《出行服务系统个人信息保护技术要求（征求意见稿）》编制说明

出行服务系统个人信息保护技术要求标准起草工作组随着信息化与数字经济社会的深度融合发展，互联网已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。近年来我国在个人信息保护方面的法律法规不断加强，但依然存在一些企业、机构甚至个人，从商业利益等出发，随意收集、违法获取、过度使用、非法买卖个人信息，危害了人民群众的生命健康和财产安全等问题。现如今，个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。习近平总书记多次强调，要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益，对加强个人信息保护工作提出明确要求。为贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《国务院办公厅关于促进平台经济规范健康发展的指导意见》等有关要求，加强保护广大人民群众日常出行服务过程中个人信息，强化出行服务平台企业数据安全责任、保障出行服务平台经济安全健康发展，针对出行服务平台所收集的常见个人数据，结合行业应用现状，出台《出行服务系统个人信息保护要求》团体标准具有较强的现实意义。二、任务来源国际上，个人信息保护法律法规兴起于20世纪70年代，民隐私权和知情权出台的重要法律。2003年5月，日本正式通过《个人信息保护法》，新的修订版法律于2022年4月1日起正式生效。2006年7月，俄罗斯颁布《俄罗斯联邦个人数据法》，是数据与信息安全法律制度体系中主要法律准则。定程度上强化了欧盟对于公共数据的赋能，为欧洲新的数据治理方式奠定了基础。2022年5月，英国颁布新的《数据改我国在2016年11月正式颁布实施《网络安全法》，这是我国第一部全面规范网络空间安全管理方面问题的基础性法律。2021年9月，《数据安全法》正式施行，聚焦数据安全领域的突出问题，确立了数据分类分级管理，建立了数据安全风险评估、监测预警、应急处置，数据安全审查等基本制度，并明确了相关主体的数据安全保护义务，这是我国首部数据安全领域的基础性立法。2021年11月，正式实施《个人信息保护法》，是为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，是根据宪法制定的第一部专注于个人信息保护问题的的法律。这些标志着个人信息保护已经成为我国的重大战略需求。目前，国内外还未对出行服务系统个人信息保护进行标准化，涉及出行服务场景下，个人信息保护还停留在通用的技术要求，对于出行服务过程中、出行服务结束后本系统内数据留存与使用、同机构跨系统间的共享、跨机构跨系统间的共享等环节缺少对个人信息保护的技术要求。因此制定出行服务系统个人信息保护要求标准可以有力的解决目前存在的这一问题，有助于进行提升出行服务平台的数据安全与个人信息保护的责任意识，从而进一步建设和提升全社会各行业各领域企业的个人信息保护能力。三、编制过程1)2023年4月22日，团体标牵头单位中国科学院信息工程研究所汇总了前期的研究工作内容，确定了团体标准的研究思路和分工。2)2023年5月7日，向标准牵头负责人汇报工作进展，形成《出行服务系统个人信息保护要求》团体标准大体了多次标准工作组内部讨论，并针对标准大体框架与内容方向进行了修改与调整。定的方向编制团体标准，形成第一版标准草案。行了多次标准工作组内部讨论，针对标准内容进行了细节的修改与调整。了标准草案的内部闭门研讨会。8）2024年6月27日，邀请专家对征求意见稿后的修改版本进行评审。9）2024年12月，形成征求意见稿。四、主要内容技术指标确立本文件给出了出行服务系统的出行服务App、后台信息服务系统的个人信息保护要求，规定了在叫车与服务阶段、服务结束后的数据留存与使用、系统自身应用、同机构跨系统共享、跨机构跨系统共享等环节对个人信息保护的规范，包含上车、运行、目的地、GPS等信息的广泛收集、平台内使用、数据流通等方面的安全要求等。详细内容如下。出行服务过程中数据的收集与使用：在注册/登录、叫车、出行、支付和评价等各业务阶段，个人信息控制者在个人信息收集、处理、使用、存储、提供以及删除等方面应遵循个人信息保护的技术要求。出行服务结束后本系统内数据留存与使用：出行服务系统在完成出行服务后，收集的个人信息应按照脱敏控制的要求进行处理，脱敏数据可用于本系统出行服务外其他业务功能，如纠正出行服务的路线、精确线路的导航、分析实时的道路状况等功能，不应用于与业务不相关的功能，如分析用户的家庭住址、单位地址、消费水平和个人偏好等。数据的存储、使用和删除分别应满足个人信息脱敏控制、使用控制和删除控制等要求。出行服务结束后同机构跨系统间的共享：在出行服务系统对将收集的个人信息向同机构其他系统进行流转场景下，个人信息控制者应根据自身的脱敏需求、数据接收方的用途、安全防护能力等因素，对流转的个人信息数据进行按需脱敏，确保数据流转过程中的任一数据接收方在使用个人信息数据时满足使用控制要求。出行服务结束后跨机构跨系统间的共享：在出行服务系统向跨机构跨系统进行数据流转的场景中，个人信息控制者应严格按照脱敏控制要求对流转的数据执行脱敏操作，应采用加密数据等手段进行数据传输，应具备向所属主管监管部门上报存证信息的功能，确保数据接收方的使用在个人信息控制者设定的使用控制范围内应严格按照删除控制的要求执行删除操作。本文件可支撑出行服务系统的出行服务App、后台信息服务系统的安全评测和合规监管。该标准适用于规范各类组织的个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。本标准牵头单位为中国科学院信息工程研究所，参与单位包括西安电子科技大学。五、与相关法律法规和国家标准的关系本标准的总体结构和编写方法按照GB/T1.1-2020《标准化工作导则第一部分：标准化文件的结构和起草规则》的规定执行。本标准参考的相关法律、法规和GB/T25069-2022信息安全技术术语GB/T35273-2020信息安全技术个人信息安全规范GB/T42017-2022