《数据安全技术 自动化工具收集网络数据技术》

1下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文2网络数据处理者使用自动化工具，对网络数据进行访问、检索、请求、解析、下载、抽取、复用于描述自动化工具拟访问或者收集的数据源路径范围的规对不应使用自动化工具访问、收集、存储、使用或者继续处理的数据源、路径模板、接口、字3人工智能模型训练与评测场景中，网络数据处理者通常通过自动化工具批量收集和整理网络文自动化工具收集网络数据活动通常包括需求提出、数据源初筛、规则核验、影响评估、风险分在组织分工方面，自动化工具收集网络数据活动通常涉及业务负责人、数据工程人员、合规人4下收集、复制、整理、存储、使用或者传播受著作权、邻接权、商业秘密、数据库相关权者语料构建时，可能因来源不明、权利状态不清、个人信息合法基础不足、质量不符合要问数据或者在境外存储、处理数据时，可能涉及不同法域的数据保护、知识产权、网络安云服务、开源库、插件、模型、接口密钥或者运行环境可能存在漏洞、恶意代码、配置缺照、数据来源元数据、版本记录或者审批记录时，可能导致问题数据难以定位、删除、隔利限制要求，不应非法侵入他人网络，不应干扰网络服务正常运行，不应违法处理网络数b）目标与范围限定原则。应在收集前书面明确收集目的、数据来源范围、路径模板、字段清5e）最小必要原则。应仅收集实现既定目的所必需的数据来源、路径、字段、内容类型和数据g）安全可靠原则。自动化工具应具备身份标识、规则解析、范围控制、速率控制、退避、熔6b）支持基于网络数据披露方公开配额、接口限额、服务条款、Re效、连接失败率升高、服务端错误升高、响应时间异常升高或者投诉信号时，自动执行降a）对个人信息、敏感个人信息、未成年人个人信息、身份鉴别信息、联系方式、精准定位信7b）对自动化工具及其依赖组件开展漏洞扫描、恶意代码检测、许可证合规检查和版本更新管8b）对拟收集数据源开展技术预核验，识别robots.txt、metarobots、X-Ro9b）评估自动化工具收集行为是否涉及个人信息、敏感个人信息、未成年人个人信息、知识产e）对用于人工智能模型训练、优化训练、评测或者语料构建的数据，审核合法来源、知识产g）组织合规培训、定期检查和审计，跟踪法律法规、监管要求和标准变化，推动内部制度更e）配合法务合规人员和数据安全人员开展审计、纠错、删除、匿名化、隔离、回溯和投诉处b）数据工程人员应形成数据源初选清单，记录数据源名称、域名、接口、路径模板、数据类d）低风险收集活动应履行备案程序，记录数据源范围、路径模板、字段清单、用途、运行参据源范围、路径模板、字段白名单、禁采控制清单、访问频率、并发数、重试次数、时间1）数据源服务条款、用户协议、开放平台协议、许可条款、隐私政策、机器可读访问偏e）网络服务影响评估。应评估拟收集活动对网络数据披露方网络服务正常运行可能造成的影视频、软件、数据库相关权益、商业秘密线索、版权管理信息、许可条件或者其他权利限试次数、单日请求量、单日下载字节数、访问时间窗、停机阈值、恢复条件、投诉响应机问频率限制、Retry-After响应要求、robots.txt或者其他机器可读访问偏好中的限4）连接和访问稳定性情况，包括连接失败率、超时率、重试率、响应注：最低等级触发情形是指虽经评分得到较低风险等级，但由于特定风险因素存在，风险等级不得低于规定下限）：c）中风险（R2级）：存在一定网络服务影响或者合规风险，应采取审批、监测和范围控制措），注：触发禁止级的，不再进入R1、R2、R3评分流程。禁止级触发范围能够限定到特定路径、字段、内容类型、用途或者处理环节的，可仅对相关范围实施禁止；触发原因覆盖整体数据源或者整体用途的，应对整体收集活a）对未触发禁止级（P级）的自动化工具收集网络数据活动，网d）网络数据处理者应将各评分因素的得分分别与其对应权重相乘，形成各评分因素的加权得g）最终风险等级不应仅依据风险评分确定。触发禁止级（metarobots、X-Robots-Tag、Sitemap、接口文档、开放平台配置、Retry-Af4）拟访问路径、资源、频率或者用途被机器可读访问偏好明确排除，但可以通过调整路权益造成重大影响，且已确认合法处理依据、特定目的、充分必要性和严格保护措施1）数据内容明确采用开放许可、属于公共领域，或者2）数据内容权利状态较清晰，拟定用途与公开许可、授权条件或者合理使用范围基本一3）数据内容权利状态不明、许可条件不清，或者可能涉及受保护内容，但可通过限定用拟收集数据是否涉及伦理敏感议题、弱势群体权益、未成年人相关场景、医疗、金融、就披露方是否提供访问配额、接口限额、速率限制、Retry-After响应3）数据规模较大，覆盖多个路径模板、多个接口、多个栏目或者多个内容类型的，赋33）请求频率、并发数或者重试次数达到中高水平，或者需要较长时间持续访问的，赋3或者可能对个人权益、市场秩序、网络数据披露方权益造成重大影响的用途的，赋51）风险评分大于或者等于0分且小于或者等于1.5分的，基础风险等级为低风险（R1），g）未触发禁止级（P级）情形的，应先根据风险评分确定基i）同一自动化工具收集网络数据活动涉及多个数据源、路径模板、字段、内容类型或者用途5）涉及个人信息、受权利限制内容、伦理敏感内容、跨境处理、第三方共享或者对外提2）涉及高权利风险内容、付费内容、强权利声明内容、商业秘密线索或者高敏感伦理场1）出现明显限流、拒绝访问、封禁、验证码频繁触发、登录跳转或者访问令牌失效等信c）应在技术层面对禁采控制清单实施阻断，包括但不限于域名、d）对已经收集但尚未完成合规复核的相关数据，应立即停止使用，并按照第13章要求采取隔封禁或者停止通知时，应立即暂停相关范围的数据收集和后续处理，保全证据，并按照第途、访问频率、并发控制、最大重试次数、访问时间窗、保存期限、异常处置措施和责任g）自动化工具收集网络数据活动结束后，应及时关闭相关任务、清理临时文件、核对数据范c）豁免不得豁免法律、行政法规、强制性国家标准、合同、许可或者权利声明中的禁止性要g）对缺失值进行补充、扩展或者推断时，应确认补充数据来源合法性，并对补充后的数据用安全事件响应等措施，保护已收集网络数据免遭篡改、破坏、泄露、非法获取或者非法利a）应识别跨境处理涉及的数据类型、数据数量、个人信息状态、是否属于重要数据、处理目b）涉及个人信息出境的，应按照国家个人信息出境管理相关要求，依法选择数据出境安全评e）涉及境外远程访问、境外存储、境外委托处理、境外共享、境外再转移或者境外公开披露a）网络数据处理者应根据数据类型、风险等级、处理目的、法律法规要求、合同或者许可要练语料快照、合规证据快照或者审计记录，可以在实现处理目的所必要的范围和期限内保f）对已删除、匿名化、隔离或者停止使用的数据，应保留处置记录。处置记录宜包括数据范），等测离成