GB／T 42012-2022标准规范下载简介

GB／T 42012-2022 *息安全技术 即时通*服务数据安全要求.pdf

GB／T 42012-2022 *息安全技术 即时通*服务数据安全要求.pdf简介：

GB/T 42012-2022 《*息安全技术 即时通*服务数据安全要求》是一个由中华人民共和国国家标准化管理委员会发布的*息安全技术标准。该标准主要针对即时通*服务，如**、QQ等网络通***，规定了在提供即时通*服务过程中，数据的安全保护要求。

这个标准旨在确保在即时通*服务中，用户的个人*息、聊天内容、交易数据等敏感*息在存储、传输、处理过程中得到有效保护，防止数据泄露、篡改、丢失或被非法访问。它涵盖了数据加密、访问控制、安全审计、数据备份与恢复、应急响应等多个方面，以提高服务的安全性和用户*任度。

具体来说，它要求服务提供商应实施严格的身份验证机制，对用户数据进行加密，保护用户隐私；定期进行安全审计和漏洞扫描，确保系统的稳定性与安全性；提供数据备份和恢复机制，以应对数据丢失的情况；并制定详细的数据安全应急响应计划，以快速处理安全事件。

总之，GB/T 42012-2022 是一项旨在促进即时通*服务数据安全的强制性标准，旨在保障用户的合法权益，推动行业健康发展。

GB／T 42012-2022 *息安全技术 即时通*服务数据安全要求.pdf部分内容预览：

本文件规定了即时通*服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的 安全要求。 本文件适用于即时通*服务提供者规范数据处理活动，也可为监管部门、第三方评估机构对即时通 *服务数据处理活动进行监督、管理、评估提供参考

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T25069 *息安全技术术语 GB/T35273一2020*息安全技术个人*息安全规范 GB/T37964 *息安全技术个人*息去标识化指南 GB/T37988 *息安全技术数据安全能力成熟度模型 GB/T39335 *息安全技术个人*息安全影响评估指南 GB/T41391一2022*息安全技术移动互联网应用程序（App)收集个人*息基本要求 GB/T41479*息安全技术网络数据处理安全要求

即时通*服务**instantmessagingserviceplatform 以互联网技术为依托，为用户提供个人即时通*或组织即时通*服务的*息系统。 3.5 即时通*服务提供者instantmessagingserviceprovider 利用即时通*服务**，提供即时通*服务的企业法人。 注：本文件的即时通*服务提供者DB42／T 1722-2021 省级气象观测站现场校准规程 气压.pdf，主要是指即时通*服务**运营者。 3.6 用户user 即时通*服务（3.1）的使用者。 注：用户包括个人用户和组织用户。 3.7 即时通**息instantmessaginginformation 由个人用户或组织用户在通*过程中形成的*息，包括社交标识、通*记录、通*内容等。 3.8 关系链socialchain 以用户为中心连接其他更多用户形成的关联结构。 3.9 即时通*服务数据instantmessagingservicedata 即时通*服务提供者在提供即时通*服务的过程中收集和产生的数据。 注：主要包括用户数据和业务数据，不包括即时通*服务提供者内部管理经营数据。

以下缩略语适用于本文件： SDK：软件开发工具包（SoftwareDevelopmentKit）

5.1即时通*服务业务组成

即时通*服务包括个人即时通*服务和组织即时通*服务，具体如下。 a）个人即时通*服务： 个人即时通*服务的参与相关方包括个人用户、即时通*服务提供者。个人即时通*服务的 主要功能包括通*交互（单聊、群聊、实时聊天）、关系链管理、群组管理、账号管理。个人即时 通服务根据业务需要，可扩展社区*息发布、*息订阅、广告订阅等功能。上述业务的参与相 关第三方包括资讯*息、广告相关的商业机构。 注：实时聊天是指以聊天室、会议等形式进行的即时通*。 b）组织即时通*服务： 组织即时通*服务的参与相关方包括个人用户、组织用户、即时通*服务**运营者。组织即 时通*服务主要功能，除个人即时通*服务的主要功能外，还包括组织资料管理、组织权限管 理、组织应用管理等。组织即时通*服务可以拓展个人即时通*服务的非主要功能，也可以根 据业务需要拓展应用集成功能。应用集成的第三方包括软件开发相关商业机构。

即时通*服务数据处理活动及安全风险见附录

5.2即时通*服务数据3

本文件中即时通*服务数据范围包括以下内容。 a）用户数据：即时通*服务提供者在提供即时通*服务过程中收集和产生的个人和组织用户数 据，如个人基本资料、个人身份*息、组织基本资料、组织办公通讯录等。 b）业务数据：即时通*服务提供者在提供即时通*服务过程中处理的除用户数据外的其他数据， 如业务统计数据、业务经营数据、业务技术数据等

即时通*服务提供者应在遵守GB/T35273一2020中5.1、5.2、5.3的要求基础上，遵守以下要求： a）通过即时通*App收集用户必要个人*息应符合GB/T41391一2022中A.3的规定； b）通过即时通*App社区功能要求用户必须提供的个人*息，不应超出GB/T41391一2022中 A.4规定的必要个人*息范围； c）扩展业务功能收集的个人*息均应由用户可选提供或者用户公开*息，且应限于实现处理目 的的最小范围； 注：个人即时通*服务常见扩展业务功能收集个人*息范围见附录C。

即时通*App不应申请与App业务功能无关的系统权限，系统权限申请范围及使用要求见附 录D。

8.1.1个人即时通*服务数据存储

8.1.2组织即时通*服务数据存储

组织即时通*服务提供者开展数据存储活动时，遵守以下要求： a）应对敏感个人*息提供安全加密存储和保护； b）宜根据组织安全需要将即时通**息存储于服务端或云端，并采取安全措施进行保护； c）宜依据组织归档处理管理制度销毁或者存储归档组织即时通**息

即时通*服务提供者开展数据传输活动时，应在遵守GB/T35273一2020中6.3的要求基础上，

确保通*内容仅在用户通*必要的对象间可见。

9.1.1个人即时通*服务数据展示

GB/T420122022

遵守以下要求： a）应对如登录口令等涉及账号安全的敏感个人*息采取GB/T37964中的方法进行脱敏展示， 并采取身份验证措施确保仅个人用户能够查看其个人资料； b） 应在个人用户前端页面，提供使用个人昵称、头像等属性对个人用户进行标识的功能； C. 在个人用户添加好友时，展示范围应为昵称、头像等公开*息； d）个人即时通*服务在社区场景下，宜向个人用户提供非定向展示和展示期限设置功能。

9.1.2组织即时通*服务数据展示

组织即时通*服务提供者数据展示遵守以下要求： a）.宜向组织用户提供自定义设置组织相关的对外展示字段（如名片、姓名、职位等）的功能； b 宜向组织用户提供组织架构隐藏、搜索脱敏、通讯录查阅限制、成员手机号隐藏等功能，以满足 组织自身安全需求； C) 宜向组织用户提供设置水印等保护组织数据的功能，

即时通*服务提供者开展数据加工，在好发匹配、广告推荐和资讯订阅中的内容推荐时应充许用户 自主选择，并在遵守GB/T35273一2020中7.4、7.5、7.7的要求基础上，遵守以下要求： a）“使用位置*息进行好友匹配时，应征得用户明示同意； b 进行陌生人好友匹配时，如使用用户画像应征得用户明示同意； 提供内容推荐时，宜通过不同的栏目、版块、页面分别展示； d 通过自动化决策方式向个人进行广告推送、商业营销，应当同时提供不针对其个人特征的选 项，或者向个人提供便捷的拒绝方式； 当个人用户浏览的资讯*息，向其好友推荐时，应由个人用户主动发起。

即时通*服务提供者向第三方提供数据，应在遵守GB/T35273一2020中9.1至9.5的要求基础 ，遵守以下要求。 a）·在支持用户通过授权服务开通第三方应用账号时： 1） 应提供途径供用户取消向第三方共享或转让个人*息的授权； 2 共享个人*息应以用户账号（UserIdentity，UserID）、头像、昵称等个人基本*息为主，并 征得用户单独同意； 3） 应要求第三方在获取、共享关系链时，征得用户和即时通*服务提供者的同意； 4 向第三方共享个人基本*息时，宜为用户提供修改头像、昵称途径。 b）在使用第三方SDK，将收集的数据委托给外部机构处理时

GB/T420122022

1）在隐私条款中列出相关第三方SDK； 2）集成第三方SDK前，验证第三方SDK的安全性，评估数据委托处理的风险； 3）宜与第三方SDK运营者签订协议，明确其责任、义务和安全能力。 向第三方应用共享数据时，应与第三方运营者签订协议，明确其责任、义务和安全能力。 d 因兼并、重组、破产等原因需要转移数据的，应明确数据转移方案，数据接收方应继续履行相关 数据安全保护义务。

即时通*服务提供者开展数据删除活动时，应在遵守GB/T35273一2020中8.3的要求基础上，遵 守以下要求： a）当个人用户或组织用户注销账户时，应遵守GB/T35273一2020中8.5的要求，删除*息或置 名化处理； b）对于即时通*服务组织用户，在组织成员退出组织后可删除该成员在组织中的数据，包括但不 限于组织架构内的群、权限、工作*息等

13.1个人*息查阅和更

3.2个人和组织*息删

即时通*服务提供者向用户提供个人*息撤回同意，应在遵守GB/T35273—2020中8.4的要求 基础上，遵守以下要求

a）提供关闭推荐通讯录朋友的功能； b）提供关闭基于位置的好友推荐的功能； c）提供撤回向其他应用的授权的功能； d）提供撤回全部或部分向其他应用的关系链授权的功能。

14即时通*服务特殊场景

GB/T420122022

A.1即时通*服务数据处理活动

附录A （资料性） 即时通*服务数据处理活动及安全风险

即时通*服务数据处理活动及安全风险

A.2即时通*服务数据安全风险

即时通*服务数据处理活动及相关角色和服务

个人即时通*服务常见扩展业务功能收集个人*息范围 功能收集不 人*息范围见表C.1

DG∕TJ 08-218-2017 建筑地基与基桩检测技术规程个人即时通*服务常见扩展业务功能收集的个

GB/T42012—2022

附录D （资料性） 即时通*服务ApP相关系统权限申请范围及使用要求

D.1即时通*服务AndroidApp（Android11及以下版本）相关系统权限申请范围及 见表D.1。

时通*服务AndroidApp（Android11及以下版本）相关系统权限申请范围及使用要求

*服务AndroidApp相关系统权限申请范围及使

《工业建筑可靠性鉴定标准 GB50144-2008》D.2即时通*服务iOSApp(iOS14及以下版本）相关系统权限申请范围及使用要求见表D.2。

通*服务iOSApp相关系统权限申请范围及使用