GB/T 42014-2022标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB/T 42014-2022 信息安全技术 网上购物服务数据安全要求.pdf网上购物App不应申请与App业务功能无关的系统权限,系统权限申请范围及使用要求见附录D。
网上购物App不应申请与App业务功能无关的系统权限,系统权限申请范围及使用要求见附录D。
网上购物服务提供者进行数据存储和传输活动时,应在满足GB/T35273一2020中第6章要求的 基础上,遵守以下要求: a 网上购物服务个人信息存储期限应为实现个人信息处理目的所必需的最短时间,超出存储期 限应对个人信息进行删除或匿名化处理,法律法规另有规定的除外; b) 如超出个人信息存储期限,但法律、行政法规规定的保存期限未届满,或者删除个人信息从技 术上难以实现的,应停止除存储和采取必要的安全保护措施之外的处理; 应将实名认证环节收集的个人身份信息与其他个人信息分开存储; d)应将用户个人身份信息、订单数据与用户生物识别信息分开隔离存储; e)应对敏感个人信息进行加密存储。
YD/T 2518.2-2013 2GHzWCDMA数字蜂窝移动通信网终端设备测试方法(第五阶段)增强型高速分组接入(HSPA+)第2部分网络兼容性测试GB/T420142022
卖家; C 为实现支付,向支付服务提供者提供的数据应限于如下范围:交易金额、商品或服务信息、卖家 信息、交易双方的网络支付账号; 为实现发货,向物流服务提供者提供的数据应限于如下范围:卖家寄件信息、买家收货信息、商 品信息; e) 为完成支付、发货等活动向支付、物流等第三方服务提供者提供的数据应仅限于涉及相关活动 的订单范围; 不应向广告主、广告分发及管理平台等第三方提供用户使用网上购物服务的记录或状态; 因兼并、重组、破产等原因需要转移数据的,应明确数据转移方案,数据接收方应继续履行相关 数据安全保护义务
卖家; C 为实现支付,向支付服务提供者提供的数据应限于如下范围:交易金额、商品或服务信息、卖家 信息、交易双方的网络支付账号; 为实现发货,向物流服务提供者提供的数据应限于如下范围:卖家寄件信息、买家收货信息、商 品信息; e) 为完成支付、发货等活动向支付、物流等第三方服务提供者提供的数据应仅限于涉及相关活动 的订单范围; 不应向广告主、广告分发及管理平台等第三方提供用户使用网上购物服务的记录或状态; 因兼并、重组、破产等原因需要转移数据的,应明确数据转移方案,数据接收方应继续履行相关 数据安全保护义务
网上购物服务提供者在数据删除活动中应在满足GB/T35273一2020中8.3要求的基础上,遵守 以下要求: a 如遇到业务下线、机房裁撤、业务迁移等原因,应对相关存储设备进行不小于三次的数据擦除 对要报废的存储设备进行销毁处理; b)应保存数据删除的有关记录,记录内容包括但不限于删除的数据类型、方式、时间、责任人等
GB/T420142022
网上购物服务提供者在向用户提供个人信息更正服务时,应在满足GB/T35273一2020中8.2要 求的基础上,遵守以下要求: a)应向个人信息主体提供更正的个人信息包括但不限于用户通过填写等方式主动提交给网上购 物服务提供者的个人信息; b)宜提供对商品或服务的评价进行更正的功能,如通过追加评论功能,实现个人信息主体对其评 价信息的更正或补充
网上购物服务提供者在向用户提供注销账号服务时,应在满足GB/T35273一2020中8.5要求的 基础上,遵守以下要求。 a)应以显著方式提示用户注销账号后,其权益和资产可能受到的影响。 注:如账号信息、会员权益、虚拟资产无法恢复或无法享受相关售后服务。 b 如有以下情形,应提示用户无法注销的原因: 1)在最近一个月内,账号进行更改口令、更改绑定信息等敏感操作; 2)不同意放弃账号在系统中的资产和虚拟权益; 3) 账号内有未完成的订单和服务; 4) 账号存在未解决的纠纷,包括投诉举报或被投诉举报; 未对绑定的支付账号等关联账号解除绑定:
13.5未成年人个人信息保护
收集不满14周岁未成年人个人信息,应制定专门的个人信息处理规则,并取得未成年人的交母享 者其他监护人的单独同意,
14网上购物服务典型场景数据安全要求
社交购物指在即时通信平台中通过嵌入的网上购物服务平台等形式提供网上购物服务。 在此尖物 景下,对网上购物服务提供者的要求如下: a)应对购买隐私商品或服务的用户昵称进行去标识化处理后进行展示; b 如使用即时通信平台账号登录网上购物服务平台,不应要求用户授权即时通信平台提供除用 户名称及头像外的其他个人信息; 用户主动分享包含其个人信息的页面(如用户本人的订单页面),不应允许其他用户转发; 未经用户单独同意,不应公开用户的浏览状态、购买的商品信息。
14.3线上线下融合购物
线上线下融合购物指通过线上及线下渠道共同完成的网上购物服务(如在网上购物服务平台提供 商品或服务的展示、浏览、搜索或下单等功能的基础上,通过线下渠道完成消费、提货、接受导购或代下 单服务等活动)。在此类场景下,对网上购物服务提供者的要求如下。 a不 在线上下单、线下消费场景下: 示例1:用户在线上购买到店套餐后,在线下商户消费。 1)提供给卖家/线下商户的数据应仅限于用户在该卖家/线下商户处下单的订单范围; 2) 提供给卖家/线下商户的数据内容应仅限于相关订单中购买的商品或服务信息,买家账 号,为完成当次消费目的所必须、买家主动填写并提交的信息; 3) 为完成当次消费目的,需向卖家/线下商户提供用户敏感个人信息的,宜在买家到线下商 户消费时提供。 b) 在使用同一或相互关联的ERP系统或CRM系统将网上购物服务平台和卖家、线下商户、商 品和服务等进行整合,向用户销售商品或提供服务的场景下: 示例2:用户在网上购物服务平台上联系卖家/线下商户(包括导购人员)、在线下门店接受导购服务、由门店 代为下单等。 1)向卖家/线下商户提供用户数据前,应向用户告知并取得用户同意;
A.1网上购物服务数据处理活动
附录A (资料性) 网上购物服务数据处理活动及数据安全风险
图A.1网上购物服务数据处理活动示意图
A.2网上购物服务数据安全风险
GB/T420142022
网上购物服务数据主要面临如下安全风险。 a)在数据收集活动中,网上购物服务提供者在注册、浏览、下单等环节中过度收集用户个人信息 或过度索取终端权限的风险。 b)在数据传输、存储活动中,网上购物服务提供者未采取有效安全措施导致数据遭受未经授权的 访问、泄露、篡改、丢失的风险。 C)在数据使用及加工活动中: 1)网上购物服务提供者未采取脱敏等安全措施导致数据泄露或超出用户同意范围展示用户 个人信息的风险; 2) 网上购物服务提供者在自动化决策中滥用用户个人信息(如在交易价格等交易条件方面 设置不合理差别待遇)的风险。 d 网上购物服务提供者为完成购买、支付、发货等活动与第三方开展合作,或委托第三方开展数 据分析等服务时,未经用户授权向第三方提供或超范围提供用户数据,以及接收方无法提供充 足安全保障措施、滥用用户数据等风险。 网上购物服务提供者未经用户授权或超范围展示用户个人信息的风险。 f)网上购物服务提供者未对设备进行有效的数据删除措施,导致数据被恶意恢复、滥用的风险。 网上购物服务提供者永久留存、过度使用用户数据,未向用户提供有效的删除功能或途径,对 用户隐私安全产生潜在威胁的风险,以及其他未能有效响应用户请求导致用户未能有效行使 个人信息权利的风险。
B.1网上购物服务重要数据识别参考规则
附录B (资料性) 网上购物服务重要数据识别参考规则及数据分类示例
网上购物服务重要数据识别参考规则如下: a) 按照国家和网上购物服务行业的重要数据目录,识别涉及的重要数据; 相关目录不明确时,按照重要数据识别相关规定、国家或行业标准识别重要数据; 6 ) 相关目录、规定和标准均不明确时,将一旦被泄露或篡改、损毁,可能直接危害国家安全、经济 运行、社会稳定、公共健康和安全的数据识别为重要数据。
B.2网上购物服务数据分类示例
网上购物服务数据分类示例见表B.1.
GB/T 4324.21-2012 钨化学分析方法 第21部分:铬量的测定 电感耦合等离子体原子发射光谱法表B.1网上购物服务数据分类示例
网上购物服务常见扩展业务功能的个人信息收集范围及使用要求见表C.1。
物服务常见扩展业务功能的个人信息收集范围及
GB/T42014—2022
网上购物服务AndroidApp(Android11及以下版本)相关系统权限申请范围及便用要求见表D.1。
AndroidApp相关系统权限申请范围及使用要
DBS50 001-2011 食品安全地方标准 重庆火锅毛肚表D.2iOSApp相关系统权限申请范围及使用要求
[1]GB/T38652—2020电子商务业务术语 [2]中华人民共和国电子商务法 [3],中华人民共和国网络安全法 [4]中华人民共和国个人信息保护法 [5]网络交易管理办法(国家工商行政管理总局令第60号) [6]互联网直播服务管理规定(国家互联网信息办公室) [7]网络信息内容生态治理规定(国家互联网信息办公室令第5号)
GB/T42014—2022