4 供應方行為安全準則

4.1　總則

信息技術產品供應方原則上不應收集、存儲、處理用戶相關信息，以及遠程控制已提供給用戶的產品和產品所在的信息系統，確有必要時，應遵循明示授權、最少夠用、最小權限、安全可信的原則。

4.2　用戶相關信息收集和處理的安全準則

供應方在收集和處理用戶相關信息時：

a）應在用戶購買產品時明確告知用戶收集用戶相關信息的目的、用途和保護用戶相關信息的策略，以及收集信息的類型、數量，存放地點、保存方式、保存期限、信息是否共享或轉移等。

b）應在用戶購買使用產品時，提供禁止收集用戶相關信息的方法，并告知禁止收集用戶相關信息后產品缺失的功能。

c）應在用戶明示同意后，方可收集用戶相關信息，并在收集用戶相關信息時顯示提示信息。

d）應將收集的用戶相關信息僅用于用戶同意的目的和用途。未經用戶同意，不得出售用戶相關信息。

e) 應為用戶提供查閱和修改其信息的方法、包括查閱修改流程、供應方相關聯系人等信息。

f）應采取必要技術和管理措施在收集、存儲、處理時保護用戶相關信息，防止其被泄露或濫用等。

g) 應在保存期限截至時或收到用戶請求時，除非基于法律或監管原因，否則須徹底刪除所有存儲的用戶相關信息。

h) 應制定用戶相關信息泄露等事件時的應急預案，以便將影響和損失減到最低。

i）應在我國境內存儲、傳輸和處理在我國市場經營活動中收集的政府部門、關鍵信息基礎設施相關信息。

j）應為收集用戶相關信息以及產品與供應方之間數據交互的行為提供檢測、驗證方法，包括所使用的端口和協議等信息，使用加密技術的，應在第三方機構檢測驗證時提供加密算法等。

k）不應根據國外法律向境外機構提供中國用戶信息或為獲取相關信息提供便利條件。

4.3　遠程控制用戶產品的安全準則

供應方在遠程控制用戶產品時：

a）應在用戶購買使用產品前，明確告知用戶遠程控制行為的目的、用途等。

b）應在用戶購買使用產品前，提供禁止遠程控制的方法，并告知用戶禁止遠程控制后產品缺失的功能。

c）應經用戶明示同意后，方可遠程控制用戶產品，并在遠程控制用戶產品時顯示提示信息。

d）應將遠程控制活動僅用于用戶同意的目的和用途，嚴格限制遠程控制活動的頻次和涉及產品系統范圍。

e）不應在產品中設置隱蔽接口，不應加載能夠禁用或繞過安全機制的組件。

f）不應在產品中存在未明示功能模塊。

g）應告知用戶測試或維護接口，并給用戶提供關閉測試或維護接口的方法。

h）應采取必要技術和管理措施確保遠程控制過程的安全性，并提供只能在限定的時間窗口使用特定賬戶進行訪問的安全功能。

i）應對遠程控制所有輸入輸出的數據進行記錄，并將所實施的遠程控制活動載入日志以備日后審計。

j）應為遠程控制用戶產品以及產品與供應方之間數據交互的行為提供檢測、驗證方法，使用加密技術的，應在第三方機構檢測驗證時提供加密算法等信息，并應告知第三方機構所使用的端口、協議等。

4.4　其它行為安全準則

供應方：

a）不應通過技術手段限制用戶選擇其他供應方的產品、組件或技術。

b）應為用戶數據和業務在不同產品或信息系統間的遷移，提供必要的技術支持。

c) 應重視保護用戶相關信息的工作，并為接觸用戶相關信息的人員提供培訓，

d) 應在發生組織結構調整或服務外包時，及時告知用戶并采取措施保證用戶相關信息的安全。