息防泄漏监控工具、流量监控工具等。监控与报告违规行为。

5.每年至少进行一次对数据链安全性评估。

6.使用外部工具对含C1类及以上数据传输、存储或使用，或可通过权限影响C2类及以上数据传输、存储或使用的情况，需要重新对数据链安全性进行评估。

7.需要确保数据使用目的的纯粹性符合协议要求，确保数据使用不得被第三方获知，确保数据使用过程可追溯。

8.共享与转让前，需要对数据接收方进行鉴权。针对C1类及以上数据的查询请求，必须得到信息主体授权，需要建立相应系统功能机制。

3.5.3 公开披露

1.C1及以上数据不得公开披露。

3.5.4 委托处理

1.委托行为前，需要确保数据接收方具备资质。

2.委托处理推荐采用入驻形式进行处理，确保数据不外泄。

3.委托处理信息需要进行ID脱敏化处理，由业务数据人员对数据结果进行还原。

4.委托处理前需要由信息总部对数据接收方进行数据安全评估。

5.数据接收方需要签署数据资产保护协议，明确数据使用目的、日期、范围、规模等，并对数据保护责任进行承诺。

6.使用外部工具对含C1类及以上数据传输、存储或使用，或可通过权限影响C1类及以上数据传输、存储或使用的情况，需要重新对数据链安全性进行评估。

7.需要确保数据使用目的的纯粹性符合协议要求，确保数据使用不得被第三方获知，确保数据使用过程可追溯。

3.5.5 加工处理

1.加工处理应采用ID脱敏化后的数据。

2.对被加工数据进行真实还原前，需要确保还原环境符合被还原数据的最高敏感度要求。

3.加工处理形成的调试信息、日志记录不得存储任何敏感信息。

4.加工处理操作记录需要留存日志，确保处理过程可回溯。

3.5.6 汇聚融合

1.汇聚融合不应超过数据收集时所限定的范围与要求。

2.汇聚融合后的数据，需要重新评估敏感度级别，并根据相应级别评估数据链是否合规。

3.5.7 开发测试

1.开发测试不得提供C1及以上的真实数据，宜采用ID脱敏化或模拟数据。

2.开发测试环境应与生产环境进行隔离。

3.若业务验证必须使用真实数据，则需要发起准生产测试，提供有限数据进行测试验证，数据传输、存储、使用必须满足管控要求，数据使用后立即关闭相关通道，并确保测试系统数据删除。准生产测试必须生成测试报告，由业务、系统开发方、数据提供方共同签字确认。

3.6 删除阶段技术要求

1.系统设计应满足删除操作可删除全数据链的留存数据。

2.删除操作只应由系统管理员进行，删除前需要进行流程审核。

3.删除数据若影响跨业务系统使用，需要提前告知。

4.个人信息主体或国家与监管机构要求删除数据时，必须响应。

5.信息主体要求删除数据应完全彻底地从APP及平台后台同步删除或者匿名化处理，且从技术上也不能恢复用户数据（包括备份）。运营者应在承诺时限（不超过15个工作日）内响应信息主体的权利请求 。

6.删除应建立系统与操作日志，日志本地保存期至少3天，远程保存期至少30天。

3.7 销毁阶段技术要求

1.销毁需要由业务部门发起申请，明确数据销毁内容，由信息总部负责执行。

2.销毁过程需要保存相关记录。

3.C1类以上数据若确定不再使用，且存储介质不再复用，应采用不可恢复模式进行，如消磁、焚烧、粉碎等。

4.C1类以上数据若确定不再使用，且存储介质需要复用，应采用格式化、多次覆写方式安全擦除数据。

5.云环境数据清除应遵循多次覆写方式进行。

4. 数据安全运行

4.1 Web端

1.应具备防钓鱼、页面篡改、源代码暴露、穷举登录尝试、重放攻击、SQL注入、跨站脚本攻击、木马及任意文件上传、下载与已知漏洞防范等。

2.C1及以上数据所涉及系统组件上线前，需要进行数据安全评估。

3.应具备实时监测能力，有效识别和阻止来自内外部的非法访问。

4.2  APP端

1.数据收集需要满足最少必要原则，需要满足APP整改小组要求。

2.C1及以上数据收集时，需要得到用户授权明示同意。

3.不以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息。

4.除用于保障网络安全、运营安全或网络支付的APP外，App运营者不得收集不可变更的设备唯一标识（如IMEI号、MAC地址等）。

5.需要指定数据合规负责人定期与法律专家沟通具体数据合规事宜。

4.3 信息展示隐藏规则示例

1.银行卡信息：显示6位+*（实际位数）+后4位。如622575******1496

2.个人信息-身份证号、军官号、护照号：缺省信息隐藏规则，如隐藏出生日期，身份证号屏蔽后6位。如230702198703******，33220******。

3.客户法定名称（姓名）：隐藏部分字符。如张*。

4.手机号码：除区号外，至少隐藏中间4位。大陆：显示前3位+****+后4位。如137****9050。香港、澳门：显示前2位+****+后2位。如90****85。台湾：显示前2位+****+后3位。如90****856。其他海外地区遵循缺省隐藏规则。

5.固定电话：显示区号与后2位。

6.电子邮箱：@前显示前3位，3位后显示3个*，@后面完整显示。如cod***@111.com。如果@前少于3位则全部显示。如tt@111.com则显示为tt***@111.com