YD/T 2692-2014 目 次 前 言……………………………………………………………………………………………………………Ⅱ 1 范围……………………………………………………………………………………………………………1 2 术语和定义……………………………………………………………………………………………………1 3 概述……………………………………………………………………………………………………………1 4 3.1 安全防护范围…………………………………………………………………………………………1 3.2 安全防护内容…………………………………………………………………………………………2 安全防护要求…………………………………………………………………………………………………2 4.1 收集环节………………………………………………………………………………………………2 4.2 存储环节………………………………………………………………………………………………3 4.3 操作环节………………………………………………………………………………………………3 4.4 转移环节………………………………………………………………………………………………5 4.5 删除环节………………………………………………………………………………………………6 参考文献…………………………………………………………………………………………………………7 I YD/T 2692-2014 前 言 本标准是“电信网和互联网安全防护体系”系列标准之一，该系列标准的结构及名称预计如下： 1. 《电信网和互联网安全防护管理指南》 2. 《电信网和互联网安全等级保护实施指南》 3. 《电信网和互联网安全风险评估实施指南》 4. 《电信网和互联网灾难备份及恢复实施指南》 5. 《固定通信网安全防护要求》 6. 《移动通信网安全防护要求》 7. 《互联网安全防护要求》 8. 《增值业务网—消息网安全防护要求》 9. 《增值业务网—智能网安全防护要求》 10. 《接入网安全防护要求》 11. 《传送网安全防护要求》 12. 《IP承载网安全防护要求》 13. 《信令网安全防护要求》 14. 《同步网安全防护要求》 15. 《支撑网安全防护要求》 16. 《非核心生产单元安全防护要求》 17. 《电信网和互联网物理环境安全等级保护要求》 18. 《电信网和互联网管理安全等级保护要求》 19. 《固定通信网安全防护检测要求》 20. 《移动通信网安全防护检测要求》 21. 《互联网安全防护检测要求》 22. 《增值业务网—消息网安全防护检测要求》 23. 《增值业务网—智能网安全防护检测要求》 24. 《接入网安全防护检测要求》 25. 《传送网安全防护检测要求》 26. 《IP承载网安全防护检测要求》 27. 《信令网安全防护检测要求》 28. 《同步网安全防护检测要求》 29. 《支撑网安全防护检测要求》 30. 《非核心生产单元安全防护检测要求》 31. 《电信网和互联网物理环境安全等级保护检测要求》 32. 《电信网和互联网管理安全等级保护检测要求》 33. 《域名系统安全防护要求》 34. 《域名系统安全防护检测要求》 II YD/T 2692-2014 35. 《网上营业厅安全防护要求》 36. 《网上营业厅安全防护检测要求》 37. 《WAP网关系统安全防护要求》 38. 《WAP网关系统安全防护检测要求》 39. 《电信网和互联网信息服务业务系统安全防护要求》 40. 《电信网和互联网信息服务业务系统安全防护检测要求》 41. 《增值业务网 即时消息业务系统安全防护要求》 42. 《增值业务网 即时消息业务系统安全防护检测要求》 43. 《域名注册系统安全防护要求》 44. 《域名注册系统安全防护检测要求》 45. 《移动互联网应用商店安全防护要求》 46. 《移动互联网应用商店安全防护检测要求》 47. 《互联网内容分发网络安全防护要求》 48. 《互联网内容分发网络安全防护检测要求》 49. 《互联网数据中心安全防护要求》 50. 《互联网数据中心安全防护检测要求》 51. 《移动互联网联网应用安全防护要求》 52. 《移动互联网联网应用安全防护检测要求》 53. 《公众无线局域网安全防护要求》 54. 《公众无线局域网安全防护检测要求》 55. 《电信网和互联网安全防护基线配置要求及检测要求 网络设备》 56. 《电信网和互联网安全防护基线配置要求及检测要求 安全设备》 57. 《电信网和互联网安全防护基线配置要求及检测要求 操作系统》 58. 《电信网和互联网安全防护基线配置要求及检测要求 数据库》 59. 《电信网和互联网安全防护基线配置要求及检测要求 中间件》 60. 《电信网和互联网安全防护基线配置要求及检测要求 WEB应用系统》 61. 《电信和互联网用户个人电子信息保护通用技术要求和管理要求》（本标准） 62. 《电信和互联网用户个人电子信息保护检测要求》 本标准与YD/T 2693-2013《电信和互联网用户个人电子信息保护检测要求》配套使用。 随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：工业和信息化部电信研究院、中国互联网络信息中心、北京和升达信息安全技术 有限公司、北京新浪互联信息服务有限公司、深圳腾讯计算机系统有限公司、中国电信集团公司、中国 移动通信集团公司、中国联合网络通信集团有限公司。 本标准主要起草人： 封 莎、王 昕、龚双瑾、魏 薇、徐 颖、周景泉、许章毅、左洪涛、杨晓光、 邱 勤、杨淑敏。 III YD/T 2692-2014 电信和互联网用户个人电子信息保护通用技术要求和管理要求 1 范围 本标准主要规范电信和互联网用户个人电子信息分类别的技术和管理方面的安全防护要求。 本标准主要适用于电信和互联网存储和处理用户个人电子信息的相关系统。 2 术语和定义 下列术语和定义适用于本文件。 2.1 电信和互联网用户个人电子信息 Telecom and Internet Users Personal Electronic Information 电信业务经营者和互联网信息服务提供者在提供服务的过程中以电子形式存储和使用的用户姓名、 出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信 息以及用户使用服务的时间、地点、通信内容等信息。 2.2 身份信息 Identity Information 电信和互联网用户个人电子信息的一种，指能够单独或相互结合识别特定用户身份的信息。 2.3 鉴权信息 Authentication Information 电信和互联网用户个人电子信息的一种，指用于鉴定用户身份是否合法的信息。 2.4 日志信息 Log Information 电信和互联网用户个人电子信息的一种，指用户使用电信业务过程中产生的信息。 2.5 内容信息 Contents Information 电信和互联网用户个人电子信息的一种，指用户使用电信业务过程中所传递的信息内容。 2.6 销毁 Destruction 通过消磁、粉碎等技术手段使电子信息载体中存储的信息不可再用，且不可恢复的过程。 3 概述 3.1 安全防护范围 电信和互联网用户个人电子信息是指电信业务经营者和互联网信息服务提供者在提供服务的过程中 以电子形式存储和使用的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单 独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点、通信内容等信息。 电信和互联网用户个人电子信息按照内容可以分为身份信息、鉴权信息、日志信息和内容信息，具 体如下： 1. 身份信息：指能够单独或相互结合识别特定用户身份的信息，如用户基本资料、通讯录信息和虚 1 YD/T 2692-2014 拟身份信息等。个人用户基本资料包括个人姓名、出生日期、个人有效证件类别和号码、职业、单位、 居住地址、家庭成员信息和通信联系方式等；单位用户基本资料包括单位名称、单位有效证件类别和号 码、办公或注册地址、通信联系方式、单位负责人和联系人基本信息等。通信录信息包括存储于用户终 端设备或同步到服务器上的联系人列表、电话号码簿等。虚拟身份信息包括用户昵称、级别和积分等。 2. 鉴权信息：指用于鉴定用户身份是否合法的信息，如用户登录各种业务系统的账号和密码、服务 密码等。 3. 日志信息：指用户使用电信业务过程中产生的信息，如用户消费信息、服务订购关系、终端信息、 访问信息（如 IP 地址）、位置信息、使用服务的时间及使用相关业务的记录（如通话详单、网页购物记 录、搜索内容等） 。 4. 内容信息：指用户使用电信业务过程中所传递的信息内容，如短信内容记录、移动上网内容及记 录、应用平台上交互的信息内容等。 3.2 安全防护内容 电信和互联网用户个人电子信息的生命周期可分为收集、存储、操作、转移、删除五个环节。对电 信和互联网用户个人电子信息的安全防护要求贯穿于五个环节中： 1. 收集环节：指对电信和互联网用户个人电子信息进行获取并记录的过程。 2. 存储环节：指电信和互联网用户个人电子信息在通信网络单元中存储的过程。 3. 操作环节：指电信和互联网用户个人电子信息收集者操作使用信息的过程。 4. 转移环节：指电信和互联网用户个人电子信息从收集者向第三者的流转过程，包括向公众或特定 对象公开、合作伙伴间信息共享、委托加工等情形。 5. 删除环节：指使电信和互联网用户个人电子信息在信息系统中不再可用的过程。 4 安全防护要求 4.1 收集环节 4.1.1 管理要求 a） 收集用户个人电子信息应当有正当、明确的目的。 b） 收集用户个人电子信息时，应满足以下条件之一。 1） 法律法规明确授权或经用户同意； 2） 与用户有合法的合同关系； 3） 用户自行公开或已合法公开的信息。 c） 收集用户个人电子信息前应采用用户能够知悉的方式，至少向用户明确告知如下事项。 1） 收集用户个人电子信息的目的、方式、类别和留存时限； 2） 用户个人电子信息的使用范围，包括披露或向其他组织和机构提供其用户个人电子信息的范围； 3） 用户个人电子信息的保护措施； 4） 提供用户个人电子信息后可能存在的风险； 5） 不提供用户个人电子信息可能出现的后果； 6） 用户个人电子信息管理者的名称、地址、联系方式等信息； 7） 用户的投诉渠道。 2 YD/T 2692-2014 d） 应只收集能够达到已告知目的的最少信息，不得收集与其所