GB/T 42013-2022 标准规范下载简介
GB/T 42013-2022 信息安全技术 快递物流服务数据安全要求.pdf技术快递物流服务数据安全
本文件规定了快递物流服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的 安全要求。 本文件适用于快递物流服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对快递物 流服务数据处理活动进行监督、管理、评估提供参考。
下列文件中的内容通过文中的规范性引用而构成本支件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T25069信息安全技术术语 GB/T35273一2020信息安全技术个人信息安全规范 GB/T379881 信息安全技术数据安全能力成熟度模型 GB/T393351 信息安全技术个人信息安全影响评估指南 GB/T41391一2022信息安全技术移动互联网应用程序(App)收集个人信息基本要求 GB/T41479信息安全技术网络数据处理安全要求
GB/T25069、GB/T35273一2020界定的以及下列术语和定义适用于本文件。 3.1 快递物流服务 expresslogisticsservice 在承诺的时限内快速完成的邮件快件寄递服务。 注1:本文件中所称快递物流服务不包括道路货物运输服务。 注2:涉及从接收用户订单开始直到将物品送达用户为止的完整活动RB/T 008-2019 电动汽车自用充电设施安装服务认证要求,通常包括下单、揽件、封装、中转、派件等服务 环节。 [来源:GB/T27917.1—2011,2.1,有修改] 3.2 寄递用户senderandaddresser 使用快递物流服务(3.1)的个人或组织。 注:包括寄件用户和收件用户,本文件中简称“用户”。 3.3 快递物流服务提供者 expresslogisticsserviceprovider 快递物流服务组织(3.4)、快递物流服务受理组织(3.6)、快件代存组织(3.7)的统称。 注,本文件中简称“提供者”
GB/T25069、GB/T35273一2020界定的以及下列术语和定义适用于本文件。 3.1 快递物流服务 expresslogisticsservice 在承诺的时限内快速完成的邮件快件寄递服务。 注1:本文件中所称快递物流服务不包括道路货物运输服务。 注2:涉及从接收用户订单开始直到将物品送达用户为止的完整活动,通常包括下单、揽件、封装、中转、派件等服务 环节。 [来源:GB/T27917.1—2011,2.1,有修改] 3.2 寄递用户senderandaddresser 使用快递物流服务(3.1)的个人或组织。 注:包括寄件用户和收件用户,本文件中简称“用户”。 3.3 快递物流服务提供者 expresslogistics serviceprovider 快递物流服务组织(3.4)、快递物流服务受理组织(3.6)、快件代存组织(3.7)的统称。 注,本文件中简称“提供者”
快递物流服务组织(3.4)、快递物流服务受理组织(3.6)、快件代存组织(3.7)的统称。 注:本文件中简称“提供者”
设立在公共场合,可供快递物流服务组织(3.4)和寄递用户(3.2)投递、提取快件的自助服务设备 [来源,YZ/T 0133—2013.3.1.有修改1
来源,YZ/T0133—2013,3.1,有修改
智能信包箱intelligentmail&parcellocker 应用信息技术控制与管理,通过密码验证、电子验证、生物识别和其他身份识别方式进行操作,供用 户接收邮件和快件的智能服务终端。 [来源:GB/T24295—2021,3.1]
5.1快递物流服务业务组成
快递物流服务数据处理活动主要围绕着快递物流服务的业务功能开展,包括:用户的注册、寄件、收 件、快件信息查询等;提供者的揽件、中转、清关、派送等。 快递物流服务涉及的相关方包括快递物流服务提供者、寄递用户,以及快递物流服务第三方参与 者。其中,快递物流服务提供者包括快递物流服务组织、快递物流服务受理组织,以及快件代存组织;快 递物流服务第三方参与者主要为接受快递物流服务提供者委托,处理快递物流服务中的清关、保险、客 服等特定事项的组织。快递物流服务参与主体交互示意图见图1。
递物流服务数据处理活动及安全风险见附录A。
图1快递物流服务参与主体交互示意图
GB/T 420132022
5.2快递物流服务数据范围
快递物流服务提供者收集个人信息应在满足GB/T35273一2020中5.1、5.2、5.3的要求基础上,遵 守以下要求: a 通过App收集必要个人信息应符合GB/T41391一2022中A.8规定; 注1:GB/T41391一2022附录A给出了常见类型ApP必要个人信息范围,快递物流类App的必要个人信息范围对 应“A.8邮件快件寄递类”。 b 扩展业务功能收集个人信息应由用户可选提供,且应限于实现处理目的的最小范围,常见扩 展业务功能收集的个人信息范围及使用要求见附录C; c 提供揽收或代揽收快件服务时,不应通过收集寄件用户身份证件照片的方式进行寄件用户身
GB/T420132022
份校验及身份信息登记; 注2:例如快件代存组织通过快递服务站方式提供代揽收服务时,服务人员使用个人智能手机对寄件用户身份证件 进行拍摄和保存。 快递物流App不应在启动后,且用户还未使用任何邮件快件寄递相关业务功能时,提前向用 户申请位置权限
快递物流App不应申请与ApP业务功能无关的系统权限,系统权限申请范围及使用要求见 附录D。
快递物流服务提供者利用个人信息和个性化推送算法向用户提供信息,应满足以下要求: a)允许用户自主选择是否使用个性化推荐相关功能; 提供易于理解、便于访问和操作的一键关闭个性化推荐、拒绝接受定向推送信息,以及重置、修 改、调整针对其个人特征的定向推送参数的功能; 提供删除定向推送信息服务过程中收集和产生的个人信息的功能,法律、行政法规另有规定或 者与用户另有约定的除外,
GB/T 420132022
快递物流服务提供者删除数据,应遵守以下要求: a)保存数据删除的有关记录,记录内容包括但不限于删除的数据类型、方式、时间、责任人等; b)个人信息删除满足GB/T35273一2020中8.3的要求,
快递物流服务提供者在响应用户个人信 求的基础上,遵守以下要求。 a)应对个人信息主体权利请求人进行身份校验。
GB/T42013—2022
14快递物流服务典型业务场景数据安全保护
14.1收派员收派服务
快递物流服务提供者校验收派员身份应遵守以下要求: 应对收派员开展快递收派工作时使用的智能服务终端设定设备锁屏口令,并在收派员登录设 备时验证使用者身份是否终端所有者; 应采用账号口令等方式,在收派员使用收派业务App等涉及个人信息访问的系统前进行身份 校验。
[14.1.2 访问控制
快递物流服务提供者进行收派员访问控制,应遵守以下要求: a)应仅允许收派员查看本人的揽件、派件信息; b)应限制收派员仅能够查询15天内的历史收派件信息。
14.2智能快件箱与智能信包箱
a 智能快件箱、智能信包箱视频监控范围不应超出实现监控服务目的所需的最小范围; b) 应设置显著的提示标识,提示用户已进入视频监控范围; C) 应采取如基于角色或基于任务的访问控制模型,防止视频监控信息被非授权访问、篡改、删除; d) 智能快件箱、智能信包箱提供者应保存视频监控信息查阅记录,包括查阅人员、查阅目的、查阅 对象、查阅时间等记录; e)所收集的个人图像应仅用于维护公共安全的目的,取得个人单独同意的除外。
14.2.2硬件设备安全
14.3收派移动作业终端
14.3.1数据存储安全
14.3.2数据访问安全
收派移动作业终端数据访问,应在满足9.2要求的基础上,满足以下要求: )设置登录有效时长(宜小于24h),超过有效时长时强制退出登录; b)在用户修改口令后退出登录状态; 在用户更换设备登录时,采用口令、密码技术、生物特征识别披术等两种或两种以上组合的鉴 别技术对用户进行身份校验。
A.1快递物流服务数据处理活动
快递物流服务数据处理活动示意如图A.1所示。
GB/T420132022
附录A (资料性) 快递物流服务数据处理活动及安全风险
A.2快递物流服务数据安全风险
图A.1快递物流服务数据处理活动示意图
GB/T 420132022
快递物流服务常见扩展业务功能包括: 定期结算服务:按照与用户的约定,提供者同用户定期对已向用户提供的快递物流服务进行费 用结算的服务; 口令签收:使用指定的口令进行收件人验证的寄递服务; 保价服务:在快件运输途中由于提供者责任导致托寄物损坏或遗失,由提供者按照保价金额 (申报价值)和损失比例进行赔偿的服务; )签单返还:在成功派送快件后,将收件用户签名收条、收货单据等返还寄件用户的服务 代收货款:按照寄件用户(卖方)与收件用户(买方)达成的交易协议,为寄件用户提供货物(商 品)专递,同时向收件用户收取货款并按约定时间将货款转交至寄件用户的服务; 代收代派服务:按照与用户的约定,为用户提供代揽收、代派件的服务。 快递物流服务常见扩展业务功能的个人信息收集范围及使用要求见表C.1。
表C.1快递物流服务常见扩展业务功能的个人信息收集范围及使用要求
GB/T42013—2022
JT/T 1364-2020 海上平台拖航技术要求递物流服务App相关系统权限申请范围及使用要
1快递物流服务AndroidApp(Android11及以下版本)相关系统权限申请范围及使用 包表D.1。
AndroidApp相关系统权限申请范围及使用要求
表D.2iOSApp相关系统权限申请范围及使用要求
本附录给出了有单号及无单号信息查询的反馈规则XF 1265-2015 蓄冷型消防员降温背心,见表E.1及表E.2
表E.1有单号查询信息反馈规则
、收件用户以外的个人用户 注2:“/”表示该查询项可被相应角色查询,“×”表示该查询项不可被相应角色查询。例如表中“原寄地、目的 地”查询项,可被“寄件用户”“收件用户”查询,但不可被“第三方个人用户”查询。