YD/T 3105-2016
基本信息
标准号: YD/T 3105-2016
中文名称:电信和互联网服务 用户个人信息保护技术要求 电子商务服务
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
相关标签: 电信 用户 个人信息 保护 技术 电子商务 服务
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 3105-2016.Telecom and internetservice technicial requirements for userpersonal information protection electronic commerce service.
1范围
YD/T 3105规定了电子商务服务的用户个人信息及相关权益的保护要求。
YD/T 3105适用于电子商务服务。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 2781-2014电信和互联网服务用户个人信息保护 定义及分类
YD/T 2782-2014电信和互联网服务用户个人信息保护 分级指南
3术语和定义
下列术语和定义适用于本文件。
3.1
电子商务 Electronic Commerce
利用各种与公用通信网或互联网相连的数据与交易/事务处理应用平台,通过公用通信网或互联网为用户提供在线数据处理和交易/事务处理的业务。
3.2
用户 User
中华人民共和国境内用户。
3.3
脱敏 Desensitization
通过模糊化等方法对原始数据进行处理,达到屏蔽真实数据和结果不可逆的一-种数据保护方式。
4缩略语
下列缩略语适用于本文件。
MAC Media Access Control 介质访问控制
5电子商务服务分级方法
电子商务服务用户个人信息保护分级对象为电子商务服务。
本标准根据电子商务服务过程中所收集、转移和使用的用户个人信息涉及到的分级要素,确定电子商务服务的用户个人信息保护级别,并提出不同级别电子商务服务的用户个人信息保护要求。
用户个人信息的定义及分类见YD/T 2781-2014,用户个人信息保护分级方法和分级要素见YD/T 2782-2014。
1范围
YD/T 3105规定了电子商务服务的用户个人信息及相关权益的保护要求。
YD/T 3105适用于电子商务服务。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 2781-2014电信和互联网服务用户个人信息保护 定义及分类
YD/T 2782-2014电信和互联网服务用户个人信息保护 分级指南
3术语和定义
下列术语和定义适用于本文件。
3.1
电子商务 Electronic Commerce
利用各种与公用通信网或互联网相连的数据与交易/事务处理应用平台,通过公用通信网或互联网为用户提供在线数据处理和交易/事务处理的业务。
3.2
用户 User
中华人民共和国境内用户。
3.3
脱敏 Desensitization
通过模糊化等方法对原始数据进行处理,达到屏蔽真实数据和结果不可逆的一-种数据保护方式。
4缩略语
下列缩略语适用于本文件。
MAC Media Access Control 介质访问控制
5电子商务服务分级方法
电子商务服务用户个人信息保护分级对象为电子商务服务。
本标准根据电子商务服务过程中所收集、转移和使用的用户个人信息涉及到的分级要素,确定电子商务服务的用户个人信息保护级别,并提出不同级别电子商务服务的用户个人信息保护要求。
用户个人信息的定义及分类见YD/T 2781-2014,用户个人信息保护分级方法和分级要素见YD/T 2782-2014。
标准图片预览
标准内容
ICS33.030
中华人民共和国通信行业标准
YD/T3105-2016
电信和互联网服务
用户个人信息保护技术要求
电子商务服务
Telecom and internetservice technicial requirements foruserpersonalinformationprotectionelectroniccommerceservice2016-07-11发布
2016-10-01实施
中华人民共和国工业和信息化部发布前
范围·
规范性引用文件
术语和定义
缩略语·
5电子商务服务分级方法
6电子商务服务用户个人信息保护环节及用户个人信息保护内容电子商务服务用户个人信息保护技术要求YD/T3105-2016
YD/T3105-2016
本标准是“电信和互联网服务用户个人信息保护”系列标准之一,该系列标准名称和结构预计如下:
一YD/T2781-2014电信和互联网服务用户个人信息保护定义及分类一YD/T2782-2014电信和互联网服务用户个人信息保护分级指南一YD/T3106-2016电信和互联网服务用户个人信息保护技术要求移动应用商店一YD/T3105-2016电信和互联网服务用户个人信息保护技术要求电子商务服务一电信和互联网服务用户个人信息保护技术要求即时通信服务本标准按照GB/T1.1-2009给出的规则起草。随着技术的发展,还将制定后续的相关标准请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由中国通信标准化协会提出并归口。本标准起草单位:中国信息通信研究院、阿里巴巴通信技术(北京)有限公司、中国联合网络通信集团有限公司、中国移动通信集团公司、中国电信集团公司。本标准主要起草人:李娜、顾伟、蔡晓丹、汤立波、李成、葛雨明、康彦荣、韩涵、郑斌、于润东、马铮、高枫、徐克航、王兰芳、胡莉琼。TiiKAoNiKAca
1范围
电信和互联网服务
用户个人信息保护技术要求
电子商务服务
本标准规定了电子商务服务的用户个人信息及相关权益的保护要求。本标准适用于电子商务服务。
2规范性引用文件
YD/T3105-2016
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T2781-2014电信和互联网服务用户个人信息保护定义及分类YD/T2782-2014电信和互联网服务用户个人信息保护分级指南3术语和定义
下列术语和定义适用于本文件。3.1
电子商务ElectronicCommerce
利用各种与公用通信网或互联网相连的数据与交易/事务处理应用平台,通过公用通信网或互联网为用户提供在线数据处理和交易/事务处理的业务。3.2
用户User
中华人民共和国境内用户。
脱敏Desensitization
通过模糊化等方法对原始数据进行处理,达到屏蔽真实数据和结果不可逆的一种数据保护方式。
4缩略语
下列缩略语适用于本文件。
Media AccessControl
5电子商务服务分级方法
介质访问控制
电子商务服务用户个人信息保护分级对象为电子商务服务。本标准根据电子商务服务过程中所收集、转移和使用的用户个人信息涉及到的分级要素,确定电子商务服务的用户个人信息保护级别,并提出不同级别电子商务服务的用户个人信息保护要求。用户个人信息的定义及分类见YD/T2781-2014,用户个人信息保护分级方法和分级要素见YD/2782-2014。
iiiKAoNiKAca
YD/T3105-2016
6电子商务服务用户个人信息保护环节及用户个人信息保护内容6.1概述
与用户个人信息相关的电子商务服务流程包括用户注册、登陆服务、浏览检索服务、订购服务、快递物流服务、支付结算服务、信用评价服务、网络营销服务等。6.2用户注册、登录服务
6.2.1概述
本标准中用户注册服务是指为规范用户与电子商务经营者之间的行为及关系,用户与电子商务经营者就经营者所提供的商品和服务订立协议的服务。用户登录服务是指供多人使用的电子商务经营平台系统为每位用户配置了一套独特的用户名和密码,用户可以使用各自的这套用户名和密码来使用系统,以便系统能识别该用户的身份,从而保持该用户的使用习惯或使用数据。
6.2.2用户注册、登陆服务用户个人信息保护内容电子商务服务用户注册,登录涉及的用户个人信息包括:身份证明:如身份证、军官证、护照、驾照、社保卡等影印件:交易类服务身份标识和鉴权信息:如交易账号和密码(交易类电子商务服务)、密码保护答案等:用户基本资料:如姓名、证件类型及号码、年龄、性别、职业、工作单位、地址等:位置信息:如用户所在的地区代码、小区代码等:一普通服务身份标识和鉴权信息:如电话号码、账号、昵称、登录密码、IP地址、邮箱地址以及服务涉及的密码、口令、密码保护答案等:服务记录和日志:如注册服务日志等:一设备信息:如硬件型号、设备MAC地址等。6.3浏览检索服务
6.3.1概述
本标准中浏览检索服务是指电子商务经营者为用户个人提供的商品与服务信息浏览、查询和匹配服务6.3.2浏览检索服务用户个人信息保护内容电子商务服务浏览检索涉及的用户个人信息包括:一位置信息:如用户所在的地区代码、小区代码等:一普通服务身份标识和鉴权信息:如电话号码、账号、昵称、IP地址、邮箱地址等:一服务记录和日志:如Cookie内容、服务访问记录,如网址、业务日志等:一一设备信息:如硬件型号、设备MAC地址等。6.4订购服务
6.4.1概述
本标准中订购服务主要是指直接通过互联网(含移动互联网)预先约定购买商品,形成商品订单的服务。
6.4.2订购服务用户个人信息保护内容电子商务服务订购服务涉及的用户个人信息包括:一用户基本资料:如姓名、地址、证件类型和号码等:2
iiiKAoNiKAca
一位置信息:如用户所在的地区代码、小区代码等:YD/T3105-2016
一普通用户身份标识和鉴权信息:如电话号码、账号、昵称、登录密码、IP地址、邮箱地址等:一服务内容信息:如网购订单,物流信息等:一服务记录和日志:如Cookie内容,服务访问记录、网购记录、聊天纪录等:设备信息:如硬件型号、设备MAC地址等:消费信息和账单:如在网时间、信用等级、付费方式、消费金额、发票抬头等:一业务订购关系:如业务订购信息、订单号等。通过交易平台销售商品或提供服务的经营者,使用交易平台以外的计算机信息系统管理订购服务用户个人信息的,适用订购服务用户个人信息保护要求。6.5快递物流服务
6.5.1概述
本标准中快递物流服务是指在承诺的时限内将订购商品封装,形成快递包裹交由快递物流公司的服务。6.5.2快递物流服务用户个人信息保护内容电子商务服务快递物流服务涉及的用户个人信息包括:一用户基本资料:如姓名、地址、证件类型和号码等:一普通用户身份标识和鉴权信息:如电话号码、账号、昵称等:一服务内容信息:如快递物品信息、物流信息等:一消费信息和账单:如付费方式、账单金额信息等。6.6支付结算服务
6.6.1概述
本标准中支付结算服务是指电子商务活动中,为单位、个人提供直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的服务。6.6.2支付结算服务用户个人信息保护内容电子商务服务支付结算服务涉及的用户个人信息包括:一交易类服务身份标识和鉴权信息:如交易账号和密码(交易类电子商务服务)等:一消费信息和账单:如付费方式、账单金额信息、余额等:一业务订购关系:如业务订购信息、订单号等。6.7信用评价服务
6.7.1概述
本标准中信用评价服务是指交易平台或社会中介机构对经营者和消费者的真实交易信用情况客观、公正地进行采集、记录及披露的服务。6.7.2信用评价服务用户个人信息保护内容电子商务服务信用评价服务涉及的用户个人信息包括:普通用户身份标识和鉴权信息:如电话号码、账号、昵称等:一服务内容信息:如网购订单信息等;一服务记录和日志:如服务访问记录、网购记录等:一消费信息和账单:如消费情况、信用等级等3
iiiKAoNiKAca
YD/T3105-2016
一业务订购关系:如业务订购信息等。6.8网络营销服务
6.8.1概述
本标准中网络营销服务是指借助搜索引擎、电子邮件、即时通信工具、论坛、微博客、通信短信息等信息通信载体,帮助经营者实现营销目标的电子商务服务网络营销服务涉及信息收集、信息分析及信息利用三个环节。6.8.2网络营销服务用户个人信息保护内容电子商务经营者在网络营销服务各个环节,可能会使用用户个人基本资料、服务内容信息、服务记录、联系人信息、社交信息、位置信息等。电子商务服务网络营销服务用户个人信息保护内容包括!用户基本资料:如姓名、年龄、性别、喜好、消费习惯等:一一位置信息:如用户所在的地区代码、小区代码等:一联系人信息:如通讯录、好友列表、群列表、朋友圈列表、关注对象列表等用户资料数据:一普通用户身份标识和鉴权信息:如电话号码、账号、昵称、IP地址、邮箱地址等:一服务内容信息:如网购订单信息等:一服务记录和日志:如Cookie内容、服务访问记录、网购记录等:消费信息和账单:如在网时间、信用等级等;一业务订购关系:如业务订购信息等。7电子商务服务用户个人信息保护技术要求7.1概述
电子商务服务收集和使用用户个人信息应符合法律要求,保证用户知情权、选择权,并承担用户个人信息的保护责任。
电子商务服务提供方应按照相应级别的管理要求及保护技术要求对其提供服务过程中涉及的用户个人信息的收集、存储、转移、使用和销毁等工作流程进行规范化管理。隶属于同一实体或被同一实体所控制的电子商务经营者之间的内部个人信息交互活动,不属于个人信息的转移,有对外使用用户个人信息行为的,参照用户个人信息的使用要求电子商务经营者向关联机构或其他受信任的商家或个人提供用户个人信息,应当要求关联机构或其他受信任的商家或个人,遵守电子商务经营者的隐私权政策以及其他任何与用户的约定。本标准对于电子商务服务的用户个人信息保护技术要求,遵循同级别的不同类型服务应当承担同等程度的用户个人信息保护要求的原则。电子商务服务提供方应按照本标准中规定的1~5级的用户个人信息保护技术要求,对其提供的服务进行分级保护。
脱敏后的数据不属于用户个人信息,不在本标准的保护范围内。7.2第5级电子商务服务用户个人信息保护要求7.2.1用户注册、登录服务用户个人信息保护要求用户注册、登录服务用户个人信息保护要求包括:a)用户身份证明、交易类身份和鉴权信息的保护要求:4
TiiKAoNiKAca
一用户身份证明,交易类身份和鉴权信息的收集应当有充分的必要性:YD/T3105-2016
用户身份证明、交易类身份和鉴权信息应保存在境内服务器,用户在境外使用注册、登陆、订购服务等服务的,除必要的验证、展示以及直接交易双方信息交互外,用户身份证明、交易类身份和鉴权信息也应存储在境内服务器:收集、转移和使用应征得用户同意,非经用户同意,使用范围不得扩大,和转移的第三方之间应有书面协议,在信息的存储以及收集和转移的传输过程应使用高强度的加密措施,保障数据的机密性和完整性:
应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:一对信息的使用宜进行监控及预警,确保身份证明、交易账号及密码信息的不外传、不泄露。b)用户基本资料、位置信息的保护要求:用户基本资料,位置信息的收集和转移应征得用户同意:一一在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性:应定义严格的个人信息各生命周期(包括信息收集,生成、存储、使用,传输、销毁等各个环节)安全管理规范:
应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:一对信息的使用宜进行监控及预警。c)普通服务身份标识和鉴权信息、服务记录和日志及设备信息的保护要求:收集和转移,应征得用户同意:应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施。
用户个人在接受用户注册服务时,应当提交与本人直接相关的用户个人信息,禁止使用他人个人信息接受用户注册服务,禁止以要约高价出售、出租或者以其他方式转让该注册账户获取不正当利益的目的接受用户注册服务。7.2.2浏览检索服务用户个人信息保护要求浏览检索服务用户个人信息保护要求包括:a)用户基本资料、位置信息的保护要求:用户基本资料、位置信息的收集和转移应征得用户同意:在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性;应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:一对信息的使用宜进行监控及预警。b)普通用户身份标识和鉴权信息、服务内容信息、服务记录和日志、设备信息的保护要求:收集和转移,应征得用户同意:5
HiiKAoNiKAca
YD/T3105-2016
应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施。
c)消费信息和账单的保护要求:转移信息时应征得用户同意:
一应采取必要的访问控制措施。d)业务订购关系的保护要求:
应采取必要的访问控制措施。
7.2.3订购服务用户个人信息保护要求订购服务用户个人信息保护要求包括:a)用户基本资料、位置信息的保护要求:一用户基本资料,位置信息的收集和转移应征得用户同意:在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性:一应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:对信息的使用宜进行监控及预警。b)普通用户身份标识和鉴权信息、服务内容信息、服务记录和日志、设备信息的保护要求:收集和转移,应征得用户同意;应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施。
c)消费信息和账单的保护要求:转移信息时应征得用户同意:
一应采取必要的访问控制措施。d)业务订购关系的保护要求:
应采取必要的访问控制措施。
7.2.4快递物流服务用户个人信息保护要求快递物流服务用户个人信息保护要求包括:a)用户基本资料的保护要求:
用户基本资料的收集和转移应征得用户同意:在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性:一应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
一应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:一对信息的使用宜进行监控及预警。b)普通用户身份标识和鉴权信息、服务内容信息的保护要求:6
iiiKAoNiKAca
一收集和转移,应征得用户同意:YD/T3105-2016
应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施。
c)消费信息和账单的保护要求:转移信息时应征得用户同意:
一应采取必要的访问控制措施。7.2.5支付结算服务用户个人信息保护要求支付结算服务用户个人信息保护要求包括:a)交易类身份和鉴权信息的保护要求:一交易类身份和鉴权信息的收集应当有充分的必要性:交易类身份和鉴权信息应保存在境内服务器,用户在境外使用注册、登陆、订购等服务的,除必要的验证、展示以及直接交易双方之间信息交互外,用户身份证明、交易类身份和鉴权信息也应存储在境内服务器:
收集、转移和使用应征得用户同意,非经用户同意,使用范围不得扩大,和转移的第三方之间应有书面协议,在信息的存储以及收集和转移的传输过程应使用高强度的加密措施,保障数据的机密性和完整性:
应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
一应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:一一对信息的使用宜进行监控及预警,确保身份证明、交易账号及密码信息的不外传、不泄露:一支付结算过程中,电子商务服务提供者不得记录用户交易类鉴权信息,不得向第三方泄露用户交易类身份标识、交易记录等用户个人信息。b)消费信息和账单的保护要求:转移信息时应征得用户同意:
应采取必要的访问控制措施。
c)业务订购关系的保护要求:
应采取必要的访问控制措施。bzxz.net
7.2.6信用评价服务用户个人信息保护要求信用评价服务用户个人信息保护要求包括:a)普通服务身份标识和鉴权信息、服务内容信息、服务记录和日志的保护要求:收集和转移,应征得用户同意:应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施
b)消费信息和账单的保护要求:转移信息时应征得用户同意:
YD/T3105-2016
一应采取必要的访问控制措施。c)业务订购关系的保护要求:
一应采取必要的访问控制措施。7.2.7网络营销服务用户个人信息保护要求网络营销服务不应当涉及用户身份证明、生理标识、交易类服务鉴权信息、用户私有资料数据。网络营销服务用户个人信息保护要求包括:a)用户基本资料、位置信息、联系人信息的保护要求:信息的收集和转移应征得用户同意:一在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性:一应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
一一应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:对信息的使用宜进行监控及预警。b)普通服务身份标识和鉴权信息,服务内容信息,服务记录和日志的保护要求:一收集和转移,应征得用户同意;应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施
c)消费信息和账单的保护要求:转移信息时应征得用户同意:
一应采取必要的访问控制措施。d)业务订购关系的保护要求:
应采取必要的访问控制措施。
7.3第4级电子商务服务用户个人信息保护要求7.3.1用户注册,登录服务用户个人信息保护要求用户注册、登录服务用户个人信息保护要求包括:a)用户基本资料、位置信息的保护要求:用户基本资料、位置信息的收集和转移应征得用户同意:一在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性;应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用,传输、销毁等各个环节)安全管理规范:
应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:一对信息的使用宜进行监控及预警b)普通服务身份标识和鉴权信息,服务记录和日志及设备信息的保护要求:一收集和转移,应征得用户同意:应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施。
YD/T3105-2016
用户个人在接受用户注册服务时,应当提交与本人直接相关的用户个人信息,禁止使用他人个人信息接受用户注册服务,禁止以要约高价出售、出租或者以其他方式转让该注册账户获取不正当利益的目的接受用户注册服务。7.3.2浏览检索服务用户个人信息保护要求浏览检索服务用户个人信息保护要求包括:a)用户基本资料、位置信息的保护要求:一用户基本资料、位置信息的收集和转移应征得用户同意:一在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性;一应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
一应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:对信息的使用宜进行监控及预警。b)普通用户身份标识和鉴权信息,服务内容信息,服务记录和日志、设备信息的保护要求一收集和转移,应征得用户同意:应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施
c)消费信息和账单的保护要求:转移信息时应征得用户同意:
一应采取必要的访问控制措施。d)业务订购关系的保护要求:
应采取必要的访问控制措施。
7.3.3订购服务用户个人信息保护要求订购服务用户个人信息保护要求包括:a)用户基本资料、位置信息的保护要求:一用户基本资料、位置信息的收集和转移应征得用户同意:在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性;一应定义严格的个人信息各生命周期(包括信息收集,生成、存储、使用,传输、销毁等各个环节)安全管理规范:
应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:对信息的使用宜进行监控及预警。b)普通用户身份标识和鉴权信息、服务内容信息、服务记录和日志、设备信息的保护要求:收集和转移,应征得用户同意;一应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范;
应采取必要的访问控制措施。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T3105-2016
电信和互联网服务
用户个人信息保护技术要求
电子商务服务
Telecom and internetservice technicial requirements foruserpersonalinformationprotectionelectroniccommerceservice2016-07-11发布
2016-10-01实施
中华人民共和国工业和信息化部发布前
范围·
规范性引用文件
术语和定义
缩略语·
5电子商务服务分级方法
6电子商务服务用户个人信息保护环节及用户个人信息保护内容电子商务服务用户个人信息保护技术要求YD/T3105-2016
YD/T3105-2016
本标准是“电信和互联网服务用户个人信息保护”系列标准之一,该系列标准名称和结构预计如下:
一YD/T2781-2014电信和互联网服务用户个人信息保护定义及分类一YD/T2782-2014电信和互联网服务用户个人信息保护分级指南一YD/T3106-2016电信和互联网服务用户个人信息保护技术要求移动应用商店一YD/T3105-2016电信和互联网服务用户个人信息保护技术要求电子商务服务一电信和互联网服务用户个人信息保护技术要求即时通信服务本标准按照GB/T1.1-2009给出的规则起草。随着技术的发展,还将制定后续的相关标准请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由中国通信标准化协会提出并归口。本标准起草单位:中国信息通信研究院、阿里巴巴通信技术(北京)有限公司、中国联合网络通信集团有限公司、中国移动通信集团公司、中国电信集团公司。本标准主要起草人:李娜、顾伟、蔡晓丹、汤立波、李成、葛雨明、康彦荣、韩涵、郑斌、于润东、马铮、高枫、徐克航、王兰芳、胡莉琼。TiiKAoNiKAca
1范围
电信和互联网服务
用户个人信息保护技术要求
电子商务服务
本标准规定了电子商务服务的用户个人信息及相关权益的保护要求。本标准适用于电子商务服务。
2规范性引用文件
YD/T3105-2016
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T2781-2014电信和互联网服务用户个人信息保护定义及分类YD/T2782-2014电信和互联网服务用户个人信息保护分级指南3术语和定义
下列术语和定义适用于本文件。3.1
电子商务ElectronicCommerce
利用各种与公用通信网或互联网相连的数据与交易/事务处理应用平台,通过公用通信网或互联网为用户提供在线数据处理和交易/事务处理的业务。3.2
用户User
中华人民共和国境内用户。
脱敏Desensitization
通过模糊化等方法对原始数据进行处理,达到屏蔽真实数据和结果不可逆的一种数据保护方式。
4缩略语
下列缩略语适用于本文件。
Media AccessControl
5电子商务服务分级方法
介质访问控制
电子商务服务用户个人信息保护分级对象为电子商务服务。本标准根据电子商务服务过程中所收集、转移和使用的用户个人信息涉及到的分级要素,确定电子商务服务的用户个人信息保护级别,并提出不同级别电子商务服务的用户个人信息保护要求。用户个人信息的定义及分类见YD/T2781-2014,用户个人信息保护分级方法和分级要素见YD/2782-2014。
iiiKAoNiKAca
YD/T3105-2016
6电子商务服务用户个人信息保护环节及用户个人信息保护内容6.1概述
与用户个人信息相关的电子商务服务流程包括用户注册、登陆服务、浏览检索服务、订购服务、快递物流服务、支付结算服务、信用评价服务、网络营销服务等。6.2用户注册、登录服务
6.2.1概述
本标准中用户注册服务是指为规范用户与电子商务经营者之间的行为及关系,用户与电子商务经营者就经营者所提供的商品和服务订立协议的服务。用户登录服务是指供多人使用的电子商务经营平台系统为每位用户配置了一套独特的用户名和密码,用户可以使用各自的这套用户名和密码来使用系统,以便系统能识别该用户的身份,从而保持该用户的使用习惯或使用数据。
6.2.2用户注册、登陆服务用户个人信息保护内容电子商务服务用户注册,登录涉及的用户个人信息包括:身份证明:如身份证、军官证、护照、驾照、社保卡等影印件:交易类服务身份标识和鉴权信息:如交易账号和密码(交易类电子商务服务)、密码保护答案等:用户基本资料:如姓名、证件类型及号码、年龄、性别、职业、工作单位、地址等:位置信息:如用户所在的地区代码、小区代码等:一普通服务身份标识和鉴权信息:如电话号码、账号、昵称、登录密码、IP地址、邮箱地址以及服务涉及的密码、口令、密码保护答案等:服务记录和日志:如注册服务日志等:一设备信息:如硬件型号、设备MAC地址等。6.3浏览检索服务
6.3.1概述
本标准中浏览检索服务是指电子商务经营者为用户个人提供的商品与服务信息浏览、查询和匹配服务6.3.2浏览检索服务用户个人信息保护内容电子商务服务浏览检索涉及的用户个人信息包括:一位置信息:如用户所在的地区代码、小区代码等:一普通服务身份标识和鉴权信息:如电话号码、账号、昵称、IP地址、邮箱地址等:一服务记录和日志:如Cookie内容、服务访问记录,如网址、业务日志等:一一设备信息:如硬件型号、设备MAC地址等。6.4订购服务
6.4.1概述
本标准中订购服务主要是指直接通过互联网(含移动互联网)预先约定购买商品,形成商品订单的服务。
6.4.2订购服务用户个人信息保护内容电子商务服务订购服务涉及的用户个人信息包括:一用户基本资料:如姓名、地址、证件类型和号码等:2
iiiKAoNiKAca
一位置信息:如用户所在的地区代码、小区代码等:YD/T3105-2016
一普通用户身份标识和鉴权信息:如电话号码、账号、昵称、登录密码、IP地址、邮箱地址等:一服务内容信息:如网购订单,物流信息等:一服务记录和日志:如Cookie内容,服务访问记录、网购记录、聊天纪录等:设备信息:如硬件型号、设备MAC地址等:消费信息和账单:如在网时间、信用等级、付费方式、消费金额、发票抬头等:一业务订购关系:如业务订购信息、订单号等。通过交易平台销售商品或提供服务的经营者,使用交易平台以外的计算机信息系统管理订购服务用户个人信息的,适用订购服务用户个人信息保护要求。6.5快递物流服务
6.5.1概述
本标准中快递物流服务是指在承诺的时限内将订购商品封装,形成快递包裹交由快递物流公司的服务。6.5.2快递物流服务用户个人信息保护内容电子商务服务快递物流服务涉及的用户个人信息包括:一用户基本资料:如姓名、地址、证件类型和号码等:一普通用户身份标识和鉴权信息:如电话号码、账号、昵称等:一服务内容信息:如快递物品信息、物流信息等:一消费信息和账单:如付费方式、账单金额信息等。6.6支付结算服务
6.6.1概述
本标准中支付结算服务是指电子商务活动中,为单位、个人提供直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的服务。6.6.2支付结算服务用户个人信息保护内容电子商务服务支付结算服务涉及的用户个人信息包括:一交易类服务身份标识和鉴权信息:如交易账号和密码(交易类电子商务服务)等:一消费信息和账单:如付费方式、账单金额信息、余额等:一业务订购关系:如业务订购信息、订单号等。6.7信用评价服务
6.7.1概述
本标准中信用评价服务是指交易平台或社会中介机构对经营者和消费者的真实交易信用情况客观、公正地进行采集、记录及披露的服务。6.7.2信用评价服务用户个人信息保护内容电子商务服务信用评价服务涉及的用户个人信息包括:普通用户身份标识和鉴权信息:如电话号码、账号、昵称等:一服务内容信息:如网购订单信息等;一服务记录和日志:如服务访问记录、网购记录等:一消费信息和账单:如消费情况、信用等级等3
iiiKAoNiKAca
YD/T3105-2016
一业务订购关系:如业务订购信息等。6.8网络营销服务
6.8.1概述
本标准中网络营销服务是指借助搜索引擎、电子邮件、即时通信工具、论坛、微博客、通信短信息等信息通信载体,帮助经营者实现营销目标的电子商务服务网络营销服务涉及信息收集、信息分析及信息利用三个环节。6.8.2网络营销服务用户个人信息保护内容电子商务经营者在网络营销服务各个环节,可能会使用用户个人基本资料、服务内容信息、服务记录、联系人信息、社交信息、位置信息等。电子商务服务网络营销服务用户个人信息保护内容包括!用户基本资料:如姓名、年龄、性别、喜好、消费习惯等:一一位置信息:如用户所在的地区代码、小区代码等:一联系人信息:如通讯录、好友列表、群列表、朋友圈列表、关注对象列表等用户资料数据:一普通用户身份标识和鉴权信息:如电话号码、账号、昵称、IP地址、邮箱地址等:一服务内容信息:如网购订单信息等:一服务记录和日志:如Cookie内容、服务访问记录、网购记录等:消费信息和账单:如在网时间、信用等级等;一业务订购关系:如业务订购信息等。7电子商务服务用户个人信息保护技术要求7.1概述
电子商务服务收集和使用用户个人信息应符合法律要求,保证用户知情权、选择权,并承担用户个人信息的保护责任。
电子商务服务提供方应按照相应级别的管理要求及保护技术要求对其提供服务过程中涉及的用户个人信息的收集、存储、转移、使用和销毁等工作流程进行规范化管理。隶属于同一实体或被同一实体所控制的电子商务经营者之间的内部个人信息交互活动,不属于个人信息的转移,有对外使用用户个人信息行为的,参照用户个人信息的使用要求电子商务经营者向关联机构或其他受信任的商家或个人提供用户个人信息,应当要求关联机构或其他受信任的商家或个人,遵守电子商务经营者的隐私权政策以及其他任何与用户的约定。本标准对于电子商务服务的用户个人信息保护技术要求,遵循同级别的不同类型服务应当承担同等程度的用户个人信息保护要求的原则。电子商务服务提供方应按照本标准中规定的1~5级的用户个人信息保护技术要求,对其提供的服务进行分级保护。
脱敏后的数据不属于用户个人信息,不在本标准的保护范围内。7.2第5级电子商务服务用户个人信息保护要求7.2.1用户注册、登录服务用户个人信息保护要求用户注册、登录服务用户个人信息保护要求包括:a)用户身份证明、交易类身份和鉴权信息的保护要求:4
TiiKAoNiKAca
一用户身份证明,交易类身份和鉴权信息的收集应当有充分的必要性:YD/T3105-2016
用户身份证明、交易类身份和鉴权信息应保存在境内服务器,用户在境外使用注册、登陆、订购服务等服务的,除必要的验证、展示以及直接交易双方信息交互外,用户身份证明、交易类身份和鉴权信息也应存储在境内服务器:收集、转移和使用应征得用户同意,非经用户同意,使用范围不得扩大,和转移的第三方之间应有书面协议,在信息的存储以及收集和转移的传输过程应使用高强度的加密措施,保障数据的机密性和完整性:
应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:一对信息的使用宜进行监控及预警,确保身份证明、交易账号及密码信息的不外传、不泄露。b)用户基本资料、位置信息的保护要求:用户基本资料,位置信息的收集和转移应征得用户同意:一一在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性:应定义严格的个人信息各生命周期(包括信息收集,生成、存储、使用,传输、销毁等各个环节)安全管理规范:
应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:一对信息的使用宜进行监控及预警。c)普通服务身份标识和鉴权信息、服务记录和日志及设备信息的保护要求:收集和转移,应征得用户同意:应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施。
用户个人在接受用户注册服务时,应当提交与本人直接相关的用户个人信息,禁止使用他人个人信息接受用户注册服务,禁止以要约高价出售、出租或者以其他方式转让该注册账户获取不正当利益的目的接受用户注册服务。7.2.2浏览检索服务用户个人信息保护要求浏览检索服务用户个人信息保护要求包括:a)用户基本资料、位置信息的保护要求:用户基本资料、位置信息的收集和转移应征得用户同意:在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性;应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:一对信息的使用宜进行监控及预警。b)普通用户身份标识和鉴权信息、服务内容信息、服务记录和日志、设备信息的保护要求:收集和转移,应征得用户同意:5
HiiKAoNiKAca
YD/T3105-2016
应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施。
c)消费信息和账单的保护要求:转移信息时应征得用户同意:
一应采取必要的访问控制措施。d)业务订购关系的保护要求:
应采取必要的访问控制措施。
7.2.3订购服务用户个人信息保护要求订购服务用户个人信息保护要求包括:a)用户基本资料、位置信息的保护要求:一用户基本资料,位置信息的收集和转移应征得用户同意:在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性:一应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:对信息的使用宜进行监控及预警。b)普通用户身份标识和鉴权信息、服务内容信息、服务记录和日志、设备信息的保护要求:收集和转移,应征得用户同意;应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施。
c)消费信息和账单的保护要求:转移信息时应征得用户同意:
一应采取必要的访问控制措施。d)业务订购关系的保护要求:
应采取必要的访问控制措施。
7.2.4快递物流服务用户个人信息保护要求快递物流服务用户个人信息保护要求包括:a)用户基本资料的保护要求:
用户基本资料的收集和转移应征得用户同意:在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性:一应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
一应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:一对信息的使用宜进行监控及预警。b)普通用户身份标识和鉴权信息、服务内容信息的保护要求:6
iiiKAoNiKAca
一收集和转移,应征得用户同意:YD/T3105-2016
应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施。
c)消费信息和账单的保护要求:转移信息时应征得用户同意:
一应采取必要的访问控制措施。7.2.5支付结算服务用户个人信息保护要求支付结算服务用户个人信息保护要求包括:a)交易类身份和鉴权信息的保护要求:一交易类身份和鉴权信息的收集应当有充分的必要性:交易类身份和鉴权信息应保存在境内服务器,用户在境外使用注册、登陆、订购等服务的,除必要的验证、展示以及直接交易双方之间信息交互外,用户身份证明、交易类身份和鉴权信息也应存储在境内服务器:
收集、转移和使用应征得用户同意,非经用户同意,使用范围不得扩大,和转移的第三方之间应有书面协议,在信息的存储以及收集和转移的传输过程应使用高强度的加密措施,保障数据的机密性和完整性:
应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
一应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:一一对信息的使用宜进行监控及预警,确保身份证明、交易账号及密码信息的不外传、不泄露:一支付结算过程中,电子商务服务提供者不得记录用户交易类鉴权信息,不得向第三方泄露用户交易类身份标识、交易记录等用户个人信息。b)消费信息和账单的保护要求:转移信息时应征得用户同意:
应采取必要的访问控制措施。
c)业务订购关系的保护要求:
应采取必要的访问控制措施。bzxz.net
7.2.6信用评价服务用户个人信息保护要求信用评价服务用户个人信息保护要求包括:a)普通服务身份标识和鉴权信息、服务内容信息、服务记录和日志的保护要求:收集和转移,应征得用户同意:应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施
b)消费信息和账单的保护要求:转移信息时应征得用户同意:
YD/T3105-2016
一应采取必要的访问控制措施。c)业务订购关系的保护要求:
一应采取必要的访问控制措施。7.2.7网络营销服务用户个人信息保护要求网络营销服务不应当涉及用户身份证明、生理标识、交易类服务鉴权信息、用户私有资料数据。网络营销服务用户个人信息保护要求包括:a)用户基本资料、位置信息、联系人信息的保护要求:信息的收集和转移应征得用户同意:一在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性:一应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
一一应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:对信息的使用宜进行监控及预警。b)普通服务身份标识和鉴权信息,服务内容信息,服务记录和日志的保护要求:一收集和转移,应征得用户同意;应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施
c)消费信息和账单的保护要求:转移信息时应征得用户同意:
一应采取必要的访问控制措施。d)业务订购关系的保护要求:
应采取必要的访问控制措施。
7.3第4级电子商务服务用户个人信息保护要求7.3.1用户注册,登录服务用户个人信息保护要求用户注册、登录服务用户个人信息保护要求包括:a)用户基本资料、位置信息的保护要求:用户基本资料、位置信息的收集和转移应征得用户同意:一在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性;应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用,传输、销毁等各个环节)安全管理规范:
应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:一对信息的使用宜进行监控及预警b)普通服务身份标识和鉴权信息,服务记录和日志及设备信息的保护要求:一收集和转移,应征得用户同意:应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施。
YD/T3105-2016
用户个人在接受用户注册服务时,应当提交与本人直接相关的用户个人信息,禁止使用他人个人信息接受用户注册服务,禁止以要约高价出售、出租或者以其他方式转让该注册账户获取不正当利益的目的接受用户注册服务。7.3.2浏览检索服务用户个人信息保护要求浏览检索服务用户个人信息保护要求包括:a)用户基本资料、位置信息的保护要求:一用户基本资料、位置信息的收集和转移应征得用户同意:一在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性;一应定义严格的个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
一应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:对信息的使用宜进行监控及预警。b)普通用户身份标识和鉴权信息,服务内容信息,服务记录和日志、设备信息的保护要求一收集和转移,应征得用户同意:应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范:
应采取必要的访问控制措施
c)消费信息和账单的保护要求:转移信息时应征得用户同意:
一应采取必要的访问控制措施。d)业务订购关系的保护要求:
应采取必要的访问控制措施。
7.3.3订购服务用户个人信息保护要求订购服务用户个人信息保护要求包括:a)用户基本资料、位置信息的保护要求:一用户基本资料、位置信息的收集和转移应征得用户同意:在信息的收集和转移的传输过程应采取必要的加密措施,保障数据的机密性和完整性;一应定义严格的个人信息各生命周期(包括信息收集,生成、存储、使用,传输、销毁等各个环节)安全管理规范:
应采取严格的访问控制措施,设置专人负责的内部数据审批流程及制度:对信息的使用宜进行监控及预警。b)普通用户身份标识和鉴权信息、服务内容信息、服务记录和日志、设备信息的保护要求:收集和转移,应征得用户同意;一应定义个人信息各生命周期(包括信息收集、生成、存储、使用、传输、销毁等各个环节)安全管理规范;
应采取必要的访问控制措施。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。