GB／T 42012-2022  信息安全技术 即时通信服务数据安全要求

即时通信服务提供者应在遵守GB/T35273一2020中5.1、5.2、5.3的要求基础上，遵守以下要求： a）通过即时通信App收集用户必要个人信息应符合GB/T41391一2022中A.3的规定； b）通过即时通信App社区功能要求用户必须提供的个人信息，不应超出GB/T41391一2022中 A.4规定的必要个人信息范围； c）扩展业务功能收集的个人信息均应由用户可选提供或者用户公开信息，且应限于实现处理目 的的最小范围； 注：个人即时通信服务常见扩展业务功能收集个人信息范围见附录C。

即时通信App不应申请与App业务功能无关的系统权限，系统权限申请范围及使用要求见附 录D。

柴油质量标准8.1.1个人即时通信服务数据存储

8.1.2组织即时通信服务数据存储

组织即时通信服务提供者开展数据存储活动时，遵守以下要求： a）应对敏感个人信息提供安全加密存储和保护； b）宜根据组织安全需要将即时通信信息存储于服务端或云端，并采取安全措施进行保护； c）宜依据组织归档处理管理制度销毁或者存储归档组织即时通信信息

即时通信服务提供者开展数据传输活动时，应在遵守GB/T35273一2020中6.3的要求基础上，

确保通信内容仅在用户通信必要的对象间可见。

9.1.1个人即时通信服务数据展示

GB/T420122022

遵守以下要求： a）应对如登录口令等涉及账号安全的敏感个人信息采取GB/T37964中的方法进行脱敏展示， 并采取身份验证措施确保仅个人用户能够查看其个人资料； b） 应在个人用户前端页面，提供使用个人昵称、头像等属性对个人用户进行标识的功能； C. 在个人用户添加好友时，展示范围应为昵称、头像等公开信息； d）个人即时通信服务在社区场景下，宜向个人用户提供非定向展示和展示期限设置功能。

9.1.2组织即时通信服务数据展示

组织即时通信服务提供者数据展示遵守以下要求： a）.宜向组织用户提供自定义设置组织相关的对外展示字段（如名片、姓名、职位等）的功能； b 宜向组织用户提供组织架构隐藏、搜索脱敏、通讯录查阅限制、成员手机号隐藏等功能，以满足 组织自身安全需求； C) 宜向组织用户提供设置水印等保护组织数据的功能，

即时通信服务提供者开展数据加工，在好发匹配、广告推荐和资讯订阅中的内容推荐时应充许用户 自主选择，并在遵守GB/T35273一2020中7.4、7.5、7.7的要求基础上，遵守以下要求： a）“使用位置信息进行好友匹配时，应征得用户明示同意； b 进行陌生人好友匹配时，如使用用户画像应征得用户明示同意； 提供内容推荐时，宜通过不同的栏目、版块、页面分别展示； d 通过自动化决策方式向个人进行广告推送、商业营销，应当同时提供不针对其个人特征的选 项，或者向个人提供便捷的拒绝方式； 当个人用户浏览的资讯信息，向其好友推荐时，应由个人用户主动发起。

即时通信服务提供者向第三方提供数据，应在遵守GB/T35273一2020中9.1至9.5的要求基础 ，遵守以下要求。 a）·在支持用户通过授权服务开通第三方应用账号时： 1） 应提供途径供用户取消向第三方共享或转让个人信息的授权； 2 共享个人信息应以用户账号（UserIdentity，UserID）、头像、昵称等个人基本信息为主，并 征得用户单独同意； 3） 应要求第三方在获取、共享关系链时，征得用户和即时通信服务提供者的同意； 4 向第三方共享个人基本信息时，宜为用户提供修改头像、昵称途径。 b）在使用第三方SDK，将收集的数据委托给外部机构处理时

GB/T420122022

1）在隐私条款中列出相关第三方SDK； 2）集成第三方SDK前，验证第三方SDK的安全性，评估数据委托处理的风险； 3）宜与第三方SDK运营者签订协议，明确其责任、义务和安全能力。 向第三方应用共享数据时，应与第三方运营者签订协议，明确其责任、义务和安全能力。 d 因兼并、重组、破产等原因需要转移数据的，应明确数据转移方案，数据接收方应继续履行相关 数据安全保护义务。

即时通信服务提供者开展数据删除活动时，应在遵守GB/T35273一2020中8.3的要求基础上，遵 守以下要求： a）当个人用户或组织用户注销账户时，应遵守GB/T35273一2020中8.5的要求，删除信息或置 名化处理； b）对于即时通信服务组织用户，在组织成员退出组织后可删除该成员在组织中的数据，包括但不 限于组织架构内的群、权限、工作信息等

13.1个人信息查阅和更

即时通信服务提供者向用户提供个人信息查阅和更正，应在遵守GB/T35273一2020申8.1、8.2的 要求基础上，遵守以下要求： a）个人即时通信服务，应提供查阅、更正的个人信息包括头像、昵称、生日、地区、个性签名等； b）个人即时通信服务，应提供查阅、更正的敏感个人信息包括口令、通讯录等； 组织即时通信服务，应提供查阅、更正的组织成员个人信息包括工作签名、所属企业、手机号 码、座机号码、电子邮件地址、职位、职级、职务、隶属部门、传真号码、座位等。 注：组织即时通信服务涉及组织策 由组织授权的管理员根据规定进行更正

3.2个人和组织信息删

即时通信服务提供者向用户提供个人信息删除，应在遵守GB/T35273一2020中8.3的要求基础 上，遵守以下要求： a）个人即时通信服务提供删除一对一部分或全部聊天记录、群组中的聊天记录、社区展示信息以 及头像、昵称、性别、地区等基本信息的功能； b）组织即时通信服务提供删除工作签名、所属企业、手机号码、座机号码、电子邮件地址、职位、职 级、职务、隶属部门、传真号码、座位等信息的功能。

即时通信服务提供者向用户提供个人信息撤回同意，应在遵守GB/T35273—2020中8.4的要求 基础上，遵守以下要求

a）提供关闭推荐通讯录朋友的功能； b）提供关闭基于位置的好友推荐的功能； c）提供撤回向其他应用的授权的功能； d）提供撤回全部或部分向其他应用的关系链授权的功能。

14即时通信服务特殊场景

GB/T420122022

A.1即时通信服务数据处理活动

附录A （资料性） 即时通信服务数据处理活动及安全风险

即时通信服务数据处理活动及安全风险

A.2即时通信服务数据安全风险

即时通信服务数据处理活动及相关角色和服务

个人即时通信服务常见扩展业务功能收集个人信息范围 功能收集不 人信息范围见表C.1

个人即时通信服务常见扩展业务功能收集的个

GB/T42012—2022

附录D （资料性） 即时通信服务ApP相关系统权限申请范围及使用要求

D.1即时通信服务AndroidApp（Android11及以下版本）相关系统权限申请范围及 见表D.1。

设备设计图纸时通信服务AndroidApp（Android11及以下版本）相关系统权限申请范围及使用要求

信服务AndroidApp相关系统权限申请范围及使

D.2即时通信服务iOSApp(iOS14及以下版本）相关系统权限申请范围及使用要求见表D.2。

通信服务iOSApp相关系统权限申请范围及使用

GB/T 420122022

乳制品标准表D.2即时通信服务iOSApp相关系统权限申请范围及使用要求（续）