GB／T 42014-2022标准规范下载简介

GB／T 42014-2022 信息安全技术 网上购物服务数据安全要求.pdf简介：

GB/T 42014-2022《信息安全技术 网上购物服务数据安全要求》是中国国家标准，它制定了一系列严格的数据安全要求，针对网上购物服务这一特定场景。该标准的主要目的是确保在电子商务环境中，消费者的个人信息和交易数据在传输、存储和处理过程中得到充分保护，防止数据泄露、丢失、篡改或损坏。

该标准涵盖了网上购物服务中的数据收集、存储、处理、传输以及安全策略等多个方面，例如要求服务提供商应实施强大的身份验证机制，保护消费者的隐私信息；应采用加密技术保护数据安全；应定期进行安全审计和风险评估，及时发现并修复安全漏洞；还应有应急预案，以应对可能的数据安全事件。

遵循该标准，网上购物平台可以提升用户信任度，降低法律风险，同时也有助于保障消费者的权益，促进电子商务的健康发展。

GB／T 42014-2022 信息安全技术 网上购物服务数据安全要求.pdf部分内容预览：

信息安全技术 网上购物服务数据安全要求

本文件规定了网上购物服务的收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动 的安全要求。 本文件适用于网上购物服务提供者规范数据处理活动，也可为监管部门、第三方评估机构对网上购 物服务数据处理活动进行监督、管理、评估提供参考。

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注期的引用文 件生物质发电建设工程质量监督检查大纲.pdf，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T25069信息安全技术术语 GB/T35273一2020信息安全技术个人信息安全规范 GB/T37988 信息安全技术数据安全能力成熟度模型 GB/T393351 信息安全技术个人信息安全影响评估指南 GB/T41391一2022信息安全技术移动互联网应用程序（App)收集个人信息基本要求 GB/T41479信息安全技术网络数据处理安全要求

GB/T25069、GB/T35273一2020界定的以及下列术语和定义适用于本文件。 3.1 网上购物服务onlineshoppingservice 通过互联网等信息网络销售商品或服务的经营活动。 注1：常见的网上购物服务形式除商城购物外，还包括直播购物、社交购物、线上线下融合购物等 注2：根据网上购物服务所提供商品或服务的特性，网上购物服务还包括餐饮外卖、交通票务、酒店服务及演出票 务等。 [来源：GB/T38652—2020,2.1,有修改]］ 3.2 网上购物服务平台onlineshoppingserviceplatform 为交易的双方或多方提供信息发布、信息递送、数据处理等一项或多项服务，实现交易摄合目的的 信息系统。 [来源：GB/T38652—2020,2.2,有修改］ 3.3 网上购物服务数据 online shopping servicedata

网上购物服务过程中收集和产生的数据

GB/T420142022

下列缩略语适用于本文件。 CRM：客户关系管理（CustomerRelationshipManagement) ERP：企业资源计划（EnterpriseResourcePlanning）

5.1网上购物服务业务组成

网上购物服务业务功能主要包括注册， 下单、发货、售后服务等。 网上购物服务的相关方包括买家、卖家、网上购物服务提供者及第三方服务提供者。卖家发布商品 或服务、根据订单需求发货、提供售后服务；买家在网上购物服务平台上进行浏览、搜索，选择商品或服 务下单、支付，完成购买；第三方服务提供者包括支付服务提供者、物流服务提供者等。

5.2网上购物服务数据范围

网上购物App不应申请与App业务功能无关的系统权限，系统权限申请范围及使用要求见附录D。

网上购物App不应申请与App业务功能无关的系统权限，系统权限申请范围及使用要求见附录D。

网上购物服务提供者进行数据存储和传输活动时，应在满足GB/T35273一2020中第6章要求的 基础上，遵守以下要求： a 网上购物服务个人信息存储期限应为实现个人信息处理目的所必需的最短时间，超出存储期 限应对个人信息进行删除或匿名化处理，法律法规另有规定的除外； b） 如超出个人信息存储期限，但法律、行政法规规定的保存期限未届满，或者删除个人信息从技 术上难以实现的，应停止除存储和采取必要的安全保护措施之外的处理； 应将实名认证环节收集的个人身份信息与其他个人信息分开存储； d）应将用户个人身份信息、订单数据与用户生物识别信息分开隔离存储； e）应对敏感个人信息进行加密存储。

GB/T420142022

卖家； C 为实现支付，向支付服务提供者提供的数据应限于如下范围：交易金额、商品或服务信息、卖家 信息、交易双方的网络支付账号； 为实现发货，向物流服务提供者提供的数据应限于如下范围：卖家寄件信息、买家收货信息、商 品信息； e） 为完成支付、发货等活动向支付、物流等第三方服务提供者提供的数据应仅限于涉及相关活动 的订单范围； 不应向广告主、广告分发及管理平台等第三方提供用户使用网上购物服务的记录或状态； 因兼并、重组、破产等原因需要转移数据的，应明确数据转移方案，数据接收方应继续履行相关 数据安全保护义务

卖家； C 为实现支付，向支付服务提供者提供的数据应限于如下范围：交易金额、商品或服务信息、卖家 信息、交易双方的网络支付账号； 为实现发货，向物流服务提供者提供的数据应限于如下范围：卖家寄件信息、买家收货信息、商 品信息； e） 为完成支付、发货等活动向支付、物流等第三方服务提供者提供的数据应仅限于涉及相关活动 的订单范围； 不应向广告主、广告分发及管理平台等第三方提供用户使用网上购物服务的记录或状态； 因兼并、重组、破产等原因需要转移数据的，应明确数据转移方案，数据接收方应继续履行相关 数据安全保护义务

网上购物服务提供者在数据删除活动中应在满足GB/T35273一2020中8.3要求的基础上，遵守 以下要求： a 如遇到业务下线、机房裁撤、业务迁移等原因，应对相关存储设备进行不小于三次的数据擦除 对要报废的存储设备进行销毁处理； b）应保存数据删除的有关记录，记录内容包括但不限于删除的数据类型、方式、时间、责任人等

GB/T420142022

网上购物服务提供者在向用户提供个人信息更正服务时，应在满足GB/T35273一2020中8.2要 求的基础上，遵守以下要求： a）应向个人信息主体提供更正的个人信息包括但不限于用户通过填写等方式主动提交给网上购 物服务提供者的个人信息； b）宜提供对商品或服务的评价进行更正的功能，如通过追加评论功能，实现个人信息主体对其评 价信息的更正或补充

网上购物服务提供者在向用户提供注销账号服务时，应在满足GB/T35273一2020中8.5要求的 基础上，遵守以下要求。 a）应以显著方式提示用户注销账号后，其权益和资产可能受到的影响。 注：如账号信息、会员权益、虚拟资产无法恢复或无法享受相关售后服务。 b 如有以下情形，应提示用户无法注销的原因： 1）在最近一个月内，账号进行更改口令、更改绑定信息等敏感操作； 2）不同意放弃账号在系统中的资产和虚拟权益； 3） 账号内有未完成的订单和服务； 4） 账号存在未解决的纠纷，包括投诉举报或被投诉举报； 未对绑定的支付账号等关联账号解除绑定：

13.5未成年人个人信息保护

收集不满14周岁未成年人个人信息，应制定专门的个人信息处理规则，并取得未成年人的交母享 者其他监护人的单独同意，

14网上购物服务典型场景数据安全要求

社交购物指在即时通信平台中通过嵌入的网上购物服务平台等形式提供网上购物服务。 在此尖物 景下，对网上购物服务提供者的要求如下： a）应对购买隐私商品或服务的用户昵称进行去标识化处理后进行展示； b 如使用即时通信平台账号登录网上购物服务平台，不应要求用户授权即时通信平台提供除用 户名称及头像外的其他个人信息； 用户主动分享包含其个人信息的页面（如用户本人的订单页面），不应允许其他用户转发； 未经用户单独同意，不应公开用户的浏览状态、购买的商品信息。

14.3线上线下融合购物

线上线下融合购物指通过线上及线下渠道共同完成的网上购物服务（如在网上购物服务平台提供 商品或服务的展示、浏览、搜索或下单等功能的基础上，通过线下渠道完成消费、提货、接受导购或代下 单服务等活动）。在此类场景下，对网上购物服务提供者的要求如下。 a不 在线上下单、线下消费场景下： 示例1：用户在线上购买到店套餐后《中小学校地震避险指南 GB/T33735-2017》，在线下商户消费。 1）提供给卖家/线下商户的数据应仅限于用户在该卖家/线下商户处下单的订单范围； 2） 提供给卖家/线下商户的数据内容应仅限于相关订单中购买的商品或服务信息，买家账 号，为完成当次消费目的所必须、买家主动填写并提交的信息； 3） 为完成当次消费目的，需向卖家/线下商户提供用户敏感个人信息的，宜在买家到线下商 户消费时提供。 b） 在使用同一或相互关联的ERP系统或CRM系统将网上购物服务平台和卖家、线下商户、商 品和服务等进行整合，向用户销售商品或提供服务的场景下： 示例2：用户在网上购物服务平台上联系卖家/线下商户（包括导购人员）、在线下门店接受导购服务、由门店 代为下单等。 1）向卖家/线下商户提供用户数据前，应向用户告知并取得用户同意；

A.1网上购物服务数据处理活动

附录A （资料性） 网上购物服务数据处理活动及数据安全风险

图A.1网上购物服务数据处理活动示意图

A.2网上购物服务数据安全风险

GB/T420142022

网上购物服务数据主要面临如下安全风险。 a）在数据收集活动中，网上购物服务提供者在注册、浏览、下单等环节中过度收集用户个人信息 或过度索取终端权限的风险。 b）在数据传输、存储活动中，网上购物服务提供者未采取有效安全措施导致数据遭受未经授权的 访问、泄露、篡改、丢失的风险。 C）在数据使用及加工活动中： 1）网上购物服务提供者未采取脱敏等安全措施导致数据泄露或超出用户同意范围展示用户 个人信息的风险； 2） 网上购物服务提供者在自动化决策中滥用用户个人信息（如在交易价格等交易条件方面 设置不合理差别待遇）的风险。 d 网上购物服务提供者为完成购买、支付、发货等活动与第三方开展合作，或委托第三方开展数 据分析等服务时，未经用户授权向第三方提供或超范围提供用户数据，以及接收方无法提供充 足安全保障措施、滥用用户数据等风险。 网上购物服务提供者未经用户授权或超范围展示用户个人信息的风险。 f）网上购物服务提供者未对设备进行有效的数据删除措施GBT50466-2008标准下载，导致数据被恶意恢复、滥用的风险。 网上购物服务提供者永久留存、过度使用用户数据，未向用户提供有效的删除功能或途径，对 用户隐私安全产生潜在威胁的风险，以及其他未能有效响应用户请求导致用户未能有效行使 个人信息权利的风险。

B.1网上购物服务重要数据识别参考规则

附录B （资料性） 网上购物服务重要数据识别参考规则及数据分类示例