GB/T 42017-2022标准规范下载简介
GB/T 42017-2022 信息安全技术 网络预约汽车服务数据安全要求.pdf10.2违法违规信息公开披露
网络预约汽车服务提供者对用户违法违规信息公开披露时,应在遵守GB/T35273一2020中 5要求的基础上,对乘客或驾驶员的个人信息进行去标识化处理。
12乘客和驾驶员个人信息权利
TCNTAC 2.7-2017 纺织品 企业产品标准自我声明公开指南 第7部分:产业用纺织品12.1个人信息查阅和复制
网络预约汽车服务提供者向用户提供个人信息查阅和复制,应在遵守GB/T35273一2020中8.1、 6要求的基础上,遵守以下要求: a 应为乘客和驾驶员提供在线个人信息查阅服务,个人信息查阅服务应简单方便、易于操作; b 乘客查阅的个人信息应包括但不限于账号信息、手机号码、实名信息、紧急联系人、常用地址、 账户余额、行程订单; c 驾驶员查阅的个人信息应包括但不限于手机号码、实名信息、个人头像、车辆信息、紧急联系 人、账户余额、行程订单、流水明细、服务评价:
网络预约汽车服务提供者向用户提供个人信息查阅和复制,应在遵守GB/T35273一2020中8.1 要求的基础上,遵守以下要求: a)应为乘客和驾驶员提供在线个人信息查阅服务,个人信息查阅服务应简单方便、易于操作; b)乘客查阅的个人信息应包括但不限于账号信息、手机号码、实名信息、紧急联系人、常用地址 账户余额、行程订单; 驾驶员查阅的个人信息应包括但不限于手机号码、实名信息、个人头像、车辆信息、紧急联系 人、账户余额、行程订单、流水明细、服务评价:
GB/T420172022
d)为用户提供在线个人信息复制功能时,应提供口令保护以防范个人信息副本泄
12.2个人信息更正或补充
网络预药汽车服务提供者提供个人信息更正或补充,应在遵守GB/T352732020中8.2要求的 基础上,遵守以下要求: a)应为乘客和驾驶员提供在线个人信息更正或补充服务,个人信息更正或补充服务应简单方便 易于操作; b 乘客更正或补充的个人信息应包括但不限于账号信息、手机号码、常用地址、紧急联系人; 驾驶员更正或补充的个人信息应包括但不限于账号信息、手机号码、个人头像、车辆信息、紧急 联系人。
网络预药汽车服务提供者向用户提供个人信息撤回同意,应在遵 GB/13527 8.4 求的基础上,遵守以下要求: a)应为用户提供在线面部识别特征授权撤回同意功能,收集面部识别特征为履行合同所必需的 除外; b应为乘客和驾驶员提 管理人口
12.6乘客和驾驶员注销账户
网络预药汽车服务提供者向用户提供账号注销,应在遵守GB/T35273一2020中8.5要求的基础 上,遵守以下要求: a)应为乘客和驾驶员提供在线账号注销服务; b) 账号注销应简单方便,可立即实现,有未完成订单、未处理完毕纠纷的除外; 账户注销后,对于法律法规规定或者双方约定的期限届满的,应立即删除或者置名化处理; d)账户注销功能不应增加收集个人信息。
13行程录音录像数据安全要求
13.1行程录音录像数据安全基本要求
行程录音录像数据是网络预约汽车服务中的敏感个人信息。网络预约汽车服务提供者应制定 音录像数据安全管理规范,在行程录音录像数据收集、使用、存储、删除等环节采取安全控制措施 重点保护。行程录音录像数据安全管理范式模板示例见附录H
13.2行程录音录像的收集
网络预约汽车服务提供者对行程录音录像的收集,符合以下要求: 收集行程录音录像应取得驾驶员和乘客单独同意,并在每次行程录音前单独提示,行程录音宜 通过驾驶员App或车载设备收集,行程录像宜通过车载设备收集; b) 收集的行程录像数据如需保存,应保存在车内,经用户单独同意才可上传,紧急情况下为保护 自然人的生命健康安全所必需的除外; c)应对车截设备采取必要的安全防护,包括但不限于授权访间,数据加密,禁用或屏蔽调试接口
13.3行程录音录像的使用
网络预约汽车服务提供者对行程录音录像的使用,符合以下要求: a)应与用户明确约定行程录音录像的使用用途,并严格按照约定用途使用行程录音录像,不应超 出约定用途使用行程录音录像 b) 应对行程录音录像采取水印技术防范录音转录和录像截取等泄露风险; c)宜对行程录音采取技术措施,使录音可识别录音内容但无法识别用户身份,如对音频信息的基 频进行改变等; 注:音频基频指每一个人声音的声纹特征,通过该特征能将不同人的声音进行有效的区分识别。 d)应对行程录像采取技术措施,对车外人员面部识别特征、车外车辆号牌、车内乘客面部识别特 征模糊化处理,如采取检测 别特征遮挡处理等
8.4行程录音录像的存
网络预约汽车服务提供者对行程录音录像的存储与删除,符合以下要求: 应为乘客和驾驶员提供已完成订单的行程录音录像删除渠道,在一次行程服务完成后,如乘客 和驾驶员对行程安全确认无误,应能向网络预约汽车服务提供者提出删除本次行程录音录像 数据请求,网络预约汽车服务提供者应在3天内删除行程录音录像; 收集的行程录音数据存储时间不应超过7天,当乘客或驾驶员有未处理完毕纠纷时,对应的行 程录音数据适当延长保存期限,纠纷处理完毕且超过约定存储时限的应删除
A.1网络预约汽车服务流程
附录A (资料性) 网络预约汽车服务数据处理活动及数据安全风险
网络预约汽车服务数据处理活动及数据安全风险
常见网络预约汽车服务流程,主要涉及用户注册/登录、驾驶员背景审核、乘客发起订单、订单匹配、 驾驶员接单、行程服务、网络预约汽车服务提供者安全秩序维护、付费收费、用户评价等步骤,如图A.1 所示。如果存在第三方服务平台,乘客通过第三方服务平台发布约车订单,第三方服务平台将订单请求 发送给接人的网络预约汽车服务提供者,后者进行订单匹配并将订单发送给驾驶员,
图A.1常见网络预约汽车服务流程
网络预约汽车服务涉及的业务功能主要包括: 用户注册登录:乘客在网络预约汽车服务的乘客App注册/登录,驾驶员在网络预约汽车服务 的驾驶员App注册/登录; b) 驾驶员背景审核:网络预约汽车服务提供者按照国家有关规定对网约车驾驶员资格进行审核, 经审核通过的驾驶员可以通过驾驶员ApP接收订单; 乘客发起订单:乘客输入起点、终点,通过网络预约汽车服务平台或第三方服务平台呼叫车辆; 订单匹配:网络预约汽车服务提供者对乘客、驾驶员的供需信息进行匹配后,将订单信息发送 给驾驶员; 驾驶员接单:驾驶员接收或自主选择网络预约汽车服务提供者匹配的订单; 行程服务:乘客乘坐车辆,驾驶员运送乘客至目的地; 安全秩序维护:网络预约汽车服务提供者制定平台规则,根据平台规则处理用户纠纷,维护平 台安全秩序,预防或者减少危害用户人身和财产安全的行为;
h)付费收费:乘客支付呼叫及乘坐车辆所产生的费用,驾驶员收取运送乘客产生的服务费用; i)用户评价:乘客、驾驶员对结束后的订单进行评价
A.2网络预约汽车服务数据处理活动
网络预约汽车服务数据处理活动涉及数据收集、存储、使用、加工、提供、公开、删除等环节,主要包 括驾驶员、乘客、网络预约汽车服务提供者、第三方服务平台、紧急联系人等相关角色。网络预约汽车服 务提供者为驾驶员提供注册/登录、审核、接单、收款、安全秩序维护等功能,为乘客提供注册/登录、发起 订单、支付、安全秩序维护等功能。网络预约汽车服务过程中的数据处理活动及相关角色和服务功能示 意图如图A.2所示。
A.3网络预约汽车服务数据安全风险
络预约汽车服务数据处理活动及相关角色和服务
网络预汽车服务主要面临以下数据安全风险: a)在数据收集活动中,网络预约汽车服务提供者过度或未经授权收集叫车人、乘车人和驾驶员的 个人信息或者过度索取移动智能终端操作系统权限的风险; b 收集使用和存储用户的行程录音录像、行踪轨迹和面部识别特征等敏感个人信息,可能造成数 据泄露和滥用的风险; 使用大数据分析技术不当,侵害用户合法权益的风险; d 在数据使用时,因权限设置不当、利用职权私自查阅等而带来无意或有意泄露用户行踪轨迹等 信息的风险; 数据提供时,在行程分享、一键报警、紧急联系人和企业订单等场景下,网络预约汽车服务提供 者未经用户同意或超出必要限度向第三方提供数据、对外公开披露数据的风险; 巧 在公开披露违法违规信息时,未采取充分去标识化措施,造成个人信息泄露的风险
GB/T42017—2022
网络预约汽车服务重要数据识别参考规则及数据分类示例
B.2网络预约汽车服务数据分类示份
网络预约汽车服务数据分类示例见表B.1
表B.1网络预约汽车服务数据分类示例
GB/T420172022
表B.1 网络预约汽车服务数据分类示例(续)
表B.1网络预约汽车服务数据分类示例(续)
人信息和常见扩展业务功能收集个人信息范围及
.1网络预约汽车服务通过App收集的驾驶员个人信息范围及使用要求见表C.1。
页约汽车服务通过APP收集的驾驶员个人信息范
表C.2网络预约汽车服务常见扩展业务功能收集的个人信息范围及使用要求
GB/T420172022
表C.2网络预约汽车服务常见扩展业务功能收集的个人信息范围及使用要求(续)
汽车服务App相关系统权限申请范围及使用要
D.1网络预约汽车服务乘客AndroidApp(Android11及以下版本)系统权限申请范围及 表D.1。
气车服务乘客AndroidApp(Android11及以下版本)系统权限申请范围及使用要求见
车服务乘客AndroidApp相关系统权限申请范围
表D.2网络预约汽车服务驾驶员AndroidApp相关系统权限申请范围及使用要求
D.3网络预约汽车服务乘客iOSApp(iOS14及以下版本)系统权限申请范围及使用要求见表D.3。
D.3网络预约汽车服务乘客iOSApp(iOS14及以下版本)系统权限申请范围及使用要求见表D.3
汽车服务乘客iOSApp相关系统权限申请范围
表D.3网络预约汽车服务乘客iOSApp相关系统权限申请范围及使用要求(续)
D.4网络预约汽车服务驾驶员iOSApp(iOS1 及以下版本)系统权限申请范围及使用要求 表D.4网络预约汽车服务驾驶员iOSApp相关系统权限申请范围及使用要求
D.4网络预约汽车服务驾驶员iOSApp(iOS14及以下版本)系统权限申请范围及使用要求见表D.4。
页约汽车服务驾驶员iOSApp相关系统权限申请
为提升××××服务产品安全能力、更好地处理××××服务的司乘纠纷,××××服务上线录音 功能。本协议将向您说明××X×服务收集使用录音信息的情况,请您务必认真阅读本协议,在确认充 分了解后慎重决定是否同意本协议。您点击同意后,本协议生效,对您及××××均具有法律约束力。 1.您同意本协议后,使用××××服务时,××××将通过软件或硬件设备录取您后续全部行程 中的车内环境声音信息(包括您及车上人员交谈或肢体动作产生的声音),且在开始录音前会单独提示。 受技术条件影响,××××各项服务在不同城市上线录音功能的时间不同,具体以××××显示的录音 状态为准。 2.录音将通过×X×X驾驶员ApP或其他具备录音功能的软件或硬件进行。录音仅在驾驶员、乘 客均同意的情况下开启。如乘客使用的App版本未及时更新,无法对录音进行授权,则录音不开启。 3.录音起始时间: a)录音自订单行程开始时起(预约订单自驾驶员到达乘客出发地时起),至行程结束后适当时间 停止(具体以驾驶员App显示的录音状态为准)。乘客自进人车辆后至离开车辆时,将同时被 采集录音信息。 b)其他上线录音功能的服务的录音起始时间以××××App另行告知为准。 4.如您是代他人叫车,在代叫车前请务必告知被代叫车人行程内录音信息收集情况,并征得被代 叫车人同意后,才可为其叫车。 5.录音数据将用于以下明确列明的使用场景: a)作为服务提供者处理用户纠纷的依据; b)为维护用户人身安全等重大合法利益,或情况紧急又很难获得用户同意时。 6.录音数据存储时间不超过7天,当乘客或驾驶员有未处理完毕的纠纷时,对应的行程录音数据 适当延长保存期限,在纠纷处理完毕且超过约定存储时限时将被删除。 7.用户使用的手机等硬件设备故障、网络状态不稳定、ApP版本过旧以及不可抗力等因素均可能 导致录音失败,您对此表示理解,如遇此类问题,××××不需承担责任。 8.××××将严格按照本协议约定收集使用用户录音数据。本协议对相关内容未作明确约定的, 以××××《个人信息保护及隐私政策》约定为准。
附录F (资料性) 投诉处理场景数据安全保护要求
对网络预约汽车服务提供者投诉处理人员账户安全管理要求包括: a)定义并维护投诉处理系统人员账号信息,对投诉处理人员岗位职责、角色和业务类型进行定义 说明,对不同岗位、角色、业务类型投诉处理人员数据访问范围进行限定; b) 采取多因素身份验证措施,防止身份冒用和账号共享,对单一账户多终端同时登录进行限制, 对投诉处理人员登录投诉处理系统网络地址进行限定。
对网络预约汽车服务提供者投诉处理人员账户安全管理要求包括: 定义并维护投诉处理系统人员账号信息,对投诉处理人员岗位职责、角色和业务类型进行定义 说明,对不同岗位、角色、业务类型投诉处理人员数据访问范围进行限定; 采取多因素身份验证措施,防止身份冒用和账号共享,对单一账户多终端同时登录进行限制, 对投诉处理人员登录投诉处理系统网络地址进行限定。
F.2访问控制安全管理
对网络预约汽车服务提供者投诉处理访问控制安全管理要求包括: a 按照业务流程的需求触发为投诉处理人员进行授权,不为投诉处理人员配置非需求触发条件 下访问乘客和驾驶员数据的权限,当接到乘客或驾驶员投诉后才可访问相应行程订单的行踪 轨迹等数据; b)根据业务需要限定已处理完成的投诉工单有效期,及时关闭投诉处理人员已处理完成订单数 据的访问权限。
XF 1204-2014 移动式消防储水装置网络预约汽车服务数据脱敏规则示例见表G.1
GB/T42017—2022
表G.1网络预约汽车服务数据脱敏规则示例
行程录音录像数据安全管理 依据、不培定文、安全 数据安全管理范式模板示例见表H.1
表H.1行程录音录像数据安全管理范式模板示
行程录音录像数据安全管理范式模板示例(续)
LY/T 3275-2021 室外用木塑复合板材表H.1行程录音录像数据安全管理范式模板示例(续)
[1],GB/T39725一2020信息安全技术健康医疗数据安全指南 [2]中华人民共和国网络安全法 [3]汽车数据安全管理若干规定(试行)(国家互联网信息办公室、国家发展和改革委员会、工业和 信息化部、公安部、交通运输部令第7号) [4]电信和互联网用户个人信息保护规定(工业和信息化部令第24号) [5] 移动互联网应用程序信息服务管理规定(国家互联网信息办公室) [6] 网络交易监督管理办法(国家市场监督管理总局令第37号) [7]网络预约出租汽车经营服务管理暂行办法(交通运输部、工业和信息化部、公安部、商务部、工 商总局、质检总局、国家网信办)