GB-T《電子商務數(shù)據(jù)交易 隱私保護規(guī)范》（征求意見稿）

ICS35.240.60

A10

中華人民共和國國家標準

GB/TXXXXX—XXXX

電子商務數(shù)據(jù)交易隱私保護規(guī)范

E-commercedatatransaction——

Specificationforprivacyprotection

點擊此處添加與國際標準一致性程度的標識

（征求意見稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

GB/TXXXXX—XXXX

目??次

前言.................................................................................II

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術語和定義.........................................................................1

4總則...............................................................................3

5數(shù)據(jù)提供方職責義務.................................................................3

6數(shù)據(jù)需求方職責義務.................................................................4

7交易平臺職責義務...................................................................4

8信息主體權利.......................................................................4

參考文獻..............................................................................5

I

GB/TXXXXX—XXXX

電子商務數(shù)據(jù)交易隱私保護規(guī)范

1范圍

本標準規(guī)定了電子商務數(shù)據(jù)交易中隱私保護總則，數(shù)據(jù)提供方職責義務、數(shù)據(jù)需求方職責義務、交

易平臺職責義務和信息主體權利。

本標準適用于電子商務數(shù)據(jù)交易中的隱私保護。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T5271.1信息技術詞匯第1部分：基本術語

GB/Z28828信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南

GB/T35273信息安全技術個人信息安全規(guī)范

GB/T35408電子商務質(zhì)量管理術語

GB/TXXX電子商務數(shù)據(jù)交易準則

3術語和定義

下列術語和定義適用于本文件。

3.1

電子商務E-commerce

通過信息網(wǎng)絡進行產(chǎn)品和服務交易的經(jīng)營活動。

[GB/T35408，定義2.1.1]

3.2

數(shù)據(jù)data

信息的可再解釋的信息化表示，以適用于通信、解釋和處理。

注：一個概念模型表示人們對一個體系的理解。

[GB/T5271.1，定義01.01.02]

3.3

電子商務數(shù)據(jù)交易平臺E-commercedatatransactionplatform

在電子商務模式下為交易雙方或多方提供數(shù)據(jù)交易撮合及相關服務的信息網(wǎng)絡系統(tǒng)。

3.4

交易主體transactionsubject

1

GB/TXXXXX—XXXX

經(jīng)由電子商務數(shù)據(jù)交易平臺根據(jù)有關法律法規(guī)及電子商務數(shù)據(jù)交易平臺的有關規(guī)定審核批準，在電

子商務數(shù)據(jù)交易平臺進行數(shù)據(jù)交易的組織或個人。分為：

a)數(shù)據(jù)提供方：即賣方，利用電子商務數(shù)據(jù)交易平臺出售數(shù)據(jù)或提供服務；

b)數(shù)據(jù)需求方：即買方，利用電子商務數(shù)據(jù)交易平臺購買數(shù)據(jù)或獲取服務。

注：本標準只涉及數(shù)據(jù)交易，不包括服務交易。

3.5

數(shù)據(jù)提供方datasupplier

在電子商務數(shù)據(jù)交易中，擁有數(shù)據(jù)所有權或受數(shù)據(jù)所有者合法授權而獲得部分或全部權益的向平臺

提供交易數(shù)據(jù)的組織或個人。

3.6

數(shù)據(jù)需求方datademander

在電子商務數(shù)據(jù)交易中發(fā)布數(shù)據(jù)需求或搜索、購買數(shù)據(jù)的組織或個人。

3.7

個人信息personalinformation

以電子方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自

然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

3.8

個人敏感信息personalsensitiveinformation

一旦泄露、非法提供或濫用，會危害所標識的個人信息主體的人身和財產(chǎn)安全，對其造成不良影響

的個人信息。

3.9

個人一般信息personalgeneralinformation

除個人敏感信息以外的個人信息。

[GB/Z28828，定義3.8]

3.10

個人信息主體personalinformationsubject

個人信息所標識的自然人。

注：改寫GB/T35273，定義3.3

3.11

匿名化anonymization

通過對個人信息的技術處理，使得個人信息主體無法被識別，且處理后的信息不能被復原的過程。

注：個人信息經(jīng)匿名化處理后所得的信息不屬于個人信息。

[GB/T35273，定義3.13]

3.12

去標識化de-identificaiton

2

GB/TXXXXX—XXXX

通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程。

注：去標識化建立在個體基礎之上，保留了個體顆粒度，采用假名、加密、哈希函數(shù)等技術手段替代對個人信息的

標識。

[GB/T35273，定義3.14]

4總則

4.1隱私

隱私的范疇包括但不限于以下內(nèi)容：

a)隱私的主體是自然人，在本標準中指代的是個人信息主體；

b)隱私是個人信息主體不愿公開或不愿被他人知曉的與公共利益、群眾利益無關的個人信息；

c)個人信息按照是否涉及隱私可劃分為個人敏感信息和個人一般信息；本標準中定義的個人敏感

信息是指涉及個人隱私的個人信息；

d)合法的個人隱私受國家法律、行政法規(guī)的保護，主要包括：

——能夠識別個人身份的信息；

——未成年人信息；

——消費者個人信息；

——財產(chǎn)信息；

——通信信息和通訊信息；

——網(wǎng)絡用戶身份信息和日志信息；

——艾滋病、傳染病等疾病患者信息；

——法律、行政法規(guī)規(guī)定的其他個人信息。

e)經(jīng)過匿名化、去標識化等技術處理后且無法復原的信息不屬于個人信息或個人敏感信息的范

疇。

4.2交易數(shù)據(jù)

交易數(shù)據(jù)的要求應符合GB/TXXX《電子商務數(shù)據(jù)交易準則》中5的規(guī)定。

4.3交易主體

交易主體的要求應符合GB/TXXX《電子商務數(shù)據(jù)交易準則》中4.3的規(guī)定。

4.4交易平臺

交易平臺的要求應符合GB/TXXX《電子商務數(shù)據(jù)交易準則》中4.2的規(guī)定。

5數(shù)據(jù)提供方職責義務

數(shù)據(jù)提供方對數(shù)據(jù)交易中的隱私保護承擔的職責義務包括但不限于：

a)應貫徹個人信息保護相關法律、行政法規(guī)及行為規(guī)范，自覺維護個人信息主體合法權益；

b)應對其提供的所有數(shù)據(jù)的流通和使用行為的合規(guī)性負責；

c)應確保提供的所有數(shù)據(jù)不涉及法律、行政法規(guī)禁止發(fā)布或傳輸?shù)男畔ⅲ?/p>

d)應確保提供的所有數(shù)據(jù)不涉及能夠識別個人身份的信息和個人敏感信息；

3

GB/TXXXXX—XXXX

e)當提供的數(shù)據(jù)涉及能夠識別特定個人的信息或個人敏感信息時，應先對其進行匿名化、去標識

化等技術處理，確保數(shù)據(jù)無法識別特定個人且無法復原后，方可進入流通環(huán)節(jié)；

f)應明確數(shù)據(jù)的適用范圍、使用期限和權利限制等；

g)應確保數(shù)據(jù)的存儲、發(fā)布和傳輸過程中的安全性，防止數(shù)據(jù)泄露、篡改和刪除等；

h)應對因個人信息泄露而對個人信息主體造成傷害的行為承擔主要責任。

6數(shù)據(jù)需求方職責義務

數(shù)據(jù)需求方對數(shù)據(jù)交易中的隱私保護承擔的職責義務包括但不限于：

a)應貫徹個人信息保護相關法律、行政法規(guī)及行為規(guī)范，自覺維護數(shù)據(jù)主體合法權益；

b)購買需求應符合法律、行政法規(guī)的相關規(guī)定；

c)應按數(shù)據(jù)提供方界定的數(shù)據(jù)適用范圍、使用期限和權利限制等合法、合規(guī)使用數(shù)據(jù)；

d)當在數(shù)據(jù)使用過程中發(fā)現(xiàn)能夠識別特定個人的信息或個人敏感信息時，應立即向有關主管部門

報告或向平臺舉報；待數(shù)據(jù)提交后刪除且不可被恢復；

e)應確保數(shù)據(jù)存儲、使用過程中的安全性，防止數(shù)據(jù)泄露、篡改和刪除等；

f)應對因使用數(shù)據(jù)而導致個人信息泄露所產(chǎn)生的后果承擔主要責任；

g)按照約定方式使用完成或規(guī)定期限結束后，應銷毀購買數(shù)據(jù)且不可被恢復。

7交易平臺職責義務

平臺對數(shù)據(jù)交易中的隱私保護承擔的職責義務包括但不限于：

a)應貫徹個人信息保護相關法律、行政法規(guī)及行為規(guī)范，自覺維護個人信息主體合法權益；

b)應根據(jù)法律、行政法規(guī)規(guī)定，制定平臺隱私政策，確保交易主體的合法權益；

c)應設立隱私保護管理部門，負責平臺隱私保護工作的日常管理和實施；

d)應制定隱私保護管理制度，明確平臺、交易主體的職責義務及懲罰措施；

e)應建立隱私保護管理機制，包括但不限于：

——數(shù)據(jù)銷售許可機制：交易主體應獲得平臺或第三方機構許可后，方可參與交易；

——數(shù)據(jù)流轉登記機制：應做好數(shù)據(jù)交易信息記錄備案，確保每次數(shù)據(jù)流轉都有記錄可追溯；

——隱私泄露投訴舉報機制：應積極響應和解決投訴舉報，明確投訴解決途徑和舉報獎勵制度。

f)應組織開展隱私保護宣傳培訓活動；

g)應加強數(shù)據(jù)審核管理，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或傳輸?shù)男畔r，應依法采取必要處置措

施，并向有關主管部門報告；

h)應積極配合有關主管部門依法履行職責時開展的各項工作。

8信息主體權利

本標準中的信息主體特指個人信息主體，不包含除個人信息主體之外的其他信息主體。個人信息主

體對數(shù)據(jù)交易中的隱私保護享有的權利包括但不限于：

a)應有權提出撤銷、刪除和銷毀交易中涉及的能夠識別個人身份的信息或個人敏感信息；

b)個人信息主體認為交易活動違反相關法律、行政法規(guī)規(guī)定，侵犯其合法權益的，應有權依法提

起訴訟；

c)因個人信息泄露而對個人信息主體造成傷害的，應有權提出賠償請求；

d)經(jīng)過處理無法識別特定個人且不能復原的除外。

4

GB/TXXXXX—XXXX

參?考?文?獻

[1]GBT36310-2018電子商務模式規(guī)范

[2]GB/T34987-2017信息安全技術移動智能終端個人信息保護技術要求

[3]GB/T35273-2017信息安全技術個人信息安全規(guī)范

[