搜索结果: YD/T 3746-2020, YD/T3746-2020, YDT 3746-2020, YDT3746-2020
| 标准编号 | YD/T 3746-2020 (YD/T3746-2020) | | 中文名称 | 车联网信息服务 用户个人信息保护要求 | | 英文名称 | Specification of internet of vehicle information service - User personal information protection | | 行业 | 邮电行业标准 (推荐) | | 中标分类 | L70 | | 国际标准分类 | 35.020 | | 字数估计 | 12,131 | | 发布日期 | 2020 | | 实施日期 | 2020-10-01 | | 发布机构 | 工业和信息化部 | | 范围 | 本标准规定了车联网信息服务用户个人信息保护的信息内容分类、敏感性分级和分级保护要求。本标准适用于车联网相关的汽车厂商、零部件和元器件供应商、软件提供商、数据内容提供商和服务提供商等在提供服务过程中的用户个人信息保护。 | YD/T 3746-2020: 车联网信息服务 用户个人信息保护要求
YD/T 3746-2020 英文名称: Specification of internet of vehicle information service - User personal information protection
中 华 人 民 共 和 国 通 信 行 业 标 准
车联网信息服务用户个人信息保护要求
本标准是“车联网网络与数据安全”系列标准之一,该系列标准的结构及名称预计如下:
-《车联网无线通信安全技术指南》;
-《车联网信息服务数据安全技术要求》;
-《车联网信息服务用户个人信息保护要求》;
-《车联网信息服务平台安全防护技术要求》。
本标准按照 GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由中国通信标准化协会提出并归口。
本标准起草单位:中国信息通信研究院、中兴通讯股份有限公司、北京百度网讯科技有限公司。
本标准主要起草人:孙规苹、田慧蓉、柯皓仁、魏亮、于广琛、董悦、秦国英、马娟、张瑜、袁
琦、林兆骥、李显杰。
车联网信息服务用户个人信息保护要求
1 范围
本标准规定了车联网信息服务用户个人信息保护的信息内容分类、敏感性分级和分级保护要求。
本标准适用于车联网相关的汽车厂商、零部件和元器件供应商、软件提供商、数据内容提供商和服
务提供商等在提供服务过程中的用户个人信息保护。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 35273-2020 信息安全技术个人信息安全规范
4 用户个人信息保护基本原则
车联网信息服务用户个人信息保护,一般应按 GB/T 35273-2020中的要求,遵循其权责一致、目
的明确、选择同意、最少够用、公开透明、确保安全、主体参与这八大原则,合理的利用个人信息。
权责一致原则:采取技术和其他必要的措施保障个人信息的安全,对其个人信息处理活动对个
人信息主体合法权益造成的损害承担责任。
目的明确原则-具有合法、正当、必要、明确的个人信息处理目的。
选择同意原则:向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意。
最少够用原则:只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目
的达成后,应及时删除个人信息。
公开透明原则:以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受
外部监督。
确保安全原则:具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手
段,保护个人信息的保密性、完整性、可用性。
主体参与原则:向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回统一、注销
账户、投诉等方法。
5 用户个人信息安全保护概述
5.1 用户个人信息保护对象
用户个人信息分级保护对象为特定的车联网信息服务,该服务包含用于车联网信息服务的智能网联
汽车、车联网信息服务平台、车联网移动智能终端、路侧基础设施等相应设备、系统和平台的应用逻辑
和业务流程。
5.2 用户个人信息处理环节
车联网信息服务活动过程中用户个人信息的处理过程可以分为收集、保存、使用,以及委托处理、
共享、转让和公开披露等环节。对车联网信息服务用户个人信息的保护贯穿于以下四个环节中。
收集环节:是指在车联网信息服务活动过程中获得对用户个人信息的控制权的行为,包括由个
人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通
过共享、转让、搜集公开信息间接获取等方式。其中,车联网相关产品或服务的提供者提供工
具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集行为。
例如,车载离线导航软件在车载终端获取用户位置信息后,如不回传至软件提供者,则不属于
个人信息收集行为。
保存环节:是指对车联网信息服务活动中相关的用户个人信息进行传输、存储和去标识化处理
等操作。
使用环节:是指将收集和存储的用户个人信息用于车联网信息服务活动,包括但不限于对个人信
息的访问、展示、使用、基于不同业务所收集个人信息的汇聚融合、查询、更正、删除等操作。
委托处理、共享、转让和公开披露环节:委托处理是指在将车联网用户个人信息控制者委托第
三方处理用户个人信息。共享是指用户个人信息控制者向其他控制者提供个人信息,且双方分
别对个人信息拥有独立控制权的过程。转让是将个人信息控制权由一个控制者向另一个控制者
转移的过程。公开披露是指将用户个人信息向社会或不特定人群发布信息的行为。
5.3 用户个人信息保护基本思路
本标准重点针对用户个人信息保护对象,开展用户个人信息的分类和分级,并围绕用户个人信息保
护的全生命周期各处理环节,提出相应的安全要求,以降低车联网信息服务中用户个人信息的全生命周
期相关安全风险,保障车联网信息服务提供方应按照相应级别的管理要求及技术要求对其提供服务过程
中涉及的用户个人信息的收集、保存、使用、委托处理、
管理。
转让和公开纰漏等工作流程进行规范化
6 用户个人信息分类要求
6.1 用户个人信息分类方法
用户个人信息是指车联网信息服务如数据采集传输和使用销毁等过程中与用户密切相关的数据信
息,这些数据信息能够一定程度上识别车联网用户个人身份或反映处用户个人活动情况。车联网信息服
务用户个人信息细分为用户身份证明类信息、车联网信息服务用户数据和服务内容信息、用户服务相关
信息三大类。
用户身份证明类信息:是指车联网信息服务活动过程中与用户自然人身份和标识信息、用户虚拟身
份和鉴权信息密切相关的用户个人信息。
车联网信息服务用户数据和服务内容信息:主要指车联网信息服务过程中用户服务内容信息和用户
资料信息。其中,用户服务内容信息包括驾驶及行车安全服务信息、生活服务信息、交通出行管理服务
信息、交通出行管理服务信息、涉车服务信息、行业营运服务信息;用户资料信息涉及联系人信息、用
户私有资料数据和信息服务内容衍生信息等。
用户服务相关信息:指车联网信息服务过程中用户服务使用信息、用户车辆基本标识信息和用户设
备、系统和平台柄息。
6.2 用户个人信息分类示例
为便于车联网信息服务用户个人信息保护等级划分,将上述用户个人信息分类进一步细化,表 1
给出了用户个人信息分类的具体描述和示例。
8 用户个人信息安全保护要求
8.1 个人一般信息安全保护要求
个人一般信息安全保护基本要求:应实施基本的技术和管理措施确保车联网用户个人信息访问控制
安全。例如,应针对用户个人信息采取必要的访问控制措施。
8.2 个人重要信息安全保护要求
个人重要信息安全保护基本要求:应实施必要的技术和管理措施,保护用户的知情权和选择权,保
护用户个人信息的机密性和完整性,确保用户个人信息访问控制安全,建立用户个人信息安全管理规范。
例如,在收集和转移用户个人信息时应征得用户同意,在信息的收集和转移的传输过程应采取必要的加
密措施,保障数据的机密性和完整性,应对信息采取严格访问控制措施,应定义严格的用户个人信息各
生命周期(包括信息收集、保存、使用、委托处理、
应设置内部的数据审批流程及制度。
转让和公开披露等各个环节)安全管理规范,
8.3 个人敏感信息安全保护要求
个人敏感信息安全保护基本要求:应实施严格的技术和管理措施,保护用户的知情权和选择权,保
护用户个人信息的机密性和完整性,确保车联网用户个人信息访问控制安全,建立严格的用户个人信息
安全管理规范以及数据实时监控机......
|