6.4　數據處理

6.4　數據處理

6.4.1　分布式處理安全

6.4.1.1　一般要求

大數據服務提供者應：
a) 建立分布式處理節點間可信連接策略和規范，采用節點認證等機制來確保節點接入的真實性。
b) 建立分布式處理節點和用戶安全屬性的周期性確認機制，確保預定義分布式安全策略一致性。
c) 建立分布式處理過程中數據文件鑒別和訪問用戶身份認證的策略和規范，確保分布式處理數據文件的可訪問性。
d) 建立分布式處理過程中不同數據副本節點的更新檢測機制，確保這些節點數據拷貝的完整性、一致性和真實性。

6.4.1.2　增強要求

大數據服務提供者應：
a) 建立分布式處理外部服務組件注冊與使用審核機制。

6.4.2　數據分析安全

6.4.2.1　一般要求

大數據服務提供者應：
a) 建立數據分析相關數據源獲取規范和使用機制，明確數據獲取方式、訪問接口、授權機制、數據使用等。
b) 建立多源數據派生、聚合、關聯分析等數據分析過程中的數據資源操作規范和實施指南。
c) 建立數據分析結果輸出的安全審查機制和授權控制機制，并采取必要的技術手段和管控措施保證共享數據分析結果不泄露個人信息、重要數據等敏感信息。
d) 對數據分析結果共享的風險進行合規性評估，避免分析結果輸出中包含可恢復的個人信息、重要數據等數據和結構標識，如用戶鑒別信息的重要標識和數據結構。

6.4.2.2　增強要求

大數據服務提供者應：

6.4.3　數據正當使用

6.4.3.1　一般要求

大數據服務提供者應：
a) 確保數據使用和分析處理的目的和范圍符合網絡安全法等國家相關法律法規要求。
b) 建立數據使用正當性的內部責任制度，保證在數據使用聲明的目的和范圍內對受保護的個人信息、重要數據等數據進行使用和分析處理。
c) 依據數據使用目的建立相應強度或粒度的訪問控制機制，限定用戶可訪問數據范圍。

6.4.3.2　增強要求

大數據服務提供者應：
a) 具備信息化技術手段或機制，對數據濫用行為進行有效的識別、監控和預警。

6.4.4　密文數據處理

6.4.4.1　一般要求

大數據服務提供者應：

6.4.4.2　增強要求

大數據服務提供者應：

6.4.5　數據脫敏處理

6.4.5.1　一般要求

大數據服務提供者應：
a) 建立數據脫敏管理規范和制度，明確數據脫敏規則、脫敏方法和使用限制。
b) 明確數據脫敏處理應用場景、數據脫敏處理流程、涉及部門及人員的職責分工。
c) 配置數據脫敏支持工具或服務組件，支持如泛化、抑制、干擾等數據脫敏技術。
d) 能夠在屏蔽信息時保留其原始數據格式和特定屬性，以滿足基于脫敏數據的開發與測試要求。

6.4.5.2　增強要求

大數據服務提供者應：
a) 明確列出需要脫敏的數據資產，給出不同分類分級數據的脫敏處理流程。
b) 配置脫敏數據識別和脫敏效果驗證工具或服務組件，確保數據脫敏的有效性和合規性。
c) 明確脫敏數據治理原則和規范。

6.4.6　數據溯源

6.4.6.1　一般要求

大數據服務提供者應：
a) 制定數據溯源策略和溯源機制，以及溯源數據安全存儲與使用的管理制度。
b) 制定溯源數據表達方式和格式規范，以規范化組織、存儲和管理溯源數據。
c) 采用必要的技術手段和管控措施實現分布式數據處理環境下溯源數據采集和存儲，確保溯源數據能重現數據處理過程，如追溯操作發起者及發起時間。

6.4.6.2　增強要求

大數據服務提供者應：
a) 采取技術機制和管控措施保證溯源數據的完整性和保密性。