出行服務系統(tǒng)個人信息保護技術要求編制說明

目的意義隨著信息化與數(shù)字經濟社會的深度融合發(fā)展，互聯(lián)網(wǎng)已成為生產生活的新空間、經濟發(fā)展的新引擎、交流合作的新紐帶。近年來我國在個人信息保護方面的法律法規(guī)不斷加強，但依然存在一些企業(yè)、機構甚至個人，從商業(yè)利益等出發(fā)，隨意收集、違法獲取、過度使用、非法買賣個人信息，危害了人民群眾的生命健康和財產安全等問題?，F(xiàn)如今，個人信息保護已成為廣大人民群眾最關心最直接最現(xiàn)實的利益問題之一。習近平總書記多次強調，要堅持網(wǎng)絡安全為人民、網(wǎng)絡安全靠人民，保障個人信息安全，維護公民在網(wǎng)絡空間的合法權益，對加強個人信息保護工作提出明確要求。為貫徹落實《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《國務院辦公廳關于促進平臺經濟規(guī)范健康發(fā)展的指導意見》等有關要求，加強保護廣大人民群眾日常出行服務過程中個人信息，強化出行服務平臺企業(yè)數(shù)據(jù)安全責任、保障出行服務平臺經濟安全健康發(fā)展，針對出行服務平臺所收集的常見個人數(shù)據(jù)，結合行業(yè)應用現(xiàn)狀，出臺《出行服務系統(tǒng)個人信息保護要求》團體標準具有較強的現(xiàn)實意義。任務來源國際上，個人信息保護法律法規(guī)興起于20世紀70年代，1974年12月，美國國會通過《隱私法案》，是美國為保護公民隱私權和知情權出臺的重要法律。2003年5月，日本正式通過《個人信息保護法》，新的修訂版法律于2022年4月1日起正式生效。2006年7月，俄羅斯頒布《俄羅斯聯(lián)邦個人數(shù)據(jù)法》，是數(shù)據(jù)與信息安全法律制度體系中主要法律準則。2020年11月，歐盟委員會發(fā)布了歐盟《數(shù)據(jù)治理法案》，一定程度上強化了歐盟對于公共數(shù)據(jù)的賦能，為歐洲新的數(shù)據(jù)治理方式奠定了基礎。2022年5月，英國頒布新的《數(shù)據(jù)改革法案》，旨在指導英國獨立于歐盟隱私立法。我國在2016年11月正式頒布實施《網(wǎng)絡安全法》，這是我國第一部全面規(guī)范網(wǎng)絡空間安全管理方面問題的基礎性法律。2021年9月，《數(shù)據(jù)安全法》正式施行，聚焦數(shù)據(jù)安全領域的突出問題，確立了數(shù)據(jù)分類分級管理，建立了數(shù)據(jù)安全風險評估、監(jiān)測預警、應急處置，數(shù)據(jù)安全審查等基本制度，并明確了相關主體的數(shù)據(jù)安全保護義務，這是我國首部數(shù)據(jù)安全領域的基礎性立法。2021年11月，正式實施《個人信息保護法》，是為了保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理利用，是根據(jù)憲法制定的第一部專注于個人信息保護問題的的法律。這些標志著個人信息保護已經成為我國的重大戰(zhàn)略需求。目前，國內外還未對出行服務系統(tǒng)個人信息保護進行標準化，涉及出行服務場景下，個人信息保護還停留在通用的技術要求，對于出行服務過程中、出行服務結束后本系統(tǒng)內數(shù)據(jù)留存與使用、同機構跨系統(tǒng)間的共享、跨機構跨系統(tǒng)間的共享等環(huán)節(jié)缺少對個人信息保護的技術要求。因此制定出行服務系統(tǒng)個人信息保護要求標準可以有力的解決目前存在的這一問題，有助于進行提升出行服務平臺的數(shù)據(jù)安全與個人信息保護的責任意識，從而進一步建設和提升全社會各行業(yè)各領域企業(yè)的個人信息保護能力。編制過程1) 2023年4月22日，團體標準編制正式啟動，標準牽頭單位中國科學院信息工程研究所匯總了前期的研究工作內容，確定了團體標準的研究思路和分工。2) 2023年5月7日，向標準牽頭負責人匯報工作進展，形成《出行服務系統(tǒng)個人信息保護要求》團體標準大體框架。3) 2023年5月8日至2023年6月14日，期間進行了多次標準工作組內部討論，并針對標準大體框架與內容方向進行了修改與調整。4) 2023年6月15日至2023年11月22日，按照擬定的方向編制團體標準，形成第一版標準草案。5) 2023年11月23日至2023年12月11日，期間進行了多次標準工作組內部討論，針對標準內容進行了細節(jié)的修改與調整。6) 2024年1月21日，形成第二版標準草案，并召集了標準草案的內部閉門研討會。7）2024年1月30日，形成征求意見初稿。8）2024年6月27日，邀請專家對征求意見稿后的修改版本進行評審。9）2024年12月，形成征求意見稿。主要內容技術指標確立本文件給出了出行服務系統(tǒng)的出行服務App、后臺信息服務系統(tǒng)的個人信息保護要求，規(guī)定了在叫車與服務階段、服務結束后的數(shù)據(jù)留存與使用、系統(tǒng)自身應用、同機構跨系統(tǒng)共享、跨機構跨系統(tǒng)共享等環(huán)節(jié)對個人信息保護的規(guī)范，包含上車、運行、目的地、GPS等信息的廣泛收集、平臺內使用、數(shù)據(jù)流通等方面的安全要求等。詳細內容如下。出行服務過程中數(shù)據(jù)的收集與使用：在注冊/登錄、叫車、出行、支付和評價等各業(yè)務階段，個人信息控制者在個人信息收集、處理、使用、存儲、提供以及刪除等方面應遵循個人信息保護的技術要求。出行服務結束后本系統(tǒng)內數(shù)據(jù)留存與使用：出行服務系統(tǒng)在完成出行服務后，收集的個人信息應按照脫敏控制的要求進行處理，脫敏數(shù)據(jù)可用于本系統(tǒng)出行服務外其他業(yè)務功能，如糾正出行服務的路線、精確線路的導航、分析實時的道路狀況等功能，不應用于與業(yè)務不相關的功能，如分析用戶的家庭住址、單位地址、消費水平和個人偏好等。數(shù)據(jù)的存儲、使用和刪除分別應滿足個人信息脫敏控制、使用控制和刪除控制等要求。出行服務結束后同機構跨系統(tǒng)間的共享：在出行服務系統(tǒng)對將收集的個人信息向同機構其他系統(tǒng)進行流轉場景下，個人信息控制者應根據(jù)自身的脫敏需求、數(shù)據(jù)接收方的用途、安全防護能力等因素，對流轉的個人信息數(shù)據(jù)進行按需脫敏，確保數(shù)據(jù)流轉過程中的任一數(shù)據(jù)接收方在使用個人信息數(shù)據(jù)時滿足使用控制要求。出行服務結束后跨機構跨系統(tǒng)間的共享：在出行服務系統(tǒng)向跨機構跨系統(tǒng)進行數(shù)據(jù)流轉的場景中，個人信息控制者應嚴格按照脫敏控制要求對流轉的數(shù)據(jù)執(zhí)行脫敏操作，應采用加密數(shù)據(jù)等手段進行數(shù)據(jù)傳輸，應具備向所屬主管監(jiān)管部門上報存證信息的功能，確保數(shù)據(jù)接收方的使用在個人信息控制者設定的使用控制范圍內應嚴格按照刪除控制的要求執(zhí)行刪除操作。本文件可支撐出行服務系統(tǒng)的出行服務App、后臺信息服務系統(tǒng)的安全評測和合規(guī)監(jiān)管。該標準適用于規(guī)范各類組織的個人信息處理活動，也適用于主管監(jiān)管部門、第三方評估機構等組織對個人信息處理活動進行監(jiān)督、管理和評估。本標準牽頭單位為中國科學院信息工程研究所，參與單位包括西安電子科技大學。與相關法律法規(guī)和國家標準的關系本標準的總體結構和編寫方法按照GB/T1.1-2020《標準化工作導則第一部分：標準化文件的結構和起草規(guī)則》的規(guī)定執(zhí)行。本標準參考的相關法律、法規(guī)和標準文件如下：GB/T25069-2022信息安全技術術語GB/T35273-2020信息安全技術個人信息安全規(guī)范GB/T