《2022信息安全技术 网络音视频服务数据安全指南.docx》由会员分享,可在线阅读,更多相关《2022信息安全技术 网络音视频服务数据安全指南.docx(15页珍藏版)》请在优知文库上搜索。
1、信息安全技术网络音视频服务数据安全指南目次前言III1范围12规范性引用文件I3术语和定义14缩略语25.1网络音视频服务组成35.2网络吾视频服务数据活动与安全风险36.*.*.a.a.a.*.*.*.*.*.*.*.5,数Ili收集57.1数据收集要求57.2系统权限要求58数据使用68.1数据展示68.2用户画像与个性化展示68.3个人信息保护功能69数据交换79.I数据共享79.2公开披露79.3踏境传输710数据传输与存储711个人信息主体权利812未成年人个人信息保护813网络吾视频服务典型场景数据安全要求913.1智能合成音视频场景.,.,.,.一913.2网络音视频服务聚合平台
2、场景913.3网络音视频媒资数据安全9附录A(资料性)网络音视频服务数据分类分级示例11A.1网络音视频服务数据分类HA.2网络音视频服务数据分级IlA.3网络音视频服务数据分类分级示例表11附录B(资料性)网络音视频服务可选个人信息收集范围及使用要求13附录C(资料性)网络吾视频服务APP相关系统权限申请范围及使用要求14C.1Android权限范围4信息安全技术网络音视频服务数据安全指南1范围本文件规定了网络音视频服务可以收集、传输、存储、使用、共享、公开披露、删除、出境的数据种类、范围、方式、条件等,以及数据安全保护要求。本文件适用于网络音视频服务运营者规范数据活动,也适用于主管监管部门
3、、第三方评估机构对网络音视频服务数据活动进行监督、管理、评估时参考。2规范性引用文件卜列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GBZT250692010信息安全技术术语GBrr35273-2020信息安全技术个人信息安全规范GBfTAAAAA信息安全技术网络数据处理安全规范GBbBBBBB信息安全技术移动互联网应用(APP)收集个人信息基本规范3术语和定义GB/T250692010和GBfr35273-2020界定的以及下列术语和定义适用于本文件。3.1
4、3.1网络音视频服务OMineaudioandvideoservice通过互联网站、应用程序等网络平台,向用户提供音视频信息制作、发布、传播的服务,也称网络音视频信息服务。注:网络音视频服务主要包括网络音频服务(3.2)、网络视频服务(3.3)以及网络直播服务(3.4),不包括本地音视频播放器服务.3.23,2网络音频服务Onlineaudioservice通过互联网站、应用程序等网络平台,向用户提供音乐、广播、曲艺、有声读物、广播剧、节目赛事直播音频、新闻资讯音频等音频信息制作、发布、传播的服务。3.33,3网络视频服务Onlinevideoservice通过互联网站、应用程序等网络平台,向
5、用户提供短视频、在线影音、节目赛事直播视频、新闻资讯视频等视频信息制作、发布、传播的服务。3.434网络直播服务livewebcastservice通过互联网站、应用程序等网络平台,向用户提供实时音频信息、视频信息、图文信息等直播信息的发布、传播的服务。注:本文件中所涉网络直播服务主要包括秀场直播、游戏直播、电商直播等类型,不包括会议直播、在线教育直播等。3.53.5网络音视频服务平台Onlineaudioandvideoserviceplatform提供网络音视频服务(3.1)的网络平台。3.63.6网络音视频月艮务聚合平台onlineaudioandvideoserviceaggregat
6、ionplatform搭载于智能电视、互联网电视盒等设备中,通过聚合多个网络音视频服务平台(3.5)的音视频信息资源,为用户提供网络音视频服务(3.1)的第三方平台。3.73.7网络音视频服务运营者Onlineaudioandvideoserviceoperator向用户提供网络音视频服务(3.1)的组织。木文件中简称“运营者”。3.83.8网络音视频服务数据OnIineaudioandvideoservicedata任何以电子或非电子形式对网络音视频服务(3.1)过程中处理和产生的信息的记录,通常包括用户数据与业务数据。3.93.9网络音视频服务用户onlineaudioandvideose
7、rviceuser使用网络吾视频服务(3.D的个人或组织。本文件中简称用户。注:网络音视频服务用户包括普通用户及网络音视频内容生产用户。3.103.10网络音视频内容生产用户Onlineaudioandvideocontentproducer生产、制作网络吾视频内容,并通过网络音视频服务平台(3.5)进行网络音视频内容发布、传播、实时演绎的网络音视频服务用户(3.9)。本文件中简称内容生产用户。注:内容生产用户通常包括普通内容生产用户、专业内容生产用户、网络主播等。4缩略语下列缩略语适用于本文件。App:移动互联网应用程序(mobileinternetapplication)SDK:软件开发工
8、具包(SOftWareDeVelOPmentKit)loT:物联网(InternetofThings)5概述5.1网络音视频服务组成网络音视频服务包括网络音频服务、网络视频服务、网络直播服务以及其他网络宫视频服务,具体组成要素包括:a)参与主体主要包括网络音视频服务用户(包括普通用户与内容生产用户)、网络音视频服务运营者、网络音视频服务第三方(包括第三方技术支持商、内容分发渠道商等);b)服务形式主要包括自建或第三方的网站、App、小程序、SDK等;c)业务功能主要包括网络音视频内容浏览、搜索、播放、下载、收藏、分享、预约、实时发布、实时传播,以及互动交流(发布弹幕、评论等)、会员付费、音视频
9、内容付费、直播打赏、收益分成结算、内容推荐等:d)数据类型主要包括用户数据与业务数据(媒资数据、业务运营数据)O网络音视频服务参与主体数据交互示意图如图1所示:普通用户工而户施推网络音视拜服务平台(用户败Ir业务运HtEbJOSMS(用手裁提、挑更裁想),左W融据)(用户贮据、业务运玄败盘 C L 依据定SJf务)S 网搭音期WK芬第三方内容生产用户普:SK靠生产*户 ,业内春生产*户 同含主播图1网络音视频服务参与主体数据交互示意图5-2网络音视频服务数据活动与安全风险5.2.1网络音视频服务数据活动网络音视频服务数据活动示意图如图2所示:*包 功能存储共享、公开披露、数据跨境传输删除用户收
10、集 jIr承、BiE*号注簿除申请凤总,f运营者BM.含M用户Qsi &访问尊出T采Z风看卜Wlt : j*1*神:Xtt用户制t个付化It再合Jt士产发布公开明*SA*A| 6名牝*m第三方RI击内*供联禽看,局广也投放发京支持*#7&合响岳图2网络音视频服务数据活动示意图5.2.2网络音视频服务主要数据安全风险网络音视频服务中主要数据安全风险包括:a)在用户数据收集活动中(如实名认证、IoT终端音视频服务场景),网络吾视频服务运营者存在私自收集、超范围收集用户数据,或过度索取移动终端系统权限导致用户数据被超范围收集的风险;b)在用户数据传输、存储活动中,网络音视频服务运营者及相关方(如第三
11、方技术提供商)未采取有效安全措施导致数据泄露或者被窃取、篡改的风险;c)在用户数据使用活动中,网络音视频服务运营者未采取脱敏、身份验证或权限控制等安全措施导致用户数据泄露,以及音视频内容与广告推荐等个性化展示场景中用户数据被滥用的风险;d)在用户数据共享活动中(如联名会员),用户数据未经授权被共享、超范围共享以及被第三方滥用、第三方无法提供充足安全保障措施等风险:e)在用户数据公开披露活动中(如主播黑名单公示),超范围公开披露用户个人敏感信息、未采取数据脱敏等技术导致用户权益受损的风险;D网络音视频服务运营者未能有效响应用户请求导致个人信息权利受损的风险:g)未能有效识别未成年用户、未能获得未
12、成年人监护人的有效同意,导致未成年人信息处理不当、未成年人保护措施失效等风险;h)智能合成宫视频场景下用户数据(如面部识别特征)被滥用、泄露的风险:i)网络吾视频服务聚合平台场景下用户数据超范围共享、未授权第三方接入等安全风险:j)媒资数据收集(自制、合制、采购)、存储、传输、生产、发布、发行等活动中,媒资数据泄露、未授权访问、非法缓存或爬取、盗链等安全凤险。6基本要求网络音视频服务运营者应满足以下基本要求;a)网络宫视频服务的数据活动应符合GBaAAAAA要求;b)网络音视频服务的个人信息处理活动应符合GB352732020要求,网络音视频App的个人信息收集活动应符合GB/TBBBBB要求
13、;C)网络音视频服务运营者应识别数据活动涉及的数据,形成数据保护目录,并对网络吾视频服务数据进行分级分类保护。网络音视频服务数据分级分类示例见附录A三7数据收集7.1数据收集要求网络音视频服务运营者在进行数据收集活动时:a)应遵循GBZT352732020第5章、GB/TAAAAA中5.1、GBBBBBB第5章的要求;b)基本业务功能所需收集的最小必要信息范围,应遵循GBfTBBBBB附录A中A.9、A.26、A.31的要求;c)扩展业务功能收集用户信息的,宜参照GB352732020附录C征得用户同意。确定网络吾视频服务典型扩展业务功能涉及的可选个人信息收集范围及使用要求时,可参照本文件附录
14、B:d)针对普通内容生产用户,应基于手机号码完成实名认证;e)针对专业内容生产用户、网络主播,应基于公民身份号码、统一社会信用代码、资质证书等信息完成实名认证;f)网络直播服务中,用户使用充值打赏功能的,应果先通过实名认证、人脸识别、人工审核等方式核验身份;注:实名认证场景卜收集用户个人敏感信息时,运营者应通过显著方式告知用户其收集的个人信息类型、使用方式等,并取得用户明示同意。g)运营者依托智能电视、智能吾箱、车载娱乐系统等I。T智能终端提供网络音视频服务的,应遵循以下要求:1)运营者以独立App、网页端等形式实现网络音视频服务,且直接收集用户数据的,应通过弹窗、语音提示、H5页面等方式向用户告知收集、使用个人信息的类型、目的、方式等规则,并取得用户授权同意;2)运营者以SDK等形式实现网络音视频服务的,应向IOT智能终端厂商告知有关个人信息收集使用规则及其SDK等的隐私政策链接。注1:有屏式1。T智能终端应在用户首次开启使用服务时向用户展示个人信息保护政策;无屏式IoT智能终端应在用户首次开启时通过语音交互、提示用户扫码查看或阅读文件等方式向用户告知隐私政策核心内容
免费区 