《《数字产品数据安全和隐私保护检验检测机构能力要求》编制说明.docx》由会员分享,可在线阅读,更多相关《《数字产品数据安全和隐私保护检验检测机构能力要求》编制说明.docx(8页珍藏版)》请在课桌文档上搜索。
1、附件5中国出入境检验检疫协会团体标准数字产品数据安全和隐私保护检验检测机构能力要求(征求意见稿)编制说明标准起草小组2024年8月目录3.2仟冬来苏45*1.1.5标准核,1.?技术内容及应用情况-51 .1标准制定的用.K.153 .235内容及其定依据6准中涉及利5采用国际准和国外先进准的况:】与现行法律、法规、强制性国家标准及相关标准的关系6大分歧见的6*1aa(a(11.*a1.*aaa11.*a1.*1.a*aaa1.1.*a(17其他应予说明的事项72345678910mi.m.71工作简况1.1 立项目的和意义随着近年来数字化、网络化、智能化的迅猛发展,数字产品已经深入到我们生活
2、的方方面面,从智能手机、平板电脑到智能家居,再到各种线上服务和应用,数字产品正以前所未有的速度改变着我们的生活方式。据数字中国发展报告(2022年)数据,2022年数字经济规模达到50.2万亿元,同比名义增长10.3%,占GDP比重达到41.5%。数字技术的发展和数字产品的应用,使信息获取更加便捷,数据处理更加高效,创新变得更容易,生活变得更智能化,并推动了社会的数字化转型。然而,我们也要认识到数字技术所带来的挑战和风险,个人信息和数据泄露带来个人隐私保护风险、算法推荐加剧“信息革房”、人工智能技术带来伦理安全风险等等。推进数字中国建设,必须切实维护网络和数据安全。中华人民共和国网络安全法、中
3、华人民共和国数据安全法、中华人民共和国个人信息保护法等法律法规的出台,为数据安全提供了法律框架和明确要求,强化了数据分类分级保护、风险评估、应急处置、安全审查等制度措施,确保数据的合法收集、存储、使用和传输。当前,数字产品的种类越来越多样化,涵盖了智能手机、平板电脑、智能手表、智能家居设备等多个领域。这些产品不仅满足了人们的基本通信和娱乐需求,还在健康监测、教育、生活便捷化等方面提供了更多可能性。与此同时,数字产品存在诸多网络安全和数据安全风险。主要表现在,一是数字产品提供者为了提高市场份额,较为注重产品的功能和性能,对网络安全和数据安全的重要性认识不足,安全功能不能完全满足合规要求:二是数字
4、产品提供者在收集用户数据时往往缺乏充分的透明度,用户对于自己的数据如何被收集、使用和共享通常了解不足。这种不透明性导致用户难以做出知情同意,也难以有效控制自己的个人信息:三是数字产品提供者存在滥采滥用用户个人信息的问题,例如,过度索取用户权限、收集非必要个人信息等,这些问题不仅侵犯了用户的隐私权,还可能导致个人信息的泄露和滥用;四是网络安全保护、数据保护措施不足,随着数字技术的快速发展,新的安全威胁不断出现,而数字产品提供者在应对新威胁投入不足,用户数据存在安全风险;五是用户隐私权益在数字产品使用过程中容易受到侵犯,尤其是在大数据杀熟、个性化推荐等方面,用户的隐私权益保护措施往往不够充分:六是
5、监管措施、检测认证服务尚相对缺乏,不能满足企业和用户的安全需求。为落实国家法律法规要求,满足企业、用户的数据安全和隐私保护检测认证服务需求,提高数字产品的安全保障能力,维护企业、用户的合法权益,有必要制订数字产品数据安全与隐私保护检验检测机构能力要求相关的标准.1.2 任务来源根据中国出入境检验检疫协会关于批准数字产品网络安全要求等3项团体标准立项的通知(中检协标(2024)15号),数字产品数据安全和隐私保护检验检测机构能力要求(立项编号:PZCIQA-199-2024)团体标准于2024年6月28口由中国出入境检验检疫协会标准化委员会批准立项,该标准牵头单位是北京时代新威信息技术有限公司,
6、归口单位是中国出入境检验检疫协会。2标准编制原则本标准起草过程遵循以下原则。a)规范性。木标准是根据GBb1.1-2020标准化工作导则第1部分:标准化文件的结构和起草规则、中国出入境检验检疫协会团体标准管理办法及其实施细则的要求进行格式和结构编写,以确保制定的团体标准的规范性。b)合规性。严格遵循国家相关的法律法规,如中华人民民共和国认证认可条例(2020年H月修订)、中华人民共和国网络安全法等,规定了检验检测机构开展数字产品数据安全和隐私保护检测活动的能力、公正性以及保密性的通用要求。c)协调一致性。本标准规范性引用了CNAS-C1.Oi检测和校准检验检测机构能力认可准则(ISO/IEC1
7、7025)等标准,确保标准间相互协调,避免重复和不必要的差异。3标准核心技术内容及应用情况3.1标准制定的适用范围本文件规定了对数字产品数据安全和隐私保护检验检测机构的能力以及从事检测活动的公正性和一致性的要求。本文件适用于数字产品数据安全和隐私保护检验检测机构能力建设、合格评定等活动。3.2主要内容及其确定依据本标准依据中华人民共和国认证认可条例以及中华人民共和国网络安全法、中华人民共和国个人信息保护法等关于网络安全、个人信息保护检测评估的规定,结合国内网络安全、数据安全检测业务的特点与发展需要,规定了检验检测机构的组织结构、人员、设施与设备、过程和管理体系的管理和技术能力要求。4标准中涉及
8、专利的情况本标准不涉及专利和知识产权问题。5采用国际标准和国外先进标准的情况通过查找全国标准信息公共服务平台、全国信安标委信息安全标准项目管理与服务平台、全国团体标准信息平台等相关标准平台,均未找到数字产品数据安全和隐私保护检验检测机构能力要求等类似标准。本标准未采用(包括等同采用、修改采用及非等效采用)国际标准或国外先进标准.可以提供参考和借鉴的标准包括:CNAS-C1.Oi检测和校准检验检测机构能力认可准则(ISO/IEC17025)6与现行法律、法规、强制性国家标准及相关标准的关系本标准完全满足现行国家法规的要求,与其他现行标准不冲突。7重大分歧意见的处理和依据无重大分歧。8贯彻标准的要
9、求和措施建议标准颁布实施后,需要依托协会开展宜贯工作,组织会员单位积极采用或应用该标准,开展数据产品数据安全和隐私保护检测评估活动,促进检验检测行业高质量发展,推动国内数字产品开发、生产企业不断提升数据安全保障能力,维护企业和消费者合法权益。9其他应予说明的事项无。10预期效果数字产品数据安全和隐私保护检验检测机构能力要求由中国出入境检验检疫协会批准、发布后,可以充分发挥协会的行业引领作用,推动该标准的应用。一是依托协会,针对检验检测机构开展标准宣贯活动,拓展检验检测机构业务范围,为检验检测机构高质量发展创造良好条件。:是依托协会宣传教育平台和资源,鼓励数字产品开发、生产企业开展数字产品数据安全和隐私保护检测认证,不断提高数字产品生产企业的竞争力。
