ICS35.030 CCS L 80 GE 中华人民共和国国家标准 GB/T42014—2022 信息安全技术 网上购物服务数据安全要求 Information security technologyData security requirements for online shopping services 2022-10-12发布 2023-05-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42014—2022 目 次 前言 范围 2 规范性引用文件 3 术语和定义 缩略语 5 概述 5.1 网上购物服务业务组成 5.2 网上购物服务数据范围 6 基本要求 7 数据收集 7.1 收集个人信息 7.2 申请系统权限 7.3 告知同意 8 数据存储和传输 数据使用和加工 9 9.1 数据使用 9.2 自动化决策 10 数据提供和公开 10.1 数据提供： 10.2 数据公开 11 数据删除· 12 数据出境· 13 个人信息主体权利 13.1 个人信息查阅… 13.2 个人信息更正 13.3 个人信息删除… 13.4 注销账号 13.5 未成年人个人信息保护 14 网上购物服务典型场景数据安全要求 14.1 社交购物· 14.2 直播购物… 14.3 线上线下融合购物. 附录A（资料性）网上购物服务数据处理活动及数据安全风险 10 附录B（资料性） 网上购物服务重要数据识别参考规则及数据分类示例 12 GB/T 42014—2022 附录C（资料性) 网上购物服务常见扩展业务功能的个人信息收集范围及使用要求 附录D（资料性） 网上购物服务App相关系统权限申请范围及使用要求 14 参考文献 15 II GB/T42014—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：阿里巴巴（北京)软件服务有限公司、中国电子技术标准化研究院、北京小米移动 软件有限公司、北京京东尚科信息技术有限公司、苏宁易购集团股份有限公司、华为技术有限公司、上海 寻梦信息技术有限公司、北京三快在线科技有限公司、联想（北京）有限公司、中电长城网际系统应用有 限公司、国家计算机网络应急技术处理协调中心、北京字节跳动科技有限公司、中国科学院信息工程研 究所、荣耀终端有限公司、中国信息通信研究院、上海观安信息技术股份有限公司、武汉安天信息技术有 限责任公司。 本文件主要起草人：朱红儒、上官晓丽、白晓媛、黄天宁、徐羽佳、胡影、陈舒、顾伟、王云翔、李瑞卿、 戚俊卿、严少敏、衣强、刘笑岑、闵京华、陈晓桦、李汝鑫、刘玉岭、姜政伟、舒敏、魏薇、陈活、卢一宁、王莹、 周晨炜、李海东、赵新强、黄馨蓓、赵晓娜、康琼、孙旭东、刘艾婧、张印泽、宋建、罗宇、陈勇、闫希敏、曹京、 赵芸伟、谢江、叶串、高雨冰。 II GB/T42014—2022 信息安全技术 网上购物服务数据安全要求 1范围 本文件规定了网上购物服务的收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动 的安全要求。 本文件适用于网上购物服务提供者规范数据处理活动，也可为监管部门、第三方评估机构对网上购 物服务数据处理活动进行监督、管理、评估提供参考。 2规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T25069 信息安全技术术语 GB/T35273一2020信息安全技术个人信息安全规范 GB/T37988 信息安全技术数据安全能力成熟度模型 GB/T393351 信息安全技术个人信息安全影响评估指南 GB/T41391一2022信息安全技术移动互联网应用程序（App)收集个人信息基本要求 GB/T41479 信息安全技术网络数据处理安全要求 3 术语和定义 GB/T25069、GB/T35273一2020界定的以及下列术语和定义适用于本文件。 3.1 网上购物服务online shopping service 通过互联网等信息网络销售商品或服务的经营活动。 注1：常见的网上购物服务形式除商城购物外，还包括直播购物、社交购物、线上线下融合购物等 注2：根据网上购物服务所提供商品或服务的特性，网上购物服务还包括餐饮外卖、交通票务、酒店服务及演出票 务等。 「来源：GB/T38652一2020，2.1，有修改 3.2 网上购物服务平台onlineshoppingserviceplatform 为交易的双方或多方提供信息发布、信息递送、数据处理等一项或多项服务，实现交易撮合目的的 信息系统。 ［来源：GB/T38652—2020，2.2，有修改］ 3.3 网上购物服务数据 online shopping servicedata 网上购物服务过程中收集和产生的数据。 1 GB/T42014—2022 注：主要包括用户数据和业务数据，不包括网上购物服务提供者内部管理经营数据。 3.4 网上购物服务提供者onlineshoppingserviceprovider 注：本文件所称的网上购物服务提供者指网上购物服务平台运营者。 ［来源：GB/T38652—2020，2.3，有修改］ 3.5 卖家seller 通过网上购物服务平台、自建网站、APP、其他网络服务（如小程序）等信息网络从事销售商品或者 提供服务的经营活动自然人、法人和非法人组织。 注：企业类型的卖家称为“商家”。 ［来源：GB/T38652—2020，4.5，有修改］ 3.6 用户user 网上购物服务平台各项服务的使用者。 ［来源：GB/T38652—2020，4.3，有修改］ 3.7 买家buyer 在网上购物服务平台上购买商品或接受服务的用户。 注：又称“顾客”。 ［来源：GB/T38652一2020，4.4，有修改] 4缩略语 下列缩略语适用于本文件。 CRM：客户关系管理（CustomerRelationshipManagement) ERP：企业资源计划（EnterpriseResourcePlanning） 5概述 5.1[ 网上购物服务业务组成 网上购物服务业务功能主要包括注册、登录、商品展示、浏览、搜索、下单、发货、售后服务等。 网上购物服务的相关方包括买家、卖家、网上购物服务提供者及第三方服务提供者。卖家发布商品 务下单、支付，完成购买；第三方服务提供者包括支付服务提供者、物流服务提供者等。 网上购物服务数据处理活动及数据安全风险见附录A。 5.2 2网上购物服务数据范围 本文件中网上购物服务数据范围包括： a)J 买家消费记录、收货人信息（姓名、地址、电话号码）、卖家账号信息等； b）业务数据：网上购物服务提供者在提供网上购物服务过程中处理的各类业务经营相关数据，如 商品信息、商品类目数据、成交总额、用户访问量、库存、销售规则等。 2 GB/T 42014—2022 6基本要求 网上购物服务提供者数据安全的基本要求如下： a) 数据处理活动应符合GB/T41479规定的要求； b) 个人信息处理活动应符合GB/T35273一2020规定的要求，网上购物服务ApP个人信息收集 活动应符合GB/T41391一2022规定的要求； c) 应按照国家有关要求和标准进行数据分类分级保护，识别网上购物服务涉及的核心数据、重要 数据、一般数据，对不同级别的数据采取不同的保护措施； 注1：国家建立数据分类分级保护制度，按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重 要程度，将数据分为核心数据、重要数据、一般数据 注2：附录B给出了网上购物服务重要数据识别参考规则及数据分类示例， (P 应识别网上购物服务涉及的一般个人信息、敏感个人信息，对个人信息进行标识和分类管理； e) 应履行互联网平台运营者义务，如个人信息保护独立监督、制定公平公正的平台规则、隐私政 策披露、平台内经营者管理、发布个人信息保护社会责任报告等； f) 网上购物服务提供者的数据安全能力应至少符合GB/T37988中的2级能力要求； g) 网上购物服务平台应符合国家网络安全等级保护相关标准要求； h) 提供网上购物服务的其他网络平台（如自建网站、ApP、小程序等)应符合本文件对网上购物服 务提供者提出的要求； 应结合数据处理活动的实际情况，按照有关国家标准定期开展数据安全风险评估 j） 护影响评估； 注3：对个人权益有重大影响的个人信息处理活动，包括但不限于处理敏感个人信息、利用个人信息进行自动 化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信 息等。 k）应按照有关国家标准，在网上购物服务平台及提供网上购物服务的其他平台规划建设时开展 个人信息安全工程实践，同步规划、同步建设、同步使用个人信息保护措施， 7数据收集 7.1收集个人信息 网上购物服务提供者收集个人信息，应在满足GB/T35273一2020中5.1、5.2、5.3要求的基础上， 遵守以下要求 a）通过App收集必要个人信息应满足以下要求： 注：提供网上购物服务的App可能根据其基本业务功能的不同，属于不同类型的ApP。GB/T41391一2022 附录A给出了常见类型ApP必要个人信息范围。 1) 通过网上购物类ApP收集必要个人信息应符合GB/T41391一2022中A.6的规定； 通过餐饮外卖类App收集必要个人信息应符合GB/T41391一2022中A.7