GB/T 42017-2022标准规范下载简介
GB/T 42017-2022 信息安全技术 网络预约汽车服务数据安全要求.pdf简介:
GB/T 42017-2022《信息安全技术 网络预约汽车服务数据安全要求》是中国制定的一项信息安全标准,主要针对网络预约汽车服务(如滴滴出行、Uber等)的数据安全管理提出具体要求。该标准旨在保障在数字化和网络化的网络预约汽车服务中,涉及用户的个人信息、交易数据、位置信息等敏感数据的安全。
该标准可能包括的内容有: 1. 数据收集与处理:规定了如何合法、合规地收集和处理用户数据,以及数据的最小化原则,即只收集完成服务所必需的数据。 2. 数据存储:对数据的存储环境、备份、加密、访问控制等提出了安全要求,以防止数据丢失、泄露或被非法篡改。 3. 安全防护:包括防火墙、入侵检测、数据加密、安全审计等技术措施,以保护数据免受恶意攻击。 4. 数据泄露应急响应:明确了在发生数据泄露时的应对策略和流程,以减少损失并保护用户权益。 5. 用户隐私权保护:强调了对用户隐私的尊重和保护,包括对用户数据的透明处理和告知。
总的来说,GB/T 42017-2022为网络预约汽车服务提供商提供了一个数据安全的指导框架,以确保在提供便捷服务的同时,保障用户信息的安全。
GB/T 42017-2022 信息安全技术 网络预约汽车服务数据安全要求.pdf部分内容预览:
表D.3网络预约汽车服务乘客iOSApp相关系统权限申请范围及使用要求(续)
D.4网络预约汽车服务驾驶员iOSApp(iOS1 及以下版本)系统权限申请范围及使用要求 表D.4网络预约汽车服务驾驶员iOSApp相关系统权限申请范围及使用要求
D.4网络预约汽车服务驾驶员iOSApp(iOS14及以下版本)系统权限申请范围及使用要求见表D.4。
GB∕T 13477-1992 建筑密封材料试验方法页约汽车服务驾驶员iOSApp相关系统权限申请
为提升××××服务产品安全能力、更好地处理××××服务的司乘纠纷,××××服务上线录音 功能。本协议将向您说明××X×服务收集使用录音信息的情况,请您务必认真阅读本协议,在确认充 分了解后慎重决定是否同意本协议。您点击同意后,本协议生效,对您及××××均具有法律约束力。 1.您同意本协议后,使用××××服务时,××××将通过软件或硬件设备录取您后续全部行程 中的车内环境声音信息(包括您及车上人员交谈或肢体动作产生的声音),且在开始录音前会单独提示。 受技术条件影响,××××各项服务在不同城市上线录音功能的时间不同,具体以××××显示的录音 状态为准。 2.录音将通过×X×X驾驶员ApP或其他具备录音功能的软件或硬件进行。录音仅在驾驶员、乘 客均同意的情况下开启。如乘客使用的App版本未及时更新,无法对录音进行授权,则录音不开启。 3.录音起始时间: a)录音自订单行程开始时起(预约订单自驾驶员到达乘客出发地时起),至行程结束后适当时间 停止(具体以驾驶员App显示的录音状态为准)。乘客自进人车辆后至离开车辆时,将同时被 采集录音信息。 b)其他上线录音功能的服务的录音起始时间以××××App另行告知为准。 4.如您是代他人叫车,在代叫车前请务必告知被代叫车人行程内录音信息收集情况,并征得被代 叫车人同意后,才可为其叫车。 5.录音数据将用于以下明确列明的使用场景: a)作为服务提供者处理用户纠纷的依据; b)为维护用户人身安全等重大合法利益,或情况紧急又很难获得用户同意时。 6.录音数据存储时间不超过7天,当乘客或驾驶员有未处理完毕的纠纷时,对应的行程录音数据 适当延长保存期限,在纠纷处理完毕且超过约定存储时限时将被删除。 7.用户使用的手机等硬件设备故障、网络状态不稳定、ApP版本过旧以及不可抗力等因素均可能 导致录音失败,您对此表示理解,如遇此类问题,××××不需承担责任。 8.××××将严格按照本协议约定收集使用用户录音数据。本协议对相关内容未作明确约定的, 以××××《个人信息保护及隐私政策》约定为准。
附录F (资料性) 投诉处理场景数据安全保护要求
对网络预约汽车服务提供者投诉处理人员账户安全管理要求包括: a)定义并维护投诉处理系统人员账号信息,对投诉处理人员岗位职责、角色和业务类型进行定义 说明,对不同岗位、角色、业务类型投诉处理人员数据访问范围进行限定; b) 采取多因素身份验证措施,防止身份冒用和账号共享,对单一账户多终端同时登录进行限制, 对投诉处理人员登录投诉处理系统网络地址进行限定。
对网络预约汽车服务提供者投诉处理人员账户安全管理要求包括: 定义并维护投诉处理系统人员账号信息,对投诉处理人员岗位职责、角色和业务类型进行定义 说明,对不同岗位、角色、业务类型投诉处理人员数据访问范围进行限定; 采取多因素身份验证措施,防止身份冒用和账号共享,对单一账户多终端同时登录进行限制, 对投诉处理人员登录投诉处理系统网络地址进行限定。
F.2访问控制安全管理
对网络预约汽车服务提供者投诉处理访问控制安全管理要求包括: a 按照业务流程的需求触发为投诉处理人员进行授权,不为投诉处理人员配置非需求触发条件 下访问乘客和驾驶员数据的权限,当接到乘客或驾驶员投诉后才可访问相应行程订单的行踪 轨迹等数据; b)根据业务需要限定已处理完成的投诉工单有效期,及时关闭投诉处理人员已处理完成订单数 据的访问权限。
网络预约汽车服务数据脱敏规则示例见表G.1
GB/T42017—2022
GB 50360-2016 水煤浆工程设计规范表G.1网络预约汽车服务数据脱敏规则示例
行程录音录像数据安全管理 依据、不培定文、安全 数据安全管理范式模板示例见表H.1
表H.1行程录音录像数据安全管理范式模板示
行程录音录像数据安全管理范式模板示例(续)
表H.1行程录音录像数据安全管理范式模板示例(续)
[1]JC∕T 2282-2014 快凝快硬硫铝酸盐水泥,GB/T39725一2020信息安全技术健康医疗数据安全指南 [2]中华人民共和国网络安全法 [3]汽车数据安全管理若干规定(试行)(国家互联网信息办公室、国家发展和改革委员会、工业和 信息化部、公安部、交通运输部令第7号) [4]电信和互联网用户个人信息保护规定(工业和信息化部令第24号) [5] 移动互联网应用程序信息服务管理规定(国家互联网信息办公室) [6] 网络交易监督管理办法(国家市场监督管理总局令第37号) [7]网络预约出租汽车经营服务管理暂行办法(交通运输部、工业和信息化部、公安部、商务部、工 商总局、质检总局、国家网信办)