GB/T40094.4-2021
电子商务数据交易第4部分:隐私保护规范
Electroniccommercedatatransaction—Part4:Privacyprotectionspecification
- 中国标准分类号(CCS)A10
- 国际标准分类号(ICS)35.240.01
- 实施日期2021-12-01
- 文件格式PDF
- 文本页数7页
- 文件大小471.31KB
以图片形式预览电子商务数据交易第4部分:隐私保护规范
电子商务数据交易第4部分:隐私保护规范
国家标准 GB/400g4.4一2021 电子商务数据交易 第 言4部分隐私保护规范 Eectromieommereedatatransaetion一Part4.Privaeyprteetionspeeifieation 2021-05-21发布 2021-12-01实施 国家市场监督管理总局 发布 国家标涯花管理委员会国家标准
GB;/T40094,4一2021 目 次 前言 范围 2 规范性引用文件 术语和定义 总则 数据提供方职责义务 数据需求方职责义务 交易平台运营商职责义务 信息主体权利 证实方法 参考文献
GB;/T40094,4一2021 前 言 GB/T40094《电子商务数据交易》分为如下部分 第1部分:准则; -第2部分:数据描述规范 第3部分:数据接口规范; 第4部分:隐私保护规范
本部分为GB/T40094的第4部分
本部分按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任
本部分由全国电子业务标准化技术委员会(SAC/TC83)提出并归口
本部分起草单位;成都中科大旗软件股份有限公司、广州台慧信息技术有限公司、合肥高维数据技 术有限公司、北京中汇未来电子商务有限公司、厦门有卖电子商务有限公司、北京中普至信标准化咨询 事务所广东集果物眼网科技有服公司 、福建省德化县优扬工艺品有限公司、标准化研究院、广东新 安怀电子商务有限公司、江门市四五楼电子商务有限公司 、北京无界标准科技有限公司、浙江省林业技 术推广总站、佛山市荣仕照明科技有限公司、佛山市金钜伦五金文具有限公司,浙江和也健康科技有限 公司、福建海两标准化技术服务事务所有限公司.计量大学,暴州润物科技有限公司、中食北l《橘 建)酒业有限公司、北京中金永嘉大数据技术有限公司、北京阿拉丁火颇大数据科技有限公司
本部分主要起草人:周道华、吕宏义、李园莉、田辉、吕海涛、曹岩松、李武贤、马建红、刘颖,梁锡钧 郭春材、陈亚红、陈桂清、陈绪超、洗畅荣、张科、陈宇超、陈荣瑞,项子涵、梁润涧斌、胡静、胡立江、缪仙玉 郝凤英、王金兰
GB;/T40094,4一2021 电子商务数据交易 第4部分:隐私保护规范 范围 GB/T40094的本部分规定了电子商务数据交易中隐私保护总则,数据提供方职责义务、数据需求 方职责义务、交易平台运营商职责义务和信息主体权利的要求和证实方法 本部分适用于电子商务数据交易中的隐私保护 规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T40094.1一2021电子商务数据交易第1部分;准则 GB/T40094.22021 电子商务数据交易第2部分;数据描述规范 术语和定义 GB/T40094.1一2021,GB/T40094.2-2021界定的以及下列术语和定义适用于本文件
3.1 个人信息personalinformation 能够单独或者与其他信息结合识别自然人个人身份的各种信息
注包括但不限于自然人的姓名,出生日期,身份证件号码、个人生物识别信息,住址和电话号码等
3.2 个人信息主体personalinformatonsubjeet 个人信息所标识或关联的自然人 [GB/T352732020,定义3.3 3.3 匿名化anonymization 通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原 的过程
注;个人信息经匿名化处理后所得的信息不属于个人信息
[GB/T352732020,定义3.14 3.4 去标识化de le-identifieationm 通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的 过程
注:去标识化建立在个体基础之上,保留了个体颗粒度,采用假名,加密、哈希函数等技术手段替代对个人信息的 标识
GB/T40094.4一2021 [GB/T35273一2020,定义3.15 总则 4.1隐私范睛 本部分的隐私范睐应包括但不限于以下内容 未成年人信息 a b)财产信息 通信信息; c d 艾滋病、传染病等疾病患者信息; 国家法律法规规定的其他信息
e 4.2交易数据 交易数据应符合GB/T40094.1一2021中第5章的规定
4.3交易主体 交易主体应符合GB/T40094.1一2021中4.3的规定
4.4交易平台运营商 平台运营商应符合GB/T40094.1一2021中4.2的规定
数据提供方职责义务 5 数据提供方对数据交易中的隐私保护承担的职责义务应包括但不限于 贯彻个人信息保护相关国家法律法规及行为规范,自觉维护个人信息主体合法权益; a 对其提供的所有数据的流通和使用行为的合规性负责, b 确保提供的所有数据不涉及国家法律法规禁止发布或传输的信息; C d 确保提供的所有数据不涉及隐私信息 当提供的数据涉及隐私信息时,先对其进行匿名化、去标识化等技术处理,确保数据不涉及隐 私信息且无法复原后,方可进人流通环节; f 明确数据的适用范围、使用期限和权利限制等; 确保数据的存储、发布和传输过程中的安全性,防止数据泄露、篡改和删除等; 8 h)对因隐私泄露而对个人信息主体造成伤害的行为承担主要责任
数据需求方职责义务 数据需求方对数据交易中的隐私保护承担的职责义务应包括但不限于 贯彻个人信息保护相关国家法律法规及行为规范,自觉维护个人信息主体合法权益 a 购买需求符合国家法律法规的相关规定 b 按数据提供方界定的数据适用范围,使用期限和权利限制等合法,合规使用数据 d 当在数据使用过程中发现隐私信息时,立即向平台举报或向有关主管部门报告
GB;/T40094,4一2021 确保数据存储、使用过程中的安全性,防止数据泄露、篡改和删除等 e 对因使用数据而导致隐私信息泄露所产生的后果承担主要责任; fD 按照约定方式使用完成或规定期限结束后,销毁购买数据且不可被恢复
8 交易平台运营商职责义务 平台运营商对数据交易中的隐私保护承担的职责义务应包括但不限于 贯彻个人信息保护相关国家法律法规及行为规范,自觉维护个人信息主体合法权益
a 根据国家法律法规规定,制定平台隐私政策,确保交易主体的合法权益
b 设立隐私保护管理部门,负责平台隐私保护工作的日常管理和实施
c 制定隐私保护管理制度,明确平台运营商、交易主体的职责义务及惩罚措施 d 建立隐私保护管理机制,包括但不限于 数据销售许可机制;确保交易主体获得销售许可资格后,允许其参与交易; 数据流转登记机制;做好数据交易信息记录备案,确保每次数据流转都有记录可追溯; 隐私泄露投诉举报机制;积极响应和解决投诉举报,明确投诉解决途径和举报奖励制度 f 组织开展隐私保护宣传培训活动
加强数据审核管理,发现国家法律法规禁止发布或传输的信息时,依法采取必要处置措施,并 g 向有关主管部门报告
积极配合有关主管部门依法履行职责时开展的各项工作
h) 信息主体权利 本部分中的信息主体特指个人信息主体,不包含除个人信息主体之外的其他信息主体
个人信息 主体对数据交易中的隐私保护享有的权利应包括但不限于 有权提出撤销、删除和销毁交易中涉及的个人隐私信息; b)个人信息主体认为交易活动违反相关国家法律法规规定,侵犯其合法权益的,有权依法维权 因隐私信息泄露而对个人信息主体造成伤害的,个人信息主体有权提出赔偿请求
c 证实方法 平台运营商对通过数据交易平台进行数据交易的数据提供方和数掘需求方的资质材料进行审核" 9.1 检查是否符合GB/T40094.l一2021中4.3的要求
9.2平台运营商在9.1基础上,向符合GB/T40094.1一2021中4.3要求的数据提供方说明其职责义 务,并对其提交的交易数据进行审核,检查是否符合第5章的各项要求,对通过审核的数据提供方允许 通过数据交易平台开展数据交易
平台运营商在9.1基础上,向符合GB/T40094.1一2021中4.3要求的数据需求方说明其职责义务 9.3 应符合第6章要求,并签订数据安全使用承诺书 9.4电子商务数据交易主管部门按照第7章的要求,对交易平台运营商的职责义务进行检查和监管
GB/T40094.4一2021 参 考文献 GB/T18391.1一2009信息技术元数据注册系统(MDR)第1部分;框架 [1] [2幻 GB/T34978一2017信息安全技术移动智能终端个人信息保护技术要求 [3幻 GB/T35273一2020信息安全技术个人信息安全规范 [4]GB/T35408一2017电子商务质量管理术语 [幻 GB/T36310-2018电子商务模式规范
电子商务数据交易隐私保护规范GB/T40094.4-2021解读
近年来,随着电子商务的飞速发展,越来越多的企业和个人开始使用互联网平台进行商品和服务的交易。然而,这种交易过程中涉及到的大量个人隐私信息的收集、存储和处理,也引发了广泛关注和担忧。
为此,国家标准化管理委员会发布了《电子商务数据交易隐私保护规范》(以下简称《规范》),旨在明确电子商务数据交易中个人隐私的收集、使用、保存和披露等方面应遵守的基本原则和具体要求。其中,最新发布的第4部分是该规范的核心内容,下面我们将就该部分的重点内容做一些解读。
一、隐私保护原则
《规范》第4部分首先明确了电子商务数据交易中的隐私保护原则,包括以下几个方面:
- 合法性原则:个人信息的收集、使用等行为应当遵守相关法律法规和标准。
- 目的明确性原则:个人信息的收集、使用等行为应当有明确的合法目的,并且不得超出该目的范围进行处理。
- 必要性原则:个人信息的收集、使用等行为应当以达成合法目的为前提,并且不得超过所需范围进行处理。
- 自主选择原则:个人对其信息的选择权利应得到充分尊重和保障。
- 公开透明原则:个人信息的收集、使用等行为应当公开透明,告知个人信息的收集目的、方式、范围、可能涉及的第三方等信息。
- 安全性原则:个人信息的安全保护是数据交易的基本要求。
二、隐私保护措施
除了明确隐私保护原则外,《规范》第4部分还规定了具体的隐私保护措施。这些措施主要包括:
- 个人信息的采集应当经过信息主体的同意,并明示收集的目的、方式和范围。
- 个人信息的存储和处理应当采取必要的技术和管理措施,确保其安全可靠。
- 对于个人敏感信息的收集、使用等行为,应当采取更为严格的审慎措施。
- 个人信息泄露事件发生时,应当及时采取补救措施,并向相关方面进行报告。
- 加强对数据交易过程中可能存在的隐私问题的监管和评估。
- 对于第三方的个人信息处理行为,应当严格控制,并经事先告知信息主体。
- 加强对个人信息保密协议、隐私声明等合同文件的规范化管理。
- 建立健全个人信息保护机制和应急预案,提高数据交易过程中的风险防范能力。
三、电子商务平台责任
在《规范》第4部分中,还明确了电子商务平台在保护个人隐私方面应承担的责任。具体包括:
- 电子商务平台应当建立完善的个人信息保护制度和安全管理体系。
- 电子商务平台应当尽可能地提供个人信息收集、使用等方面的选择权,保障信息主体的自主权利。
- 电子商务平台应当及时处理用户提交的个人信息保护相关的投诉、举报等请求。
- 电子商务平台应当定期公开数据交易过程中的安全情况,增强透明度。
四、结语
电子商务数据交易隐私保护规范GB/T40094.4-2021的发布,标志着我国在电子商务领域隐私保护方面迈出了重要一步。作为专业人士,我们应当深入理解该规范中的各项内容,并将其落实到实际工作中去,为维护消费者个人隐私权益,推动健康、有序的电子商务市场发展贡献自己的力量。
