ICS35. 030 CCS L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 42017—2022 信息安全技术 网络预约汽车服务数据安全要求 I n f o rma t i ons e c u r i t e chno l o t as e c u r i t equ i r emen t sf o ron l i ne yt gy—Da yr r i d e ha i l i ngs e r v i c e s 2022 10 12 发布 2023 05 01 实施 国家市场监督管理总局 国家标准化管理委员会 发 布 GB/T 42017—2022 目 次 前言 ………………………………………………………………………………………………………… Ⅲ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 缩略语 …………………………………………………………………………………………………… 2 5 概述 ……………………………………………………………………………………………………… 2 5. 1 网络预约汽车服务业务组成 ……………………………………………………………………… 2 5. 2 网络预约汽车服务数据范围 ……………………………………………………………………… 3 6 基本要求 ………………………………………………………………………………………………… 3 7 数据收集 ………………………………………………………………………………………………… 4 7. 1 收集个人信息 ……………………………………………………………………………………… 4 7. 2 申请系统权限 ……………………………………………………………………………………… 4 7. 3 告知同意 …………………………………………………………………………………………… 4 8 数据存储 ………………………………………………………………………………………………… 4 9 数据使用和加工 ………………………………………………………………………………………… 5 9. 1 数据访问控制 ……………………………………………………………………………………… 5 9. 2 个人信息展示 ……………………………………………………………………………………… 5 9. 3 用户画像使用 ……………………………………………………………………………………… 5 9. 4 驾驶员信用记录使用 ……………………………………………………………………………… 6 10 数据提供和公开 ………………………………………………………………………………………… 6 10. 1 数据提供 …………………………………………………………………………………………… 6 10. 2 违法违规信息公开披露 …………………………………………………………………………… 7 11 数据出境 ………………………………………………………………………………………………… 7 12 乘客和驾驶员个人信息权利 …………………………………………………………………………… 7 12. 1 个人信息查阅和复制 ……………………………………………………………………………… 7 12. 2 个人信息更正或补充 ……………………………………………………………………………… 8 12. 3 个人信息投诉 ……………………………………………………………………………………… 8 12. 4 个人撤回同意 ……………………………………………………………………………………… 8 12. 5 个人信息删除 ……………………………………………………………………………………… 8 12. 6 乘客和驾驶员注销账户 …………………………………………………………………………… 8 13 行程录音录像数据安全要求 …………………………………………………………………………… 9 13. 1 行程录音录像数据安全基本要求 ………………………………………………………………… 9 13. 2 行程录音录像的收集 ……………………………………………………………………………… 9 13. 3 行程录音录像的使用 ……………………………………………………………………………… 9 13. 4 行程录音录像的存储与删除 ……………………………………………………………………… 9 Ⅰ GB/T 42017—2022 附录 A (资料性) 网络预约汽车服务数据处理活动及数据安全风险 ………………………………… 10 附录 B (资料性) 网络预约汽车服务重要数据识别参考规则及数据分类示例 ……………………… 12 附录 C (资料性) 驾驶员个人信息和常见扩展业务功能收集个人信息范围及使用要求 …………… 15 附录 D (资料性) 网络预约汽车服务 App 相关系统权限申请范围及使用要求 …………………… 17 附录 E (资料性) 行程录音收集协议范式模板示例 …………………………………………………… 19 附录 F (资料性) 投诉处理场景数据安全保护要求 …………………………………………………… 20 附录 G (资料性) 网络预约汽车服务数据脱敏规则示例 ……………………………………………… 21 附录 H (资料性) 行程录音录像数据安全管理范式模板示例 ………………………………………… 22 参考文献 …………………………………………………………………………………………………… 25 Ⅱ GB/T 42017—2022 前 本文件按照 GB/T1. 1—2020《标准化工作导则 起草。 言 第 1 部分:标准化文件的结构和起草规则》的规定 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。 本文件起草单位:中国电子技术标准化研究院、北京小桔科技 有 限 公 司、中 电 长 城 网 际 系 统 应 用 有 限公司、中国网络安全审查技术与认证中心、北京信息安全测评中心、北京三快在线科技有限公司、北京 百度网讯科技有限公司、北京易行出行旅游有限公司、北京假日阳光环 球 旅 行 社 有 限 公 司、广 州 祺 宸 科 技有限公司、上海赛可出行科技服务有限公司、同程网络科技股份有限 公 司、国 家 计 算 机 网 络 应 急 技 术 处理协调中心、公安部第三研究所、中国信息通信研究院、中国科学 院 信 息 工 程 研 究 所、重 庆 邮 电 大 学、 北京市竞天公诚律师事务所上海分所、闪捷信息科技有限公司、杭州优 行 科 技 有 限 公 司、南 京 领 行 科 技 股份有限公司。 本文件主要起草人:上官晓丽、胡影、陈舒、孙铁、张娜、房子成、许锐、闵京华、杨建军、李海东、赵新强、 朱雪峰、王姣、李 媛、许 静 慧、宋 子 奕、郭 建 领、吴 清 华、刘 沁 华、叶 串、李 阳、叶 俊、倪 春 娟、刘 欢、常 博 厚、 蒋忠志、唐迪、王文磊、戚琳、袁立志、蒋昕妍、韩冬旭、徐 光 侠、徐 雨 晴、陈 广 辉、张 智 明、张 婧 玲、李 京 峰、 张中维。 Ⅲ GB/T 42017—2022 信息安全技术 网络预约汽车服务数据安全要求 1 范围 本文件规定了网络预约汽车服务的收集、存储、使用、加工、提供、公开、出境等数据处理活动的安全 要求。 本文件适用于网络预约汽车服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对网 络预约汽车服务数据处理活动进行监督、管理、评估提供参考。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必 不 可 少 的 条 款。其 中,注 日 期 的 引 用 文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包 括 所 有 的 修 改 单)适 用 于 本文件。 GB/T25069 信息安全技术 术语 GB/T35273—2020 信息安全技术 GB/T37988 信息安全技术 GB/T39335 信息安全技术 个人信息安全规范 数据安全能力成熟度模型 个人信息安全影响评估指南 GB/T41391—2022 信息安全技术 移动互联网应用程序( App)收集个人信息基本要求 GB/T41479 信息安全技术 网络数据处理安全要求 3 术语和定义 3. 1 GB/T25069 和 GB/T35273—2020 界定的以及下列术语和定义适用于本文件。 网络预约汽车服务 on l i ner i de ha i l i ngs e r v i c e 以互联网技术为依 托 构 建 服 务 平 台,整 合 供 需 信 息,为 用 户 提 供 网 络 预 约 汽 车 出 行 服 务 的 经 营 活动。 注:本文件的网络预约汽车服务,主要指网络预约出租汽车(简称“网约车”)服务,不 包 括 私 人 小 客 车 合 乘(俗 称“顺 3. 2 风车”)、网约货运和网约巴士。 网络预约汽车服务平台 on l i ner i de ha i l i ngs e r v i c ep l a t f o rm 通过网络信息技术整合出行供需信息,使用符合条件的车辆和驾驶员,提供网络预约汽车服务的信 息系统。 3. 3 网络预约汽车服务提供者 on l i ner i d e ha i l i ngs e r v i c epr o v i de r 利用网络预约汽车服务平台,提供网络预约汽车服务的组织。 注:本文件的网络预约汽车服务提供者,主要指网络预约汽车服务平台运营者。 1 GB/T 42017—2022 3. 4 网络预约汽车第三方服务平台 t h i r d r t l i ner i de ha i l i ngs e r v i c ep l a t f o rm pa yon 接入一家或者多家网络预约汽车服务平台,为用户提供网络预约 汽 车 订 单 呼 叫 服 务 的 第 三 方 网 络 服务平台。 注:常见的网络预约汽车第三方服务平台形式为在同一 平 台 内 聚 合 多 家 网 络 预 约 汽 车 服 务,此 类 平 台 通 常 称 为 聚 合平台,在本文件中简称“第三方服务平台”。 3. 5 网络预约汽车服务数据 on l i ner i de ha i l i ngs e r v i
GB/T 42017-2022 信息安全技术 网络预约汽车服务数据安全要求
文档预览
中文文档
32 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共32页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 SC 于 2022-11-08 04:19:23上传分享