电子商务数据交易隐私保护规范.docx

1、电子商务数据交易隐私保护规范电子商务数据交易 隐私保护规范国家标准编制说明一、工作简况1、任务来源本标准由全国电子业务标准化技术委员会（SAC/TC83）提出和归口，经国家标准化管理委员会批准，正式列入2015年国家标准制修订项目计划，项目计划号为20154003-T-469，项目名称为电子商务数据交易隐私保护规范。在标准研制中经过深入研究和多次研讨，并根据业内相关专家的意见和建议，将标准名称更改为电子商务数据交易 隐私保护规范，以便更准确体现标准内容。本标准的起草单位：XXXXXX、XXXXXX、等。本标准主要起草人：XXX、XXX、等。2、目的与意义数据是大数据发展的基础。大数据技术的发展

2、使得人们利用这些数据成为可能，而如何获取这些数据就成为首先要解决的问题。由于数据资源的稀缺性，市场成为资源配置的重要手段之一。数据交易是打破信息孤岛及行业信息壁垒，实现数据价值最大化的新兴产业。在数据交易过程中，数据常以免费公布或交易给买方的形式被发布出去，而发布的数据中包含着大量的个人信息。攻击者可以根据这些个人信息，以数据挖掘技术手段进行信息分析，从而使得个人隐私发生泄漏进而造成经济损失和人身伤害等问题。为此，如何保护数据交易中个人隐私安全已经成1为亟待解决的问题。数字安全研究公司金雅拓（Gemalto）数据显示：2016年上半年全球发生的数据泄露事件高达974起，数据泄露记录总数超过了5

3、.54亿条之多，相比较于2015年，增长了15%。与之相伴随，则是猖獗的数据黑市。之所以称为“数据黑市”，在于其中所交易的数据涉及个人隐私、商业机密，甚至于国家安全，未经任何清洗、脱敏等技术处理，严重危害社会。目前，国际上关于个人隐私保护多采用法律模式，具有代表性的有欧盟、美国和日本。其中，欧盟采用统一立法模式，通过制定综合性的个人数据保护法律对个人数据全生命周期进行管理，如General Data ProtectionRegulation；美国采用分散立法和行业自律相结合的模式，对个人隐私保护进行分散立法，如消费者隐私权利法案；日本则以专项保护法律为核心，同其他法律共同构成个人隐私保护法律体

4、系，如个人信息保护法。我国目前针对个人信息保护尚未形成统一的综合法律规范，而是具体地规定在法律、行政法规、部门规章、地方性法规和规章、各类规范性文件等多层次、多领域的规范当中，形成了一个内容分散、体系庞杂的个人信息保护模式。诸如，在标准建立方面，发布了GB/Z 28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南、GB/T34987-2017信息安全技术移动智能终端个人信息保护技术要求、GB/T35273-2017信息安全技术 个人信息安全规范等相关标准规范；在行政管理方面，国家出台了个人信用信息基础数据库管理暂行办法（中国人民银行令2005第3号）、电信和互联网用户个人信息

5、保护规定（工业和信息化部令第24号）等行业行政规范；在立法层面，国家发布了中华人民共和国网络安全法、中华人民共和国刑法修正案（九）、全国人民代表大会常务委员会关于2加强网络信息保护的决定等法律法规。我国个人信息保护法草案早在2008年已呈交至国务院，但到目前为止仍未正式颁布实施。随着网络社会信息化和大数据产业的快速发展，人们越来越多地参与到社会活动中来，个人信息及个人隐私保护问题也越来越突出。隐私问题是大数据发展过程中的一个关键问题，多项实际案例表明，即使无害的数据被大量收集后，也会暴露个人隐私。实际上，人们面临的威胁并不仅限于个人隐私泄露，保护对象不仅包括大数据自身，也包含通过大数据分析得到

6、的知识，例如基于大数据对人们状态和行为的预测。尤其在当前大数据产业快速发展和大数据技术应用的环境下，个人敏感信息会发生变化，可能在某一时期或某个环境下不属于敏感信息，但放在另一时期或特定环境中就成为了敏感信息。因此，有必要针对大数据环境下的数据交易过程中涉及的个人隐私制定适用的隐私保护规范。通过制定电子商务数据交易 隐私保护规范这项国家标准，旨在规范电子商务模式下的数据交易中的隐私保护总则、数据提供方、数据需求方、等交易主体的职责权利，以及交易平台职责义务和信息主体享有的权利等，以确保数据交易过程中个人信息主体权益，实现交易过程中的隐私保护，为数据交易市场提供参考依据和指导，对于规范数据交易市

7、场安全、稳定运营具有重要的意义。3、主要工作过程（1）筹备调研阶段2016年04月，成立标准起草工作组，确定标准编制计划、参与人员、任务分工等工作事项。2016年06月，组织召开标准起草工作启动会议，全面启动标准制定工3作。2016年10月，标准起草工作组重点针对国内外关于个人信息、个人数据、隐私、敏感数据等方面开展广泛调研和资料搜集整理，同时针对法律业内的专家出版的专著、发表的期刊等进行研究分析。此外，还针对国内涌现出的诸多电子商务数据交易平台采用的隐私规范、隐私政策等进行调研、搜集、整理和分析。（2）草案起草阶段2017年05月，基于前期所做的大量调研工作整理分析的资料，标准起草工作组内部

8、多次召开研讨会议，分析个人信息、个人数据、个人隐私之间的关联和区别，界定本标准的研究对象，确定标准草案大纲。2017年11月，标准起草工作组根据标准草案大纲多次召开研讨会议，逐步补充、完善各章节内容，并对标准内容进行多次修改与完善，形成了标准草案初稿。2018年02月，标准起草工作组根据已完成的标准草案初稿，经过多次研讨和沟通，并对标准草案初稿做进一步的修改和完善，形成了标准草案终稿。（3）形成征求意见稿阶段2018年08月，标准起草工作组多次召开标准研讨会，针对标准的核心问题，诸如隐私保护规范的切入点等具体问题进行深入研讨，并根据研讨结论继续修改完善标准草案，最终形成标准征求意见稿。2018

9、年09月，标准起草工作组完成标准编制说明。2018年12月，标准起草工作组组织召开电子商务数据交易隐私保护规范征求意见会，邀请了行业相关专家对标准征求意见稿进行审查和指导。4会后，根据专家提出的意见和建议，进一步对标准征求意见稿进行修改和完善。现将征求意见稿面向社会公众、企业、机构等广泛征求意见。二、标准编制原则和确定标准主要内容的论据1、编制原则本标准严格按照GB/T1.1-2009标准化工作导则第1部分：标准的结构和编写的要求和规定编写标准内容。本标准应具有科学、合理性。本标准规定的内容是基于现行有效的国内外关于个人信息、个人数据、个人隐私等方面的法律法规、标准规范的相关规定，确定了本标准

10、的研究思路，分别从隐私保护总则、交易主体职责义务、交易平台职责义务和信息主体权利等方面规范隐私保护。本标准的研究内容在符合国家相关法律法规、标准规范的基础上，能够适用于大数据环境下的电子商务数据交易活动中的隐私保护。本标准应具有可扩展性。随着国家立法部门对个人隐私方面的法律法规、政策的出台，相关标准规范的颁布，以及电子商务模式下的数据交易市场的发展和演变等，将对标准内容进行扩展和修订。2、标准主要内容与确定论据（1）标准主要内容本标准规定了电子商务模式下数据交易中的隐私保护总则，数据提供方、数据需求方的职责义务，以及交易平台职责义务和信息主体权利。本标准适用于电子商务模式下的数据交易中的隐私保

11、护。本标准的结构如下：范围5规范性引用文件术语和定义总则数据提供方职责义务数据需求方职责义务交易平台职责义务信息主体权利参考文献（2）标准确定论据本标准主要通过对国内外现行有效的法律、法规、部门规章、行政法规、标准规范等进行调研，并对搜集的资料进行分析、整理和汇总，梳理出有关个人数据、个人信息、个人隐私、敏感信息以及隐私保护等方面的定义和规定。通过调研结果可以得出以下结论：a)标准研究对象的确定通过查阅大量资料，梳理出有关本标准研究对象的相关概念的现状。根据调研梳理结果，可以总结出当前对于隐私保护的规定大多是以立法模式实现的。各国立法使用了不同的概念，大体可归纳为三类：个人数据、个人信息、个人

12、隐私。其中，使用“个人数据”概念的以欧盟成员国以及受其影响较大的国家为主，如欧盟、英国、德国等；使用“个人信息”概念的有法国、中国等；使用“个人隐私”概念的有美国、澳大利亚等。无论采用哪种概念，它们三者之间存在密切的关联性，具体体现在以下方面：“个人信息”和“个人数据”的定义类似，其定义基本指向已识别或可识别的自然人的信息（数据），即可直接或间接的识别自然人的信6息（数据）；个人信息（数据）一般分为敏感数据和非敏感数据（或一般数据）；“个人隐私”在立法中指的是个人信息（数据）中包含的敏感性信息（数据）；指不愿被他人知晓的信息（数据），一旦泄露会给个人信息主体造成损失或产生不良影响；国内外立法或

13、标准规范中大多通”过对“敏感性信息（数据）的保护来实现对个人隐私的保护；中华人民共和国网络安全法（主席令第五十三号）中规定了“个人信息”的定义：“个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。为了与我国当前立法保持一致，本标准采用“个人信息”这个概念。但由于电子商务数据交易平台上交易的数据为电子化数据，因此本标准对“个人信息”的定义进行了修改，以确保其能符合本标准的研究背景。因此，本标准给出的“个人信息”的定义为：是指以电子方式记录的能够单独或者与其他信息结合识

14、别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”关于“个人敏感信息，本标准参考了GB/T 35273信息安全技术个人信息安全规范和GB/Z28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南中规定的定义。由于在大数据背景下，个人敏感信息具有动态性，因此本标准对于隐私保护的对象不仅包括个人敏感信息，还包括通过大数据挖掘分析等技术能够识7名称依据定义个人信息主体GB/Z28828-2012信息安全技术公共及商用服务信息系个人信息指向的自然人。8别特定个人的信息。b)标准研究范围的确定通过搜集分析国内法律法规关于隐

15、私的规定，梳理出禁止公开、传播、泄露或出售等相关规定条款，诸如：全国人民代表大会常务委员会关于加强网络信息保护的决定中规定“任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。”；中华人民共和国刑法修正案（九）中规定“窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚”；中华人民共和国网络安全法中规定“第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外”等。根据国家相关法律、法规的规定，个人信息和涉及个人隐私的信息是不允许公布、泄露、

16、传播、出售或非法向他人提供的。因此，电子商务数据交易平台上是禁止交易个人信息和个人敏感信息的。但由于大数据技术的应用，可能导致大量无害数据隐含或经大数据挖掘分析后能够获取识别特定个人或暴露个人敏感信息的信息。因此，本标准的研究范围是：遵守国家法律法规的电子商务模式下的数据交易中涉及的、可能隐含的或经过处理后会重新识别特定个人的信息和个人敏感信息进行保护。c)数据相关主体的确定通过查阅大量资料，梳理出有关数据相关主体的定义，部分内容如下表所示：统个人信息保护指南GB/T35273-2017信息安全技术个人信息安全规范个人信息所标识的自然人。信息主体中华人民共和国个人信息保护法(草案)指产生个人信

17、息并享有个人信息权利的自然人。数据主体通用数据保护条例（GDPR，2018）anindividualaboutwhominformationisstoredinacomputer-basedsystem个人信息管理者GB/Z28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南决定个人信息处理的目的和方式，实际控制个人信息并利用信息系统处理个人信息的组织和机构。个人信息控制者GB/T35273-2017信息安全技术个人信息安全规范有权决定个人信息处理目的、方式等的组织或个人。利益相关者大数据时代个人数据隐私规制（2014.06，书籍，中国）任何可以影响组织目标的实现或受该目标影

18、响的群体或个人。根据在个人数据应用过程中扮演的角色，分为个人、个人数据收集者、个人数据处理者、个人数据应用者、个人数据监督者。生态系统中的参与者大数据治理（2014，书籍，美国）个人数据的整个生态系统涉及到的参与者。包括：个体：数据主体数据采集者：数据源（包括金融服务公司、互联网运营商、医疗保健提供商、政府部门、零售商、公用事业部门）数据经纪商：信息经纪商或数据厂商数据用户（包括银行、保险公司、市场营销部门、雇主、执法机构和情报部门等）根据上述调研分析结果，结合电子商务数据交易活动中涉及的参与者，本标准采用“个人信息主体”、“交易主体”的概念来表示数据的相关主体。其中，个人信息主体是指个人信息

19、所标识的自然人；交易主体是参与电子商务数据交易活动的组织或个人，其角色包括但不限于数据提供方、数据需求方等。d)隐私保护规则的确定关于“隐私保护规则”的规范是本标准的核心内容，也是本标准的重点难点。目前国内外对隐私的保护大多都是以立法形式进行规范的。国内颁布了有关个人信息安全或保护方面的相关国家标准规范，如GB/T35273-2017信息安全技术 个人信息安全规范、9GB/T34987-2017信息安全技术移动智能终端个人信息保护技术要求和GB/Z28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南。前两项标准侧重于信息系统和移动终端对于个人信息的保存、安全处理以及组织的管理

20、要求等方面内容，后者侧重于信息系统中个人信息处理的过程。可以看出，它们都没有针对交易活动中涉及的个人信息或个人敏感信息进行规范。因此，有必要基于大数据产业环境和数据交易的特性规范隐私保护。综观国内外立法和标准，结合电子商务数据交易活动的目的在于“交易”，故本标准规定隐私保护规则应基于以下几个原则来开展：本标准是针对电子商务模式下的数据交易中的隐私保护进行规范；交易数据不包括国家法律、法规明文规定的不能采集、公开、泄露、出售或非法向他人提供的能够识别特定个人的信息和个人敏感信息等；围绕交易主体、数据交易平台和个人信息主体在隐私保护中的职责义务和权利等方面开展研究，规范交易活动中的隐私保护。三、采

21、用国际标准和国外先进标准的程度本标准为首次自主制定，不涉及国际国外标准采标情况。四、与有关的现行法律、法规和强制性国家标准的关系本标准符合国家现行法律、法规、规章和强制性国家标准的要求，本标准有助于中华人民共和国网络安全法、中华人民共和国刑法修正案（九）和全国人民代表大会常务委员会关于加强网络信息保护的决定等相关法律、法规、规章和强制性国家标准的实施。10本标准的实施不涉及对现行标准的废止情况。五、重大分歧意见的处理经过和依据本标准在制定过程中未出现重大分歧意见。六、国家标准作为强制性国家标准或推荐性国家标准的建议本标准为首次制定，建议作为推荐性标准发布实施。七、贯彻国家标准的要求和措施建议本标准是首次针对电子商务模式下的数据交易活动中涉及的隐私保护而制定的国家标准，建议为推荐性标准。在组织上建议率先在以政府牵头组织成立的数据交易平台中应用实施，并逐渐带到行业内其他数据交易平台积极实施本标准；并建议将实施过程中出现的问题和好的改进建议反馈至标准工作起草组，以便进一步对本标准进行修订和完善。在标准实施过程中，按照本标准中给出的隐私保护规则和措施，逐步对现行电子商务模式下的数据交易平台上的不规范行为进行规范化处理，将有助于实现数据交易过程中的隐私安全保护和管理。八、废止现行有关标准的建议本标准不涉及对现行标准的废止。电子商务数据交易 隐私保护规范国家标准起草组二一九年一月二十六日11