T-ISC 0048-2024 數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制通則

CCSL70Generalrulesforriskcontrolofdatarightsconfirmation中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布IT/ISC0048—2024前言 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 14數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制框架 5數(shù)據(jù)采集存儲(chǔ)環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制通則 5.1采集存儲(chǔ)個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求 5.2采集存儲(chǔ)非個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求 46數(shù)據(jù)加工分析環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制通則 6.1加工分析個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求 6.2加工分析非個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求 7數(shù)據(jù)使用環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制通則 7.1使用個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求 7.2使用非個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求 88數(shù)據(jù)交互/交易環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制通則 88.1交互/交易個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求 88.2交互/交易非個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求 9參考文獻(xiàn) T/ISC0048—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。本文件由上海郵電設(shè)計(jì)咨詢(xún)研究院提出。本文件由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)歸口。本文件起草單位：上海郵電設(shè)計(jì)咨詢(xún)研究院有限公司、智研高科（北京）信息技術(shù)發(fā)展有限公司、國(guó)科華創(chuàng)認(rèn)證有限責(zé)任公司、杭州電子科技大學(xué)平湖數(shù)字技術(shù)創(chuàng)新研究院有限公司、西安交通大學(xué)、中電數(shù)據(jù)服務(wù)有限公司、太極計(jì)算機(jī)股份有限公司、運(yùn)易通科技有限公司、清華大學(xué)丘成桐數(shù)學(xué)科學(xué)中心、數(shù)力聚（北京）科技有限公司、北京奇虎科技有限公司、中國(guó)電信數(shù)據(jù)發(fā)展中心。本文件主要起草人：王德東、吳根生、張禮、楊小琴、趙治棟、呂秋云、沈超、藺琛皓、李前、李世鋒、何帆、韓偉、李慧、李以斌、劉海峰、劉利、丁津泰、李樂(lè)平、楊晨光、付昆、劉革軍、文天、張志燕。T/ISC0048—2024隨著網(wǎng)絡(luò)、電子商務(wù)的發(fā)展，民眾的生活、學(xué)習(xí)、工作、企業(yè)的商業(yè)行為、政府的社會(huì)治理和互聯(lián)網(wǎng)緊密地融為一體。隨之而來(lái)的數(shù)據(jù)的生產(chǎn)、加工、流通和分析利用成為了整個(gè)互聯(lián)網(wǎng)發(fā)展的核心，數(shù)據(jù)也成為推動(dòng)經(jīng)濟(jì)發(fā)展的新要素，但是由于數(shù)據(jù)的虛擬性、多樣性和可復(fù)制性，使數(shù)據(jù)的各類(lèi)權(quán)屬的確定、保障存在一定的困難，出現(xiàn)了大量數(shù)據(jù)錯(cuò)誤地挪用給他人加工、處理、使用甚至買(mǎi)賣(mài)等問(wèn)題。需要構(gòu)建數(shù)據(jù)權(quán)屬確定、保護(hù)、管理等一系列安全準(zhǔn)則，以保障個(gè)人隱私安全、保護(hù)企業(yè)競(jìng)爭(zhēng)利益以及國(guó)家數(shù)據(jù)主權(quán)的安全。本文件的制定是為了緩解數(shù)據(jù)確權(quán)過(guò)程中的風(fēng)險(xiǎn)，為各類(lèi)數(shù)據(jù)企業(yè)在數(shù)據(jù)生命周期各環(huán)節(jié)確定數(shù)據(jù)權(quán)屬、行使數(shù)據(jù)權(quán)利提供控制風(fēng)險(xiǎn)的方法和工作指引，能夠有效的保障數(shù)據(jù)處理、流通、交易的各環(huán)節(jié)的數(shù)據(jù)安全及個(gè)人隱私保護(hù)，推動(dòng)數(shù)據(jù)要素價(jià)值發(fā)揮，促進(jìn)數(shù)據(jù)經(jīng)濟(jì)發(fā)展。1T/ISC0048—2024數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制通則本文件確立了數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制框架，規(guī)定了數(shù)據(jù)采集存儲(chǔ)、加工分析、使用和交互/交易環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制要求。本文件適用于組織內(nèi)部處理數(shù)據(jù)時(shí)的確權(quán)安全，也適用于數(shù)據(jù)交易過(guò)程中的確權(quán)安全。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20273-2019信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1數(shù)據(jù)data任何以電子或者其他方式對(duì)信息的記錄?？梢允菙?shù)字、文字、字符、圖像、聲3.2數(shù)據(jù)財(cái)產(chǎn)權(quán)datapropertyright民事主體對(duì)其持有的數(shù)據(jù)進(jìn)行利用（處理）、收益以及依法占有、處分的對(duì)世性財(cái)產(chǎn)權(quán)利。3.3數(shù)據(jù)人格權(quán)datapersonalityright以主體依法固有的人格利益為客體的，以維護(hù)和實(shí)現(xiàn)人格平等、人格尊嚴(yán)、人身自由為目標(biāo)的權(quán)利據(jù)。3.4數(shù)據(jù)處理權(quán)dataprocessingright對(duì)各種數(shù)據(jù)進(jìn)行收集、存儲(chǔ)、整理、分類(lèi)、統(tǒng)計(jì)、加工等操作的權(quán)利。3.5數(shù)據(jù)使用權(quán)datausageright使用指定數(shù)據(jù)的權(quán)利，在所有權(quán)確定的情況下，數(shù)據(jù)所有人可以將數(shù)據(jù)的使用權(quán)授予數(shù)據(jù)使用人。3.6數(shù)據(jù)確權(quán)dataauthentication確定數(shù)據(jù)的權(quán)利屬性，確定數(shù)據(jù)的權(quán)利主體和權(quán)利的內(nèi)容，設(shè)置確定和行使數(shù)據(jù)權(quán)利的規(guī)則和程序架構(gòu)。2T/ISC0048—20243.7組織organization由若干個(gè)人或群體所組成的、有共同目標(biāo)和一定邊界的社會(huì)實(shí)體。包括正式組織和非正式組織。3.8風(fēng)險(xiǎn)控制riskcontrol風(fēng)險(xiǎn)管理者采取各種措施和方法，消滅或減少風(fēng)險(xiǎn)事件發(fā)生的各種可能性，或風(fēng)險(xiǎn)控制者減少風(fēng)險(xiǎn)事件發(fā)生時(shí)造成的損失。4數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制框架本文件從數(shù)據(jù)生命周期數(shù)據(jù)采集存儲(chǔ)、數(shù)據(jù)加工分析、數(shù)據(jù)使用和數(shù)據(jù)交互/交易四個(gè)環(huán)節(jié)確立不同類(lèi)型數(shù)據(jù)的權(quán)屬風(fēng)險(xiǎn)控制通用規(guī)則，見(jiàn)表1。本文件中相關(guān)技術(shù)系統(tǒng)均應(yīng)達(dá)到GB/T22239—2019的第三級(jí)基本要求，相關(guān)數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)符合GB/T20273-2019中的要求。數(shù)據(jù)采集存儲(chǔ)環(huán)節(jié)是指利?程序或應(yīng)用從外部采集數(shù)據(jù)或人為輸入數(shù)據(jù)，經(jīng)過(guò)數(shù)據(jù)清洗，最終存儲(chǔ)到系統(tǒng)中的過(guò)程；數(shù)據(jù)加工分析環(huán)節(jié)是指對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)換、整合、分析、建模等處理的過(guò)程；數(shù)據(jù)使用環(huán)節(jié)是指利用數(shù)據(jù)進(jìn)行決策、營(yíng)銷(xiāo)、展示等支持組織管理和運(yùn)營(yíng)的過(guò)程；數(shù)據(jù)交互/交易環(huán)節(jié)是指兩個(gè)主體之間數(shù)據(jù)的流轉(zhuǎn)，伴隨著各類(lèi)數(shù)據(jù)權(quán)屬的轉(zhuǎn)移或共享的過(guò)程。數(shù)據(jù)分類(lèi)具有多種視角和維度，主要目的是便于數(shù)據(jù)管理和使用。組織進(jìn)行數(shù)據(jù)分類(lèi)時(shí)，應(yīng)優(yōu)先遵循國(guó)家、行業(yè)的數(shù)據(jù)分類(lèi)要求，若沒(méi)有，也可從組織經(jīng)營(yíng)維度進(jìn)行數(shù)據(jù)分類(lèi)。本文件中的數(shù)據(jù)分類(lèi)綜合考慮了個(gè)人公民維度、行業(yè)主流數(shù)據(jù)分類(lèi)標(biāo)準(zhǔn)將數(shù)據(jù)分類(lèi)兩大類(lèi)，個(gè)人數(shù)據(jù)和非個(gè)人數(shù)據(jù)，非個(gè)人數(shù)據(jù)包括公共數(shù)據(jù)和法人數(shù)據(jù)。數(shù)據(jù)分類(lèi)分級(jí)完成后，組織應(yīng)建立不同類(lèi)型數(shù)據(jù)的分類(lèi)分級(jí)確權(quán)授權(quán)制度，加強(qiáng)數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制。表1數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制框架數(shù)據(jù)類(lèi)型確權(quán)環(huán)節(jié)數(shù)據(jù)采集存儲(chǔ)數(shù)據(jù)加工分析數(shù)據(jù)使用數(shù)據(jù)交互/交易個(gè)人數(shù)據(jù)規(guī)范類(lèi)數(shù)據(jù)財(cái)產(chǎn)權(quán)、數(shù)據(jù)的人格權(quán)、數(shù)據(jù)處理權(quán)、數(shù)據(jù)使用權(quán)風(fēng)險(xiǎn)控制通則規(guī)范類(lèi)數(shù)據(jù)財(cái)產(chǎn)權(quán)、數(shù)據(jù)的人格權(quán)、數(shù)據(jù)處理權(quán)風(fēng)險(xiǎn)控制通則規(guī)范類(lèi)數(shù)據(jù)財(cái)產(chǎn)權(quán)、數(shù)據(jù)的人格權(quán)、數(shù)據(jù)使用權(quán)風(fēng)險(xiǎn)控制通則規(guī)范類(lèi)數(shù)據(jù)財(cái)產(chǎn)權(quán)、數(shù)據(jù)的人格權(quán)、數(shù)據(jù)使用權(quán)風(fēng)險(xiǎn)控制通則技術(shù)類(lèi)風(fēng)險(xiǎn)控制通則技術(shù)類(lèi)風(fēng)險(xiǎn)控制通則技術(shù)類(lèi)風(fēng)險(xiǎn)控制通則技術(shù)類(lèi)風(fēng)險(xiǎn)控制通則非個(gè)人數(shù)據(jù)規(guī)范類(lèi)數(shù)據(jù)財(cái)產(chǎn)權(quán)、數(shù)據(jù)處理權(quán)、數(shù)據(jù)使用權(quán)風(fēng)險(xiǎn)控制通則規(guī)范類(lèi)數(shù)據(jù)財(cái)產(chǎn)權(quán)、數(shù)據(jù)處理權(quán)風(fēng)險(xiǎn)控制通則規(guī)范類(lèi)數(shù)據(jù)財(cái)產(chǎn)權(quán)、數(shù)據(jù)使用權(quán)風(fēng)險(xiǎn)控制通則規(guī)范類(lèi)數(shù)據(jù)財(cái)產(chǎn)權(quán)、數(shù)據(jù)使用權(quán)風(fēng)險(xiǎn)控制通則技術(shù)類(lèi)風(fēng)險(xiǎn)控制通則技術(shù)類(lèi)風(fēng)險(xiǎn)控制通則技術(shù)類(lèi)風(fēng)險(xiǎn)控制通則技術(shù)類(lèi)風(fēng)險(xiǎn)控制通則3T/ISC0048—2024數(shù)據(jù)的權(quán)屬風(fēng)險(xiǎn)是指違反數(shù)據(jù)財(cái)產(chǎn)權(quán)、人格權(quán)、處理權(quán)、使用權(quán)等權(quán)屬保護(hù)所產(chǎn)生的風(fēng)險(xiǎn)以及在不同確權(quán)環(huán)節(jié)中由于技術(shù)保護(hù)措施不足而產(chǎn)生的權(quán)屬侵害風(fēng)險(xiǎn)。數(shù)據(jù)財(cái)產(chǎn)權(quán)風(fēng)險(xiǎn)包括：a）未經(jīng)同意非法采集和存儲(chǔ)數(shù)據(jù)；b）未經(jīng)同意或違反協(xié)議約定加工變換數(shù)據(jù)形式以達(dá)到非法占有數(shù)據(jù)、獲取收益目的；c）未經(jīng)同意或違反協(xié)議約定要求非法使用數(shù)據(jù)以達(dá)到組織經(jīng)營(yíng)管理目標(biāo)；d）未經(jīng)同意或違反協(xié)議約定將數(shù)據(jù)所有權(quán)轉(zhuǎn)讓或共享給他人，造成數(shù)據(jù)所有權(quán)人利益受損。數(shù)據(jù)的人格權(quán)風(fēng)險(xiǎn)包括:a)未經(jīng)個(gè)人同意或超過(guò)同意范圍非法采集個(gè)人信息；b)未經(jīng)個(gè)人同意或超出個(gè)人授權(quán)范圍和方式加工處理個(gè)人數(shù)據(jù)；c)未經(jīng)個(gè)人同意或超出個(gè)人授權(quán)目的非法使用個(gè)人信息；d)未經(jīng)個(gè)人同意非法將個(gè)人信息委托或共享給第三方。數(shù)據(jù)處理權(quán)風(fēng)險(xiǎn)包括:a)未獲得數(shù)據(jù)處理權(quán)非法處理數(shù)據(jù)；b)未經(jīng)數(shù)據(jù)所有權(quán)方同意非法加工和分析數(shù)據(jù)；c)違反數(shù)據(jù)委托方協(xié)議的要求加工和分析數(shù)據(jù)；d)非法將數(shù)據(jù)處理權(quán)轉(zhuǎn)移給第三方。數(shù)據(jù)使用權(quán)風(fēng)險(xiǎn):包括非法獲取數(shù)據(jù)使用權(quán)，違法協(xié)議要求非法加工轉(zhuǎn)變數(shù)據(jù)形成新的數(shù)據(jù)使用權(quán)，違法協(xié)議要求超約定場(chǎng)景和范圍使用數(shù)據(jù)，非法將數(shù)據(jù)使用權(quán)轉(zhuǎn)移給第三方。技術(shù)類(lèi)風(fēng)險(xiǎn)包括:a)未對(duì)敏感/重要數(shù)據(jù)進(jìn)行加密，導(dǎo)致數(shù)據(jù)被非法查看和泄露；b)系統(tǒng)與數(shù)據(jù)庫(kù)安全防護(hù)不到位導(dǎo)致數(shù)據(jù)泄漏和篡改；c)缺數(shù)據(jù)權(quán)限管理，導(dǎo)致數(shù)據(jù)被非法訪(fǎng)問(wèn)、查詢(xún)和處理；d)缺乏數(shù)據(jù)交易保護(hù)技術(shù)，導(dǎo)致數(shù)據(jù)在交易過(guò)程中泄漏或被非法占有；e)缺乏數(shù)據(jù)血緣溯源技術(shù)，導(dǎo)致數(shù)據(jù)被非法加工變換；缺乏數(shù)據(jù)全過(guò)程日志監(jiān)控技術(shù)，導(dǎo)致數(shù)據(jù)處理過(guò)程不可控。5數(shù)據(jù)采集存儲(chǔ)環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制通則5.1采集存儲(chǔ)個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求5.1.1概述個(gè)人數(shù)據(jù)權(quán)屬在數(shù)據(jù)采集環(huán)節(jié)主要涉及到財(cái)產(chǎn)權(quán)的轉(zhuǎn)移、人格權(quán)益的保護(hù)、個(gè)人信息處理權(quán)和使用權(quán)的授權(quán)。針對(duì)不同權(quán)屬的轉(zhuǎn)移、保護(hù)和獲取，組織應(yīng)遵循規(guī)范類(lèi)和技術(shù)類(lèi)準(zhǔn)則進(jìn)行風(fēng)險(xiǎn)控制。5.1.2規(guī)范類(lèi)風(fēng)險(xiǎn)控制通則個(gè)人數(shù)據(jù)采集存儲(chǔ)環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制規(guī)范類(lèi)通則，應(yīng)包括以下四類(lèi)權(quán)屬風(fēng)險(xiǎn)控制要求。a)數(shù)據(jù)財(cái)產(chǎn)權(quán)風(fēng)險(xiǎn)控制要求：1)數(shù)據(jù)的財(cái)產(chǎn)權(quán)一般屬于個(gè)人擁有，組織取得個(gè)人數(shù)據(jù)的財(cái)產(chǎn)權(quán)應(yīng)與個(gè)人簽署數(shù)據(jù)所有權(quán)轉(zhuǎn)讓/轉(zhuǎn)移或數(shù)據(jù)所有權(quán)共享協(xié)議，明確約定雙方權(quán)益分配方式、數(shù)據(jù)處理和使用方式、數(shù)據(jù)保護(hù)責(zé)任、個(gè)人權(quán)益受損時(shí)的懲罰和賠償?shù)葍?nèi)容；4T/ISC0048—20242)個(gè)人數(shù)據(jù)財(cái)產(chǎn)權(quán)涉及個(gè)人、組織、第三方的經(jīng)濟(jì)收益，為確保收益有效分配、保護(hù)各方利益，組織應(yīng)制定相關(guān)的管理規(guī)范，明確個(gè)人數(shù)據(jù)利益保護(hù)的責(zé)任人，制定個(gè)人數(shù)據(jù)財(cái)產(chǎn)權(quán)保護(hù)工作內(nèi)容和流程，制定個(gè)人數(shù)據(jù)財(cái)產(chǎn)權(quán)侵害懲處機(jī)制。組織應(yīng)做好員工培訓(xùn)，確保各層級(jí)員工遵循管理規(guī)范，保障個(gè)人數(shù)據(jù)財(cái)產(chǎn)權(quán)有效行使。b)數(shù)據(jù)的人格權(quán)風(fēng)險(xiǎn)控制要求：1)組織在采集和存儲(chǔ)個(gè)人數(shù)據(jù)時(shí)應(yīng)對(duì)數(shù)據(jù)人格權(quán)益進(jìn)行保護(hù)，應(yīng)與個(gè)人簽署隱私協(xié)議，告知個(gè)人采集的數(shù)據(jù)范圍、使用目的、共享的第三方；2)組織應(yīng)制定明確的制度，規(guī)范個(gè)人信息的采集和存儲(chǔ)。應(yīng)制定明確的懲罰措施，避免非法、超最小必要原則采集個(gè)人數(shù)據(jù)。c)數(shù)據(jù)處理權(quán)風(fēng)險(xiǎn)控制要求：1)組織應(yīng)合法的取得個(gè)人數(shù)據(jù)的處理權(quán)，應(yīng)通過(guò)協(xié)議或隱私條款來(lái)明確處理數(shù)據(jù)的范圍、處理數(shù)據(jù)的方式等；2)針對(duì)個(gè)人數(shù)據(jù)交由第三方處理的，還應(yīng)明確取得個(gè)人同意。d)數(shù)據(jù)使用權(quán)風(fēng)險(xiǎn)控制要求：1)組織在使用個(gè)人數(shù)據(jù)時(shí)應(yīng)通過(guò)協(xié)議或隱私條款取得個(gè)人同意，應(yīng)與個(gè)人明確約定使用數(shù)據(jù)的范圍、使用的目的、期限等；2)組織應(yīng)定期檢查數(shù)據(jù)使用協(xié)議和隱私條款，確保協(xié)議和隱私條款滿(mǎn)足要求。5.1.3技術(shù)類(lèi)風(fēng)險(xiǎn)控制通則個(gè)人數(shù)據(jù)采集存儲(chǔ)環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制技術(shù)類(lèi)通則，應(yīng)包括以下兩類(lèi)風(fēng)險(xiǎn)控制技術(shù)要求。a)數(shù)據(jù)采集端技術(shù)要求：1)組織應(yīng)建立個(gè)人數(shù)據(jù)授權(quán)管理平臺(tái)，實(shí)現(xiàn)個(gè)人數(shù)據(jù)使用場(chǎng)景的標(biāo)注，明確每項(xiàng)個(gè)人數(shù)據(jù)能夠用于的場(chǎng)景，避免出現(xiàn)個(gè)人數(shù)據(jù)超權(quán)屬處理和使用的情況；注1：個(gè)人數(shù)據(jù)使用場(chǎng)景包括但不限于經(jīng)營(yíng)統(tǒng)計(jì)分析、用戶(hù)分析、客戶(hù)畫(huà)像、精準(zhǔn)營(yíng)銷(xiāo)、AI建模、數(shù)據(jù)2)組織應(yīng)通過(guò)日志平臺(tái)記錄個(gè)人數(shù)據(jù)采集階段的授權(quán)過(guò)程，保留個(gè)人點(diǎn)擊/簽署協(xié)議的痕跡、個(gè)人改變或撤銷(xiāo)授權(quán)的痕跡，同時(shí)點(diǎn)擊、變更授權(quán)的操作記錄或日志應(yīng)進(jìn)行長(zhǎng)期保留，保留期限不低于3年，并通過(guò)電子簽名、可信時(shí)間戳、哈希值校驗(yàn)、區(qū)塊鏈存證等方式進(jìn)行痕跡存證，確保痕跡不被篡改；注1：參照《中華人民共和國(guó)電子商務(wù)法》第三十一條電子商務(wù)平臺(tái)經(jīng)營(yíng)者應(yīng)當(dāng)記錄、保存平臺(tái)上發(fā)布的商品和服務(wù)信息、交易信息，并確保信息的完整性、保密性、可用性3)組織應(yīng)建立授權(quán)追溯技術(shù)，準(zhǔn)確的記錄個(gè)人數(shù)據(jù)授權(quán)不同時(shí)序的狀態(tài)，實(shí)現(xiàn)不同時(shí)間點(diǎn)個(gè)人數(shù)據(jù)權(quán)屬的查詢(xún)，實(shí)現(xiàn)根據(jù)個(gè)人客用戶(hù)的要求進(jìn)行權(quán)屬增加、刪除、變更等操作。b)數(shù)據(jù)存儲(chǔ)端技術(shù)要求：1)個(gè)人數(shù)據(jù)存儲(chǔ)應(yīng)做好個(gè)人敏感信息的加密或者脫敏，確保個(gè)人信息的安全，避免出現(xiàn)因敏感字段泄漏而造成的人格權(quán)屬侵害。加密宜采用符合國(guó)家密碼管理主管部門(mén)認(rèn)證核準(zhǔn)的密碼技術(shù)。2)數(shù)據(jù)存儲(chǔ)應(yīng)做好數(shù)據(jù)的血緣管理，通過(guò)數(shù)據(jù)血緣關(guān)系，明確定義數(shù)據(jù)字段、數(shù)據(jù)表之間的變換關(guān)系，避免因在不同系統(tǒng)/數(shù)據(jù)庫(kù)中存儲(chǔ)變換字段名和表名而出現(xiàn)權(quán)屬標(biāo)注信息丟失。數(shù)據(jù)存儲(chǔ)應(yīng)具備冗余備份和存儲(chǔ)擴(kuò)展的能力，并具備異地容災(zāi)能力。5.2采集存儲(chǔ)非個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求5T/ISC0048—20245.2.1概述非個(gè)人數(shù)據(jù)權(quán)屬在數(shù)據(jù)采集環(huán)節(jié)主要涉及權(quán)屬的轉(zhuǎn)移和共享，以及在權(quán)屬轉(zhuǎn)移或共享之后轉(zhuǎn)讓方和受讓方各自享有權(quán)屬的界定和雙方的責(zé)任義務(wù)。針對(duì)不同的權(quán)屬應(yīng)遵循規(guī)范類(lèi)和技術(shù)類(lèi)準(zhǔn)則進(jìn)行風(fēng)險(xiǎn)控制。5.2.2規(guī)范風(fēng)險(xiǎn)控制通則非個(gè)人數(shù)據(jù)采集存儲(chǔ)環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制規(guī)范類(lèi)通則，應(yīng)包括以下三類(lèi)權(quán)屬風(fēng)險(xiǎn)控制要求。a)數(shù)據(jù)財(cái)產(chǎn)權(quán)風(fēng)險(xiǎn)控制要求：1)非個(gè)人數(shù)據(jù)一般為組織擁有，部分也可能由個(gè)人擁有。組織取得非個(gè)人數(shù)據(jù)的財(cái)產(chǎn)權(quán)應(yīng)與數(shù)據(jù)擁有人簽署數(shù)據(jù)所有權(quán)轉(zhuǎn)讓/轉(zhuǎn)移或數(shù)據(jù)所有權(quán)共享協(xié)議，明確約定雙方權(quán)益分配方式、數(shù)據(jù)的復(fù)制和轉(zhuǎn)售權(quán)利、數(shù)據(jù)處理和使用權(quán)、數(shù)據(jù)保護(hù)責(zé)任、雙方權(quán)益受損時(shí)的懲罰和賠償?shù)葍?nèi)容；2)數(shù)據(jù)財(cái)產(chǎn)權(quán)涉及到數(shù)據(jù)提供方、組織和第三方的利益，在獲取和存儲(chǔ)非個(gè)人數(shù)據(jù)時(shí)企業(yè)或者組織應(yīng)制定非個(gè)人數(shù)據(jù)財(cái)產(chǎn)權(quán)保護(hù)機(jī)制，明確該數(shù)據(jù)的責(zé)任人、保護(hù)數(shù)據(jù)權(quán)益的工作要求，制定非個(gè)人數(shù)據(jù)利益侵害的懲處辦法，確保組織內(nèi)部人員遵循相應(yīng)規(guī)范，規(guī)避非個(gè)人數(shù)據(jù)財(cái)產(chǎn)權(quán)受侵害風(fēng)險(xiǎn)。b)數(shù)據(jù)處理權(quán)風(fēng)險(xiǎn)控制要求：1)組織應(yīng)合法的取得非個(gè)人數(shù)據(jù)的處理權(quán)，應(yīng)簽訂協(xié)議來(lái)明確處理數(shù)據(jù)的范圍、處理數(shù)據(jù)的方式、處理的要求、處理后數(shù)據(jù)的歸屬、處理后雙方的責(zé)任、權(quán)屬受到侵害后的懲處等；2)組織需要引入第三方協(xié)作進(jìn)行數(shù)據(jù)處理，應(yīng)與第三方簽署數(shù)據(jù)委托處理協(xié)議，約定雙方的數(shù)據(jù)保護(hù)責(zé)任及違約懲處。同時(shí)告知非個(gè)人數(shù)據(jù)提供方，說(shuō)明數(shù)據(jù)委托第三方處理的流程、各方的保護(hù)責(zé)任和機(jī)制，避免第三方處理所產(chǎn)生的風(fēng)險(xiǎn)。c)數(shù)據(jù)使用權(quán)風(fēng)險(xiǎn)控制要求：組織在使用非個(gè)人數(shù)據(jù)時(shí)應(yīng)通過(guò)協(xié)議取得數(shù)據(jù)的使用權(quán)，明確數(shù)據(jù)的知識(shí)產(chǎn)權(quán)。雙方應(yīng)約定數(shù)據(jù)的使用場(chǎng)景，并對(duì)于超范圍、超場(chǎng)景使用等違法行為明確懲處和賠償條款。5.2.3技術(shù)風(fēng)險(xiǎn)控制通則非個(gè)人數(shù)據(jù)采集存儲(chǔ)環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制技術(shù)類(lèi)通則，應(yīng)包括以下兩類(lèi)風(fēng)險(xiǎn)控制技術(shù)要求。a)數(shù)據(jù)采集端技術(shù)要求：1)組織應(yīng)建立權(quán)屬管理平臺(tái)，在采集/接收外部非個(gè)人數(shù)據(jù)時(shí)做好數(shù)據(jù)權(quán)屬的標(biāo)注，明確該數(shù)據(jù)的來(lái)源方、數(shù)據(jù)的權(quán)屬范圍、數(shù)據(jù)的處理和使用范圍等信息，便于在數(shù)據(jù)加工、數(shù)據(jù)使用、數(shù)據(jù)交互、數(shù)據(jù)價(jià)值分配等環(huán)節(jié)進(jìn)行權(quán)屬的查詢(xún)與審核；2)組織應(yīng)構(gòu)建數(shù)據(jù)權(quán)屬變化跟蹤技術(shù)，在歸集整合多源內(nèi)外部非個(gè)人數(shù)據(jù)時(shí)做好數(shù)據(jù)權(quán)屬變化的時(shí)序化登記，確保數(shù)據(jù)歸集前和數(shù)據(jù)歸集后權(quán)屬信息的一致性和連貫性，應(yīng)避免多源數(shù)據(jù)整合后出現(xiàn)數(shù)據(jù)權(quán)屬模糊。b)數(shù)據(jù)存儲(chǔ)端技術(shù)要求：數(shù)據(jù)存儲(chǔ)端應(yīng)做好非個(gè)人數(shù)據(jù)的血緣管理，通過(guò)數(shù)據(jù)的血緣關(guān)系，明確定義數(shù)據(jù)字段、數(shù)據(jù)表之間的變換關(guān)系，避免因在不同系統(tǒng)/數(shù)據(jù)庫(kù)中存儲(chǔ)變換字段名和表名而出現(xiàn)權(quán)屬標(biāo)注信息丟失情況。數(shù)據(jù)存儲(chǔ)應(yīng)具備冗余備份和存儲(chǔ)擴(kuò)展的能力，并具備異地容災(zāi)能力。6數(shù)據(jù)加工分析環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制通則6.1加工分析個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求6T/ISC0048—20246.1.1概述個(gè)人數(shù)據(jù)權(quán)屬在數(shù)據(jù)加工和分析環(huán)節(jié)主要涉及數(shù)據(jù)開(kāi)發(fā)人員是否超權(quán)限、超范圍、超場(chǎng)景進(jìn)行數(shù)據(jù)加工和分析，是否侵害個(gè)人的數(shù)據(jù)人格權(quán)益、數(shù)據(jù)處理權(quán)，組織應(yīng)遵循規(guī)范類(lèi)和技術(shù)類(lèi)準(zhǔn)則進(jìn)行風(fēng)險(xiǎn)控制。6.1.2規(guī)范類(lèi)風(fēng)險(xiǎn)控制通則個(gè)人數(shù)據(jù)加工分析環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制規(guī)范類(lèi)通則，應(yīng)包括以下三類(lèi)權(quán)屬風(fēng)險(xiǎn)控制要求。a)數(shù)據(jù)財(cái)產(chǎn)權(quán)風(fēng)險(xiǎn)控制要求：1)個(gè)人數(shù)據(jù)加工和分析之后數(shù)據(jù)財(cái)產(chǎn)權(quán)會(huì)發(fā)生改變，組織應(yīng)建立數(shù)據(jù)加工規(guī)范，約束數(shù)據(jù)分析人員對(duì)數(shù)據(jù)加工和分析的方式，確保個(gè)人數(shù)據(jù)的財(cái)產(chǎn)權(quán)按協(xié)議約定進(jìn)行保護(hù)和保留，避免個(gè)人數(shù)據(jù)加工和分析后源數(shù)據(jù)方財(cái)產(chǎn)權(quán)受到侵害；2)個(gè)人數(shù)據(jù)加工和分析后應(yīng)對(duì)數(shù)據(jù)財(cái)產(chǎn)權(quán)進(jìn)行更新，明確加工后數(shù)據(jù)各相關(guān)方的財(cái)產(chǎn)權(quán)屬，確保各方在數(shù)據(jù)財(cái)產(chǎn)權(quán)約束之下利益分配清晰。b)數(shù)據(jù)的人格權(quán)風(fēng)險(xiǎn)控制要求：1)組織加工和分析個(gè)人數(shù)據(jù)應(yīng)對(duì)數(shù)據(jù)人格權(quán)益進(jìn)行保護(hù)，應(yīng)制定明確的制度來(lái)規(guī)范個(gè)人數(shù)據(jù)的加工和分析，應(yīng)制定明確的懲罰措施，避免超權(quán)加工和分析；2)企業(yè)或者組織加工和分析個(gè)人數(shù)據(jù)應(yīng)進(jìn)行事前、事中、事后全流程管控。數(shù)據(jù)開(kāi)發(fā)人員事前應(yīng)說(shuō)明加工數(shù)據(jù)的目標(biāo)、范圍、使用的技術(shù)等，數(shù)據(jù)管理員應(yīng)進(jìn)行合規(guī)性審核，確保個(gè)人數(shù)據(jù)加工分析符合規(guī)范。事中和事后應(yīng)對(duì)數(shù)據(jù)開(kāi)發(fā)人員的加工過(guò)程進(jìn)行審計(jì)，確保數(shù)據(jù)加工和分析符合數(shù)據(jù)人格權(quán)保護(hù)要求。c)數(shù)據(jù)處理權(quán)風(fēng)險(xiǎn)控制要求：企業(yè)和組織在行使個(gè)人數(shù)據(jù)處理權(quán)時(shí)應(yīng)制定數(shù)據(jù)權(quán)限體系，管理不同類(lèi)型人員的數(shù)據(jù)權(quán)限，規(guī)范數(shù)據(jù)需求人員、數(shù)據(jù)開(kāi)發(fā)人員、數(shù)據(jù)分析人員的行為，約束人員權(quán)限，管控?cái)?shù)據(jù)開(kāi)發(fā)和分析過(guò)程。6.1.3技術(shù)類(lèi)風(fēng)險(xiǎn)控制通則個(gè)人數(shù)據(jù)加工分析環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制技術(shù)類(lèi)通則，應(yīng)包括以下兩類(lèi)風(fēng)險(xiǎn)控制技術(shù)要求。a)數(shù)據(jù)加工技術(shù)要求：1)組織應(yīng)建立數(shù)據(jù)加工分析日志管控平臺(tái)，記錄全過(guò)程操作日志，包括但不限于數(shù)據(jù)來(lái)源的系統(tǒng)信息、數(shù)據(jù)輸出/調(diào)用的系統(tǒng)信息、數(shù)據(jù)訪(fǎng)問(wèn)記錄、數(shù)據(jù)加工記錄等內(nèi)容；2)組織應(yīng)通過(guò)平臺(tái)對(duì)數(shù)據(jù)加工過(guò)程進(jìn)行管理，對(duì)個(gè)人數(shù)據(jù)加工需求進(jìn)行事前審批、事中開(kāi)發(fā)過(guò)程監(jiān)控、事后個(gè)人授權(quán)合規(guī)審計(jì)；3)數(shù)據(jù)權(quán)限控制應(yīng)通過(guò)平臺(tái)實(shí)現(xiàn)對(duì)不同數(shù)據(jù)進(jìn)行人員數(shù)據(jù)權(quán)限的分配與管控，確保人員、數(shù)據(jù)、權(quán)限三者合理配置。b)數(shù)據(jù)分析技術(shù)要求：個(gè)人數(shù)據(jù)分析和挖掘過(guò)程應(yīng)進(jìn)行算法監(jiān)控，避免在處理過(guò)程中實(shí)現(xiàn)帶有歧視性、不正當(dāng)性算法和模型。6.2加工分析非個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求6.2.1概述非個(gè)人數(shù)據(jù)權(quán)屬在數(shù)據(jù)加工和分析環(huán)節(jié)主要是要控制數(shù)據(jù)處理人員不按協(xié)議、不按業(yè)務(wù)要求、不按權(quán)限要求進(jìn)行數(shù)據(jù)加工和分析。組織應(yīng)遵循規(guī)范類(lèi)和技術(shù)類(lèi)準(zhǔn)則進(jìn)行風(fēng)險(xiǎn)控制。6.2.2規(guī)范類(lèi)風(fēng)險(xiǎn)控制通則7T/ISC0048—2024非個(gè)人數(shù)據(jù)加工分析環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制規(guī)范類(lèi)通則，包括以下兩類(lèi)權(quán)屬控制要求。a)數(shù)據(jù)財(cái)產(chǎn)權(quán)風(fēng)險(xiǎn)控制要求：1)非個(gè)人數(shù)據(jù)加工和分析后數(shù)據(jù)財(cái)產(chǎn)權(quán)會(huì)發(fā)生改變，企業(yè)應(yīng)建立數(shù)據(jù)加工規(guī)范，約束數(shù)據(jù)分析人員數(shù)據(jù)加工和分析方式，確保非個(gè)人數(shù)據(jù)的財(cái)產(chǎn)權(quán)按協(xié)議約定進(jìn)行保護(hù)和保留；2)非個(gè)人數(shù)據(jù)加工和分析后應(yīng)對(duì)數(shù)據(jù)財(cái)產(chǎn)權(quán)進(jìn)行更新，明確加工后數(shù)據(jù)各相關(guān)方的財(cái)產(chǎn)權(quán)屬，確保各方在數(shù)據(jù)財(cái)產(chǎn)權(quán)約束之下利益分配清晰。b)數(shù)據(jù)處理權(quán)風(fēng)險(xiǎn)控制要求：1)組織在行使非個(gè)人數(shù)據(jù)處理權(quán)時(shí)應(yīng)規(guī)范數(shù)據(jù)開(kāi)發(fā)和分析人員的行為，約束人員權(quán)限，管控?cái)?shù)據(jù)開(kāi)發(fā)和分析過(guò)程。2)組織應(yīng)制定明確的制度，規(guī)范非個(gè)人數(shù)據(jù)處理。應(yīng)制定明確的懲罰措施，避免非法處理非個(gè)人數(shù)據(jù)。6.2.3技術(shù)類(lèi)風(fēng)險(xiǎn)控制通則非個(gè)人數(shù)據(jù)加工分析環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制技術(shù)類(lèi)通則，包括以下兩類(lèi)風(fēng)險(xiǎn)控制技術(shù)要求。a)數(shù)據(jù)加工技術(shù)要求：1)組織應(yīng)通過(guò)平臺(tái)對(duì)數(shù)據(jù)加工過(guò)程進(jìn)行管控，事前應(yīng)對(duì)非個(gè)人數(shù)據(jù)加工需求進(jìn)行審批，確保數(shù)據(jù)加工需求不超出合作協(xié)議范圍，事后應(yīng)進(jìn)行需求實(shí)現(xiàn)審計(jì)，確保需求按事前審批范圍進(jìn)行開(kāi)發(fā)；2)組織應(yīng)通過(guò)平臺(tái)對(duì)人員數(shù)據(jù)權(quán)限進(jìn)行分配與管控，確保給人員的數(shù)據(jù)權(quán)限合理配置。b)數(shù)據(jù)分析技術(shù)要求：數(shù)據(jù)分析和挖掘過(guò)程應(yīng)進(jìn)行算法監(jiān)控，避免在處理過(guò)程中實(shí)現(xiàn)帶有歧視性、不正當(dāng)性算法和模型。7數(shù)據(jù)使用環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制通則7.1使用個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求7.1.1概述個(gè)人數(shù)據(jù)權(quán)屬在數(shù)據(jù)使用環(huán)節(jié)主要是涉及財(cái)產(chǎn)權(quán)的保護(hù)、人格權(quán)益的保護(hù)和數(shù)據(jù)使用權(quán)的正確行使。針對(duì)不同權(quán)屬的保護(hù)和行使，組織應(yīng)遵循規(guī)范類(lèi)和技術(shù)類(lèi)準(zhǔn)則進(jìn)行風(fēng)險(xiǎn)控制。7.1.2規(guī)范類(lèi)風(fēng)險(xiǎn)控制通則個(gè)人數(shù)據(jù)使用環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制規(guī)范類(lèi)通則，包括以下三類(lèi)權(quán)屬控制要求。a)數(shù)據(jù)財(cái)產(chǎn)權(quán)風(fēng)險(xiǎn)控制要求：在數(shù)據(jù)使用環(huán)節(jié)企業(yè)和組織應(yīng)保護(hù)好數(shù)據(jù)的財(cái)產(chǎn)權(quán)，制定數(shù)據(jù)使用階段個(gè)人數(shù)據(jù)財(cái)產(chǎn)保護(hù)規(guī)范和行為準(zhǔn)則，限定數(shù)據(jù)使用人員范圍，管控?cái)?shù)據(jù)使用場(chǎng)合。b)數(shù)據(jù)的人格權(quán)風(fēng)險(xiǎn)控制要求：1)組織在使用個(gè)人數(shù)據(jù)時(shí)應(yīng)對(duì)數(shù)據(jù)人格權(quán)益進(jìn)行保護(hù)，應(yīng)有清晰的個(gè)人信息保護(hù)規(guī)則（或《隱私政策》）告知個(gè)人數(shù)據(jù)使用的目的、使用的范圍、使用的方式等，針對(duì)敏感個(gè)人數(shù)據(jù)使用應(yīng)取得個(gè)人單獨(dú)同意；2)組織應(yīng)制定明確的規(guī)范來(lái)約束個(gè)人數(shù)據(jù)的使用，應(yīng)制定明確的懲罰措施，制止非法使用個(gè)人數(shù)據(jù)。c)數(shù)據(jù)使用權(quán)風(fēng)險(xiǎn)控制要求：1)組織在行使數(shù)據(jù)使用權(quán)時(shí)應(yīng)保障按隱私協(xié)議、授權(quán)協(xié)議、個(gè)人單獨(dú)同意條款要求進(jìn)行；8T/ISC0048—20242)組織應(yīng)建立個(gè)人數(shù)據(jù)使用的事前授權(quán)審批、事后鑒權(quán)審查機(jī)制，并為個(gè)人提供監(jiān)督和投訴途徑，確保部門(mén)和人員合規(guī)使用個(gè)人數(shù)據(jù)。7.1.3技術(shù)類(lèi)風(fēng)險(xiǎn)控制通則個(gè)人數(shù)據(jù)使用環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制技術(shù)類(lèi)通則，包括以下風(fēng)險(xiǎn)控制技術(shù)要求。a）組織應(yīng)通過(guò)技術(shù)平臺(tái)對(duì)個(gè)人數(shù)據(jù)使用進(jìn)行授權(quán)管理，實(shí)現(xiàn)個(gè)人數(shù)據(jù)使用事前審批、事中鑒權(quán)，確保每一項(xiàng)個(gè)人數(shù)據(jù)的使用場(chǎng)景與個(gè)人信息授權(quán)范圍相一致。b）個(gè)人數(shù)據(jù)使用和調(diào)用應(yīng)有技術(shù)平臺(tái)對(duì)數(shù)據(jù)API接口、數(shù)據(jù)文件輸出、數(shù)據(jù)抽取、數(shù)據(jù)下載/導(dǎo)出等進(jìn)行監(jiān)控，確保數(shù)據(jù)使用流向可查詢(xún)、可追蹤。API鑒權(quán)方式宜采用符合國(guó)家密碼管理主管部門(mén)認(rèn)證核準(zhǔn)的密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密傳輸和存儲(chǔ)，并對(duì)密鑰使用適當(dāng)?shù)姆绞竭M(jìn)行保護(hù)。數(shù)據(jù)文件輸出宜進(jìn)行加密后輸出，并將密鑰與加密后文件通過(guò)不同輸出方式輸出至數(shù)據(jù)使用方。7.2使用非個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求7.2.1概述非個(gè)人數(shù)據(jù)權(quán)屬在數(shù)據(jù)使用環(huán)節(jié)主要是涉及財(cái)產(chǎn)權(quán)的保護(hù)和數(shù)據(jù)使用權(quán)的正確行使。針對(duì)這兩類(lèi)權(quán)屬應(yīng)遵循規(guī)范類(lèi)和技術(shù)類(lèi)準(zhǔn)則進(jìn)行風(fēng)險(xiǎn)控制。7.2.2規(guī)范類(lèi)風(fēng)險(xiǎn)控制通則非個(gè)人數(shù)據(jù)使用環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制規(guī)范類(lèi)通則，包括以下兩類(lèi)權(quán)屬控制要求。a)數(shù)據(jù)財(cái)產(chǎn)權(quán)風(fēng)險(xiǎn)控制要求：1)在數(shù)據(jù)使用環(huán)節(jié)組織應(yīng)保護(hù)好數(shù)據(jù)的財(cái)產(chǎn)權(quán)，制定數(shù)據(jù)使用階段非個(gè)人數(shù)據(jù)財(cái)產(chǎn)保護(hù)機(jī)制；2)組織應(yīng)管控?cái)?shù)據(jù)使用人員及使用場(chǎng)合，防止在數(shù)據(jù)使用過(guò)程中數(shù)據(jù)泄露，造成財(cái)產(chǎn)權(quán)受到損失。b)數(shù)據(jù)使用權(quán)風(fēng)險(xiǎn)控制要求：組織應(yīng)建立數(shù)據(jù)使用事前審批、事后審查機(jī)制，確保部門(mén)和人員合理使用非個(gè)人數(shù)據(jù)。7.2.3技術(shù)類(lèi)風(fēng)險(xiǎn)控制通則非個(gè)人數(shù)據(jù)使用環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制技術(shù)類(lèi)通則，包括以下風(fēng)險(xiǎn)控制技術(shù)要求。a)非個(gè)人數(shù)據(jù)使用應(yīng)通過(guò)技術(shù)平臺(tái)進(jìn)行事前的需求審批管理和事后的數(shù)據(jù)使用審計(jì)，確保非個(gè)人數(shù)據(jù)合理的使用。b)非個(gè)人數(shù)據(jù)使用和調(diào)用應(yīng)有技術(shù)平臺(tái)對(duì)數(shù)據(jù)API接口、數(shù)據(jù)文件輸出、數(shù)據(jù)抽取、數(shù)據(jù)下載/導(dǎo)出等進(jìn)行監(jiān)控，確保數(shù)據(jù)使用流向可查詢(xún)、可追蹤。API鑒權(quán)方式宜采用符合國(guó)家密碼管理主管部門(mén)認(rèn)證核準(zhǔn)的密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密傳輸和存儲(chǔ)，并對(duì)密鑰使用適當(dāng)?shù)姆绞竭M(jìn)行保護(hù)。數(shù)據(jù)文件輸出宜進(jìn)行加密后輸出，并將密鑰與加密后文件通過(guò)不同輸出方式輸出至數(shù)據(jù)使用方。8數(shù)據(jù)交互/交易環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制通則8.1交互/交易個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求8.1.1概述個(gè)人數(shù)據(jù)權(quán)屬在數(shù)據(jù)交互/交易環(huán)節(jié)主要涉及財(cái)產(chǎn)權(quán)的合法交易、人格權(quán)益的保護(hù)和使用權(quán)的合規(guī)轉(zhuǎn)移。組織在進(jìn)行權(quán)屬的交互、轉(zhuǎn)移時(shí)應(yīng)遵循規(guī)范類(lèi)和技術(shù)類(lèi)準(zhǔn)則進(jìn)行風(fēng)險(xiǎn)控制。9T/ISC0048—20248.1.2規(guī)范類(lèi)風(fēng)險(xiǎn)控制通則個(gè)人數(shù)據(jù)交互/交易環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制規(guī)范類(lèi)通則，包括以下三類(lèi)權(quán)屬控制要求。a)數(shù)據(jù)財(cái)產(chǎn)權(quán)風(fēng)險(xiǎn)控制要求：1)在數(shù)據(jù)交互/交易過(guò)程中，組織應(yīng)與交易方簽訂數(shù)據(jù)委托處理協(xié)議或數(shù)據(jù)轉(zhuǎn)讓協(xié)議，約定雙方的收益、責(zé)任和義務(wù)，以及對(duì)個(gè)人數(shù)據(jù)的保護(hù)責(zé)任；2)組織應(yīng)制定交易處理人員的行為規(guī)范，避免交易人員私自復(fù)制、轉(zhuǎn)賣(mài)個(gè)人數(shù)據(jù)，侵害各方數(shù)據(jù)財(cái)產(chǎn)權(quán)益；3)針對(duì)數(shù)據(jù)采集階段與個(gè)人約定的財(cái)產(chǎn)權(quán)條款，組織應(yīng)按要求履約，保障個(gè)人權(quán)益。b)數(shù)據(jù)的人格權(quán)風(fēng)險(xiǎn)控制要求：1)組織在交互/交易個(gè)人數(shù)據(jù)時(shí)應(yīng)對(duì)數(shù)據(jù)人格權(quán)益進(jìn)行保護(hù)，應(yīng)有隱私協(xié)議單獨(dú)告知個(gè)人，數(shù)據(jù)的交易方、交易數(shù)據(jù)的范圍、交易后的用途、交易方加工數(shù)據(jù)的方式等，針對(duì)敏感個(gè)人數(shù)據(jù)的交易應(yīng)取得個(gè)人單獨(dú)同意；2)組織應(yīng)制定明確的制度來(lái)規(guī)范交易過(guò)程中的人格權(quán)保護(hù)，應(yīng)制定明確的懲罰措施，制止非法交易個(gè)人數(shù)據(jù)。c)數(shù)據(jù)使用權(quán)風(fēng)險(xiǎn)控制要求：1)組織交易數(shù)據(jù)使用權(quán)時(shí)應(yīng)與使用權(quán)受讓方簽訂協(xié)議，確保按隱私協(xié)議、授權(quán)協(xié)議、個(gè)人單獨(dú)同意條款的要求進(jìn)行交易，約束受讓方在授權(quán)范圍內(nèi)使用個(gè)人數(shù)據(jù)；2)組織應(yīng)建立數(shù)據(jù)使用授權(quán)事前審批、事后審查機(jī)制，確保數(shù)據(jù)交易/交互過(guò)程合規(guī)。8.1.3技術(shù)類(lèi)風(fēng)險(xiǎn)控制通則個(gè)人數(shù)據(jù)交互/交易環(huán)節(jié)確權(quán)風(fēng)險(xiǎn)控制技術(shù)類(lèi)通則，包括以下兩類(lèi)風(fēng)險(xiǎn)控制技術(shù)要求。a)數(shù)據(jù)交互技術(shù)要求：1)組織進(jìn)行個(gè)人數(shù)據(jù)交互宜使用隱私計(jì)算技術(shù)，確保多方數(shù)據(jù)在不可見(jiàn)數(shù)據(jù)環(huán)境下進(jìn)行聯(lián)合建模，實(shí)現(xiàn)數(shù)據(jù)交互；2)個(gè)人數(shù)據(jù)交互/交易應(yīng)建立管控平臺(tái)，實(shí)現(xiàn)交互申請(qǐng)管理、數(shù)據(jù)對(duì)外輸出管控。b)數(shù)據(jù)交互安全技術(shù)要求包括但不限于不可逆數(shù)據(jù)庫(kù)技術(shù)、數(shù)據(jù)水印、權(quán)限控制、日志審計(jì)、交易過(guò)程加密等。交易過(guò)程加密宜采用符合國(guó)家密碼管理主管部門(mén)認(rèn)證核準(zhǔn)的密碼技術(shù)，對(duì)交易過(guò)程進(jìn)行鑒權(quán)，并對(duì)密鑰使用適當(dāng)?shù)姆绞竭M(jìn)行保護(hù)。8.2交互/交易非個(gè)人數(shù)據(jù)確權(quán)風(fēng)險(xiǎn)控制要求8.2.1概述非個(gè)人數(shù)據(jù)權(quán)屬在數(shù)據(jù)交易環(huán)節(jié)主要是涉及財(cái)產(chǎn)權(quán)和使用權(quán)的交易，組織在此過(guò)程中應(yīng)遵循規(guī)范類(lèi)和技術(shù)類(lèi)準(zhǔn)則進(jìn)行風(fēng)險(xiǎn)控制。8.2.2規(guī)范類(lèi)風(fēng)險(xiǎn)控制通則非個(gè)人數(shù)