电子商务数据交易隐私保护规范.docx
《电子商务数据交易隐私保护规范.docx》由会员分享,可在线阅读,更多相关《电子商务数据交易隐私保护规范.docx(18页珍藏版)》请在冰豆网上搜索。
电子商务数据交易隐私保护规范
《电子商务数据交易隐私保护规范》
国家标准编制说明
一、工作简况
1、任务来源
本标准由全国电子业务标准化技术委员会(SAC/TC83)提出和归口,
经国家标准化管理委员会批准,正式列入 2015 年国家标准制修订项目计划,
项目计划号为 20154003-T-469,项目名称为《电子商务数据交易隐私保护规
范》。
在标准研制中经过深入研究和多次研讨,并根据业内相关专家的意见
和建议,将标准名称更改为《电子商务数据交易隐私保护规范》,以便更
准确体现标准内容。
本标准的起草单位:
XXXXXX、XXXXXX、……等。
本标准主要起草人:
XXX、XXX、……等。
2、目的与意义
数据是大数据发展的基础。
大数据技术的发展使得人们利用这些数据成
为可能,而如何获取这些数据就成为首先要解决的问题。
由于数据资源的稀
缺性,市场成为资源配置的重要手段之一。
数据交易是打破信息孤岛及行业信息壁垒,实现数据价值最大化的新兴
产业。
在数据交易过程中,数据常以免费公布或交易给买方的形式被发布出
去,而发布的数据中包含着大量的个人信息。
攻击者可以根据这些个人信息,
以数据挖掘技术手段进行信息分析,从而使得个人隐私发生泄漏进而造成经
济损失和人身伤害等问题。
为此,如何保护数据交易中个人隐私安全已经成
1
为亟待解决的问题。
数字安全研究公司金雅拓(Gemalto)数据显示:
2016 年上半年全球发
生的数据泄露事件高达 974 起,数据泄露记录总数超过了 5.54 亿条之多,相
比较于 2015 年,增长了 15%。
与之相伴随,则是猖獗的数据黑市。
之所以
称为“数据黑市”,在于其中所交易的数据涉及个人隐私、商业机密,甚至
于国家安全,未经任何清洗、脱敏等技术处理,严重危害社会。
目前,国际上关于个人隐私保护多采用法律模式,具有代表性的有欧盟、
美国和日本。
其中,欧盟采用统一立法模式,通过制定综合性的个人数据保
护法律对个人数据全生命周期进行管理,如《GeneralDataProtection
Regulation》;美国采用分散立法和行业自律相结合的模式,对个人隐私保
护进行分散立法,如《消费者隐私权利法案》;日本则以专项保护法律为核
心,同其他法律共同构成个人隐私保护法律体系,如《个人信息保护法》。
我国目前针对个人信息保护尚未形成统一的综合法律规范,而是具体地
规定在法律、行政法规、部门规章、地方性法规和规章、各类规范性文件等
多层次、多领域的规范当中,形成了一个内容分散、体系庞杂的个人信息保
护模式。
诸如,在标准建立方面,发布了 GB/Z28828-2012《信息安全技术
公共及商用服务信息系统个人信息保护指南》、GB/T 34987-2017《信息安全
技术 移动智能终端个人信息保护技术要求》、GB/T 35273-2017《信息安全技
术个人信息安全规范》等相关标准规范;在行政管理方面,国家出台了
《个人信用信息基础数据库管理暂行办法》(中国人民银行令〔2005〕第 3
号)、《电信和互联网用户个人信息保护规定》(工业和信息化部令第 24 号)
等行业行政规范;在立法层面,国家发布了《中华人民共和国网络安全法》、
《中华人民共和国刑法修正案(九)》、《全国人民代表大会常务委员会关于
2
加强网络信息保护的决定》等法律法规。
我国个人信息保护法草案早在 2008
年已呈交至国务院,但到目前为止仍未正式颁布实施。
随着网络社会信息化
和大数据产业的快速发展,人们越来越多地参与到社会活动中来,个人信息
及个人隐私保护问题也越来越突出。
隐私问题是大数据发展过程中的一个关键问题,多项实际案例表明,即
使无害的数据被大量收集后,也会暴露个人隐私。
实际上,人们面临的威胁
并不仅限于个人隐私泄露,保护对象不仅包括大数据自身,也包含通过大数
据分析得到的知识,例如基于大数据对人们状态和行为的预测。
尤其在当前
大数据产业快速发展和大数据技术应用的环境下,个人敏感信息会发生变化,
可能在某一时期或某个环境下不属于敏感信息,但放在另一时期或特定环境
中就成为了敏感信息。
因此,有必要针对大数据环境下的数据交易过程中涉
及的个人隐私制定适用的隐私保护规范。
通过制定《电子商务数据交易隐私保护规范》这项国家标准,旨在规
范电子商务模式下的数据交易中的隐私保护总则、数据提供方、数据需求方、
等交易主体的职责权利,以及交易平台职责义务和信息主体享有的权利等,
以确保数据交易过程中个人信息主体权益,实现交易过程中的隐私保护,为
数据交易市场提供参考依据和指导,对于规范数据交易市场安全、稳定运营
具有重要的意义。
3、主要工作过程
(1)筹备调研阶段
2016 年 04 月,成立标准起草工作组,确定标准编制计划、参与人员、
任务分工等工作事项。
2016 年 06 月,组织召开标准起草工作启动会议,全面启动标准制定工
3
作。
2016 年 10 月,标准起草工作组重点针对国内外关于个人信息、个人数
据、隐私、敏感数据等方面开展广泛调研和资料搜集整理,同时针对法律业
内的专家出版的专著、发表的期刊等进行研究分析。
此外,还针对国内涌现
出的诸多电子商务数据交易平台采用的隐私规范、隐私政策等进行调研、搜
集、整理和分析。
(2)草案起草阶段
2017 年 05 月,基于前期所做的大量调研工作整理分析的资料,标准起
草工作组内部多次召开研讨会议,分析个人信息、个人数据、个人隐私之间
的关联和区别,界定本标准的研究对象,确定标准草案大纲。
2017 年 11 月,标准起草工作组根据标准草案大纲多次召开研讨会议,
逐步补充、完善各章节内容,并对标准内容进行多次修改与完善,形成了标
准草案初稿。
2018 年 02 月,标准起草工作组根据已完成的标准草案初稿,经过多次
研讨和沟通,并对标准草案初稿做进一步的修改和完善,形成了标准草案终
稿。
(3)形成征求意见稿阶段
2018 年 08 月,标准起草工作组多次召开标准研讨会,针对标准的核心
问题,诸如隐私保护规范的切入点等具体问题进行深入研讨,并根据研讨结
论继续修改完善标准草案,最终形成标准征求意见稿。
2018 年 09 月,标准起草工作组完成标准编制说明。
2018 年 12 月,标准起草工作组组织召开《电子商务数据交易 隐私保护
规范》征求意见会,邀请了行业相关专家对标准征求意见稿进行审查和指导。
4
会后,根据专家提出的意见和建议,进一步对标准征求意见稿进行修改和完
善。
现将征求意见稿面向社会公众、企业、机构等广泛征求意见。
二、标准编制原则和确定标准主要内容的论据
1、编制原则
本标准严格按照 GB/T 1.1-2009《标准化工作导则第 1 部分:
标准的结构
和编写》的要求和规定编写标准内容。
本标准应具有科学、合理性。
本标准规定的内容是基于现行有效的国内
外关于个人信息、个人数据、个人隐私等方面的法律法规、标准规范的相关
规定,确定了本标准的研究思路,分别从隐私保护总则、交易主体职责义务、
交易平台职责义务和信息主体权利等方面规范隐私保护。
本标准的研究内容
在符合国家相关法律法规、标准规范的基础上,能够适用于大数据环境下的
电子商务数据交易活动中的隐私保护。
本标准应具有可扩展性。
随着国家立法部门对个人隐私方面的法律法规、
政策的出台,相关标准规范的颁布,以及电子商务模式下的数据交易市场的
发展和演变等,将对标准内容进行扩展和修订。
2、标准主要内容与确定论据
(1)标准主要内容
本标准规定了电子商务模式下数据交易中的隐私保护总则,数据提供方、
数据需求方的职责义务,以及交易平台职责义务和信息主体权利。
本标准适
用于电子商务模式下的数据交易中的隐私保护。
本标准的结构如下:
Ø 范围
5
Ø 规范性引用文件
Ø 术语和定义
Ø 总则
Ø 数据提供方职责义务
Ø 数据需求方职责义务
Ø 交易平台职责义务
Ø 信息主体权利
Ø 参考文献
(2)标准确定论据
本标准主要通过对国内外现行有效的法律、法规、部门规章、行政法规、
标准规范等进行调研,并对搜集的资料进行分析、整理和汇总,梳理出有关
个人数据、个人信息、个人隐私、敏感信息以及隐私保护等方面的定义和规
定。
通过调研结果可以得出以下结论:
a) 标准研究对象的确定
通过查阅大量资料,梳理出有关本标准研究对象的相关概念的现状。
根
据调研梳理结果,可以总结出当前对于隐私保护的规定大多是以立法模式实
现的。
各国立法使用了不同的概念,大体可归纳为三类:
个人数据、个人信
息、个人隐私。
其中,使用“个人数据”概念的以欧盟成员国以及受其影响
较大的国家为主,如欧盟、英国、德国等;使用“个人信息”概念的有法国、
中国等;使用“个人隐私”概念的有美国、澳大利亚等。
无论采用哪种概念,
它们三者之间存在密切的关联性,具体体现在以下方面:
Ø “个人信息”和“个人数据”的定义类似,其定义基本指向已识别或
可识别的自然人的信息(数据),即可直接或间接的识别自然人的信
6
息(数据);个人信息(数据)一般分为敏感数据和非敏感数据(或
一般数据);
Ø “个人隐私”在立法中指的是个人信息(数据)中包含的敏感性信息
(数据);指不愿被他人知晓的信息(数据),一旦泄露会给个人信
息主体造成损失或产生不良影响;国内外立法或标准规范中大多通
”
过对“敏感性信息(数据) 的保护来实现对个人隐私的保护;
Ø 《中华人民共和国网络安全法》(主席令<2016>第五十三号)中规定
了“个人信息”的定义:
“个人信息”是指以电子或者其他方式记
录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,
包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物
识别信息、住址、电话号码等。
为了与我国当前立法保持一致,本
标准采用“个人信息”这个概念。
但由于电子商务数据交易平台上
交易的数据为电子化数据,因此本标准对“个人信息”的定义进行
了修改,以确保其能符合本标准的研究背景。
因此,本标准给出的
“个人信息”的定义为:
是指以电子方式记录的能够单独或者与其
他信息结合识别自然人个人身份的各种信息,包括但不限于自然人
的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电
话号码等。
”
Ø 关于“个人敏感信息 ,本标准参考了 GB/T35273《信息安全技术
个人信息安全规范》和 GB/Z 28828-2012《信息安全技术公共及商用
服务信息系统个人信息保护指南》中规定的定义。
由于在大数据背
景下,个人敏感信息具有动态性,因此本标准对于隐私保护的对象
不仅包括个人敏感信息,还包括通过大数据挖掘分析等技术能够识
7
名称
依据
定义
个人信息
主体
GB/Z 28828-2012 信息安全
技术公共及商用服务信息系
个人信息指向的自然人。
8
别特定个人的信息。
b) 标准研究范围的确定
通过搜集分析国内法律法规关于隐私的规定,梳理出禁止公开、传播、
泄露或出售等相关规定条款,诸如:
《全国人民代表大会常务委员会关于加
强网络信息保护的决定》中规定“任何组织和个人不得窃取或者以其他非法
方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信
息。
”;《中华人民共和国刑法修正案(九)》中规定“窃取或者以其他方法
非法获取公民个人信息的,依照第一款的规定处罚”;《中华人民共和国网
络安全法》中规定“第四十二条 网络运营者不得泄露、篡改、毁损其收集的
个人信息;未经被收集者同意,不得向他人提供个人信息。
但是,经过处理
无法识别特定个人且不能复原的除外”等。
根据国家相关法律、法规的规定,个人信息和涉及个人隐私的信息是不
允许公布、泄露、传播、出售或非法向他人提供的。
因此,电子商务数据交
易平台上是禁止交易个人信息和个人敏感信息的。
但由于大数据技术的应用,
可能导致大量无害数据隐含或经大数据挖掘分析后能够获取识别特定个人或
暴露个人敏感信息的信息。
因此,本标准的研究范围是:
遵守国家法律法规
的电子商务模式下的数据交易中涉及的、可能隐含的或经过处理后会重新识
别特定个人的信息和个人敏感信息进行保护。
c) 数据相关主体的确定
通过查阅大量资料,梳理出有关数据相关主体的定义,部分内容如下表
所示:
统个人信息保护指南
GB/T 35273-2017 信息安全
技术个人信息安全规范
个人信息所标识的自然人。
信息主体
中华人民共和国个人信息保
护法(草案)
指产生个人信息并享有个人信息权利的自然人。
数据主体
通用数据保护条例
(GDPR,2018)
an individual about whom information is stored in a computer-
based system
个人信息
管理者
GB/Z 28828-2012 信息安全
技术公共及商用服务信息系
统个人信息保护指南
决定个人信息处理的目的和方式,实际控制个人信息并利
用信息系统处理个人信息的组织和机构。
个人信息
控制者
GB/T 35273-2017 信息安全
技术个人信息安全规范
有权决定个人信息处理目的、方式等的组织或个人。
利益相关
者
大数据时代个人数据隐私规
制(2014.06,书籍,中国)
任何可以影响组织目标的实现或受该目标影响的群体或个
人。
根据在个人数据应用过程中扮演的角色,分为个人、
个人数据收集者、个人数据处理者、个人数据应用者、个
人数据监督者。
生态系统
中的参与
者
大数据治理(2014,书籍,
美国)
个人数据的整个生态系统涉及到的参与者。
包括:
Ø 个体:
数据主体
Ø 数据采集者:
数据源(包括金融服务公司、互联网运
营商、医疗保健提供商、政府部门、零售商、公用事
业部门)
Ø 数据经纪商:
信息经纪商或数据厂商
Ø 数据用户(包括银行、保险公司、市场营销部门、雇
主、执法机构和情报部门等)
根据上述调研分析结果,结合电子商务数据交易活动中涉及的参与者,
本标准采用“个人信息主体”、“交易主体”的概念来表示数据的相关主体。
其中,个人信息主体是指个人信息所标识的自然人;交易主体是参与电子商
务数据交易活动的组织或个人,其角色包括但不限于数据提供方、数据需求
方等。
d) 隐私保护规则的确定
关于“隐私保护规则”的规范是本标准的核心内容,也是本标准的重点
难点。
目前国内外对隐私的保护大多都是以立法形式进行规范的。
国内颁布了
有关个人信息安全或保护方面的相关国家标准规范,如GB/T 35273-2017《信
息安全技术个人信息安全规范》、
9
GB/T 34987-2017《信息安全技术 移动智能终端个人信息保护技术要求》和
GB/Z 28828-2012《信息安全技术 公共及商用服务信息系统个人信息保护指
南》。
前两项标准侧重于信息系统和移动终端对于个人信息的保存、安全处
理以及组织的管理要求等方面内容,后者侧重于信息系统中个人信息处理的
过程。
可以看出,它们都没有针对交易活动中涉及的个人信息或个人敏感信
息进行规范。
因此,有必要基于大数据产业环境和数据交易的特性规范隐私
保护。
综观国内外立法和标准,结合电子商务数据交易活动的目的在于“交易”
,故本标准规定隐私保护规则应基于以下几个原则来开展:
Ø 本标准是针对电子商务模式下的数据交易中的隐私保护进行规范;
Ø 交易数据不包括国家法律、法规明文规定的不能采集、公开、泄露、
出售或非法向他人提供的能够识别特定个人的信息和个人敏感信息
等;
Ø 围绕交易主体、数据交易平台和个人信息主体在隐私保护中的职责
义务和权利等方面开展研究,规范交易活动中的隐私保护。
三、采用国际标准和国外先进标准的程度
本标准为首次自主制定,不涉及国际国外标准采标情况。
四、与有关的现行法律、法规和强制性国家标准的关系
本标准符合国家现行法律、法规、规章和强制性国家标准的要求,本标
准有助于《中华人民共和国网络安全法》、《中华人民共和国刑法修正案(九)
》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》等相关
法律、法规、规章和强制性国家标准的实施。
10
本标准的实施不涉及对现行标准的废止情况。
五、重大分歧意见的处理经过和依据
本标准在制定过程中未出现重大分歧意见。
六、国家标准作为强制性国家标准或推荐性国家标准的建议
本标准为首次制定,建议作为推荐性标准发布实施。
七、贯彻国家标准的要求和措施建议
本标准是首次针对电子商务模式下的数据交易活动中涉及的隐私保护而
制定的国家标准,建议为推荐性标准。
在组织上建议率先在以政府牵头组织成立的数据交易平台中应用实施,
并逐渐带到行业内其他数据交易平台积极实施本标准;并建议将实施过程中
出现的问题和好的改进建议反馈至标准工作起草组,以便进一步对本标准进
行修订和完善。
在标准实施过程中,按照本标准中给出的隐私保护规则和措施,逐步对
现行电子商务模式下的数据交易平台上的不规范行为进行规范化处理,将有
助于实现数据交易过程中的隐私安全保护和管理。
八、废止现行有关标准的建议
本标准不涉及对现行标准的废止。
《电子商务数据交易隐私保护规范》
国家标准起草组
二○一九年一月二十六日
11
升级会员 