煉石圖解《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》 及數(shù)據(jù)安全合規(guī)與技術(shù)體系V1.0.0 -部分2

安全保護(hù)身份證件信息(如證件圖片、證件號(hào)碼等)真實(shí)姓名收件用戶身份證件號(hào)碼、身份證件復(fù)印件(二選一)收款人姓名收款人銀行信息(銀行卡號(hào)、開戶行等)返款時(shí)間告知個(gè)人同意為前提收集個(gè)人信息一、概述申請(qǐng)系統(tǒng)權(quán)限一、概述申請(qǐng)系統(tǒng)權(quán)限快遞物流服務(wù)提供者收集個(gè)人信息告知同意應(yīng)在滿足快遞物流服務(wù)提供者收集個(gè)人信息告知同意應(yīng)在滿足GB/T35273-2020中5.4、5.5、5.6的要求基礎(chǔ)上，遵守以下要求：快遞物流App不應(yīng)申請(qǐng)與App業(yè)務(wù)功能無(wú)關(guān)的系統(tǒng)權(quán)限，系統(tǒng)權(quán)限申請(qǐng)范圍及使用要求見(jiàn)附快遞物流App不應(yīng)申請(qǐng)與App業(yè)務(wù)功能無(wú)關(guān)的系統(tǒng)權(quán)限，系統(tǒng)權(quán)限申請(qǐng)范圍及使用要求見(jiàn)附錄D。安全保護(hù)b)用戶進(jìn)行寄遞服務(wù)實(shí)名認(rèn)證時(shí)，提供者應(yīng)向用戶明示依據(jù)的法律法規(guī)具體規(guī)定，并且所收集的個(gè)人信息應(yīng)僅用于完成實(shí)名認(rèn)證目的。僅用于實(shí)名認(rèn)證、掃碼寄件/查件、寄件托寄物拍照點(diǎn)導(dǎo)航、寄件地址快捷選僅用于實(shí)名認(rèn)證、掃碼寄件/查件、寄件托寄物拍照點(diǎn)導(dǎo)航、寄件地址快捷選填僅用于識(shí)別圖片中的收寄件信息、上傳用戶選擇的托寄物照片、增值服務(wù)簽單照片，以及實(shí)現(xiàn)運(yùn)單電子存根圖片保存到本地、運(yùn)單發(fā)票保存到本地功能圖片保存到本地，運(yùn)單發(fā)票保存到本地功能安全保護(hù)僅用于識(shí)別圖片中的收寄件信息、上傳用戶選擇的托寄物照片、增值服務(wù)簽單照片僅用于查看附近的服務(wù)點(diǎn)僅用于確定最近的服務(wù)點(diǎn)和服務(wù)點(diǎn)導(dǎo)航、寄件地址CAMERA相機(jī)僅用于實(shí)名認(rèn)證、掃碼寄件/查件、寄件托寄物拍照安全保護(hù)加密措施安全措施安全措施驗(yàn)證碼加密匿名化應(yīng)對(duì)智能服務(wù)終端采集的個(gè)人信息進(jìn)離線存儲(chǔ)失效失效設(shè)備資產(chǎn)列表效設(shè)備資產(chǎn)列表，并對(duì)失效設(shè)備存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)進(jìn)行刪除。安全保護(hù)信息,應(yīng)在傳輸前進(jìn)行數(shù)據(jù)加密，并使用應(yīng)在滿足應(yīng)在滿足GB/T35273-2020中7.2要求的基礎(chǔ)上，遵守a戶個(gè)人身份信息、地址、電話號(hào)碼等進(jìn)行去標(biāo)識(shí)標(biāo)識(shí)化處理的信息時(shí)，應(yīng)在展示界面中采用數(shù)字水印技術(shù)。a)應(yīng)對(duì)快遞運(yùn)單中的用戶姓名、電話號(hào)碼進(jìn)行去標(biāo)識(shí)化處理；在不影響寄遞業(yè)務(wù)開展的情況下,宜對(duì)地址進(jìn)行去標(biāo)識(shí)化處理。c)收派移動(dòng)作業(yè)終端上安裝的收派業(yè)務(wù)App,應(yīng)僅展示由其攬件或安全保護(hù)未完下頁(yè)安全保護(hù)快遞物流服務(wù)提供者對(duì)用戶個(gè)人信息的訪問(wèn)控制安全保護(hù)系統(tǒng)外呼功能f)f)應(yīng)通過(guò)系統(tǒng)外呼等功能，降低內(nèi)部人員對(duì)用戶電話號(hào)碼的訪問(wèn)范圍及訪問(wèn)頻率。注3:即采用系統(tǒng)外呼功能，代替通過(guò)查詢用戶明文電話號(hào)碼后手動(dòng)輸人用戶電話號(hào)碼聯(lián)系用戶的方式，實(shí)現(xiàn)客服、入駐收派智能服務(wù)終端支持的功能h)h)提供者自有智能服務(wù)終端應(yīng)支持遠(yuǎn)程設(shè)備鎖屏、遠(yuǎn)程數(shù)據(jù)擦除、后臺(tái)強(qiáng)制退出登端口管控、物理設(shè)備鎖g)g)應(yīng)采取端口管控、物理設(shè)備鎖等防撬起措施，防止攻擊者通過(guò)設(shè)備端口(包括USB端口、藍(lán)牙等)或拆除智能服務(wù)終端后訪問(wèn)存儲(chǔ)模塊，提取設(shè)備上的數(shù)據(jù)。遠(yuǎn)程擦除本地業(yè)務(wù)數(shù)據(jù)遠(yuǎn)程擦除本地業(yè)務(wù)數(shù)據(jù),宜支持遠(yuǎn)程擦除本地業(yè)務(wù)數(shù)據(jù)功能。一、概述二、基本要求三、數(shù)據(jù)收集五、數(shù)據(jù)使用和加六、數(shù)據(jù)提供和公七、數(shù)據(jù)刪除八、數(shù)據(jù)出境九、個(gè)人信息主體權(quán)利寄件用戶收件用戶第三方個(gè)人用戶原寄地、目的地√√×寄件用戶、收件用戶公司名稱√√×寄件用戶、收件用戶姓名√√×寄件用戶、收件用戶聯(lián)系方式(電話號(hào)碼)√√×寄件地址、收件地址√√×寄遞物品及費(fèi)用寄遞物品內(nèi)容√√×金額、運(yùn)費(fèi)、特殊操作費(fèi)用、部分增值服務(wù)費(fèi)用√付款方時(shí)可查詢)X計(jì)費(fèi)重量、實(shí)際重量、√√√輸輸工開 寄件用戶收件用戶第三方個(gè)人用戶件位置、派送狀態(tài)等)√V√時(shí)間(寄件時(shí)間、預(yù)計(jì)上門派送時(shí)間、快件承諾時(shí)效、到達(dá)網(wǎng)點(diǎn)時(shí)間等)√√√時(shí)效類型√√√車等)√√√√√是否本人簽收，不告知具體簽收人)問(wèn)題件跟進(jìn)記錄√√問(wèn)題件跟進(jìn)進(jìn)度)注1:第三方個(gè)人用戶是指除寄件用戶、收件用戶以外件用戶"“收件用戶”查詢，但不可被“第三方個(gè)人輸工開寄件用戶收件用戶第三方個(gè)人用戶運(yùn)單號(hào)引導(dǎo)至各查詢端(例如官方App或小程序等)自助查詢，或由用戶提雙方城市名、電話號(hào)碼、聯(lián)系人進(jìn)行驗(yàn)證，若引導(dǎo)用戶提供收寄雙方電話號(hào)碼、城市名、聯(lián)系人進(jìn)行身份校驗(yàn)后提供，若用戶無(wú)法提供或提供錯(cuò)誤則原寄地、目的地用戶提供單號(hào)后四位進(jìn)行驗(yàn)證后告知×寄件用戶、收件用戶公司名稱寄件用戶、收件用戶姓名×寄件用戶、收件用戶聯(lián)系方式(電話號(hào)碼)寄件地址、收件地址寄遞物品及費(fèi)用寄遞物品內(nèi)容√√X收金額、運(yùn)費(fèi)、特殊操作費(fèi)用、部分增值服務(wù)費(fèi)用√戶為付款方時(shí)可查看)X計(jì)費(fèi)重量、實(shí)際重量、√√輸工開 寄件用戶收件用戶第三方個(gè)人用戶快件位置、派送狀態(tài)√√時(shí)間(寄件時(shí)間、預(yù)計(jì)上門派送時(shí)間、快件承諾時(shí)效、到達(dá)網(wǎng)點(diǎn)時(shí)間等)√√時(shí)效類型√√運(yùn)輸方式(如飛機(jī)、火車等)√√√√否本人簽收，不告知具體簽收人。(需先完成運(yùn)單號(hào)查詢)問(wèn)題件跟進(jìn)記錄√√有條件提供：僅告知與其相關(guān)的問(wèn)注1:第三方個(gè)人用戶是指除寄件用戶、收件用戶以外快遞物流服務(wù)提供者數(shù)據(jù)導(dǎo)出的要求注注1:涉及數(shù)據(jù)導(dǎo)出操作的業(yè)務(wù)場(chǎng)景通常限于財(cái)務(wù)對(duì)賬等。三、數(shù)據(jù)收集四、數(shù)據(jù)存儲(chǔ)和傳三、數(shù)據(jù)收集四、數(shù)據(jù)存儲(chǔ)和傳輸五、數(shù)據(jù)使用和加工六、數(shù)據(jù)提供和公開七、數(shù)據(jù)刪除八、數(shù)據(jù)出境權(quán)限管控a)應(yīng)對(duì)數(shù)據(jù)導(dǎo)出操作權(quán)限進(jìn)行管控,確保業(yè)務(wù)場(chǎng)景設(shè)置數(shù)據(jù)導(dǎo)出權(quán)限1身份驗(yàn)證b)對(duì)于通過(guò)線上系統(tǒng)導(dǎo)出用戶個(gè)人身份信息、電話號(hào)碼、地址等的操作，在內(nèi)部人員登錄時(shí)，應(yīng)采用雙因素認(rèn)證或OTP(或同級(jí)別的認(rèn)證)進(jìn)行身份校驗(yàn),或使用不同于登錄的驗(yàn)證方2O敏感數(shù)據(jù)管控并監(jiān)控c)應(yīng)對(duì)敏感數(shù)據(jù)外發(fā)權(quán)限進(jìn)行管控，并對(duì)敏感數(shù)據(jù)的外發(fā)操作進(jìn)行監(jiān)控，必要時(shí)進(jìn)行阻斷。3權(quán)利注注1:如限制電子郵件外發(fā)權(quán)限，USB寫權(quán)限、終端共享權(quán)限等數(shù)據(jù)外發(fā)權(quán)限，限制涉及數(shù)據(jù)上傳權(quán)限的應(yīng)用軟件和網(wǎng)站，以及通過(guò)終端和網(wǎng)絡(luò)數(shù)據(jù)防泄密工具，實(shí)時(shí)監(jiān)控內(nèi)部人員外發(fā)敏感數(shù)據(jù)的行為，對(duì)疑似違規(guī)外發(fā)敏感數(shù)據(jù)的行為及時(shí)阻斷等。332典型業(yè)務(wù)場(chǎng)景數(shù)據(jù)利用個(gè)人信息和個(gè)性化推送算法應(yīng)滿足合規(guī)要求安全保護(hù)個(gè)性化推薦功能個(gè)性化推薦功能b)提供易于理解、便于訪問(wèn)和操作的一鍵關(guān)閉個(gè)性化推薦、拒絕接受定向推送信息，以及重置、修改、調(diào)整針對(duì)其個(gè)人特征的定向推送參數(shù)的功能。c)提供刪除定向推送信息服務(wù)過(guò)程中收集和產(chǎn)生的個(gè)人信息的功能,法律、行政法規(guī)另有規(guī)定或者與用戶另有約定的除外。煉石去標(biāo)識(shí)化處理一、概述二、基本要求四、數(shù)據(jù)存儲(chǔ)和傳輸五、數(shù)據(jù)使用和加二、基本要求四、數(shù)據(jù)存儲(chǔ)和傳輸五、數(shù)據(jù)使用和加工六、數(shù)據(jù)提供和公開七、數(shù)據(jù)刪除八、數(shù)據(jù)出境快遞物流服務(wù)提供者公開數(shù)據(jù)和向第三方提供數(shù)據(jù)的要求應(yīng)在滿足GB/T35273-2020中9.2~9.4要求的基礎(chǔ)上，遵守以下要求：安全保護(hù)數(shù)據(jù)接收方使用個(gè)人信息需要取得用戶單獨(dú)同意應(yīng)向用戶告知數(shù)據(jù)接收方的名稱或者姓名、聯(lián)系方式，個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類、保存期限，用戶行使權(quán)利的方式和程序，并取得用戶單獨(dú)同意。向關(guān)聯(lián)公司提供數(shù)據(jù)需約定數(shù)據(jù)處理相關(guān)要求向關(guān)聯(lián)公司提供數(shù)據(jù)時(shí)，應(yīng)與關(guān)聯(lián)公司簽署嚴(yán)格的商業(yè)秘密保護(hù)協(xié)議或數(shù)據(jù)處理協(xié)議等，約定其數(shù)據(jù)處理活動(dòng)的安全要求。B快遞物流服務(wù)提供者之間的數(shù)據(jù)共享的要求轉(zhuǎn)移數(shù)據(jù)明確轉(zhuǎn)移方案1)服務(wù)受理組織向快遞物流服務(wù)組織提供寄遞服務(wù)訂單時(shí)，提供的數(shù)據(jù)應(yīng)僅限于2)快遞物流服務(wù)組織向服務(wù)受理組織共享服務(wù)訂單的履約信息、支付信息時(shí)，應(yīng)3)快遞物流服務(wù)組織與服務(wù)受理組織處理快遞物流服務(wù)糾紛時(shí)，應(yīng)僅提供必要的4)快遞物流服務(wù)組織委托代存組織進(jìn)行快件派送或攬收時(shí)，應(yīng)僅提供收件用戶的5)快件代存組織向快遞物流服務(wù)組織反饋快件的簽收信息時(shí)，應(yīng)僅提供快遞物流因兼并、重組、破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的，應(yīng)明確數(shù)據(jù)轉(zhuǎn)移方案，數(shù)據(jù)接收方應(yīng)繼續(xù)履行相關(guān)數(shù)據(jù)安全保護(hù)C快遞物流服務(wù)提供者刪除數(shù)據(jù)，應(yīng)遵守以下要求安全保護(hù)2020中8.3的要求O快遞物流服務(wù)提供者開展國(guó)際快遞物流服務(wù)時(shí)遵循的要求安全保護(hù)a)不涉及國(guó)際寄號(hào)碼、地址不應(yīng)人身份信息也不,數(shù)據(jù)不應(yīng)在境數(shù)據(jù)出境第三方數(shù)據(jù)活個(gè)人信息出第三方數(shù)據(jù)活境記錄險(xiǎn)評(píng)估間、數(shù)據(jù)類型、風(fēng)險(xiǎn)評(píng)估。e)如境外快遞必要措施保護(hù)個(gè)人信息f)應(yīng)采取必要措應(yīng)在滿足GB/T35273-2020中第8章要求的基礎(chǔ)上，遵守以下要求：安全保護(hù)份校驗(yàn)。快遞物流服務(wù)提供者在響應(yīng)用戶個(gè)人信息主體權(quán)利請(qǐng)求時(shí)應(yīng)遵循的要求二、基本要求三、數(shù)據(jù)收集四、數(shù)據(jù)存儲(chǔ)和傳五、數(shù)據(jù)使用和加三、數(shù)據(jù)收集四、數(shù)據(jù)存儲(chǔ)和傳五、數(shù)據(jù)使用和加六、數(shù)據(jù)提供和公七、數(shù)據(jù)刪除八、數(shù)據(jù)出境d)個(gè)人信息主體權(quán)利涉及由第三方協(xié)助實(shí)現(xiàn)時(shí)，提供者應(yīng)確保與第三方制定權(quán)利請(qǐng)求響應(yīng)機(jī)制，并在與第三方簽訂的協(xié)議中明確第三方的相關(guān)義務(wù)。注銷功能應(yīng)提供便捷的賬號(hào)注銷功能，同時(shí)提供注銷提醒或注銷協(xié)議，告知執(zhí)行注銷操作對(duì)用戶可能造成的影響，并在注銷后的15個(gè)工作日內(nèi)對(duì)其個(gè)人信息進(jìn)行刪除或匿名化處理。如確需設(shè)置注銷條件，則注銷條件應(yīng)在合理范圍內(nèi)，注銷功能1)賬號(hào)存在未處理完畢的交易或糾紛，包括但不限于運(yùn)單在途、清關(guān)、轉(zhuǎn)運(yùn)2)賬號(hào)下?lián)碛胸?cái)產(chǎn)權(quán)益，用戶明示自愿放棄相關(guān)財(cái)產(chǎn)權(quán)益除外。九、個(gè)人信息主體權(quán)利十、快遞物流服務(wù)典型業(yè)務(wù)場(chǎng)景數(shù)據(jù)安全保護(hù)身份校驗(yàn)一、概述身份校驗(yàn)系統(tǒng)前進(jìn)行身份校驗(yàn)。訪問(wèn)控制三、數(shù)據(jù)收集四、數(shù)據(jù)存儲(chǔ)和傳五、數(shù)據(jù)使用和加六、數(shù)據(jù)提供和公數(shù)據(jù)查閱八、數(shù)據(jù)出境九、個(gè)人信息主體權(quán)利十、快遞物流服務(wù)典型業(yè)務(wù)場(chǎng)景數(shù)據(jù)安全保護(hù)智能快件箱與智能信包箱的數(shù)據(jù)安全保護(hù)安全保護(hù)部接口；收派移動(dòng)作業(yè)終端的數(shù)據(jù)安全保護(hù)安全保護(hù)安全安全c)在用戶更換設(shè)備登錄時(shí)，采用口令、密碼技術(shù)、生物特征識(shí)12圖解《信息安全技術(shù)網(wǎng)上購(gòu)物服務(wù)數(shù)據(jù)安全要求》烈烈主要內(nèi)容出境出境Ofoformatenseurltyethnslos-DanssuryO適用適用范圍國(guó)家市場(chǎng)數(shù)慢管理總局網(wǎng)上購(gòu)物服務(wù)提供者通過(guò)互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)從事銷售商品或者提供服務(wù)的經(jīng)營(yíng)活動(dòng)的自然人、法人和非法人組織網(wǎng)上購(gòu)物服務(wù)數(shù)據(jù)網(wǎng)上購(gòu)物服務(wù)過(guò)程中收集和產(chǎn)網(wǎng)上購(gòu)物服務(wù)數(shù)據(jù)網(wǎng)上購(gòu)物服務(wù)過(guò)程中收集和產(chǎn)生的數(shù)據(jù)網(wǎng)上購(gòu)物服務(wù)平臺(tái)為交易的雙方或多方提供信息發(fā)布、信息遞送、數(shù)據(jù)處理等一項(xiàng)或多項(xiàng)服務(wù)，實(shí)現(xiàn)交易撮合目的的信息系統(tǒng)通過(guò)網(wǎng)上購(gòu)物服務(wù)平臺(tái)、自建網(wǎng)站、App、其他網(wǎng)絡(luò)服務(wù)(如小程序)等信息網(wǎng)絡(luò)從事銷售商品或者提供服務(wù)的經(jīng)營(yíng)活動(dòng)自然人、法人和非法人組織網(wǎng)上購(gòu)物服務(wù)平臺(tái)各項(xiàng)服務(wù)的06使用者網(wǎng)上購(gòu)物服務(wù)通過(guò)互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)銷售商網(wǎng)上購(gòu)物服務(wù)通過(guò)互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)銷售商品或服務(wù)的經(jīng)營(yíng)活動(dòng)在網(wǎng)上購(gòu)物服務(wù)平臺(tái)上購(gòu)買商品或接受服務(wù)的用戶服務(wù)相關(guān)方買家消買家消費(fèi)記錄信息商品商品類成交成交搜索搜索支付售后角色角色訂單導(dǎo)出<<在注冊(cè)、瀏覽、下單等環(huán)節(jié)中過(guò)度收集用戶個(gè)人信息或過(guò)度索取終端權(quán)b)數(shù)據(jù)傳輸、存儲(chǔ)：在數(shù)據(jù)傳輸、存儲(chǔ)活動(dòng)中，網(wǎng)上購(gòu)物服務(wù)提供者未采取有效安全措施導(dǎo)致數(shù)據(jù)遭受未經(jīng)授權(quán)的訪問(wèn)、泄露、篡改、丟1)網(wǎng)上購(gòu)物服務(wù)提供者未采取脫敏等安全措施導(dǎo)致數(shù)據(jù)泄露或超出用戶同意范圍展示用戶個(gè)人信息的風(fēng)險(xiǎn)；務(wù)提供者在自動(dòng)化決策中濫用用戶個(gè)人信格等交易條件方面設(shè)置不合風(fēng)險(xiǎn)。上購(gòu)物服務(wù)提供者為完成購(gòu)買、支付、發(fā)貨等活動(dòng)與第或委托第三方開展數(shù)據(jù)分析等服務(wù)時(shí)，未經(jīng)用戶授權(quán)向第三方提供或超范圍提供用戶數(shù)據(jù)，以及接收方無(wú)法提供充足安全保障措施、濫用用戶數(shù)據(jù)等風(fēng)范圍：網(wǎng)上購(gòu)物服務(wù)提供者或超范圍展示用戶個(gè)人信息網(wǎng)上購(gòu)物服務(wù)提供者未對(duì)設(shè)備進(jìn)行有效的數(shù)據(jù)刪除措施，導(dǎo)致數(shù)據(jù)被惡意恢復(fù)、濫用g)永久留存、過(guò)度使用：網(wǎng)供者永久留存、過(guò)度使用用戶數(shù)據(jù)，未向用戶提供有效的刪除功能或途徑，對(duì)用戶隱私安全產(chǎn)生潛以及其他未能有效響應(yīng)用戶請(qǐng)求導(dǎo)致用戶未能有效行使個(gè)人信息權(quán)利符合GB/T35273-2020《信息安全a)數(shù)據(jù)處理：數(shù)據(jù)處理活動(dòng)應(yīng)符合GB/T41479《信息安全技術(shù)網(wǎng)技術(shù)個(gè)人信息安全規(guī)范》規(guī)定的要求，網(wǎng)上購(gòu)物服務(wù)App個(gè)人信息收識(shí)別網(wǎng)上購(gòu)物服務(wù)涉及的核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)，對(duì)不同級(jí)信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)收集個(gè)人信息基本要求》別的數(shù)據(jù)采取不同的保護(hù)措施(重要數(shù)據(jù)識(shí)別參考規(guī)則及示例參考附錄B)e)義務(wù)履行：應(yīng)履行互聯(lián)網(wǎng)平臺(tái)f)安全能力：網(wǎng)上購(gòu)物服務(wù)提供務(wù)涉及的一般個(gè)人信息、敏感個(gè)人信息，對(duì)個(gè)人信息進(jìn)行標(biāo)識(shí)和分類運(yùn)營(yíng)者義務(wù)，如個(gè)人信息保護(hù)獨(dú)立監(jiān)督、制定公平公正的平臺(tái)規(guī)則、者的數(shù)據(jù)安全能力應(yīng)至少符合GB/T37988《信息安全技術(shù)數(shù)據(jù)網(wǎng)上購(gòu)物服務(wù)的其i)風(fēng)險(xiǎn)評(píng)估：應(yīng)結(jié)j)影響評(píng)估：應(yīng)在網(wǎng)上購(gòu)物服務(wù)平臺(tái)及程實(shí)踐，同步規(guī)劃、個(gè)人信息保護(hù)措施90網(wǎng)上購(gòu)物服務(wù)數(shù)據(jù)分類示例：0一級(jí)類別示例姓名、生日、性別、所在地區(qū)、電話號(hào)碼、電子郵件地址、收貨信息(收貨人姓名、收貨地址、聯(lián)系方式)等賣家和商家)賣家名稱(商戶/店鋪名稱)、聯(lián)系方式(如網(wǎng)上購(gòu)物平臺(tái)賬號(hào)、電話號(hào)碼等)聯(lián)系人姓名、合作協(xié)議、營(yíng)業(yè)執(zhí)照(適用于組織賣家)等頁(yè)面瀏覽量、用戶訪問(wèn)量、各類目的交易明細(xì)/排名、類目的交易成交總額等商品信息、物流信息、銷售規(guī)則、優(yōu)惠方案、商品類目數(shù)據(jù)、庫(kù)存數(shù)據(jù)、運(yùn)營(yíng)數(shù)據(jù)、價(jià)格浮動(dòng)區(qū)間等收集個(gè)人信息中5.1(收集個(gè)人信息的合法性)、5.2(收集個(gè)人信息的最小必要)、5.3(多項(xiàng)業(yè)務(wù)功能的自a)通過(guò)網(wǎng)上購(gòu)物類、餐飲外賣類、交通票務(wù)類、酒店服務(wù)類、演出票務(wù)類等APP收集必要個(gè)人信息應(yīng)符合GB/T41391-2022《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)收集個(gè)人信息基本要求》中相應(yīng)規(guī)定b)擴(kuò)展業(yè)務(wù)功能收集的個(gè)人信息均應(yīng)由用戶可選提供，且應(yīng)限于實(shí)現(xiàn)處理目的的最小范圍，常網(wǎng)上購(gòu)物App不應(yīng)申請(qǐng)與App業(yè)務(wù)功能無(wú)關(guān)的系統(tǒng)權(quán)限，系統(tǒng)權(quán)限申請(qǐng)范圍及使用要求見(jiàn)附錄D網(wǎng)上購(gòu)物服務(wù)提供者收集個(gè)人信息時(shí)的告知同意，應(yīng)在滿足GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》中5.4(收集個(gè)人信息時(shí)的授權(quán)同意)、5.5(個(gè)人信息保護(hù)政策)、5.6(征得授權(quán)同意的例外取得用戶同意；戶的單獨(dú)同意；四、數(shù)據(jù)存儲(chǔ)和傳輸五、數(shù)據(jù)使用和加工六、數(shù)據(jù)提供和公開七、數(shù)據(jù)刪除八、數(shù)據(jù)出境九、個(gè)人信息主體權(quán)利十、典型場(chǎng)景數(shù)據(jù)安全要求用于對(duì)商品或店鋪進(jìn)行收藏、關(guān)注等操作用于將商品添加到購(gòu)物車，以進(jìn)行后續(xù)的批量支付等操作用于從通訊錄中選擇聯(lián)系人添加好友或添加收貨信息位置信息用于自動(dòng)定位當(dāng)前位置信息作為收貨地址用于向用戶推薦商品用于用戶對(duì)訂單及相關(guān)服務(wù)(如物流、賣家服務(wù))進(jìn)行評(píng)價(jià)3網(wǎng)上購(gòu)物服務(wù)數(shù)據(jù)分類示例：3一級(jí)類別示例姓名、生日、性別、所在地區(qū)、電話號(hào)碼、電子郵件地址、收貨信息(收貨人姓名、收貨地址、聯(lián)系方式)等賣家和商家)賣家名稱(商戶/店鋪名稱)、聯(lián)系方式(如網(wǎng)上購(gòu)物平臺(tái)賬號(hào)、電話號(hào)碼等)、頁(yè)面瀏覽量、用戶訪問(wèn)量、各類目的交易明細(xì)/排名、類目的交易成交總額等商品信息、物流信息、銷售規(guī)則、優(yōu)惠方案、商品類目數(shù)據(jù)、庫(kù)存數(shù)據(jù)、運(yùn)營(yíng)數(shù)據(jù)、價(jià)格浮動(dòng)區(qū)間等a)網(wǎng)上購(gòu)物服務(wù)個(gè)人信息存儲(chǔ)外d)應(yīng)將用戶個(gè)人身份信息、訂法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的，應(yīng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外要求使用。 b)如提供根據(jù)用戶的操作/行為或特征進(jìn)行個(gè)性化推薦的功能(如廣告推送，商品推薦、展示或排序等)設(shè)置易于理解、便于訪問(wèn)和操作的一鍵關(guān)閉相關(guān)功能的方式；3應(yīng)應(yīng)向限制數(shù)據(jù)刪除時(shí)需要保障數(shù)據(jù)的徹底清除等數(shù)據(jù)出境構(gòu)成條件數(shù)據(jù)出境應(yīng)符要求網(wǎng)上購(gòu)物服務(wù)提供者在向用戶提供個(gè)人信息查閱服務(wù)時(shí)，應(yīng)在滿足GB/T35273-2020《信息安全技術(shù)個(gè)網(wǎng)上購(gòu)物服務(wù)提供者在向用戶提供個(gè)人信息查閱服務(wù)時(shí)，應(yīng)在滿足GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》中8.1(個(gè)人信息查詢)要求的基礎(chǔ)上，遵守以下要求：a)應(yīng)向個(gè)人信息主體提供查閱功能的個(gè)人信息內(nèi)容包括但不限于：1)用戶通過(guò)填寫等方式主動(dòng)提交給網(wǎng)上購(gòu)物服務(wù)提供者的個(gè)人信息(如個(gè)人基本資料、個(gè)人身份信息、收貨信息、發(fā)票信息等)2)用戶對(duì)商品或服務(wù)主動(dòng)填寫發(fā)布的評(píng)論信息3)訂單數(shù)據(jù)，用戶主動(dòng)刪除的訂單數(shù)據(jù)除外b)如提供收藏、關(guān)注、添加購(gòu)物車、搜索、瀏覽或點(diǎn)擊記錄展示等功能，應(yīng)向用戶提供相關(guān)記錄的查閱功能網(wǎng)上購(gòu)物服務(wù)提供者在向用戶提供個(gè)人信息更正服務(wù)時(shí)，應(yīng)在滿足GB網(wǎng)上購(gòu)物服務(wù)提供者在向用戶提供個(gè)人信息更正服務(wù)時(shí)，應(yīng)在滿足GB/T352732020中《信息安全技術(shù)個(gè)人信息安全規(guī)范》8.2(個(gè)人信息更正)要求的基礎(chǔ)上，遵守以下要求：網(wǎng)上購(gòu)物服務(wù)提供者向用戶提供個(gè)人信息刪除服務(wù)時(shí)，應(yīng)在滿足網(wǎng)上購(gòu)物服務(wù)提供者向用戶提供個(gè)人信息刪除服務(wù)時(shí)，應(yīng)在滿足GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》中8.3(個(gè)人信息刪除)要求的基礎(chǔ)上，遵守以下要求：a)如提供收藏、關(guān)注、添加購(gòu)物車、搜索、瀏覽或點(diǎn)擊記錄展示等功能，應(yīng)向用戶提供相關(guān)記錄的刪除功能b)應(yīng)向個(gè)人信息主體提供刪除的個(gè)人信息包括但不限于用戶通過(guò)主動(dòng)填寫的方式提供給網(wǎng)上購(gòu)物服務(wù)提供者的相關(guān)個(gè)人信息、如收貨信息、發(fā)票信息、訂單數(shù)據(jù)等c)未經(jīng)用戶同意，不應(yīng)刪除個(gè)人信息主體的評(píng)價(jià)信息，如評(píng)價(jià)會(huì)產(chǎn)生惡劣影響，可采取屏蔽措施，法律法規(guī)另有規(guī)定的除外網(wǎng)上購(gòu)物服務(wù)提供者在向用戶提供注銷賬號(hào)服務(wù)時(shí)，應(yīng)在滿足網(wǎng)上購(gòu)物服務(wù)提供者在向用戶提供注銷賬號(hào)服務(wù)時(shí)，應(yīng)在滿足GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》中8.5(個(gè)人信息主體注銷賬戶)要求的基礎(chǔ)上，遵守以下要求：a)應(yīng)以顯著方式提示用戶注銷賬號(hào)后，其權(quán)益和資產(chǎn)可能受到的影響b)如有特殊情形，應(yīng)提示用戶無(wú)法注銷的原因，如“在最近一個(gè)月內(nèi)，賬號(hào)進(jìn)行更改口令、更改綁定信息等敏感操作”等情況c)如果賬號(hào)同時(shí)是網(wǎng)上購(gòu)物平臺(tái)上賣家的綁定賬號(hào)，直先解除相關(guān)綁定特殊情況：收集不滿14周歲未成年人個(gè)人信息，應(yīng)制定專門的個(gè)人信息處理規(guī)則，并取得未成年人的父母或者其他監(jiān)護(hù)人的單獨(dú)同意網(wǎng)上購(gòu)物服務(wù)目前共分為三種典型的場(chǎng)景分為三大典型場(chǎng)景社交購(gòu)物典型服務(wù)場(chǎng)景典型服務(wù)場(chǎng)景直播購(gòu)物融合購(gòu)物社交購(gòu)物指在即時(shí)通信平臺(tái)中通過(guò)嵌入的網(wǎng)上購(gòu)物服務(wù)平直播購(gòu)物指通過(guò)網(wǎng)絡(luò)直播形式向用戶提供商品或服務(wù)介紹和展示，并引導(dǎo)用戶下單的網(wǎng)上購(gòu)物服務(wù)線上線下融合購(gòu)物指通過(guò)線上及線下渠道共同完成的網(wǎng)上購(gòu)物服務(wù)社交購(gòu)物求求直播購(gòu)物場(chǎng)景一：線上下單線下消費(fèi)1)提供給賣家/線下商戶的數(shù)僅限于用戶在該賣家/線下商戶處,在買家到線下商戶消費(fèi)時(shí)提供景其他數(shù)據(jù)安全要求13圖解標(biāo)準(zhǔn)將規(guī)范網(wǎng)絡(luò)支付服務(wù)提供者的數(shù)據(jù)處理活動(dòng)公開、刪除、出境等數(shù)據(jù)處理活動(dòng)的安全要求信息安全技術(shù)網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)安全要求本文件適用于網(wǎng)絡(luò)支付服務(wù)提供者規(guī)范數(shù)據(jù)處理活動(dòng)也可為監(jiān)管部門、第三方評(píng)估機(jī)構(gòu)對(duì)國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)相關(guān)政策文件為該標(biāo)準(zhǔn)提供了重要的參考和理論支撐《信息安全技術(shù)術(shù)語(yǔ)》明確網(wǎng)絡(luò)支付服務(wù)過(guò)程中所需要的術(shù)語(yǔ)和定義網(wǎng)絡(luò)支付服務(wù)用戶使用網(wǎng)絡(luò)支付服務(wù)的個(gè)人或組網(wǎng)絡(luò)支付服務(wù)用戶使用網(wǎng)絡(luò)支付服務(wù)的個(gè)人或組織，包括收款方和付款方收款方或付款方通過(guò)計(jì)算機(jī)、移動(dòng)終端等電子設(shè)備，依托互聯(lián)網(wǎng)遠(yuǎn)程傳輸支付指令完成直接或間接貨幣資金轉(zhuǎn)移的經(jīng)營(yíng)活動(dòng)網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)網(wǎng)絡(luò)支付服務(wù)提供者在開展網(wǎng)網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)網(wǎng)絡(luò)支付服務(wù)提供者在開展網(wǎng)絡(luò)支付服務(wù)過(guò)程中收集和產(chǎn)生的數(shù)據(jù)通過(guò)互聯(lián)網(wǎng)網(wǎng)絡(luò)為收款方和付款方提供網(wǎng)絡(luò)支付服務(wù)，同網(wǎng)絡(luò)支付服務(wù)賬務(wù)平臺(tái)交互完成資金劃撥的信息系統(tǒng)網(wǎng)絡(luò)支付服務(wù)提供者通過(guò)網(wǎng)絡(luò)支付服務(wù)平臺(tái)，提供網(wǎng)絡(luò)支付服務(wù)提供者通過(guò)網(wǎng)絡(luò)支付服務(wù)平臺(tái)，提供網(wǎng)絡(luò)支付服務(wù)的組織為網(wǎng)絡(luò)支付服務(wù)提供賬戶管理、資金劃撥、賬務(wù)核算等服務(wù)的信息系統(tǒng)一、概述一、概述二、基本要求三、數(shù)據(jù)收集A四、數(shù)據(jù)存儲(chǔ)和傳輸五、數(shù)據(jù)使用和加工六、數(shù)據(jù)提供和公開六、數(shù)據(jù)提供和公開七、數(shù)據(jù)刪除八、數(shù)據(jù)出境十、典型場(chǎng)景數(shù)據(jù)安全要求方者方實(shí)名認(rèn)證 圖例：活動(dòng)功能數(shù)據(jù)提供 數(shù)據(jù)傳輸?shù)娘L(fēng)險(xiǎn)或其他形式對(duì)外提供數(shù)據(jù)時(shí),未經(jīng)用戶授權(quán)或超范圍提供數(shù)據(jù)，以及接收方無(wú)法提供充足安全保障措施、濫用用戶數(shù)據(jù)等風(fēng)險(xiǎn)在數(shù)據(jù)傳輸、存儲(chǔ)活動(dòng)中，網(wǎng)絡(luò)支付服務(wù)提供者未采取有效安全措施導(dǎo)致數(shù)據(jù)遭受未經(jīng)授權(quán)的訪問(wèn)、泄露、篡改、丟失的風(fēng)險(xiǎn)網(wǎng)絡(luò)支付服務(wù)提供者以安全風(fēng)險(xiǎn)控制等為由擴(kuò)大個(gè)人信息收集范圍、未經(jīng)用戶授權(quán)或超出授權(quán)范圍加工和使用個(gè)人信息處理數(shù)據(jù)分類分級(jí)務(wù)涉及的核心數(shù)據(jù)、重要數(shù)據(jù)、數(shù)據(jù)識(shí)別網(wǎng)絡(luò)支付服務(wù)提供者的數(shù)據(jù)安全能力應(yīng)至少符合GB/T37988二級(jí)個(gè)人信息、敏感個(gè)人信息，對(duì)個(gè)如個(gè)人信息保護(hù)獨(dú)立監(jiān)督、制定公平公正的平臺(tái)規(guī)則、隱私政策個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告等合國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)的個(gè)人信息處理活動(dòng)前，按照付平臺(tái)規(guī)劃建設(shè)時(shí)開展個(gè)人信息,識(shí)別涉及的重要數(shù)據(jù)明確時(shí)一級(jí)類別示例個(gè)人基本信息、個(gè)人聯(lián)系信息、個(gè)人地理位置信息等交易信息交易基本信息、交易清結(jié)算信息、交易記賬信息、交易金額、交易對(duì)象等網(wǎng)絡(luò)支付服務(wù)App不應(yīng)申目的的最小范圍，常見(jiàn)擴(kuò)展業(yè)務(wù)功能收集的個(gè)人信息范圍及使用要求見(jiàn)附為唯一的個(gè)人身份認(rèn)證方式或支付方式，法律法規(guī)另有要求通個(gè)人生物識(shí)別認(rèn)證或支付功煉石業(yè)務(wù)功能個(gè)人信息收集范圍人臉數(shù)據(jù)人臉數(shù)據(jù)用于核驗(yàn)用戶身份開通快捷支付開戶行名稱、銀行卡號(hào)、銀行卡有效期、姓名、身份證號(hào)碼、銀行預(yù)留手用于向發(fā)卡銀行驗(yàn)證用戶身份機(jī)號(hào)收款人賬戶、收款人部分姓名、轉(zhuǎn)賬用于準(zhǔn)確執(zhí)行用戶的支付指令，轉(zhuǎn)賬金額給目標(biāo)用戶紅包金額、紅包個(gè)數(shù)、發(fā)送對(duì)象用于向他人發(fā)送紅包消費(fèi)交易信息、交易對(duì)象、交易商品、交易時(shí)間用于在商家進(jìn)行消費(fèi)時(shí)，記錄交易信息，按照法律法規(guī)要求對(duì)商家進(jìn)行管理，防范套現(xiàn)或欺詐風(fēng)險(xiǎn)信用卡卡號(hào)、發(fā)卡銀行、姓名、還款金額用于對(duì)接發(fā)卡銀行完成信用卡還款煉石及使用要求拍攝僅用于實(shí)名認(rèn)證、掃碼支付、刷臉登錄及支付、頭像圖片設(shè)置、截圖反饋服務(wù)_的圖片(如用于頭像設(shè)置)安全只寫照片庫(kù)地等功能讀取通訊錄讀取和寫入照片庫(kù)款碼等圖片保存到本地等_LOCATION注：上述權(quán)限主要針對(duì)網(wǎng)絡(luò)支付服務(wù)常見(jiàn)業(yè)務(wù)功能提出注：上述權(quán)限主要針對(duì)網(wǎng)絡(luò)支付服務(wù)常見(jiàn)業(yè)務(wù)功能提出僅用于識(shí)別安全風(fēng)險(xiǎn)、保障用戶資金安全379信息進(jìn)行刪除或匿名化處理，法律法規(guī)另有規(guī)定的除外四、數(shù)據(jù)存儲(chǔ)和傳輸c)存儲(chǔ)和傳輸敏感個(gè)人信息時(shí)，應(yīng)采用密碼技術(shù)進(jìn)行保護(hù)五、數(shù)據(jù)使用和加工六、數(shù)據(jù)提供和公開七、數(shù)據(jù)刪除八、數(shù)據(jù)出境d)不應(yīng)存儲(chǔ)用戶銀行卡磁道信息、銀行卡芯片信息、卡片驗(yàn)證碼、銀行卡密碼e)因業(yè)務(wù)需要存儲(chǔ)用戶銀行卡有效期的，應(yīng)取得用戶和網(wǎng)絡(luò)支付服務(wù)賬務(wù)平臺(tái)的授權(quán)九、個(gè)人信息主體權(quán)利十、典型場(chǎng)景數(shù)據(jù)安全i)客戶端和服務(wù)端的傳輸報(bào)文、日志等文件中不應(yīng)包含明文用戶鑒別信息、敏感個(gè)人信息九、個(gè)人信息主體權(quán)利十、典型場(chǎng)景數(shù)據(jù)安全技術(shù)1)應(yīng)向用戶告知第三方的名稱或者姓名、b)通過(guò)在網(wǎng)絡(luò)支付平臺(tái)中接入第三方應(yīng)用或嵌入第三方SDK的形式購(gòu)物服務(wù)平臺(tái)中嵌入網(wǎng)絡(luò)支付服務(wù)SDK,以使網(wǎng)上購(gòu)物服務(wù)平臺(tái)用戶完成訂單支付),不應(yīng)將用戶賬戶余額、銀行卡綁定信息、個(gè)人身份鑒別信息、與當(dāng)次支付行入第三方SDK的形式對(duì)外提供數(shù)據(jù)時(shí)：規(guī)則g)因兼并、重組、破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的，應(yīng)數(shù)據(jù)網(wǎng)絡(luò)支付服務(wù)公開用戶數(shù)據(jù)，應(yīng)遵守GB/T35273-2020中9.數(shù)據(jù)出境網(wǎng)絡(luò)支付服務(wù)提供者如提供跨境支付服務(wù)，在境外商戶消費(fèi)、向境外匯款/接收境外匯款為用戶提供跨境支付結(jié)算服務(wù)等場(chǎng)景下，涉及數(shù)據(jù)出境。網(wǎng)絡(luò)支付服務(wù)提供者數(shù)據(jù)出境c)應(yīng)建立數(shù)據(jù)出境記錄，包括但不限于出方等，相關(guān)記錄至少保存五年十、典型場(chǎng)景數(shù)據(jù)安全要求三、數(shù)據(jù)收集1)除用戶賬號(hào)存在未處理完畢的交易與糾紛(包括差錯(cuò)賬，涉嫌欺詐、未完成投訴處理等)、其賬號(hào)下?lián)碛胸?cái)產(chǎn)權(quán)益(包括賬號(hào)余額、優(yōu)惠券、會(huì)員權(quán)四、數(shù)據(jù)存儲(chǔ)和傳輸五、數(shù)據(jù)使用和加工六、數(shù)據(jù)提供和公開信息(如賬號(hào)登錄等)、系統(tǒng)權(quán)限等的授權(quán)七、數(shù)據(jù)刪除妥善處理(包括自行提現(xiàn)、結(jié)清或自愿放棄等方式)相關(guān)財(cái)產(chǎn)權(quán)益或上述其他限制情形消除后，應(yīng)為用戶注銷賬號(hào)八、數(shù)據(jù)出境e)收集不滿14周歲未成年人個(gè)人信息，應(yīng)制定專門九、個(gè)人信息主體權(quán)利十、典型場(chǎng)景數(shù)據(jù)安全醒或注銷協(xié)議，告知執(zhí)行注銷操作對(duì)用戶可能造成的影響，并在注銷后及時(shí)對(duì)其個(gè)人信息進(jìn)行刪除或要求身份認(rèn)證等功能時(shí)，應(yīng)遵守GB/T40660、對(duì)賬支付風(fēng)險(xiǎn)控制場(chǎng)景下，對(duì)網(wǎng)絡(luò)支付服控機(jī)制必要訪問(wèn)權(quán)限，對(duì)訪問(wèn)行為進(jìn)行完整網(wǎng)絡(luò)支付服務(wù)提供者進(jìn)行風(fēng)險(xiǎn)控制建a)應(yīng)采取密碼技術(shù)對(duì)用于建模的數(shù)據(jù)據(jù)，應(yīng)在使用前對(duì)用戶數(shù)據(jù)進(jìn)行去標(biāo)識(shí)化處理網(wǎng)絡(luò)支付服務(wù)提供者進(jìn)行聯(lián)合風(fēng)險(xiǎn)控參與方的訓(xùn)練數(shù)據(jù)及訓(xùn)練過(guò)程數(shù)據(jù)進(jìn)a)應(yīng)建立支付口令復(fù)雜度校驗(yàn)機(jī)制，支付口令不應(yīng)與用戶個(gè)人信息(如出生日期、14圖解《信息安全技術(shù)網(wǎng)絡(luò)音視頻服務(wù)數(shù)據(jù)安全要求》中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)信息安全技術(shù)網(wǎng)絡(luò)音視頻服務(wù)數(shù)據(jù)信息安全技術(shù)網(wǎng)絡(luò)音視頻服務(wù)數(shù)據(jù)主要內(nèi)容適用范圍信息安全技術(shù)術(shù)語(yǔ)信息安全技術(shù)個(gè)人信息安全規(guī)范信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型型信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)人信息基本要求信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求GB/T25069、GB/T35273-2020界定的以及下列術(shù)語(yǔ)和定義適用于本文件，其他定義如下網(wǎng)絡(luò)音視頻服務(wù)通過(guò)互聯(lián)網(wǎng)站、應(yīng)用程序等網(wǎng)絡(luò)平臺(tái)，向社會(huì)公眾提供音視頻信息制作、發(fā)布、傳播的服務(wù)網(wǎng)絡(luò)音視頻服務(wù)平臺(tái)提供網(wǎng)絡(luò)音視頻服務(wù)的信息系統(tǒng)網(wǎng)絡(luò)音視頻服務(wù)提供者向社會(huì)公眾提供網(wǎng)絡(luò)音視頻服務(wù)的組織或者個(gè)人網(wǎng)絡(luò)音視頻服務(wù)使用者使用網(wǎng)絡(luò)音視頻服務(wù)的組織或者個(gè)人網(wǎng)絡(luò)音視頻內(nèi)容生產(chǎn)者通過(guò)網(wǎng)絡(luò)音視頻服務(wù)平臺(tái)進(jìn)行網(wǎng)絡(luò)音視頻內(nèi)容生產(chǎn)、制作、發(fā)布、傳播、在線實(shí)時(shí)直播的網(wǎng)絡(luò)音視頻服務(wù)使用者網(wǎng)絡(luò)音視頻服務(wù)第三方參與者除網(wǎng)絡(luò)音視頻服務(wù)提供者和網(wǎng)絡(luò)音視頻服務(wù)使用者之外的網(wǎng)絡(luò)音視頻服務(wù)的參與主體網(wǎng)絡(luò)音視頻服務(wù)數(shù)據(jù)網(wǎng)絡(luò)音視頻服務(wù)提供者在提供網(wǎng)絡(luò)音視頻服務(wù)過(guò)程中收集和產(chǎn)生的數(shù)據(jù)網(wǎng)絡(luò)音視頻內(nèi)容數(shù)據(jù)網(wǎng)絡(luò)音視頻服務(wù)提供者所擁有和管理的圖文、音頻、視頻等信息內(nèi)容，以及描述上述信息內(nèi)容屬性的元數(shù)據(jù)loT:物聯(lián)網(wǎng)(InternetofThings)網(wǎng)絡(luò)直播服務(wù)向用網(wǎng)絡(luò)直播服務(wù)向用網(wǎng)絡(luò)音頻服務(wù)向用廣播劇、節(jié)目賽事音頻、新聞資訊音網(wǎng)絡(luò)視頻服務(wù)向用影、電視劇、綜藝娛樂(lè)、節(jié)目賽事視頻、新聞資訊視頻戶提供實(shí)時(shí)音頻信息、視頻信息、圖文信息等內(nèi)容的發(fā)傳播，以及互動(dòng)交流(發(fā)布彈幕、評(píng)論等)、內(nèi)容推薦、會(huì)相關(guān)方構(gòu)成交交白、命制0極—→數(shù)據(jù)傳輸數(shù)據(jù)處理活動(dòng)33網(wǎng)絡(luò)音視頻服務(wù)主要面臨以下數(shù)據(jù)安全風(fēng)險(xiǎn)景下，過(guò)度收集用戶身份證件信息、個(gè)人生物識(shí)別信息等敏感個(gè)人信息的風(fēng)險(xiǎn)丟失的風(fēng)險(xiǎn)，以及音視頻內(nèi)容個(gè)性化展示等場(chǎng)景中個(gè)人信息被濫用的風(fēng)險(xiǎn)措施、濫用個(gè)人信息等風(fēng)險(xiǎn)的風(fēng)險(xiǎn)使個(gè)人信息權(quán)利的風(fēng)險(xiǎn)g)智能合成音視頻場(chǎng)景下，提供者未采取有效處置措施，導(dǎo)致用戶個(gè)人生物識(shí)別信息(如面部識(shí)別特征)遭到濫用等風(fēng)險(xiǎn)或爬取、盜鏈等的安全風(fēng)險(xiǎn)鍵詞記入用戶興趣點(diǎn)，設(shè)置歧視性、偏見(jiàn)性用戶標(biāo)簽推送信息內(nèi)容a)數(shù)據(jù)處理活動(dòng)應(yīng)遵守GB/T41479中規(guī)定的要求b)個(gè)人信息處理活動(dòng)應(yīng)遵守GB/T35273-2020中規(guī)定的要求，網(wǎng)絡(luò)音視頻App個(gè)人信息收集活動(dòng)應(yīng)遵守四、數(shù)據(jù)存儲(chǔ)和傳輸分類示例)五、數(shù)據(jù)使用和加工六、數(shù)據(jù)提供和公開平臺(tái)內(nèi)經(jīng)營(yíng)者管理、發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告等八、個(gè)人信息主體權(quán)利九、未成年人保護(hù)十、典型場(chǎng)景數(shù)據(jù)安全要求5網(wǎng)絡(luò)音視頻服務(wù)重要數(shù)據(jù)識(shí)5別參考規(guī)則示例一級(jí)類別示例用戶數(shù)據(jù)a)按照國(guó)家和網(wǎng)絡(luò)音視頻服務(wù)行業(yè)的重要數(shù)據(jù)目錄，識(shí)別涉及的重要數(shù)據(jù)財(cái)產(chǎn)信息b)相關(guān)目錄不明確時(shí)，按照重要數(shù)據(jù)識(shí)別相關(guān)規(guī)定、國(guó)家或行業(yè)標(biāo)準(zhǔn)識(shí)別重要數(shù)據(jù)業(yè)務(wù)數(shù)據(jù)內(nèi)容數(shù)據(jù)改、損毀，可能直接危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全的數(shù)據(jù)識(shí)別為重要數(shù)據(jù)業(yè)務(wù)運(yùn)營(yíng)數(shù)據(jù)公開的業(yè)務(wù)運(yùn)營(yíng)數(shù)據(jù)，例如平臺(tái)提供者公開發(fā)布的用戶量、業(yè)務(wù)收益等數(shù)據(jù)專業(yè)內(nèi)容生產(chǎn)者的資質(zhì)證明材料、會(huì)員收益數(shù)據(jù)(包含虛擬貨幣收益)容數(shù)據(jù)、業(yè)務(wù)運(yùn)營(yíng)數(shù)據(jù)的范圍定義及具體分類可能存在差異煉石告知同意a)通過(guò)App收集普通用戶必要個(gè)人信息應(yīng)符合GB四、數(shù)據(jù)存儲(chǔ)和傳輸比如針對(duì)普通內(nèi)容生產(chǎn)者，實(shí)名認(rèn)證環(huán)節(jié)收集的個(gè)人信息應(yīng)僅限于移動(dòng)電話號(hào)碼，不應(yīng)收集公民身份號(hào)碼(更多見(jiàn)標(biāo)準(zhǔn)原文)五、數(shù)據(jù)使用和加工并要求第三方在其個(gè)人信息處理規(guī)則中披露上述內(nèi)容；至少包括用戶瀏覽、搜索和播放音視頻內(nèi)容的功能，且不查看或閱讀文件等方式向用戶告知個(gè)人信息處理規(guī)則的核心內(nèi)容八、個(gè)人信息主體權(quán)利與c)九、未成年人保護(hù)注冊(cè)用戶移動(dòng)電話號(hào)碼用于用戶注冊(cè)，滿足對(duì)App注冊(cè)用戶專業(yè)內(nèi)容生產(chǎn)者姓名、公民身份號(hào)專業(yè)內(nèi)容生產(chǎn)者認(rèn)證碼、資質(zhì)證書用于專業(yè)內(nèi)容生產(chǎn)者身份認(rèn)證網(wǎng)絡(luò)主播認(rèn)證網(wǎng)絡(luò)主播姓名、公民身份號(hào)碼、身份證件照片、資質(zhì)證書用于網(wǎng)絡(luò)主播身份認(rèn)證用戶音視頻內(nèi)容發(fā)布用戶發(fā)布的音視頻內(nèi)容用于為用戶提供音視頻發(fā)布功能服務(wù)用戶支付時(shí)間、支付金額、支付渠道等支付信息用于提供網(wǎng)絡(luò)音視頻付費(fèi)內(nèi)容或其內(nèi)容生產(chǎn)者收益結(jié)算提現(xiàn)內(nèi)容生產(chǎn)者銀行卡號(hào)碼或支付賬號(hào)用于內(nèi)容生產(chǎn)者收益結(jié)算提現(xiàn)服務(wù)基于城市或地域進(jìn)行網(wǎng)絡(luò)音視頻內(nèi)容推送用戶所在或所選城市或地域用于向用戶推送所在或所選城市或地域的網(wǎng)絡(luò)音視頻內(nèi)容客戶服務(wù)、處理用戶糾紛用戶與客服的溝通記錄用于為用戶提供客戶服務(wù)、處理與用錄音等語(yǔ)音輸入場(chǎng)景讀取和寫入照片庫(kù)等編輯日歷只寫照片庫(kù)備中等語(yǔ)音輸入場(chǎng)景寫入外置存儲(chǔ)器備中日歷8b)在用戶登錄賬號(hào)后將未登錄狀態(tài)下產(chǎn)生的使用記c)用戶查閱其個(gè)人身份信息、個(gè)人財(cái)產(chǎn)信息時(shí)，除使四、數(shù)據(jù)存儲(chǔ)和傳輸五、數(shù)據(jù)使用和加工于用戶畫像的個(gè)人信息，對(duì)用戶進(jìn)行網(wǎng)絡(luò)音視頻內(nèi)容方面外內(nèi)容能十、典型場(chǎng)景數(shù)據(jù)安全要求的，應(yīng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理網(wǎng)絡(luò)音視頻服務(wù)提供者公開個(gè)人信息、向第三方提供個(gè)人信息，應(yīng)在遵守GB/T35273-2020中訂單信息四、數(shù)據(jù)存儲(chǔ)和傳輸2)涉及提供唯一設(shè)備識(shí)別碼時(shí)，應(yīng)在提供前對(duì)唯一設(shè)備識(shí)別碼進(jìn)行加密五、數(shù)據(jù)使用和加工c)針對(duì)第三方實(shí)名認(rèn)證服務(wù)場(chǎng)景下向第三六、數(shù)據(jù)提供和公開至及個(gè)人信息保護(hù)相關(guān)評(píng)估認(rèn)證等八、個(gè)人信息主體權(quán)利九、未成年人保護(hù)務(wù)數(shù)據(jù)出境對(duì)數(shù)據(jù)出境至少進(jìn)行一次數(shù)據(jù)出境風(fēng)險(xiǎn)評(píng)估400網(wǎng)絡(luò)音視頻服務(wù)提供者處理未成年人個(gè)人信息，應(yīng)在遵守能，用戶刪除相關(guān)使用記錄后，不應(yīng)再次使用相關(guān)個(gè)人信息消費(fèi)、發(fā)布音視頻內(nèi)容、提供/更正/刪除個(gè)人信息時(shí)，通過(guò)短d)應(yīng)為用戶提供便捷的賬號(hào)注銷功置不合理的并遵守以下要求1)除用戶賬號(hào)存在未處理完畢的交易與糾紛、其賬號(hào)下?lián)碛胸?cái)產(chǎn)權(quán)益(包括零錢、平臺(tái)虛擬貨幣、虛擬物品、會(huì)員權(quán)益等)、其與提供者簽署e)針對(duì)專門或主要面向未成年人提供的網(wǎng)絡(luò)音視頻服務(wù)，應(yīng)在棄等方式)相關(guān)財(cái)產(chǎn)權(quán)益或上述其他限制情形消風(fēng)險(xiǎn)。針對(duì)此類限制條件，應(yīng)為用戶提供專門智能合成音視頻場(chǎng)景網(wǎng)絡(luò)音視頻內(nèi)容數(shù)據(jù)安全保護(hù)場(chǎng)景二、基本要求三、數(shù)據(jù)收集人員技能培訓(xùn)等方式，提升組織內(nèi)部人員的內(nèi)容數(shù)據(jù)安全防護(hù)意識(shí)和技術(shù)能力c)應(yīng)明確內(nèi)容數(shù)據(jù)存儲(chǔ)的安全保障措施，建立內(nèi)四、數(shù)據(jù)存儲(chǔ)和傳輸五、數(shù)據(jù)使用和加工的異常操作(例如敏感內(nèi)容數(shù)據(jù)批量下載、瀏覽、播放等)進(jìn)行安全監(jiān)控和告警六、數(shù)據(jù)提供和公開括4)發(fā)現(xiàn)未添加顯著區(qū)分標(biāo)識(shí)的智充添加顯著區(qū)分標(biāo)識(shí)、拒絕發(fā)布、八、個(gè)人信息主體權(quán)利g)應(yīng)建立內(nèi)容數(shù)據(jù)泄露事件應(yīng)急響應(yīng)機(jī)制，明確內(nèi)容數(shù)據(jù)安全事件定級(jí)標(biāo)準(zhǔn)、九、未成年人保護(hù)色及職責(zé)，持續(xù)更新內(nèi)容數(shù)據(jù)安全防護(hù)策略，定期h)應(yīng)建立識(shí)別違法和不良信息的特征庫(kù)，完善入庫(kù)標(biāo)準(zhǔn)、規(guī)則和程序，發(fā)現(xiàn)違i)應(yīng)建立與監(jiān)管機(jī)構(gòu)的數(shù)據(jù)傳輸接口，及時(shí)上報(bào)違規(guī)違法內(nèi)容，保障網(wǎng)絡(luò)音視頻服務(wù)數(shù)據(jù)可管可控15圖解《信息安全技術(shù)網(wǎng)絡(luò)預(yù)約汽車服務(wù)數(shù)據(jù)安全要求》煉石文件規(guī)定了網(wǎng)絡(luò)預(yù)約汽車服務(wù)全生命周期數(shù)據(jù)處理活動(dòng)的安全要求煉石毛毛中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)標(biāo)準(zhǔn)內(nèi)容本文件規(guī)定了網(wǎng)絡(luò)預(yù)約汽車服務(wù)的收集、存儲(chǔ)、使用、加工、提供、公開、出境等數(shù)據(jù)處理活動(dòng)的安全要求網(wǎng)絡(luò)預(yù)約汽車服務(wù)數(shù)據(jù)安全要求Iaformatlonseorltytechnology—D本文件適用于網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者規(guī)范數(shù)據(jù)處理活動(dòng)適用范圍國(guó)家標(biāo)非化管理委員會(huì)也可為監(jiān)管部門、第三方評(píng)估機(jī)構(gòu)對(duì)網(wǎng)絡(luò)國(guó)家標(biāo)非化管理委員會(huì)術(shù)語(yǔ)術(shù)語(yǔ)網(wǎng)絡(luò)預(yù)約汽車服務(wù)以互聯(lián)網(wǎng)技術(shù)為依托構(gòu)建服務(wù)平臺(tái)，整合供需信息，為用戶提供網(wǎng)絡(luò)預(yù)約汽車出行服務(wù)的經(jīng)營(yíng)活動(dòng)網(wǎng)絡(luò)預(yù)約汽車服務(wù)平臺(tái)通過(guò)網(wǎng)絡(luò)信息技術(shù)整合出行供需信息，使用符合條件的車輛和駕駛員，提供網(wǎng)絡(luò)預(yù)約汽車服務(wù)的信息系統(tǒng)網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者利用網(wǎng)絡(luò)預(yù)約汽車服務(wù)平臺(tái)，提供網(wǎng)絡(luò)預(yù)約汽車服務(wù)的組織網(wǎng)絡(luò)預(yù)約汽車第三方服務(wù)平臺(tái)接入一家或者多家網(wǎng)絡(luò)預(yù)約汽車服務(wù)平臺(tái)，為用戶提供網(wǎng)絡(luò)預(yù)約汽車訂單呼叫服務(wù)的第三方網(wǎng)絡(luò)服務(wù)平臺(tái)網(wǎng)絡(luò)預(yù)約汽車服務(wù)數(shù)據(jù)網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者在提供網(wǎng)絡(luò)預(yù)約汽車服務(wù)過(guò)程中收集和產(chǎn)生的數(shù)據(jù)企業(yè)訂單企業(yè)組織與網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者依據(jù)合作協(xié)議產(chǎn)生的服務(wù)訂單在網(wǎng)絡(luò)預(yù)約汽車服務(wù)中，通過(guò)車載設(shè)備或者移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序收集的行程錄音錄像數(shù)據(jù)用戶使用網(wǎng)絡(luò)預(yù)約汽車服務(wù)的個(gè)人叫車人一、概述功能網(wǎng)絡(luò)預(yù)約汽車服務(wù)主要功能包括用戶注冊(cè)/登錄、網(wǎng)預(yù)約汽車服務(wù)提供者安全秩序維護(hù)、支付收款、用戶評(píng)價(jià)等。常見(jiàn)網(wǎng)絡(luò)預(yù)約汽車服務(wù)流程如右圖所示o的駕駛員App注冊(cè)/登錄核通過(guò)的駕駛員可以通過(guò)駕駛員App接收訂單叫車輛d)訂單匹配：網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者對(duì)乘客、給駕駛員e)駕駛員接單：駕駛員接收或自主選擇網(wǎng)絡(luò)預(yù)約汽g)安全秩序維護(hù)：網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者制定臺(tái)安全秩序，預(yù)防或者減少危害用戶人身和財(cái)產(chǎn)用，駕駛員收取運(yùn)送乘客產(chǎn)生的服務(wù)費(fèi)用安全的行為；行評(píng)價(jià)使用駕駛員駕駛員乘客乘客使用使用網(wǎng)絡(luò)預(yù)約汽車服務(wù)數(shù)據(jù)范圍二、基本要求五、數(shù)據(jù)使用和加工策披露、平臺(tái)內(nèi)經(jīng)營(yíng)者管理、發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告等六、數(shù)據(jù)提供和公開f)網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者的數(shù)據(jù)安全能力應(yīng)至少符合GB/T37988中的2級(jí)能力要求八、個(gè)人信息權(quán)利九、行程錄音錄像數(shù)據(jù)收集行蹤軌跡時(shí)，通過(guò)系統(tǒng)位置權(quán)限收集位置信息不應(yīng)超過(guò)1次/s一一、概述二、基本要求三、數(shù)據(jù)收集五、數(shù)據(jù)使用和加工六、數(shù)據(jù)提供和公開六、數(shù)據(jù)提供和公開九、行程錄音錄像數(shù)據(jù)安全要求收集個(gè)人信息a)a)通過(guò)App收集乘客必要個(gè)人信息應(yīng)符合GB/T41391-b)通過(guò)App收集駕駛員個(gè)人信息應(yīng)限于提供服務(wù)或履行法告知同意求申請(qǐng)系統(tǒng)權(quán)限網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者開展數(shù)據(jù)存儲(chǔ)活動(dòng)時(shí)，應(yīng)在遵守GB/T35273-2020中第6章要求的基a)網(wǎng)絡(luò)預(yù)約汽車服務(wù)個(gè)人信息存儲(chǔ)期限應(yīng)為實(shí)現(xiàn)個(gè)人信息處理目的所必需的最短時(shí)間，超出存儲(chǔ)期限后，應(yīng)對(duì)個(gè)人信息進(jìn)行刪除或匿名化處理，法律法規(guī)另有規(guī)定的除外四、數(shù)據(jù)存儲(chǔ)b)如超出個(gè)人信息存儲(chǔ)期限，但法律法規(guī)規(guī)定的保存期限未屆滿，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的，應(yīng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理五、數(shù)據(jù)使用和加工六、數(shù)據(jù)提供和公開八、個(gè)人信息權(quán)利九、行程錄音錄像數(shù)據(jù)安全要求務(wù)連續(xù)性數(shù)據(jù)訪問(wèn)控制個(gè)人信息展示按照數(shù)據(jù)分級(jí)建立相應(yīng)的數(shù)據(jù)訪問(wèn)控制措施和訪問(wèn)權(quán)限申請(qǐng)審批流程，將數(shù)據(jù)分級(jí)與數(shù)據(jù)訪問(wèn)權(quán)限進(jìn)行關(guān)聯(lián)標(biāo)識(shí)，訪問(wèn)權(quán)限應(yīng)明確數(shù)據(jù)查閱、更正、刪除、下載等操作五、數(shù)據(jù)使用和加工六、數(shù)據(jù)提供和公開格限制據(jù)安全保護(hù)義務(wù)b)應(yīng)與企業(yè)約定企業(yè)訂單中乘客個(gè)違規(guī)信息公開披露時(shí)，應(yīng)在遵守網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者數(shù)據(jù)出境應(yīng)在滿足GB/T35273—2020中9.8要求的基礎(chǔ)網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者數(shù)據(jù)出境應(yīng)在滿足GB/T35273—2020中9.8要求的基礎(chǔ)a)網(wǎng)絡(luò)預(yù)約汽車服務(wù)在境內(nèi)運(yùn)營(yíng)所收集和產(chǎn)生的個(gè)人信息、重要數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)據(jù)出境，如對(duì)租用的網(wǎng)絡(luò)鏈路進(jìn)行出境流量分析、對(duì)服務(wù)App與境外網(wǎng)絡(luò)通信行為進(jìn)行檢測(cè)分析等個(gè)人信息查閱和復(fù)制個(gè)人信息更正或補(bǔ)充個(gè)人信息投訴網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者向用戶提供個(gè)人信息查閱和復(fù)制，應(yīng)在遵守GB/T35273-2020中8.1、網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者提供個(gè)人信息更正或補(bǔ)充，應(yīng)在遵守GB/T35273-2020手機(jī)號(hào)碼、實(shí)名信息、緊急聯(lián)系人、常用地址、充服務(wù)，個(gè)人信息更正或補(bǔ)充服務(wù)應(yīng)簡(jiǎn)單方便、易于操作核實(shí)處理，并向投訴者及時(shí)反饋處理結(jié)果益乘客和駕駛員注銷賬戶網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者向用戶提供個(gè)人信息撤回同意，應(yīng)在遵守GB/T35273-2020中8.4要求網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者向用戶提供個(gè)人信息冊(cè)除，應(yīng)在遵守GB/T35273-2020中8.3要求的基除外c)賬戶注銷后，對(duì)于法律法規(guī)規(guī)定或者雙方約定意管理入口錄音前單獨(dú)提示，行程錄音宜通過(guò)駕駛員App或車載設(shè)備收集，行錄音前單獨(dú)提示，行程錄音宜通過(guò)駕駛員App或車載設(shè)備收集，行網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者對(duì)行程錄音錄像的收集，符合以下要求b)收集的行程錄像數(shù)據(jù)如需保存，應(yīng)保存才可上傳，緊急情況下為保護(hù)自然人的生命健康據(jù)加密、禁用或屏蔽調(diào)試接口六、數(shù)據(jù)提供和公開網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者對(duì)行程錄音錄像的使用，符合以下要求網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者對(duì)行程錄音錄像的存儲(chǔ)與刪除，符合以下一次行程服務(wù)完成后，如乘客和駕駛員對(duì)行程安全確認(rèn)無(wú)誤，應(yīng)能網(wǎng)絡(luò)預(yù)約汽車服務(wù)提供者應(yīng)在3天內(nèi)刪除行程錄音錄像八、個(gè)人信息權(quán)利c)直對(duì)行程錄音采取技術(shù)措施，使錄音可識(shí)b)收集的行程錄音數(shù)據(jù)存儲(chǔ)時(shí)間不應(yīng)超過(guò)7天，當(dāng)乘客或駕駛員有九、行程錄音錄像數(shù)據(jù)安全要求輛號(hào)牌、車內(nèi)乘客面部識(shí)別特征模糊化處理，如采取檢測(cè)技術(shù)在視16圖解《信息安全技術(shù)汽車數(shù)據(jù)處理安全要求》對(duì)汽車數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)安全活動(dòng)指導(dǎo)中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》GB/T40660《信息安全技術(shù)生物特征識(shí)別信息保護(hù)基本要求》規(guī)范性引用文件范圍范圍本文件規(guī)定了汽車數(shù)據(jù)處理者對(duì)汽車數(shù)據(jù)進(jìn)行收集，傳輸?shù)忍幚砘顒?dòng)的通用安全要求、車外數(shù)據(jù)安全要求、座艙數(shù)據(jù)安全要求和管理安全要求。本文件規(guī)定了汽車數(shù)據(jù)處理者對(duì)汽車數(shù)據(jù)進(jìn)行收集，傳輸?shù)忍幚砘顒?dòng)的通用安全要求、車外數(shù)據(jù)安全要求、座艙數(shù)據(jù)安全要求和管理安全要求。國(guó)家市場(chǎng)監(jiān)骨管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布煉石標(biāo)準(zhǔn)設(shè)計(jì)的六個(gè)術(shù)語(yǔ)和定義煉石開展汽車數(shù)據(jù)處理活動(dòng)的組織，包括汽車制造零部件和軟件供應(yīng)商、經(jīng)銷商、維修機(jī)構(gòu)以及出行汽車數(shù)據(jù)處理者8重要數(shù)據(jù),可能危害國(guó)家安全、公共利益或者個(gè)人、組織合法處理個(gè)人信息遵循的要求要求二、車外數(shù)據(jù)安全要求安全要求安全要求要求合規(guī)要求信息的保存期限時(shí)，應(yīng)具體且明確五、特例個(gè)人信息保存期限五、特例個(gè)人信息保存期限b)b)取得個(gè)人同意時(shí)，應(yīng)通過(guò)至少三種顯著方式向個(gè)人告知。顯著方式包括用戶手冊(cè)單獨(dú)章條提示、語(yǔ)音播放、車載顯示面板單獨(dú)彈窗提示、汽車使用相關(guān)應(yīng)用程序交互、汽車銷售協(xié)議單獨(dú)章條提示、維修服務(wù)協(xié)議單獨(dú)章條提示或出行服務(wù)應(yīng)告知個(gè)人方式e)向個(gè)人信息主體告知其個(gè)人信息保存地點(diǎn)時(shí)，應(yīng)將保存地點(diǎn)位置精個(gè)人信息保存地點(diǎn)c)c)應(yīng)使用清晰易懂的文字向個(gè)人信息主體說(shuō)明收集個(gè)人信息的具收集個(gè)人信息說(shuō)明閱、復(fù)制和刪除等個(gè)人信息管理一、通用安全要求二、車外數(shù)據(jù)安全要求一、通用安全要求二、車外數(shù)據(jù)安全要求為了在收到刪除個(gè)人信息請(qǐng)求后十個(gè)工作日內(nèi)完成刪除，原則上應(yīng)建立個(gè)人信息結(jié)構(gòu)化目錄，實(shí)現(xiàn)個(gè)人信息的可追溯管理。應(yīng)對(duì)每項(xiàng)敏感個(gè)人信息取得個(gè)人信息主體單獨(dú)同意，不應(yīng)一次性針對(duì)多項(xiàng)敏感個(gè)人信息可追溯管理個(gè)要求注：汽車數(shù)據(jù)處理者為駕駛?cè)颂峁┱Z(yǔ)音識(shí)別功能需五、特例五、特例原則上不應(yīng)以改善服務(wù)質(zhì)量、提升用戶個(gè)人信息。原則要求取得個(gè)人信息主體單獨(dú)同意時(shí)，處理敏感個(gè)人信息的同意期限不應(yīng)設(shè)置為“始終允許"或“永久取得個(gè)人信息主體單獨(dú)同意時(shí)，處理敏感個(gè)人信息的同意期限不應(yīng)設(shè)置為“始終允許"或“永久”。個(gè)數(shù)據(jù)，取得個(gè)人信息主體單獨(dú)同意時(shí)，可為個(gè)人信息主體提供單次、七天、三個(gè)月和一年等選項(xiàng)。五、特例持續(xù)收集敏感個(gè)人信息符合下列告知要求a)a)應(yīng)通過(guò)車載顯示面板圖標(biāo)或信號(hào)裝置指示燈的閃爍或長(zhǎng)亮等方式提示收集狀b)持續(xù)提示收集敏感個(gè)人信息時(shí)，應(yīng)根據(jù)信息類型的不同設(shè)置差異明顯且清晰a)a)應(yīng)評(píng)估是否具有增強(qiáng)行車安全的目的和注：增強(qiáng)行車安全的目的包括身份驗(yàn)證以及駕駛?cè)藸顟B(tài)監(jiān)測(cè)等。b)應(yīng)符合b)應(yīng)符合GB/T40660的全部要求。a)應(yīng)具備個(gè)人信息保護(hù)和個(gè)人權(quán)益一、通用安全要求二、車外數(shù)據(jù)安全要求c)c)應(yīng)對(duì)外告知準(zhǔn)確有效的姓名和聯(lián)系方式，聯(lián)系方式包括電話號(hào)碼、郵箱地址、網(wǎng)址或即時(shí)通信平臺(tái)賬號(hào)等；不便對(duì)外告知真實(shí)姓名的，應(yīng)告知長(zhǎng)合要求b)應(yīng)及時(shí)受理并處置個(gè)人信要求五、特例車外數(shù)據(jù)安全要求一、通用安全一、通用安全要求二、車外數(shù)據(jù)二、車外數(shù)據(jù)安全要求車外數(shù)據(jù)未完成三、座艙數(shù)據(jù)安全要求四、管理安全要求匿名化處理前，不應(yīng)向車外提供1)完整刪除：處理圖像時(shí)，分析以及語(yǔ)音識(shí)別等匿名化處理完成后，過(guò)程數(shù)據(jù)應(yīng)立即刪除，不應(yīng)安全要求安全要求要求要求汽車數(shù)據(jù)處理者安全管理機(jī)制和要求一、通用安全一、通用安全要求二、車外數(shù)據(jù)安全要求三、座艙數(shù)據(jù)安全要求四、管理安全五、特例汽車風(fēng)險(xiǎn)評(píng)估1對(duì)汽車數(shù)據(jù)安全管理負(fù)責(zé)人要求2受理汽車數(shù)據(jù)安受理汽車數(shù)據(jù)安對(duì)汽車制造商要求件應(yīng)急處置機(jī)制立健全安全事件應(yīng)急處置機(jī)制，每年至少開展一次應(yīng)急演練，并宜通過(guò)汽車數(shù)據(jù)存機(jī)制支撐安全事件發(fā)54543要求二、車外數(shù)據(jù)安全要求安全要求五、特例01圖解《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》與法規(guī)標(biāo)準(zhǔn)02數(shù)據(jù)開發(fā)利用面臨安全挑戰(zhàn)03數(shù)據(jù)安全產(chǎn)業(yè)迎來(lái)發(fā)展機(jī)遇04數(shù)據(jù)安全技術(shù)加速疊加演進(jìn)05數(shù)據(jù)安全框架形成產(chǎn)業(yè)共識(shí)06數(shù)據(jù)安全實(shí)踐落地重點(diǎn)行業(yè)“十四五”規(guī)劃黨中央、國(guó)務(wù)院重大決策部暑加快發(fā)展數(shù)字經(jīng)濟(jì)，促進(jìn)數(shù)字經(jīng)濟(jì)和實(shí)體經(jīng)濟(jì)深度融合，打造具有制定支持?jǐn)?shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展政策，積極推進(jìn)數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化，促進(jìn)數(shù)字技術(shù)和實(shí)體經(jīng)濟(jì)深度融合。關(guān)鍵詞6數(shù)據(jù)215安全網(wǎng)絡(luò)7525“二十大報(bào)告”提出，加快發(fā)展數(shù)字經(jīng)濟(jì)，促進(jìn)數(shù)字經(jīng)濟(jì)和實(shí)體經(jīng)濟(jì)深度融合，打造具有國(guó)際競(jìng)爭(zhēng)力的數(shù)字產(chǎn)業(yè)集群·《中共中央國(guó)務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》,從數(shù)據(jù)產(chǎn)權(quán)、流通交易、收益分配、安全治理等方面構(gòu)建數(shù)據(jù)基礎(chǔ)制度，提出20條政策舉措，激活數(shù)據(jù)要素潛能，做強(qiáng)做優(yōu)做大數(shù)字經(jīng)濟(jì)，增強(qiáng)經(jīng)濟(jì)發(fā)展新動(dòng)能·財(cái)政部《企業(yè)數(shù)據(jù)資源相關(guān)會(huì)計(jì)處理暫行規(guī)定》,將數(shù)據(jù)入財(cái)務(wù)報(bào)表并體現(xiàn)其真實(shí)價(jià)值與業(yè)務(wù)貢獻(xiàn)，對(duì)數(shù)據(jù)資源確認(rèn)范圍和會(huì)計(jì)處理適用準(zhǔn)則等作出規(guī)定，2024年1月起施行客戶數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)供應(yīng)鏈自動(dòng)化數(shù)字化生產(chǎn)力《焦點(diǎn)訪談》曝光上海某公司向境外出售中國(guó)高鐵數(shù)據(jù)(案由)(二)制卡數(shù)據(jù)違規(guī)明文留存(四)數(shù)燃安全管理較租放，存在數(shù)園泄s力：分明星人臉識(shí)別照片疑似泄漏明星素顏健康碼照片被售賣發(fā)布時(shí)間：2023年3月30日1.江蘇省無(wú)錫市新吳區(qū)人民檢察院督促保護(hù)服務(wù)場(chǎng)所消費(fèi)者個(gè)人信息行政公益訴訟案2.湖南省長(zhǎng)沙市望城區(qū)人民檢察院督促保護(hù)個(gè)人生物識(shí)別信息行政公益訴訟案3.浙江省湖州市檢察機(jī)關(guān)訴浙江旅游發(fā)展有限公司侵害公民個(gè)人信息民事公益訴訟案4.江西省宜春市人民檢察院督促保護(hù)醫(yī)療健康個(gè)人信息行政公益訴訟案…5.寧夏回族自治區(qū)青銅峽市人民檢察院訴張某某等人侵犯公民個(gè)人信息刑事附帶民事公益訴訟案6.上海市浦東新區(qū)人民檢察院訴張某侵犯公民個(gè)人信息刑事附帶民事公益訴訟案7.廣東省深圳市寶安區(qū)人民檢察院訴付某等人侵犯公民個(gè)人信息刑事附帶民事公益訴訟案8.遼寧省沈陽(yáng)市大東區(qū)人民檢察院督促規(guī)范政務(wù)公開個(gè)人信息保護(hù)行政公益訴訟案....,總大小236.3GB,包含104,001個(gè)文碼篡改外部因素：黑客脫庫(kù)、·存儲(chǔ)設(shè)備丟失所訪問(wèn)核心業(yè)務(wù)表、露案例分析案例分析Z0Z0OM因涉嫌非法泄漏個(gè)人數(shù)據(jù)而被起訴在沒(méi)有適當(dāng)通知的情況下將其共享給包括在數(shù)據(jù)存儲(chǔ)環(huán)節(jié)，風(fēng)險(xiǎn)威脅來(lái)自外部因素、內(nèi)部因素、數(shù)據(jù)庫(kù)系統(tǒng)安全等。外部因素包括黑客脫庫(kù)、數(shù)據(jù)庫(kù)后門、挖礦木馬、數(shù)據(jù)庫(kù)勒索、惡意篡改等，內(nèi)部因素包括內(nèi)部人員竊取、不同利益方對(duì)數(shù)據(jù)的超權(quán)限使用、弱口令配置、離線暴力破在數(shù)據(jù)存儲(chǔ)環(huán)節(jié)，風(fēng)險(xiǎn)威脅來(lái)自外部因素、內(nèi)部因素、數(shù)據(jù)庫(kù)系統(tǒng)安全等。外部因素包括黑客脫庫(kù)、數(shù)據(jù)庫(kù)后門、挖礦木馬、數(shù)據(jù)庫(kù)勒索、惡意篡改等，內(nèi)部因素包括內(nèi)部人員竊取、不同利益方對(duì)數(shù)據(jù)的超權(quán)限使用、弱口令配置、離線暴力破解、錯(cuò)誤配置等；數(shù)據(jù)庫(kù)系統(tǒng)安全包括數(shù)據(jù)庫(kù)軟件漏洞和應(yīng)用程序邏輯漏洞，如：SQL注入、提權(quán)、緩沖區(qū)溢出；存儲(chǔ)設(shè)備丟失等其他情況。烏云漏洞報(bào)告某易用戶數(shù)據(jù)庫(kù)疑似泄烏云漏洞報(bào)告某易用戶數(shù)據(jù)庫(kù)疑似泄案例描述案例描述2015年10月，國(guó)內(nèi)安全網(wǎng)絡(luò)反饋平臺(tái)WooYun(烏云)發(fā)布消息稱，某易的用戶數(shù)據(jù)庫(kù)疑似泄露,影響數(shù)量共計(jì)數(shù)億條，泄露信息包括用戶名、MD5密碼、密碼提示問(wèn)題/答案(hash)、注冊(cè)IP、生日等。某易郵箱過(guò)億數(shù)據(jù)泄漏(涉及郵箱賬號(hào)/密碼/用戶密保等)。案例分析根據(jù)《網(wǎng)絡(luò)安全法》第42條相關(guān)規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息；未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但是，經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外?！秱€(gè)人信息保護(hù)法》第九條規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全。淘寶近12億條用戶數(shù)據(jù)遭泄露淘寶近12億條用戶數(shù)據(jù)遭泄露案例描述2020年8月，淘寶(中國(guó))軟件有限公司報(bào)警稱，2020年7月6日至13日之間，有黑產(chǎn)通過(guò)mtop訂單評(píng)價(jià)接口繞過(guò)平臺(tái)風(fēng)控批量爬取加密數(shù)據(jù)，爬取字段量巨大,7月6日至13日之間平均每天爬取數(shù)量500萬(wàn)，爬取內(nèi)容包括買家昵稱、用戶評(píng)價(jià)內(nèi)容、昵稱等敏感字段。法院判定，被告人黎某犯侵犯公民個(gè)人信息罪。判處有期徒刑三年六個(gè)月，并處罰金人民幣三十五萬(wàn)元案例分析逯某在其家中利用自己開發(fā)的爬蟲軟件，通過(guò)淘寶網(wǎng)頁(yè)接口爬取淘寶客戶的信息，提供給黎某開設(shè)的瀏陽(yáng)市泰創(chuàng)網(wǎng)絡(luò)科技有限公司?！秱€(gè)人信息保護(hù)法》第十條規(guī)定，任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息；不得從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)。英國(guó)電信運(yùn)營(yíng)商英國(guó)電信運(yùn)營(yíng)商人信息泄露案例描述案例描述據(jù)《華爾街日?qǐng)?bào)》雜志版2015年8月報(bào)道，英國(guó)電信運(yùn)營(yíng)商CarphoneWarehouse表示，在近來(lái)備受外界關(guān)注的黑客入侵事件中，約有240萬(wàn)在線用戶的個(gè)人信息遭到黑客入侵，包含姓名、地址、出生日期和加密的信用卡數(shù)據(jù)。案例分析案例分析根據(jù)《數(shù)據(jù)保護(hù)法案》規(guī)定：處理過(guò)程中應(yīng)確保個(gè)人數(shù)據(jù)的安全采取合理的技術(shù)手段、組織措施，避免數(shù)據(jù)未經(jīng)授權(quán)即被處理或遭到非法處理，避免數(shù)據(jù)發(fā)生意外毀損或滅失“數(shù)據(jù)的完整性與保密性”?？刂普哂胸?zé)任遵守以上第1段，并且有責(zé)任對(duì)此提供證明?！翱蓡?wèn)責(zé)性”違反相關(guān)規(guī)定。在數(shù)據(jù)使用環(huán)節(jié)，風(fēng)險(xiǎn)威脅來(lái)自外部因素、內(nèi)部因素、系統(tǒng)安全等。外部因素包括賬戶劫持、在數(shù)據(jù)使用環(huán)節(jié)，風(fēng)險(xiǎn)威脅來(lái)自外部因素、內(nèi)部因素、系統(tǒng)安全等。外部因素包括賬戶劫持、APT攻擊、身份偽裝、認(rèn)證失效、密鑰丟失、漏洞攻擊、木馬注入等；內(nèi)部因素包括內(nèi)部人員、DBA違規(guī)操作竊取、濫用、泄露數(shù)據(jù)等，如：非授權(quán)訪問(wèn)敏感數(shù)據(jù)、非工作時(shí)間、工作場(chǎng)所訪問(wèn)核心業(yè)務(wù)表、高危指令操作；系統(tǒng)安全包括不嚴(yán)格的權(quán)限訪問(wèn)、多源異構(gòu)數(shù)據(jù)集成中隱私泄露等。被泄露案例描述案例描述湖南某銀行支行行長(zhǎng)，出售查詢賬號(hào)伙同銀行關(guān)系的“出單渠道”團(tuán)伙，進(jìn)入內(nèi)網(wǎng)系統(tǒng)，大肆竊取征信報(bào)告、賬戶明細(xì)、余額等個(gè)人信息。公安抓獲包括銀行管理層在內(nèi)的犯罪團(tuán)伙骨干分子15人、查獲公民銀行個(gè)人信息257萬(wàn)條、涉案資金230萬(wàn)元。根據(jù)最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》中規(guī)定，未經(jīng)被收集者同意，將合法收集的公民個(gè)人信息”;第四條規(guī)定，違反國(guó)家有關(guān)規(guī)定，通過(guò)購(gòu)買、收受、交換等方式獲取公民個(gè)人信息，或者在履行職責(zé)、提供服務(wù)過(guò)程中收集公民個(gè)人信息的，屬于刑法規(guī)定的“以其他方法非法獲取公民個(gè)人信息”。案例描述案例描述2018年3月，某法院審理了某地方公務(wù)員竊取信息案件。從2010年起，朱某(公務(wù)員)利用職務(wù)便利，應(yīng)朋友劉某、王某的要求，超越職權(quán)下載了一些公民個(gè)人信息，并提供使用，經(jīng)統(tǒng)計(jì)，累計(jì)提供個(gè)人信息數(shù)82萬(wàn)余條。案例分析案例分析在本案中，劉某非法獲取、出售的信息中的個(gè)人姓名與通信通訊聯(lián)系方式、身份證件號(hào)碼等信息能夠單獨(dú)或者彼此結(jié)合識(shí)別特定自然人身份，屬于刑法中規(guī)定的“公民個(gè)人信息”,其非法獲取、提供、出售相關(guān)信息，情節(jié)特別嚴(yán)重，構(gòu)成侵犯公民個(gè)人信息罪。2015年，全球最大的嬰幼兒及學(xué)前電子學(xué)習(xí)產(chǎn)品企號(hào)使用的姓名、住址、郵件、密碼等數(shù)據(jù)泄露。2018年，美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)宣布對(duì)偉易達(dá)(VTech)處以65萬(wàn)美元的罰款?！睹绹?guó)兒童網(wǎng)絡(luò)隱私保護(hù)法COPPA》規(guī)定，運(yùn)營(yíng)者2017年，因某為公司誤操作導(dǎo)致某集團(tuán)80萬(wàn)用戶數(shù)據(jù)丟失，此次故障影響面非常大，涉及欽州、北海、防城港、桂林、梧州、賀州等地用戶，屬于重大通信事故。事故發(fā)生后，某集團(tuán)已經(jīng)發(fā)布聲明承認(rèn)故障影響，技術(shù)人員也已經(jīng)展開緊急維修。有消息稱因?yàn)榇舜问鹿剩碁楣疽呀?jīng)被某集團(tuán)處以5億罰款，同時(shí)某集團(tuán)已經(jīng)展開全國(guó)范圍的系統(tǒng)大排查，主要針對(duì)案例描述案例描述2020年1月，微軟意外地在網(wǎng)上曝光了2.5億條客戶服務(wù)和支持記錄。泄漏的數(shù)據(jù)包含客戶電子郵件地、IP地址、地點(diǎn)、CSS聲明和案例的描述、案例編號(hào)、解決方案和備注等。微軟確認(rèn)此數(shù)據(jù)泄漏，并揭示此問(wèn)題是由微軟內(nèi)部案2019年9月Facebook證實(shí)，存儲(chǔ)了超4億條與。最終，美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)宣布與在數(shù)據(jù)傳輸環(huán)節(jié)，數(shù)據(jù)泄露主要包括網(wǎng)絡(luò)攻擊、傳輸泄露等風(fēng)險(xiǎn)。網(wǎng)絡(luò)攻擊包括DDoS攻擊、APT在數(shù)據(jù)傳輸環(huán)節(jié)，數(shù)據(jù)泄露主要包括網(wǎng)絡(luò)攻擊、傳輸泄露等風(fēng)險(xiǎn)。網(wǎng)絡(luò)攻擊包括DDoS攻擊、APT攻擊、通信流量劫持、中間人攻擊、DNS欺騙和IP欺騙、泛洪攻擊威脅等；傳輸泄露包括電磁泄漏或搭線竊聽、傳輸協(xié)議漏洞、未授權(quán)身份人員登錄系統(tǒng)、無(wú)線網(wǎng)安全薄弱等。54億條!無(wú)錫破獲一起侵犯公民信息54億條!無(wú)錫破獲一起侵犯公民信息案案例描述案例描述江蘇網(wǎng)安部門偵查查明，犯罪嫌疑人何某利用為相關(guān)單位、企業(yè)建設(shè)信息系統(tǒng)之機(jī)，非法獲取醫(yī)療、出行、快遞等公民個(gè)人信息54億條，搭建對(duì)外傳輸提供非法查詢服務(wù)的數(shù)據(jù)庫(kù)，通過(guò)暗網(wǎng)發(fā)布廣告招攬客戶，出售牟取不法利益。2億條數(shù)據(jù)!分類傳輸牟取2億條數(shù)據(jù)!分類傳輸牟取暴利!案例描述案例描述江蘇公安網(wǎng)安部門偵查查明，犯罪嫌疑人關(guān)某利用多個(gè)空殼公司與多家電信運(yùn)營(yíng)商簽訂合同，非法獲取電信用戶手機(jī)上網(wǎng)標(biāo)簽數(shù)據(jù)2億余條，按照地域、行業(yè)等分類后，向下游營(yíng)銷人員和電信網(wǎng)絡(luò)詐騙犯罪人員傳輸販賣牟利。南非大規(guī)模數(shù)據(jù)泄露事件3160南非大規(guī)模數(shù)據(jù)泄露事件3160萬(wàn)份南非公民數(shù)據(jù)被泄漏案例描述案例描述2017年，南非史上規(guī)模最大的數(shù)據(jù)泄露事件——共有3160萬(wàn)份用戶的個(gè)人資料被公之于眾，連總統(tǒng)祖馬和多位部長(zhǎng)都未能幸免。泄漏信息包括身份號(hào)碼、個(gè)人收入、年齡，甚至就業(yè)歷史、公司董事身份、種族群體、婚姻狀況、職業(yè)、雇主和家庭地址等敏感信息。何某通過(guò)搭建具備查詢功能的數(shù)據(jù)庫(kù)，并利用非法網(wǎng)絡(luò)平臺(tái)提供查詢公民個(gè)人信息的服務(wù)以此獲利?！秱€(gè)人信息保護(hù)法》第十條規(guī)定，任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息；不得從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)。案例分析案例分析侵犯公民個(gè)人信息罪是《刑法修正案(九)》的新罪名。在大數(shù)據(jù)時(shí)代，侵犯公民個(gè)人信息犯罪處于高發(fā)態(tài)勢(shì)，公安機(jī)關(guān)的打擊力度也越來(lái)越大,非法獲取、出售或提供50條以上征信、財(cái)產(chǎn)等公民個(gè)人信息，即構(gòu)成刑事犯罪。個(gè)人信息價(jià)值極高，應(yīng)采取必要技術(shù)措施保護(hù)個(gè)人信息，還應(yīng)注意以下幾點(diǎn)：對(duì)于任何通過(guò)電話、傳真或電子郵件提出的機(jī)密信息要求，請(qǐng)勿透露密碼、PIN碼等個(gè)人信息；定期變更密碼，切勿將密碼與他人共享；不繼續(xù)使用可能已經(jīng)泄露的信息，而應(yīng)使用之前未用過(guò)的其他個(gè)人信息進(jìn)行身份確認(rèn)。在數(shù)據(jù)提供環(huán)節(jié)，風(fēng)險(xiǎn)威脅來(lái)自政策因素、外部因素、內(nèi)部因素等。政策因素主要指不合規(guī)的提供和共享；內(nèi)部因素指缺乏數(shù)據(jù)拷貝的使用管控和終端審計(jì)、行為抵賴、數(shù)據(jù)發(fā)送錯(cuò)誤、非授權(quán)隱私泄露/修改、第三方過(guò)失而造成數(shù)據(jù)泄露；外部因素指惡意程序入侵、病毒侵?jǐn)_、網(wǎng)絡(luò)在數(shù)據(jù)提供環(huán)節(jié)，風(fēng)險(xiǎn)威脅來(lái)自政策因素、外部因素、內(nèi)部因素等。政策因素主要指不合規(guī)的提供和共享；內(nèi)部因素指缺乏數(shù)據(jù)拷貝的使用管控和終端審計(jì)、行為抵賴、數(shù)據(jù)發(fā)送錯(cuò)誤、非授權(quán)隱私泄露/修改、第三方過(guò)失而造成數(shù)據(jù)泄露；外部因素指惡意程序入侵、病毒侵?jǐn)_、網(wǎng)絡(luò)脫口秀演員交易流水遭泄露，某銀行脫口秀演員交易流水遭泄露，某銀行2020年5月6日，脫口秀演員池子(本名王越池)何某通過(guò)搭建具備查詢功能的數(shù)據(jù)庫(kù)，并利用非法網(wǎng)絡(luò)平臺(tái)提供查詢公民個(gè)人信息的服務(wù)以此獲《商業(yè)銀行法》第二十九條規(guī)定，商業(yè)銀行辦理個(gè)人儲(chǔ)蓄存款業(yè)務(wù)，應(yīng)當(dāng)遵循存款自愿、取款自元顧某收到“車輛違規(guī)未處理”短信鏈接，其銀行賬戶被開通天翼電子商務(wù)、易寶支付、蘇寧易付寶、北京百付寶、快錢支付、美團(tuán)大眾點(diǎn)評(píng)、支付寶、財(cái)付通等多個(gè)第三方快捷支付服務(wù)，并通過(guò)其中部分第三方支付平臺(tái)連續(xù)扣款52筆，每筆金額從1元至2500元不等，共計(jì)36960.79元?！秱€(gè)人信息保護(hù)法》十四條規(guī)定，個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變侵犯公民的電話信息10萬(wàn)多條侵犯公民的電話信息10萬(wàn)多條2020年5月份至8月份，被告人劉某花8000元在網(wǎng)上購(gòu)買“北斗創(chuàng)客”軟件，通過(guò)該軟件非法獲取公民的電話信息10萬(wàn)多條。2020年7月份，劉某通過(guò)QQ聯(lián)系被告人高某欲購(gòu)買公民個(gè)人信息數(shù)據(jù)，后被告人高某分兩次以1000元的價(jià)格出售給被告人劉某公民個(gè)人信息數(shù)據(jù)6萬(wàn)多條。2020年5月份至8月份，被告人劉某花8000元在網(wǎng)上購(gòu)買“北斗創(chuàng)客”軟件，通過(guò)該軟件非法獲取公民的電話信息10萬(wàn)多條。2020年7月份，劉某通過(guò)QQ聯(lián)系被告人高某欲購(gòu)買公民個(gè)人信息數(shù)據(jù)，后被告人高某分兩次以1000元的價(jià)格出售給被告人劉某公民個(gè)人信息數(shù)據(jù)6萬(wàn)多條。在數(shù)據(jù)公開環(huán)節(jié)，泄露風(fēng)險(xiǎn)主要是很多數(shù)據(jù)在未經(jīng)過(guò)嚴(yán)格保密審查、未進(jìn)行泄在數(shù)據(jù)公開環(huán)節(jié)，泄露風(fēng)險(xiǎn)主要是很多數(shù)據(jù)在未經(jīng)過(guò)嚴(yán)格保密審查、未進(jìn)行泄微信朋友圈中流傳著某醫(yī)院數(shù)千人名微信朋友圈中流傳著某醫(yī)院數(shù)千人名單案例描述案例描述微信群里出現(xiàn)某醫(yī)院出入人員名單信息，內(nèi)容涉及6000余人的姓名、住址、聯(lián)系方式、身份證號(hào)碼等個(gè)人身份信息，造成了不良社會(huì)影響。公安機(jī)關(guān)依法對(duì)葉某、姜某、張某給予行政拘留的處案例分析案例分析《個(gè)人信息保護(hù)法》第二十五條規(guī)定，個(gè)人信息處理者不得公開其處理的個(gè)人信息，取得個(gè)人單獨(dú)同意的除外。依據(jù)《中華人民共和國(guó)治安管理處罰法》第二十九條規(guī)定，有下列行為之一的，處5日以下拘留；情節(jié)較重的，處5日以上10日以下拘留：違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的。某市區(qū)129位村民個(gè)人信息河北省某市區(qū)政府公開發(fā)布《某區(qū)2020年8月份農(nóng)村特困供養(yǎng)金發(fā)放明細(xì)》,涉及129位村民的姓名、身份證號(hào)、銀行卡號(hào)和發(fā)放款數(shù)等，經(jīng)核實(shí)，發(fā)布機(jī)構(gòu)某區(qū)民政局確實(shí)存在泄露隱私的問(wèn)題，隨后刪除了該名單，并受到了內(nèi)部公開群內(nèi)通報(bào)批評(píng)，書面反饋整改內(nèi)容的處罰。案例分析隨著我國(guó)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》與《個(gè)人信息保護(hù)法》等法律相繼實(shí)施，我國(guó)保護(hù)個(gè)人信息安全的法律網(wǎng)絡(luò)越織越密。對(duì)個(gè)人信息公開設(shè)定相應(yīng)的標(biāo)準(zhǔn)和尺度，對(duì)關(guān)鍵個(gè)人隱私信息進(jìn)行模糊處理，或進(jìn)行屏蔽，切實(shí)保護(hù)好個(gè)人信息某市區(qū)政府信息公開45位公民個(gè)人信息某單位在官網(wǎng)頁(yè)面“政府信息公開”一欄中公示某文件中，未對(duì)行政處罰單位的法定代表人、行政處罰自然人以及行政相對(duì)人的法定代表人的個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理，致使45名公民的姓名、身份號(hào)碼等重要信息公開，存在泄露公民個(gè)人在保證政務(wù)信息應(yīng)公開盡公開的同時(shí)，注意個(gè)人信息保護(hù)，對(duì)確需進(jìn)行公示的信息，嚴(yán)格按照相一一又?jǐn)U展到其他數(shù)據(jù)庫(kù)技術(shù)，例如MySQL,等345.6億客戶數(shù)據(jù)泄露案例分析案例分析安全的價(jià)值源頭嚴(yán)寒和酷暑，是這個(gè)世界與生俱來(lái)的暖氣和空調(diào)的發(fā)明和生產(chǎn)就不是無(wú)謂的損失了而是切實(shí)地改善了我們的環(huán)境、帶來(lái)巨大福利的重要投資*薛兆豐-關(guān)于數(shù)字安全的經(jīng)濟(jì)規(guī)律和行動(dòng)策略44301圖解《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》與法規(guī)標(biāo)準(zhǔn)02數(shù)據(jù)開發(fā)利用面臨安全挑戰(zhàn)03數(shù)據(jù)安全產(chǎn)業(yè)迎來(lái)發(fā)展機(jī)遇04數(shù)據(jù)安全技術(shù)加速疊加演進(jìn)05數(shù)據(jù)安全框架形成產(chǎn)業(yè)共識(shí)06數(shù)據(jù)安全實(shí)踐落地重點(diǎn)行業(yè)數(shù)據(jù)安全護(hù)航數(shù)字能源擘畫新局?jǐn)?shù)據(jù)安全深入融合智能交通建設(shè)數(shù)據(jù)安全護(hù)航數(shù)字能源擘畫新局?jǐn)?shù)據(jù)安全賦能智慧文旅產(chǎn)業(yè)升級(jí)打造智慧醫(yī)療數(shù)據(jù)安全保障體系數(shù)據(jù)安全賦能智慧文旅產(chǎn)業(yè)升級(jí)*第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要十大數(shù)實(shí)融合場(chǎng)景結(jié)果合規(guī)過(guò)程合規(guī)實(shí)戰(zhàn)對(duì)抗結(jié)果合規(guī)過(guò)程合規(guī)實(shí)戰(zhàn)對(duì)抗實(shí)戰(zhàn)之三體2022年三次產(chǎn)業(yè)占GDP比重占占第二產(chǎn)業(yè)第二產(chǎn)業(yè)工業(yè)從中低附加值到中高附加值個(gè)人信息服務(wù)業(yè)加速邁向數(shù)字化制魏識(shí)份標(biāo)識(shí)因擅終體感整、常蛇人數(shù)摩進(jìn)書等)安全投入比例不足業(yè)務(wù)建設(shè)現(xiàn)在的信息化系統(tǒng)安全威脅嚴(yán)峻原因1:經(jīng)濟(jì)學(xué)外部效應(yīng)經(jīng)濟(jì)學(xué)外部效應(yīng)·數(shù)據(jù)泄露給他人造成損害，對(duì)企業(yè)影響反而不大·解決辦法是通過(guò)立法，讓“防數(shù)據(jù)泄露”成為公共安全產(chǎn)品，類似環(huán)保原因2:個(gè)人決策的因素2002年的諾貝爾經(jīng)人在面臨獲利時(shí)，人在面臨獲利時(shí)，不愿冒風(fēng)險(xiǎn)，希望穩(wěn)定的拿到收益人在面臨損失時(shí)，人在面臨損失時(shí)，人人成了冒險(xiǎn)家，愿意賭一把……損失的痛苦比獲得所帶來(lái)的喜悅更敏感強(qiáng)合規(guī)監(jiān)管深化鞭子效力核心數(shù)據(jù)嚴(yán)格管理重要數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估分級(jí)分類 網(wǎng)絡(luò)信息安全重要數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估分級(jí)分類 內(nèi)容控制 網(wǎng)絡(luò)運(yùn)行安全等級(jí)保護(hù)安全風(fēng)險(xiǎn)處置網(wǎng)絡(luò)實(shí)名制網(wǎng)絡(luò)產(chǎn)品/服務(wù)跨境配合調(diào)取數(shù)據(jù)等級(jí)保護(hù)安全風(fēng)險(xiǎn)處置網(wǎng)絡(luò)實(shí)名制網(wǎng)絡(luò)產(chǎn)品/服務(wù)跨境數(shù)據(jù)交易中介特殊類型數(shù)據(jù) 敏感個(gè)人信息關(guān)鍵信息基礎(chǔ)設(shè)施 敏感個(gè)人信息 汽車數(shù)據(jù) 兒童個(gè)人信息數(shù)據(jù)本地化與跨境 健康醫(yī)療數(shù)據(jù)數(shù)據(jù)本地化與跨境 權(quán)利響應(yīng) 測(cè)繪數(shù)據(jù)網(wǎng)絡(luò)安全審查和供應(yīng)鏈安全 測(cè)繪數(shù)據(jù)煉石數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展階段性(先發(fā)展再治理，今天已到拐點(diǎn))、自身特殊性(經(jīng)濟(jì)學(xué)外部效應(yīng)帶來(lái)的密集法律法規(guī)),形成非線性增長(zhǎng)驅(qū)動(dòng)力。國(guó)家安全機(jī)關(guān)破獲我國(guó)首例涉及高鐵運(yùn)行安全的危害國(guó)家安全類案件國(guó)家安全機(jī)關(guān)破獲我國(guó)首例涉及高鐵運(yùn)行安全的危害國(guó)家安全類案件2