YDT 3105-2016 電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)技術(shù)要求電子商務(wù)服務(wù)

中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)技術(shù)要求電子商務(wù)服務(wù)2016-07-11發(fā)布2016-10-01實(shí)施中華人民共和國(guó)工業(yè)和信息化部發(fā)布IYD/T3105-2016 I1范圍 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4縮略語(yǔ) 5電子商務(wù)服務(wù)分級(jí)方法 6電子商務(wù)服務(wù)用戶個(gè)人信息保護(hù)環(huán)節(jié)及用戶個(gè)人信息保護(hù)內(nèi)容 27電子商務(wù)服務(wù)用戶個(gè)人信息保護(hù)技術(shù)要求 4Ⅱ本標(biāo)準(zhǔn)是“電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)”系列標(biāo)準(zhǔn)之一，該系列標(biāo)準(zhǔn)名稱和電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)定義及分類電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)分級(jí)指南電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)技術(shù)要求移動(dòng)應(yīng)用商店電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)技術(shù)要求電子商務(wù)服務(wù)一電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)技術(shù)要求即時(shí)通信服務(wù)本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。隨著技術(shù)的發(fā)展，還將制定后續(xù)的相關(guān)標(biāo)準(zhǔn)。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的本標(biāo)準(zhǔn)由中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)提出并歸口。本標(biāo)準(zhǔn)起草單位：中國(guó)信息通信研究院、阿里巴巴通信技術(shù)(北京)有限公司、中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、中國(guó)移動(dòng)通信集團(tuán)公司、中國(guó)電信集團(tuán)公司。本標(biāo)準(zhǔn)主要起草人：李娜、顧偉、蔡曉丹、湯立波、李成、葛雨明、康彥榮、韓涵、鄭斌、于潤(rùn)東、馬錚、高楓、徐克航、王蘭芳、胡莉瓊。1電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)技術(shù)要求電子商務(wù)服務(wù)本標(biāo)準(zhǔn)規(guī)定了電子商務(wù)服務(wù)的用戶個(gè)人信息及相關(guān)權(quán)益的保護(hù)要求。本標(biāo)準(zhǔn)適用于電子商務(wù)服務(wù)。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。YD/T2781-2014電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)定義及分類YD/T2782-2014電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)分級(jí)指南3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。利用各種與公用通信網(wǎng)或互聯(lián)網(wǎng)相連的數(shù)據(jù)與交易/事務(wù)處理應(yīng)用平臺(tái)，通過(guò)公用通信網(wǎng)或互聯(lián)網(wǎng)為用戶提供在線數(shù)據(jù)處理和交易/事務(wù)處理的業(yè)務(wù)。用戶User中華人民共和國(guó)境內(nèi)用戶。通過(guò)模糊化等方法對(duì)原始數(shù)據(jù)進(jìn)行處理，達(dá)到屏蔽真實(shí)數(shù)據(jù)和結(jié)果不可逆的一種數(shù)據(jù)保4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。MACMediaAccessControl介質(zhì)訪問(wèn)控制5電子商務(wù)服務(wù)分級(jí)方法電子商務(wù)服務(wù)用戶個(gè)人信息保護(hù)分級(jí)對(duì)象為電子商務(wù)服務(wù)。本標(biāo)準(zhǔn)根據(jù)電子商務(wù)服務(wù)過(guò)程中所收集、轉(zhuǎn)移和使用的用戶個(gè)人信息涉及到的分級(jí)要素，確定電子商務(wù)服務(wù)的用戶個(gè)人信息保護(hù)級(jí)別，并提出不同級(jí)別電子商務(wù)服務(wù)的用戶個(gè)人信息保護(hù)要求。用戶個(gè)人信息的定義及分類見(jiàn)YD/T2781-2014,用戶個(gè)人信息保護(hù)分級(jí)方法和分級(jí)要素見(jiàn)YD/T26電子商務(wù)服務(wù)用戶個(gè)人信息保護(hù)環(huán)節(jié)及用戶個(gè)人信息保護(hù)內(nèi)容6.1概述與用戶個(gè)人信息相關(guān)的電子商務(wù)服務(wù)流程包括用戶注冊(cè)、登陸服務(wù)、瀏覽檢索服務(wù)、訂購(gòu)服務(wù)、快遞物流服務(wù)、支付結(jié)算服務(wù)、信用評(píng)價(jià)服務(wù)、網(wǎng)絡(luò)營(yíng)銷服務(wù)等。6.2用戶注冊(cè)、登錄服務(wù)本標(biāo)準(zhǔn)中用戶注冊(cè)服務(wù)是指為規(guī)范用戶與電子商務(wù)經(jīng)營(yíng)者之間的行為及關(guān)系，用戶與電子商務(wù)經(jīng)營(yíng)者就經(jīng)營(yíng)者所提供的商品和服務(wù)訂立協(xié)議的服務(wù)。用戶登錄服務(wù)是指供多人使用的電子商務(wù)經(jīng)營(yíng)平臺(tái)系統(tǒng)為每位用戶配置了一套獨(dú)特的用戶名和密碼，用戶可以使用各自的這套用戶名和密碼來(lái)使用系統(tǒng)，以便系統(tǒng)能識(shí)別該用戶的身份，從而保持該用戶的使用習(xí)慣或使用數(shù)據(jù)。6.2.2用戶注冊(cè)、登陸服務(wù)用戶個(gè)人信息保護(hù)內(nèi)容電子商務(wù)服務(wù)用戶注冊(cè)、登錄涉及的用戶個(gè)人信息包括： 交易類服務(wù)身份標(biāo)識(shí)和鑒權(quán)信息：如交易賬號(hào)和密碼(交易類電子商務(wù)服務(wù))、密碼保護(hù)答案等；——用戶基本資料：如姓名、證件類型及號(hào)碼、年齡、性別、職業(yè)、工作單位、地址等；——位置信息：如用戶所在的地區(qū)代碼、小區(qū)代碼等； 普通服務(wù)身份標(biāo)識(shí)和鑒權(quán)信息：如電話號(hào)碼、賬號(hào)、昵稱、登錄密碼、IP地址、郵箱地址以及服務(wù)涉及的密碼、口令、密碼保護(hù)答案等；——服務(wù)記錄和日志：如注冊(cè)服務(wù)日志等；——設(shè)備信息：如硬件型號(hào)、設(shè)備MAC地址等。6.3瀏覽檢索服務(wù)本標(biāo)準(zhǔn)中瀏覽檢索服務(wù)是指電子商務(wù)經(jīng)營(yíng)者為用戶個(gè)人提供的商品與服務(wù)信息瀏覽、查詢和匹配服務(wù)。6.3.2瀏覽檢索服務(wù)用戶個(gè)人信息保護(hù)內(nèi)容電子商務(wù)服務(wù)瀏覽檢索涉及的用戶個(gè)人信息包括：——位置信息：如用戶所在的地區(qū)代碼、小區(qū)代碼等；——普通服務(wù)身份標(biāo)識(shí)和鑒權(quán)信息：如電話號(hào)碼、賬號(hào)、昵稱、IP地址、郵箱地址等；——服務(wù)記錄和日志：如Cookie內(nèi)容、服務(wù)訪問(wèn)記錄，如網(wǎng)址、業(yè)務(wù)日志等；——設(shè)備信息：如硬件型號(hào)、設(shè)備MAC地址等。6.4訂購(gòu)服務(wù)本標(biāo)準(zhǔn)中訂購(gòu)服務(wù)主要是指直接通過(guò)互聯(lián)網(wǎng)(含移動(dòng)互聯(lián)網(wǎng))預(yù)先約定購(gòu)買商品，形成商品訂單的6.4.2訂購(gòu)服務(wù)用戶個(gè)人信息保護(hù)內(nèi)容電子商務(wù)服務(wù)訂購(gòu)服務(wù)涉及的用戶個(gè)人信息包括：——用戶基本資料：如姓名、地址、證件類型和號(hào)碼等；3——位置信息：如用戶所在的地區(qū)代碼、小區(qū)代碼等；——普通用戶身份標(biāo)識(shí)和鑒權(quán)信息：如電話號(hào)碼、賬號(hào)、昵稱、登錄密碼、IP地址、郵箱地址等； 服務(wù)內(nèi)容信息：如網(wǎng)購(gòu)訂單、物流信息等；——服務(wù)記錄和日志：如Cookie內(nèi)容、服務(wù)訪問(wèn)記錄、網(wǎng)購(gòu)記錄、聊天紀(jì)錄等；——設(shè)備信息：如硬件型號(hào)、設(shè)備MAC地址等；——消費(fèi)信息和賬單：如在網(wǎng)時(shí)間、信用等級(jí)、付費(fèi)方式、消費(fèi)金額、發(fā)票抬頭等； 通過(guò)交易平臺(tái)銷售商品或提供服務(wù)的經(jīng)營(yíng)者，使用交易平臺(tái)以外的計(jì)算機(jī)信息系統(tǒng)管理訂購(gòu)服務(wù)用戶個(gè)人信息的，適用訂購(gòu)服務(wù)用戶個(gè)人信息保護(hù)要求。6.5快遞物流服務(wù)本標(biāo)準(zhǔn)中快遞物流服務(wù)是指在承諾的時(shí)限內(nèi)將訂購(gòu)商品封裝，形成快遞包裹交由快遞物流公司的服務(wù)。6.5.2快遞物流服務(wù)用戶個(gè)人信息保護(hù)內(nèi)容電子商務(wù)服務(wù)快遞物流服務(wù)涉及的用戶個(gè)人信息包括： 用戶基本資料：如姓名、地址、證件類型和號(hào)碼等；——普通用戶身份標(biāo)識(shí)和鑒權(quán)信息：如電話號(hào)碼、賬號(hào)、昵稱等；——服務(wù)內(nèi)容信息：如快遞物品信息、物流信息等；——消費(fèi)信息和賬單：如付費(fèi)方式、賬單金額信息等。6.6支付結(jié)算服務(wù)本標(biāo)準(zhǔn)中支付結(jié)算服務(wù)是指電子商務(wù)活動(dòng)中，為單位、個(gè)人提供直接或授權(quán)他人通過(guò)電子終端發(fā)出支付指令，實(shí)現(xiàn)貨幣支付與資金轉(zhuǎn)移的服務(wù)。6.6.2支付結(jié)算服務(wù)用戶個(gè)人信息保護(hù)內(nèi)容電子商務(wù)服務(wù)支付結(jié)算服務(wù)涉及的用戶個(gè)人信息包括：——交易類服務(wù)身份標(biāo)識(shí)和鑒權(quán)信息：如交易賬號(hào)和密碼(交易類電子商務(wù)服務(wù))等；——消費(fèi)信息和賬單：如付費(fèi)方式、賬單金額信息、余額等； 業(yè)務(wù)訂購(gòu)關(guān)系：如業(yè)務(wù)訂購(gòu)信息、訂單號(hào)等。6.7信用評(píng)價(jià)服務(wù)本標(biāo)準(zhǔn)中信用評(píng)價(jià)服務(wù)是指交易平臺(tái)或社會(huì)中介機(jī)構(gòu)對(duì)經(jīng)營(yíng)者和消費(fèi)者的真實(shí)交易信用情況客觀、公正地進(jìn)行采集、記錄及披露的服務(wù)。6.7.2信用評(píng)價(jià)服務(wù)用戶個(gè)人信息保護(hù)內(nèi)容電子商務(wù)服務(wù)信用評(píng)價(jià)服務(wù)涉及的用戶個(gè)人信息包括： ——服務(wù)內(nèi)容信息：如網(wǎng)購(gòu)訂單信息等；——服務(wù)記錄和日志：如服務(wù)訪問(wèn)記錄、網(wǎng)購(gòu)記錄等； 4——業(yè)務(wù)訂購(gòu)關(guān)系：如業(yè)務(wù)訂購(gòu)信息等。6.8網(wǎng)絡(luò)營(yíng)銷服務(wù)本標(biāo)準(zhǔn)中網(wǎng)絡(luò)營(yíng)銷服務(wù)是指借助搜索引擎、電子郵件、即時(shí)通信工具、論壇、微博客、通信短信息等信息通信載體，幫助經(jīng)營(yíng)者實(shí)現(xiàn)營(yíng)銷目標(biāo)的電子商務(wù)服務(wù)。網(wǎng)絡(luò)營(yíng)銷服務(wù)涉及信息收集、信息分析及信息利用三個(gè)環(huán)節(jié)。6.8.2網(wǎng)絡(luò)營(yíng)銷服務(wù)用戶個(gè)人信息保護(hù)內(nèi)容電子商務(wù)經(jīng)營(yíng)者在網(wǎng)絡(luò)營(yíng)銷服務(wù)各個(gè)環(huán)節(jié)，可能會(huì)使用用戶個(gè)人基本資料、服務(wù)內(nèi)容信息、服務(wù)記錄、聯(lián)系人信息、社交信息、位置信息等。電子商務(wù)服務(wù)網(wǎng)絡(luò)營(yíng)銷服務(wù)用戶個(gè)人信息保護(hù)內(nèi)容包括：——用戶基本資料：如姓名、年齡、性別、喜好、消費(fèi)習(xí)慣等； 位置信息：如用戶所在的地區(qū)代碼、小區(qū)代碼等；——聯(lián)系人信息：如通訊錄、好友列表、群列表、朋友圈列表、關(guān)注對(duì)象列表等用戶資料數(shù)據(jù)；——普通用戶身份標(biāo)識(shí)和鑒權(quán)信息：如電話號(hào)碼、賬號(hào)、昵稱、IP地址、郵箱地址等； 服務(wù)內(nèi)容信息：如網(wǎng)購(gòu)訂單信息等；——服務(wù)記錄和日志：如Cookie內(nèi)容、服務(wù)訪問(wèn)記錄、網(wǎng)購(gòu)記錄等；——消費(fèi)信息和賬單：如在網(wǎng)時(shí)間、信用等級(jí)等； 業(yè)務(wù)訂購(gòu)關(guān)系：如業(yè)務(wù)訂購(gòu)信息等。7電子商務(wù)服務(wù)用戶個(gè)人信息保護(hù)技術(shù)要求7.1概述電子商務(wù)服務(wù)收集和使用用戶個(gè)人信息應(yīng)符合法律要求，保證用戶知情權(quán)、選擇權(quán)，并承擔(dān)用戶個(gè)人信息的保護(hù)責(zé)任。電子商務(wù)服務(wù)提供方應(yīng)按照相應(yīng)級(jí)別的管理要求及保護(hù)技術(shù)要求對(duì)其提供服務(wù)過(guò)程中涉及的用戶個(gè)人信息的收集、存儲(chǔ)、轉(zhuǎn)移、使用和銷毀等工作流程進(jìn)行規(guī)范化管理。隸屬于同一實(shí)體或被同一實(shí)體所控制的電子商務(wù)經(jīng)營(yíng)者之間的內(nèi)部個(gè)人信息交互活動(dòng)，不屬于個(gè)人信息的轉(zhuǎn)移，有對(duì)外使用用戶個(gè)人信息行為的，參照用戶個(gè)人信息的使用要求。電子商務(wù)經(jīng)營(yíng)者向關(guān)聯(lián)機(jī)構(gòu)或其他受信任的商家或個(gè)人提供用戶個(gè)人信息，應(yīng)當(dāng)要求關(guān)聯(lián)機(jī)構(gòu)或其他受信任的商家或個(gè)人，遵守電子商務(wù)經(jīng)營(yíng)者的隱私權(quán)政策以及其他任何與用戶的約定。本標(biāo)準(zhǔn)對(duì)于電子商務(wù)服務(wù)的用戶個(gè)人信息保護(hù)技術(shù)要求，遵循同級(jí)別的不同類型服務(wù)應(yīng)當(dāng)承擔(dān)同等程度的用戶個(gè)人信息保護(hù)要求的原則。電子商務(wù)服務(wù)提供方應(yīng)按照本標(biāo)準(zhǔn)中規(guī)定的1～5級(jí)的用戶個(gè)人信息保護(hù)技術(shù)要求，對(duì)其提供的服務(wù)脫敏后的數(shù)據(jù)不屬于用戶個(gè)人信息，不在本標(biāo)準(zhǔn)的保護(hù)范圍內(nèi)。7.2第5級(jí)電子商務(wù)服務(wù)用戶個(gè)人信息保護(hù)要求7.2.1用戶注冊(cè)、登錄服務(wù)用戶個(gè)人信息保護(hù)要求用戶注冊(cè)、登錄服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)用戶身份證明、交易類身份和鑒權(quán)信息的保護(hù)要求：5——用戶身份證明、交易類身份和鑒權(quán)信息的收集應(yīng)當(dāng)有充分的必要性；——用戶身份證明、交易類身份和鑒權(quán)信息應(yīng)保存在境內(nèi)服務(wù)器，用戶在境外使用注冊(cè)、登陸、訂購(gòu)服務(wù)等服務(wù)的，除必要的驗(yàn)證、展示以及直接交易雙方信息交互外，用戶身份證明、交易類身份和鑒——收集、轉(zhuǎn)移和使用應(yīng)征得用戶同意，非經(jīng)用戶同意，使用范圍不得擴(kuò)大，和轉(zhuǎn)移的第三方之間應(yīng)有書面協(xié)議，在信息的存儲(chǔ)以及收集和轉(zhuǎn)移的傳輸過(guò)程應(yīng)使用高強(qiáng)度的加密措施，保障數(shù)據(jù)的機(jī)密性——應(yīng)定義嚴(yán)格的個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安全管理規(guī)范； 應(yīng)采取嚴(yán)格的訪問(wèn)控制措施，設(shè)置專人負(fù)責(zé)的內(nèi)部數(shù)據(jù)審批流程及制度；——對(duì)信息的使用宜進(jìn)行監(jiān)控及預(yù)警，確保身份證明、交易賬號(hào)及密碼信息的不外傳、不泄露。b)用戶基本資料、位置信息的保護(hù)要求： 用戶基本資料、位置信息的收集和轉(zhuǎn)移應(yīng)征得用戶同意；——在信息的收集和轉(zhuǎn)移的傳輸過(guò)程應(yīng)采取必要的加密措施，保障數(shù)據(jù)的機(jī)密性和完整性； 應(yīng)定義嚴(yán)格的個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安全管理規(guī)范；——應(yīng)采取嚴(yán)格的訪問(wèn)控制措施，設(shè)置專人負(fù)責(zé)的內(nèi)部數(shù)據(jù)審批流程及制度；——對(duì)信息的使用宜進(jìn)行監(jiān)控及預(yù)警。c)普通服務(wù)身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)記錄和日志及設(shè)備信息的保護(hù)要求：——收集和轉(zhuǎn)移，應(yīng)征得用戶同意；——應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安 應(yīng)采取必要的訪問(wèn)控制措施。用戶個(gè)人在接受用戶注冊(cè)服務(wù)時(shí)，應(yīng)當(dāng)提交與本人直接相關(guān)的用戶個(gè)人信息，禁止使用他人個(gè)人信息接受用戶注冊(cè)服務(wù)，禁止以要約高價(jià)出售、出租或者以其他方式轉(zhuǎn)讓該注冊(cè)賬戶獲取不正當(dāng)利益的目的接受用戶注冊(cè)服務(wù)。瀏覽檢索服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)用戶基本資料、位置信息的保護(hù)要求：——用戶基本資料、位置信息的收集和轉(zhuǎn)移應(yīng)征得用戶同意；——在信息的收集和轉(zhuǎn)移的傳輸過(guò)程應(yīng)采取必要的加密措施，保障數(shù)據(jù)的機(jī)密性和完整性；——應(yīng)定義嚴(yán)格的個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安全管理規(guī)范； 應(yīng)采取嚴(yán)格的訪問(wèn)控制措施，設(shè)置專人負(fù)責(zé)的內(nèi)部數(shù)據(jù)審批流程及制度；——對(duì)信息的使用宜進(jìn)行監(jiān)控及預(yù)警。b)普通用戶身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)內(nèi)容信息、服務(wù)記錄和日志、設(shè)備信息的保護(hù)要求： 收集和轉(zhuǎn)移，應(yīng)征得用戶同意；6——應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安 應(yīng)采取必要的訪問(wèn)控制措施。c)消費(fèi)信息和賬單的保護(hù)要求： 應(yīng)采取必要的訪問(wèn)控制措施。d)業(yè)務(wù)訂購(gòu)關(guān)系的保護(hù)要求： 訂購(gòu)服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)用戶基本資料、位置信息的保護(hù)要求：——用戶基本資料、位置信息的收集和轉(zhuǎn)移應(yīng)征得用戶同意；——在信息的收集和轉(zhuǎn)移的傳輸過(guò)程應(yīng)采取必要的加密措施，保障數(shù)據(jù)的機(jī)密性和完整性；——應(yīng)定義嚴(yán)格的個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安全管理規(guī)范；——應(yīng)采取嚴(yán)格的訪問(wèn)控制措施，設(shè)置專人負(fù)責(zé)的內(nèi)部數(shù)據(jù)審批流程及制度；——對(duì)信息的使用宜進(jìn)行監(jiān)控及預(yù)警。b)普通用戶身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)內(nèi)容信息、服務(wù)記錄和日志、設(shè)備信息的保護(hù)要求：——收集和轉(zhuǎn)移，應(yīng)征得用戶同意；——應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安 應(yīng)采取必要的訪問(wèn)控制措施。c)消費(fèi)信息和賬單的保護(hù)要求：——應(yīng)采取必要的訪問(wèn)控制措施。d)業(yè)務(wù)訂購(gòu)關(guān)系的保護(hù)要求： 采取必要的訪問(wèn)控制措施。7.2.4快遞物流服務(wù)用戶個(gè)人信息保護(hù)要求快遞物流服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)用戶基本資料的保護(hù)要求：——用戶基本資料的收集和轉(zhuǎn)移應(yīng)征得用戶同意；——在信息的收集和轉(zhuǎn)移的傳輸過(guò)程應(yīng)采取必要的加密措施，保障數(shù)據(jù)的機(jī)密性和完整性；——應(yīng)定義嚴(yán)格的個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安全管理規(guī)范；——應(yīng)采取嚴(yán)格的訪問(wèn)控制措施，設(shè)置專人負(fù)責(zé)的內(nèi)部數(shù)據(jù)審批流程及制度；——對(duì)信息的使用宜進(jìn)行監(jiān)控及預(yù)警。b)普通用戶身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)內(nèi)容信息的保護(hù)要求：7 收集和轉(zhuǎn)移，應(yīng)征得用戶同意； 應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安 c)消費(fèi)信息和賬單的保護(hù)要求：——轉(zhuǎn)移信息時(shí)應(yīng)征得用戶同意； 應(yīng)采取必要的訪問(wèn)控制措施。7.2.5支付結(jié)算服務(wù)用戶個(gè)人信息保護(hù)要求支付結(jié)算服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)交易類身份和鑒權(quán)信息的保護(hù)要求：——交易類身份和鑒權(quán)信息的收集應(yīng)當(dāng)有充分的必要性；——交易類身份和鑒權(quán)信息應(yīng)保存在境內(nèi)服務(wù)器，用戶在境外使用注冊(cè)、登陸、訂購(gòu)等服務(wù)的，除必要的驗(yàn)證、展示以及直接交易雙方之間信息交互外，用戶身份證明、交易類身份和鑒權(quán)信息也應(yīng)存儲(chǔ)——收集、轉(zhuǎn)移和使用應(yīng)征得用戶同意，非經(jīng)用戶同意，使用范圍不得擴(kuò)大，和轉(zhuǎn)移的第三方之間應(yīng)有書面協(xié)議，在信息的存儲(chǔ)以及收集和轉(zhuǎn)移的傳輸過(guò)程應(yīng)使用高強(qiáng)度的加密措施，保障數(shù)據(jù)的機(jī)密性 應(yīng)定義嚴(yán)格的個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安全管理規(guī)范； 應(yīng)采取嚴(yán)格的訪問(wèn)控制措施，設(shè)置專人負(fù)責(zé)的內(nèi)部數(shù)據(jù)審批流程及制度；——對(duì)信息的使用宜進(jìn)行監(jiān)控及預(yù)警，確保身份證明、交易賬號(hào)及密碼信息的不外傳、不泄露；——支付結(jié)算過(guò)程中，電子商務(wù)服務(wù)提供者不得記錄用戶交易類鑒權(quán)信息，不得向第三方泄露用戶交易類身份標(biāo)識(shí)、交易記錄等用戶個(gè)人信息。b)消費(fèi)信息和賬單的保護(hù)要求： 應(yīng)采取必要的訪問(wèn)控制措施。c)業(yè)務(wù)訂購(gòu)關(guān)系的保護(hù)要求： 應(yīng)采取必要的訪問(wèn)控制措施。7.2.6信用評(píng)價(jià)服務(wù)用戶個(gè)人信息保護(hù)要求信用評(píng)價(jià)服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)普通服務(wù)身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)內(nèi)容信息、服務(wù)記錄和日志的保護(hù)要求： 收集和轉(zhuǎn)移，應(yīng)征得用戶同意； 應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安 b)消費(fèi)信息和賬單的保護(hù)要求： 轉(zhuǎn)移信息時(shí)應(yīng)征得用戶同意；8 應(yīng)采取必要的訪問(wèn)控制措施。c)業(yè)務(wù)訂購(gòu)關(guān)系的保護(hù)要求： 應(yīng)采取必要的訪問(wèn)控制措施。7.2.7網(wǎng)絡(luò)營(yíng)銷服務(wù)用戶個(gè)人信息保護(hù)要求網(wǎng)絡(luò)營(yíng)銷服務(wù)不應(yīng)當(dāng)涉及用戶身份證明、生理標(biāo)識(shí)、交易類服務(wù)鑒權(quán)信息、用戶私有資料數(shù)據(jù)。網(wǎng)絡(luò)營(yíng)銷服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)用戶基本資料、位置信息、聯(lián)系人信息的保護(hù)要求： 信息的收集和轉(zhuǎn)移應(yīng)征得用戶同意； 在信息的收集和轉(zhuǎn)移的傳輸過(guò)程應(yīng)采取必要的加密措施，保障數(shù)據(jù)的機(jī)密性和完整性； 應(yīng)定義嚴(yán)格的個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安全管理規(guī)范；——應(yīng)采取嚴(yán)格的訪問(wèn)控制措施，設(shè)置專人負(fù)責(zé)的內(nèi)部數(shù)據(jù)審批流程及制度； 對(duì)信息的使用宜進(jìn)行監(jiān)控及預(yù)警。b)普通服務(wù)身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)內(nèi)容信息、服務(wù)記錄和日志的保護(hù)要求： 應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安 c)消費(fèi)信息和賬單的保護(hù)要求： 轉(zhuǎn)移信息時(shí)應(yīng)征得用戶同意 應(yīng)采取必要的訪問(wèn)控制措施。d)業(yè)務(wù)訂購(gòu)關(guān)系的保護(hù)要求： 7.3第4級(jí)電子商務(wù)服務(wù)用戶個(gè)人信息保護(hù)要求7.3.1用戶注冊(cè)、登錄服務(wù)用戶個(gè)人信息保護(hù)要求用戶注冊(cè)、登錄服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)用戶基本資料、位置信息的保護(hù)要求： 用戶基本資料、位置信息的收集和轉(zhuǎn)移應(yīng)征得用戶同意； 在信息的收集和轉(zhuǎn)移的傳輸過(guò)程應(yīng)采取必要的加密措施，保障數(shù)據(jù)的機(jī)密性和完整性； 應(yīng)定義嚴(yán)格的個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安全管理規(guī)范； 應(yīng)采取嚴(yán)格的訪問(wèn)控制措施，設(shè)置專人負(fù)責(zé)的內(nèi)部數(shù)據(jù)審批流程及制度 對(duì)信息的使用宜進(jìn)行監(jiān)控及預(yù)警。b)普通服務(wù)身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)記錄和日志及設(shè)備信息的保護(hù)要求： 應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安9 用戶個(gè)人在接受用戶注冊(cè)服務(wù)時(shí)，應(yīng)當(dāng)提交與本人直接相關(guān)的用戶個(gè)人信息，禁止使用他人個(gè)人信息接受用戶注冊(cè)服務(wù)，禁止以要約高價(jià)出售、出租或者以其他方式轉(zhuǎn)讓該注冊(cè)賬戶獲取不正當(dāng)利益的目的接受用戶注冊(cè)服務(wù)。7.3.2瀏覽檢索服務(wù)用戶個(gè)人信息保護(hù)要求瀏覽檢索服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)用戶基本資料、位置信息的保護(hù)要求： 用戶基本資料、位置信息的收集和轉(zhuǎn)移應(yīng)征得用戶同意；——在信息的收集和轉(zhuǎn)移的傳輸過(guò)程應(yīng)采取必要的加密措施，保障數(shù)據(jù)的機(jī)密性和完整性；——應(yīng)定義嚴(yán)格的個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安全管理規(guī)范；——應(yīng)采取嚴(yán)格的訪問(wèn)控制措施，設(shè)置專人負(fù)責(zé)的內(nèi)部數(shù)據(jù)審批流程及制度； 對(duì)信息的使用宜進(jìn)行監(jiān)控及預(yù)警。b)普通用戶身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)內(nèi)容信息、服務(wù)記錄和日志、設(shè)備信息的保護(hù)要求： 收集和轉(zhuǎn)移，應(yīng)征得用戶同意；——應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安 應(yīng)采取必要的訪問(wèn)控制措施。c)消費(fèi)信息和賬單的保護(hù)要求：——轉(zhuǎn)移信息時(shí)應(yīng)征得用戶同意； 應(yīng)采取必要的訪問(wèn)控制措施。d)業(yè)務(wù)訂購(gòu)關(guān)系的保護(hù)要求： 應(yīng)采取必要的訪問(wèn)控制措施。7.3.3訂購(gòu)服務(wù)用戶個(gè)人信息保護(hù)要求訂購(gòu)服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)用戶基本資料、位置信息的保護(hù)要求：——用戶基本資料、位置信息的收集和轉(zhuǎn)移應(yīng)征得用戶同意； 在信息的收集和轉(zhuǎn)移的傳輸過(guò)程應(yīng)采取必要的加密措施，保障數(shù)據(jù)的機(jī)密性和完整性；——應(yīng)定義嚴(yán)格的個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安全管理規(guī)范； 應(yīng)采取嚴(yán)格的訪問(wèn)控制措施，設(shè)置專人負(fù)責(zé)的內(nèi)部數(shù)據(jù)審批流程及制度 b)普通用戶身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)內(nèi)容信息、服務(wù)記錄和日志、設(shè)備信息的保護(hù)要求： 收集和轉(zhuǎn)移，應(yīng)征得用戶同意；——應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安 應(yīng)采取必要的訪問(wèn)控制措施。c)消費(fèi)信息和賬單的保護(hù)要求：——轉(zhuǎn)移信息時(shí)應(yīng)征得用戶同意； 應(yīng)采取必要的訪問(wèn)控制措施。d)業(yè)務(wù)訂購(gòu)關(guān)系的保護(hù)要求： 應(yīng)采取必要的訪問(wèn)控制措施。7.3.4快遞物流服務(wù)用戶個(gè)人信息保護(hù)要求快遞物流服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)用戶基本資料的保護(hù)要求：——用戶基本資料、位置信息的收集和轉(zhuǎn)移應(yīng)征得用戶同意； 在信息的收集和轉(zhuǎn)移的傳輸過(guò)程應(yīng)采取必要的加密措施，保障數(shù)據(jù)的機(jī)密性和完整性； 應(yīng)定義嚴(yán)格的個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安全管理規(guī)范；——應(yīng)采取嚴(yán)格的訪問(wèn)控制措施，設(shè)置專人負(fù)責(zé)的內(nèi)部數(shù)據(jù)審批流程及制度； 對(duì)信息的使用宜進(jìn)行監(jiān)控及預(yù)警。b)普通用戶身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)內(nèi)容信息的保護(hù)要求： ——應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安 應(yīng)采取必要的訪問(wèn)控制措施。c)消費(fèi)信息和賬單的保護(hù)要求： 應(yīng)采取必要的訪問(wèn)控制措施。7.3.5支付結(jié)算服務(wù)用戶個(gè)人信息保護(hù)要求支付結(jié)算服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)消費(fèi)信息和賬單的保護(hù)要求： 應(yīng)采取必要的訪問(wèn)控制措施。b)業(yè)務(wù)訂購(gòu)關(guān)系的保護(hù)要求： 7.3.6信用評(píng)價(jià)服務(wù)用戶個(gè)人信息保護(hù)要求信用評(píng)價(jià)服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)普通服務(wù)身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)內(nèi)容信息、服務(wù)記錄和日志的保護(hù)要求： 收集和轉(zhuǎn)移，應(yīng)征得用戶同意；——應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安 應(yīng)采取必要的訪問(wèn)控制措施。b)消費(fèi)信息和賬單的保護(hù)要求： 轉(zhuǎn)移信息時(shí)應(yīng)征得用戶同意； 應(yīng)采取必要的訪問(wèn)控制措施。c)業(yè)務(wù)訂購(gòu)關(guān)系的保護(hù)要求： 7.3.7網(wǎng)絡(luò)營(yíng)銷服務(wù)用戶個(gè)人信息保護(hù)要求網(wǎng)絡(luò)營(yíng)銷服務(wù)不應(yīng)當(dāng)涉及用戶身份證明、生理標(biāo)識(shí)、交易類服務(wù)鑒權(quán)信息、用戶私有資料數(shù)據(jù)。網(wǎng)絡(luò)營(yíng)銷服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)用戶基本資料、位置信息、聯(lián)系人信息的保護(hù)要求： 用戶基本資料、位置信息的收集和轉(zhuǎn)移應(yīng)征得用戶同意，——在信息的收集和轉(zhuǎn)移的傳輸過(guò)程應(yīng)采取必要的加密措施，保障數(shù)據(jù)的機(jī)密性和完整性； 應(yīng)定義嚴(yán)格的個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安全管理規(guī)范； 應(yīng)采取嚴(yán)格的訪問(wèn)控制措施，設(shè)置專人負(fù)責(zé)的內(nèi)部數(shù)據(jù)審批流程及制度 b)普通服務(wù)身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)內(nèi)容信息、服務(wù)記錄和日志的保護(hù)要求： 收集和轉(zhuǎn)移，應(yīng)征得用戶同意； 應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安 c)消費(fèi)信息和賬單的保護(hù)要求： 應(yīng)采取必要的訪問(wèn)控制措施。d)業(yè)務(wù)訂購(gòu)關(guān)系的保護(hù)要求； 7.4第3級(jí)電子商務(wù)服務(wù)用戶個(gè)人信息保護(hù)要求7.4.1用戶注冊(cè)、登錄服務(wù)用戶個(gè)人信息保護(hù)要求用戶注冊(cè)、登錄服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)普通服務(wù)身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)記錄和日志及設(shè)備信息的保護(hù)要求： 收集和轉(zhuǎn)移，應(yīng)征得用戶同意； 應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安 應(yīng)采取必要的訪問(wèn)控制措施。用戶個(gè)人在接受用戶注冊(cè)服務(wù)時(shí)，應(yīng)當(dāng)提交與本人直接相關(guān)的用戶個(gè)人信息，禁止使用他人個(gè)人信息接受用戶注冊(cè)服務(wù)，禁止以要約高價(jià)出售、出租或者以其他方式轉(zhuǎn)讓該注冊(cè)賬戶獲取不正當(dāng)利益的目的接受用戶注冊(cè)服務(wù)。7.4.2瀏覽檢索服務(wù)用戶個(gè)人信息保護(hù)要求瀏覽檢索服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)普通用戶身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)內(nèi)容信息、服務(wù)記錄和日志、設(shè)備信息的保護(hù)要求： 應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安 應(yīng)采取必要的訪問(wèn)控制措施。b)消費(fèi)信息和賬單的保護(hù)要求： 轉(zhuǎn)移信息時(shí)應(yīng)征得用戶同意； 應(yīng)采取必要的訪問(wèn)控制措施。c)業(yè)務(wù)訂購(gòu)關(guān)系的保護(hù)要求： 應(yīng)采取必要的訪問(wèn)控制措施。7.4.3訂購(gòu)服務(wù)用戶個(gè)人信息保護(hù)要求訂購(gòu)服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)普通用戶身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)內(nèi)容信息、服務(wù)記錄和日志、設(shè)備信息的保護(hù)要求： 收集和轉(zhuǎn)移，應(yīng)征得用戶同意； 應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安 應(yīng)采取必要的訪問(wèn)控制措施。b)消費(fèi)信息和賬單的保護(hù)要求： 轉(zhuǎn)移信息時(shí)應(yīng)征得用戶同意； 應(yīng)采取必要的訪問(wèn)控制措施。c)業(yè)務(wù)訂購(gòu)關(guān)系的保護(hù)要求： 應(yīng)采取必要的訪問(wèn)控制措施。7.4.4快遞物流服務(wù)用戶個(gè)人信息保護(hù)要求快遞物流服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)普通用戶身份標(biāo)識(shí)和鑒權(quán)信息、服務(wù)內(nèi)容信息的保護(hù)要求： 收集和轉(zhuǎn)移，應(yīng)征得用戶同意； 應(yīng)定義個(gè)人信息各生命周期(包括信息收集、生成、存儲(chǔ)、使用、傳輸、銷毀等各個(gè)環(huán)節(jié))安 應(yīng)采取必要的訪問(wèn)控制措施。b)消費(fèi)信息和賬單的保護(hù)要求： 應(yīng)采取必要的訪問(wèn)控制措施。7.4.5支付結(jié)算服務(wù)用戶個(gè)人信息保護(hù)要求支付結(jié)算服務(wù)用戶個(gè)人信息保護(hù)要求包括：a)消費(fèi)信息和賬單的保護(hù)要求： 應(yīng)采取必要的訪問(wèn)控制措施。b)業(yè)務(wù)訂購(gòu)關(guān)系的保護(hù)要求： 應(yīng)采取必要的訪問(wèn)控制措施。7.4.6信用評(píng)價(jià)服務(wù)用戶個(gè)人信息保護(hù)要求信用評(píng)價(jià)服務(wù)用戶個(gè)人信息保護(hù)要求