ICSFORMTEXT35.240.60FORMTEXTA10中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/TFORMTEXTXXXXX—FORMTEXTXXXXFORMTEXTFORMTEXT電子商務(wù)數(shù)據(jù)交易隱私保護(hù)規(guī)范FORMTEXTE-commercedatatransaction——

SpecificationforprivacyprotectionFORMTEXT點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)FORMTEXTFORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實(shí)施GB/TXXXXX—XXXX前言 II1范圍 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14總則 35數(shù)據(jù)提供方職責(zé)義務(wù) 36數(shù)據(jù)需求方職責(zé)義務(wù) 47交易平臺(tái)職責(zé)義務(wù) 48信息主體權(quán)利 4參考文獻(xiàn) 5電子商務(wù)數(shù)據(jù)交易隱私保護(hù)規(guī)范范圍本標(biāo)準(zhǔn)規(guī)定了電子商務(wù)數(shù)據(jù)交易中隱私保護(hù)總則，數(shù)據(jù)提供方職責(zé)義務(wù)、數(shù)據(jù)需求方職責(zé)義務(wù)、交易平臺(tái)職責(zé)義務(wù)和信息主體權(quán)利。本標(biāo)準(zhǔn)適用于電子商務(wù)數(shù)據(jù)交易中的隱私保護(hù)。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T5271.1信息技術(shù)詞匯第1部分：基本術(shù)語(yǔ)GB/Z28828信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T35408電子商務(wù)質(zhì)量管理術(shù)語(yǔ)GB/TXXX電子商務(wù)數(shù)據(jù)交易準(zhǔn)則術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。電子商務(wù)E-commerce通過(guò)信息網(wǎng)絡(luò)進(jìn)行產(chǎn)品和服務(wù)交易的經(jīng)營(yíng)活動(dòng)。[GB/T35408，定義2.1.1]數(shù)據(jù)data信息的可再解釋的信息化表示，以適用于通信、解釋和處理。一個(gè)概念模型表示人們對(duì)一個(gè)體系的理解。[GB/T5271.1，定義01.01.02]電子商務(wù)數(shù)據(jù)交易平臺(tái)E-commercedatatransactionplatform在電子商務(wù)模式下為交易雙方或多方提供數(shù)據(jù)交易撮合及相關(guān)服務(wù)的信息網(wǎng)絡(luò)系統(tǒng)。交易主體transactionsubject經(jīng)由電子商務(wù)數(shù)據(jù)交易平臺(tái)根據(jù)有關(guān)法律法規(guī)及電子商務(wù)數(shù)據(jù)交易平臺(tái)的有關(guān)規(guī)定審核批準(zhǔn)，在電子商務(wù)數(shù)據(jù)交易平臺(tái)進(jìn)行數(shù)據(jù)交易的組織或個(gè)人。分為：數(shù)據(jù)提供方：即賣(mài)方，利用電子商務(wù)數(shù)據(jù)交易平臺(tái)出售數(shù)據(jù)或提供服務(wù)；數(shù)據(jù)需求方：即買(mǎi)方，利用電子商務(wù)數(shù)據(jù)交易平臺(tái)購(gòu)買(mǎi)數(shù)據(jù)或獲取服務(wù)。本標(biāo)準(zhǔn)只涉及數(shù)據(jù)交易，不包括服務(wù)交易。數(shù)據(jù)提供方datasupplier在電子商務(wù)數(shù)據(jù)交易中，擁有數(shù)據(jù)所有權(quán)或受數(shù)據(jù)所有者合法授權(quán)而獲得部分或全部權(quán)益的向平臺(tái)提供交易數(shù)據(jù)的組織或個(gè)人。數(shù)據(jù)需求方datademander在電子商務(wù)數(shù)據(jù)交易中發(fā)布數(shù)據(jù)需求或搜索、購(gòu)買(mǎi)數(shù)據(jù)的組織或個(gè)人。個(gè)人信息personalinformation以電子方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話(huà)號(hào)碼等。個(gè)人敏感信息personalsensitiveinformation一旦泄露、非法提供或?yàn)E用，會(huì)危害所標(biāo)識(shí)的個(gè)人信息主體的人身和財(cái)產(chǎn)安全，對(duì)其造成不良影響的個(gè)人信息。個(gè)人一般信息personalgeneralinformation除個(gè)人敏感信息以外的個(gè)人信息。[GB/Z28828，定義3.8]個(gè)人信息主體personalinformationsubject個(gè)人信息所標(biāo)識(shí)的自然人。改寫(xiě)GB/T35273，定義3.3匿名化anonymization通過(guò)對(duì)個(gè)人信息的技術(shù)處理，使得個(gè)人信息主體無(wú)法被識(shí)別，且處理后的信息不能被復(fù)原的過(guò)程。個(gè)人信息經(jīng)匿名化處理后所得的信息不屬于個(gè)人信息。[GB/T35273，定義3.13]去標(biāo)識(shí)化de-identificaiton通過(guò)對(duì)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無(wú)法識(shí)別個(gè)人信息主體的過(guò)程。去標(biāo)識(shí)化建立在個(gè)體基礎(chǔ)之上，保留了個(gè)體顆粒度，采用假名、加密、哈希函數(shù)等技術(shù)手段替代對(duì)個(gè)人信息的標(biāo)識(shí)。[GB/T35273，定義3.14]總則隱私隱私的范疇包括但不限于以下內(nèi)容：隱私的主體是自然人，在本標(biāo)準(zhǔn)中指代的是個(gè)人信息主體；隱私是個(gè)人信息主體不愿公開(kāi)或不愿被他人知曉的與公共利益、群眾利益無(wú)關(guān)的個(gè)人信息；個(gè)人信息按照是否涉及隱私可劃分為個(gè)人敏感信息和個(gè)人一般信息；本標(biāo)準(zhǔn)中定義的個(gè)人敏感信息是指涉及個(gè)人隱私的個(gè)人信息；合法的個(gè)人隱私受?chē)?guó)家法律、行政法規(guī)的保護(hù)，主要包括：——能夠識(shí)別個(gè)人身份的信息；——未成年人信息；——消費(fèi)者個(gè)人信息；——財(cái)產(chǎn)信息；——通信信息和通訊信息；——網(wǎng)絡(luò)用戶(hù)身份信息和日志信息；——艾滋病、傳染病等疾病患者信息；——法律、行政法規(guī)規(guī)定的其他個(gè)人信息。經(jīng)過(guò)匿名化、去標(biāo)識(shí)化等技術(shù)處理后且無(wú)法復(fù)原的信息不屬于個(gè)人信息或個(gè)人敏感信息的范疇。交易數(shù)據(jù)交易數(shù)據(jù)的要求應(yīng)符合GB/TXXX《電子商務(wù)數(shù)據(jù)交易準(zhǔn)則》中5的規(guī)定。交易主體交易主體的要求應(yīng)符合GB/TXXX《電子商務(wù)數(shù)據(jù)交易準(zhǔn)則》中4.3的規(guī)定。交易平臺(tái)交易平臺(tái)的要求應(yīng)符合GB/TXXX《電子商務(wù)數(shù)據(jù)交易準(zhǔn)則》中4.2的規(guī)定。數(shù)據(jù)提供方職責(zé)義務(wù)數(shù)據(jù)提供方對(duì)數(shù)據(jù)交易中的隱私保護(hù)承擔(dān)的職責(zé)義務(wù)包括但不限于：應(yīng)貫徹個(gè)人信息保護(hù)相關(guān)法律、行政法規(guī)及行為規(guī)范，自覺(jué)維護(hù)個(gè)人信息主體合法權(quán)益；應(yīng)對(duì)其提供的所有數(shù)據(jù)的流通和使用行為的合規(guī)性負(fù)責(zé)；應(yīng)確保提供的所有數(shù)據(jù)不涉及法律、行政法規(guī)禁止發(fā)布或傳輸?shù)男畔?；?yīng)確保提供的所有數(shù)據(jù)不涉及能夠識(shí)別個(gè)人身份的信息和個(gè)人敏感信息；當(dāng)提供的數(shù)據(jù)涉及能夠識(shí)別特定個(gè)人的信息或個(gè)人敏感信息時(shí)，應(yīng)先對(duì)其進(jìn)行匿名化、去標(biāo)識(shí)化等技術(shù)處理，確保數(shù)據(jù)無(wú)法識(shí)別特定個(gè)人且無(wú)法復(fù)原后，方可進(jìn)入流通環(huán)節(jié)；應(yīng)明確數(shù)據(jù)的適用范圍、使用期限和權(quán)利限制等；應(yīng)確保數(shù)據(jù)的存儲(chǔ)、發(fā)布和傳輸過(guò)程中的安全性，防止數(shù)據(jù)泄露、篡改和刪除等；應(yīng)對(duì)因個(gè)人信息泄露而對(duì)個(gè)人信息主體造成傷害的行為承擔(dān)主要責(zé)任。數(shù)據(jù)需求方職責(zé)義務(wù)數(shù)據(jù)需求方對(duì)數(shù)據(jù)交易中的隱私保護(hù)承擔(dān)的職責(zé)義務(wù)包括但不限于：應(yīng)貫徹個(gè)人信息保護(hù)相關(guān)法律、行政法規(guī)及行為規(guī)范，自覺(jué)維護(hù)數(shù)據(jù)主體合法權(quán)益；購(gòu)買(mǎi)需求應(yīng)符合法律、行政法規(guī)的相關(guān)規(guī)定；應(yīng)按數(shù)據(jù)提供方界定的數(shù)據(jù)適用范圍、使用期限和權(quán)利限制等合法、合規(guī)使用數(shù)據(jù)；當(dāng)在數(shù)據(jù)使用過(guò)程中發(fā)現(xiàn)能夠識(shí)別特定個(gè)人的信息或個(gè)人敏感信息時(shí)，應(yīng)立即向有關(guān)主管部門(mén)報(bào)告或向平臺(tái)舉報(bào)；待數(shù)據(jù)提交后刪除且不可被恢復(fù)；應(yīng)確保數(shù)據(jù)存儲(chǔ)、使用過(guò)程中的安全性，防止數(shù)據(jù)泄露、篡改和刪除等；應(yīng)對(duì)因使用數(shù)據(jù)而導(dǎo)致個(gè)人信息泄露所產(chǎn)生的后果承擔(dān)主要責(zé)任；按照約定方式使用完成或規(guī)定期限結(jié)束后，應(yīng)銷(xiāo)毀購(gòu)買(mǎi)數(shù)據(jù)且不可被恢復(fù)。交易平臺(tái)職責(zé)義務(wù)平臺(tái)對(duì)數(shù)據(jù)交易中的隱私保護(hù)承擔(dān)的職責(zé)義務(wù)包括但不限于：應(yīng)貫徹個(gè)人信息保護(hù)相關(guān)法律、行政法規(guī)及行為規(guī)范，自覺(jué)維護(hù)個(gè)人信息主體合法權(quán)益；應(yīng)根據(jù)法律、行政法規(guī)規(guī)定，制定平臺(tái)隱私政策，確保交易主體的合法權(quán)益；應(yīng)設(shè)立隱私保護(hù)管理部門(mén)，負(fù)責(zé)平臺(tái)隱私保護(hù)工作的日常管理和實(shí)施；應(yīng)制定隱私保護(hù)管理制度，明確平臺(tái)、交易主體的職責(zé)義務(wù)及懲罰措施；應(yīng)建立隱私保護(hù)管理機(jī)制，包括但不限于：——數(shù)據(jù)銷(xiāo)售許可機(jī)制：交易主體應(yīng)獲得平臺(tái)或第三方機(jī)構(gòu)許可后，方可參與交易；——數(shù)據(jù)流轉(zhuǎn)登記機(jī)制：應(yīng)做好數(shù)據(jù)交易信息記錄備案，確保每次數(shù)據(jù)流轉(zhuǎn)都有記錄可追溯；——隱私泄露投訴舉報(bào)機(jī)制：應(yīng)積極響應(yīng)和解決投訴舉報(bào)，明確投訴解決途徑和舉報(bào)獎(jiǎng)勵(lì)制度。應(yīng)組織開(kāi)展隱私保護(hù)宣傳培訓(xùn)活動(dòng)；應(yīng)加強(qiáng)數(shù)據(jù)審核管理，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或傳輸?shù)男畔r(shí)，應(yīng)依法采取必要處置措施，并向有關(guān)主管部門(mén)報(bào)告；應(yīng)積極配合有關(guān)主管部門(mén)依法履行職責(zé)時(shí)開(kāi)展的各項(xiàng)工作。信息主體權(quán)利本標(biāo)準(zhǔn)中的信息主體特指?jìng)€(gè)人信息主體，不包含除個(gè)人信息主體之外的其他信息主體。個(gè)人信息主體對(duì)數(shù)據(jù)交易中的隱私保護(hù)享有的權(quán)利包括但不限于：應(yīng)有權(quán)提出撤銷(xiāo)、刪除和銷(xiāo)毀交易中涉及的能夠識(shí)別個(gè)人身份的信息或個(gè)人敏感信息；個(gè)人信息主體認(rèn)為交易活動(dòng)違反相關(guān)法律、行政法規(guī)規(guī)定，侵犯其合法權(quán)益的，應(yīng)有權(quán)依法提起訴訟；因個(gè)人信息泄露而對(duì)個(gè)人信息主體造成傷害的，應(yīng)有權(quán)提出賠償請(qǐng)求；經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。參?考?文?獻(xiàn)[1]GBT36310-2018電子商務(wù)模式規(guī)范[2]GB/T34987-2017信息安全技術(shù)移動(dòng)智能終端個(gè)人信息保護(hù)技術(shù)要求[3]GB/T35273-2017信息安全技術(shù)個(gè)人信息安全規(guī)范[4]《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，中華人民共和國(guó)主席令第53號(hào)，2016年11月7日[5]《中華人民共和國(guó)刑法修正案（九）》，中華人民共和國(guó)主席令第30號(hào)，2015年8月29日[6]《中華人民共和國(guó)未成年人保護(hù)法》，中華人民共和國(guó)主席令第65號(hào)，2012年10月26日[7]《中華人民共和國(guó)消費(fèi)者權(quán)益保護(hù)法》，中華人民共和國(guó)主席令第7號(hào)，2013年10月25日[8]《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，第十一屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議，2012年12月28日[9]《中華人民共和國(guó)電子商務(wù)法》，第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第五次會(huì)議，2018年8月31日[10]《征信業(yè)管理?xiàng)l例》，中華人民共和國(guó)國(guó)務(wù)院令第631號(hào)，2013年1月21日[11]《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》，國(guó)家互聯(lián)網(wǎng)信息辦公室令第1號(hào)，2017年5月2日[12]《中華人民共和國(guó)侵權(quán)責(zé)任法》，中華人民共和國(guó)主席令第21號(hào)，2009年12月26日[13]《艾滋病防治條例》，中華人民共和國(guó)國(guó)務(wù)院令第457號(hào)，2006年1月29日[14]《中華人民共和國(guó)傳染病防治法》，中華