国家标准计划《信息安全技术 网上购物服务数据安全指南》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准化管理委员会。
主要起草单位 阿里巴巴(北京)软件服务有限公司 、中国电子技术标准化研究院 、中电长城网际系统应用有限公司等 。
35 信息技术、办公机械 |
35.040 字符集和信息编码 |
近年来,我国陆续颁布了一系列的法律法规和规范性文件,在数据安全领域做出了规定,包括《网络安全法》、《数据安全管理办法(征求意见稿)》、《儿童个人信息网络保护规定》、《个人信息出境安全评估办法(征求意见稿)》等。
全国信安标委也发布了《个人信息安全规范》、《数据安全能力成熟度模型》、《个人信息去标识化指南》等一系列标准,这些国家标准分别规定了数据的收集、保存、使用等各个方面的要求。
目前我国已经发布的数据安全标准主要是原则性的,各行业通用的,没有给出针对各个行业的数据安全保护要求。
这对于指导具体行业的数据安全实践缺乏针对性,因此迫切需要有指导行业具体实践的标准来推进落地。
本标准旨在从实践创新角度出发,建立网上购物服务的数据安全标准,充分体现网上购物服务在数据收集、保存、使用、共享方面的自有特点,包括对特殊业务场景个人信息的保护、数据安全要求等,为网上购物服务运营者加强数据安全保护提供参考,促进网上购物服务的可持续健康发展,保障广大用户的合法权益。
本标准给出了网上购物服务可以收集、存储、使用、共享、删除、出境的数据种类、范围、方式、条件等,以及数据安全保护要求,适用于提供网上购物服务的网络运营者加强数据安全保护,也适用于主管监管部门、第三方评估机构对网上购物服务数据活动进行监督、管理、评估时参考。主要内容包括:(1)术语定义;(2)网上购物服务类型;(3)网上购物服务业务功能;(4)网上购物服务数据范围;(5)个人信息收集的范围、系统权限、最小必要信息等;(6)个人信息存储的期限、超期处理方式等;(7)个人信息使用、展示等场景和方式;(8)个人信息共享、披露等场景和方式;(9)个人信息告知同意的内容和方式;(10)个人信息出境的方式、安全措施等;(11)数据安全管理要求和技术要求。