电子发票个人信息保护技术要求

电子发票个人信息保护技术要求范围本文件给出了电子发票个人信息保护的技术框架，给出了电子发票在开具、交付、接收、报销、入账、申报、归档等主要处理过程所涉及的典型业务流程和个人信息安全技术要求，包含购销方、购销内容、交付信息、报销信息等保护要求，以及电子发票信息全生命周期的个人信息保护和按需脱敏要求，该标准可支撑电子发票的全生命周期个人信息保护的安全评测和合规监管。本文件适用于规范各类组织的电子发票个人信息保护技术要求，也适用于主管监管部门、第三方评估机构等组织对电子发票个人信息保护进行监督、管理和评估。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语GB/T35273信息安全技术个人信息安全规范术语和定义GB/T25069中界定的以及下列术语和定义适用于本文件。

开具electronicInvoiceissuing开票方向收票方提供电子发票的操作或过程。[来源：T/CESA1146-2021,3.3]

交付electronicInvoicedelivery开票方向收票方发送电子发票的操作或过程。

接收electronicInvoicerecieving收票方接收到开票方提供的电子发票的操作或过程。

报销electronicInvoicereimbursement凭业务发生的原始电子发票向单位领取现金或银行存款的一项经济活动。[来源：T/CESA1146-2021,3.4]

入账electronicInvoiceentry填制会计凭证、计入账簿。包括根据原始凭证或原始凭证汇总表填制记账凭证，根据收付记账凭证登记现金日记账和银行存款日记账，根据记账凭证登记明细分类账，根据记账凭证汇总、编制科目汇总表，根据科目汇总表登记总账，根据总账和明细分类账编制资产负债表和利润表的系列操作。[来源：T/CESA1146-2021,3.5]

归档electronicinvoicearchive将具有凭证、查考和保存价值且办理完毕、经系统整理的电子发票状态(T/CESA1146-2021,3.1)及其元数据管理权限向档案部分提交的过程。

个人信息personalinformation电子发票及其配套服务系统中记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包括自然人的姓名、出生日期、身份证件号码、住址、电话号码、电子邮箱等。个人信息的数据记录包含不同字段，可以分为显性标识符、准标识符、敏感属性和非敏感属性。

敏感个人信息sensitivepersonalinformation一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。注：敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等,以及不满十四周岁未成年人的个人信息。

数据脱敏datadesensitization通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。

知情同意informedconsent在当前电子发票处理环节，用户对其个人信息是否被收集、何种信息被收集、收集信息用于何种目的的情况表示知晓并认可。

明示同意explicitconsent个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。注:肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。[来源：GB/T35273-2020,3.6]

最小必要原则theprincipleofminimumnecessity电子发票开具等相关系统应仅收集满足业务需求的必要的个人信息，避免收集无关或过多的数据。

使用安全securityofusing确保电子发票相关数据的访问、使用和处理过程中防止越权访问、数据窃取、隐私泄露、非法篡改等安全问题的措施和状态。

存储安全securityofstoring电子发票及其相关数据在开具、报销、销毁、存证等生命周期过程中，相应的文件和数据在存储系统、分布式文件系统等存储设备或存储服务中不被破坏的措施和状态。

传输安全securityoftransmitting个人在使用电子发票相关应用系统进行身份注册认证、开具电子发票等处理环节需要传输数据时，数据在传输过程中确保机密性、完整性和来源认证性的措施和状态。符号和缩略语GB/T35273界定的缩略语适用于本文件。概述电子发票业务电子发票作为经营活动中开具或收取的数据电文形式的收付款凭证，以电子方式生成、传递、存储和管理。处理电子发票包括开具、交付、接收、报销、入账、报税、归档和销毁等过程，开具除了正常开具，还包括特殊场景下的作废、红冲等。支撑电子发票各项处理的业务流程主要包括注册、销户、发票开具、发票交付、发票报销和销毁等流程，还包括财务审计、税务稽查、法律事务、数据备份迁移、数据共享分析等辅助流程。在此流程中，涉及到的个人信息以及包含个人信息的存储数据应采取全生命周期的安全保护措施，包括但不限于采集、传输、存储、使用、脱敏、存证和删除等环节。电子发票业务与全生命周期环节的对应关系如图1所示。电子发票相关的流程及对应的个人信息保护技术典型流程电子发票典型业务流程主要包括注册、销户、发票开具、发票交付、发票报销和销毁等流程，具体如下：注册流程是指开票人、收票人等主体在电子发票相关系统中注册登记的过程，注册过程中电子发票相关系统将收集相关主体的个人信息；销户流程是指注册用户在电子发票相关系统中撤销登记账户的过程，销户后该账户在指定电子发票相关系统中无法再登录；发票开具流程是指收票人在电子发票开具系统中申请开具电子发票的过程；发票交付流程是指开票人向收票人提供所开具发票的过程，即收票人从开票人接收所开具发票的过程；发票报销流程是指收票人持所开具发票在财务部门报销的过程；销毁流程是指个人信息相关数据的存储单位删除数据的过程。通用环节电子发票全生命周期个人信息保护应包括采集、传输、存储、使用、脱敏、存证、删除等环节，参照《个人信息保护框架技术要求》（待填写标准编号）。电子发票业务的参与者电子发票涉及的个人信息包括法人、财务负责人、办税人、税务代理人、开票人、复核人、收款人、收票人、报销人、审批人、记账人、归档人等个人信息，具体信息参见附录A。通用技术要求采集对电子发票个人信息的处理者在采集环节的安全要求如下：个人信息采集应遵循最小必要原则，应征集用户知情同意、敏感个人信息明示同意。传输机构内部同一系统机构内同一安全域内传输环节的安全要求如下：应确保局端或企业端电子发票同一业务系统内的发送方和接收方的真实性；必要时应对个人信息分级分类管理，实施访问控制；应确保消息的真实性和完整性，必要时应完成双向的身份认证。机构内部不同系统间机构内跨不同安全域间的传输环节的安全要求如下：应确局端或企业端电子发票各业务系统之间的保发送方和接收方的真实性；应确保消息的机密性、真实性和完整性，必要时应完成双向的身份认证；应对个人信息保护策略得当，不同系统间规范一致。不同机构间跨机构的安全域间的传输环节的安全要求如下：应确保在局端和企业端间进行信息传输的电子发票业务系统发送方和接收方的真实性；确保消息的机密性、真实性和完整性，应完成双向的身份认证。存储对电子发票个人信息处理者在存储环节的安全要求如下：电子发票系统及业务服务器应针对个人信息实施访问控制；业务服务器应根据业务数据的敏感程度按需采取加密存储、数据备份、真实性与完整性校验等措施；存储应遵循GB/T35273—2020个人信息安全规范6.1的个人信息存储时间最小化要求。使用在局端或企业端电子发票同一业务系统内、各机构内不同电子发票业务系统间、局端和企业端各机构间等场景下，对电子发票个人信息处理者在使用环节的安全要求如下：业务服务器应针对个人信息的使用采取访问控制措施；个人信息使用应遵循最小权限原则，只允许服务或用户访问所需的最少够用的个人信息；必要时应针对个人信息的使用实施日志记录和审计机制。脱敏对电子发票个人信息处理者在脱敏环节的安全要求如下：将个人信息提供给其他单位时应实施脱敏处理，参照本系列团体标准中的《隐私计算脱敏控制技术要求》（待填写标准编号）；按国家法律法规需要提供完整数据时，可不实施脱敏，但应确保传输安全、存储安全、使用安全等要求，参照本标准中的6.2、6.3、6.4。存证证据属性对电子发票个人信息处理者在证据属性的安全要求如下：业务流程应根据需要提供处置证据；证据属性应包括但不限于日期、时间、主体、客体、动作、附加参数、功能目的等。证据格式对电子发票个人信息处理者在证据格式的安全要求如下：应采用可灵活扩展的描述语言来记录证据格式，例如XML、JSON；证据格式应支持存在先后顺序的多个流程进行属性追加操作。证据交换对电子发票个人信息处理者在证据交换的安全要求如下：存证应支持证据真实性和完整性的校验，例如根据标签进行签名验签或进行带密钥消息验证码的校验；证据交换接口应采用与操作系统无关的编程接口设计，例如WebService、RESTful等接口。删除对电子发票个人信息处理者在删除环节的安全要求如下：局端和企业端内部的各电子发票系统中的业务流程结束后，应删除个人信息，删除要求见《隐私计算删除控制技术要求》（待填写标准编号），法律法规另有要求留存的除外；法律法规规定确需留存个人信息的，平台应提供保护措施，并立即停止除存储和必要安全保护之外其他的处理；当个人信息超出法律规定的存储期限，注册服务器应自动删除，自动删除要求参照《隐私计算删除控制技术要求》（待填写标准编号）。典型业务流程个人信息保护技术要求注册在注册流程中对个人信息处理者的要求如下：注册时个人信息采集应遵循6.1采集要求；个人信息、以及基于个人信息加工得到的数据信息，应按照《个人敏感信息分类分级框架》（待填写标准编号）进行分类分级；个人信息传输时应遵守6.2传输要求，包括但不限于以下场景：终端传输给注册服务器、注册服务器传输给税务局、注册服务器传输给其他数据用户、数据用户给其他目标地址传输个人信息；个人信息在注册服务器存储应遵守6.3存储要求；将个人信息提供给其他数据用户时应实施脱敏控制，应遵守6.5脱敏要求；按国家法律法规需要提供完整数据时，可不实施脱敏，但应确保传输安全、存储安全、使用安全等要求，参照6通用技术要求；注册存证应记录何人在何时在哪个系统完成了注册登记。销户用户在主动请求销户或达到规定的销户条件时，个人信息处理者应对个人信息进行删除，对个人信息处理者要求如下：应删除其个人信息，个人信息删除应遵循6.7删除要求；销户存证应记录何人于何时针对哪个账户提出了销户请求。开具在开具流程中对个人信息处理者的要求如下：个人信息采集应遵循6.1采集要求；个人信息、以及基于个人信息加工得到的数据信息，应进行分类分级，参照《个人敏感信息分类分级框架》（待填写标准编号）；个人信息传输时应遵守6.2传输要求，包括但不限于以下场景：开具客户端传输给开具服务器、开具服务器传输给税务局、开具服务器传输给其他数据用户、数据用户给其他目标地址传输个人信息时；个人信息在开具服务器上存储应遵守6.3存储要求；将个人信息提供给其他数据用户时应实施脱敏控制，应遵守6.5脱敏要求；开具系统在电子发票达到规定的删除条件时，应对电子发票进行删除；开票人在主动请求删除或达到规定的删除条件时，开具系统应对开票人个人信息进行删除，应遵守6.7删除要求；开具存证应该记录何人在何时登录电子发票开具系统、何人何时在电子发票开具系统开具了何种电子发票。交付在交付流程中对个人信息处理者的要求如下：交付时个人信息采集应遵循6.1采集要求；收票人个人信息，应进行分类分级，参照《个人敏感信息分类分级框架》（待填写标准编号）；收票人个人信息在交付服务器上存储应遵守6.3存储要求；将收票人个人信息提供给其他数据用户时应实施脱敏控制，应遵守6.5脱敏要求；交付系统在电子发票达到规定的删除条件时，应对电子发票进行删除；收票人在主动请求删除或达到规定的删除条件时，交付系统应对收票人个人信息进行删除，参照6.7删除要求；交付存证应记录：何人在何时要求交付哪些电子发票、设置了哪些交付方式；交付系统何时给何人按哪些交付方式交付了哪些电子发票；何人在何时要求删除其作为收票人的个人信息、删除其电子发票信息。报销在报销流程中对个人信息处理者的要求如下：报销时个人信息采集应遵循6.1采集要求；报销相关人员个人信息，应进行分类分级，参照本系列团体标准中的《个人敏感信息分类分级要求》（待填写标准编号）；个人信息在报销服务器上存储应遵守6.3存储要求；将个人信息提供给其他数据用户时应实施脱敏控制，应遵守6.5脱敏要求；报销存证应记录何人在何时以何种理由报销了哪些电子发票、何人在何时完成了哪些电子发票的入账、何人在何时完成了哪些人或单位的报税、何人在何时完成了哪些文件的归档。销毁在销毁流程中对个人信息处理者的要求如下：归档服务器应删除归档文件，删除要求参照6.7删除要求；销毁存证应记录何时因何原因由何人操作删除了哪些归档文件。

（资料性）

电子发票个人信息本附录介绍了电子发票个人信息，供设计参考电子发票涉及的个人信息表A.1电子发票涉及的个人信息序号人员个人信息采集方1法人法定代表人姓名税局端销方法定代表人身份证件类型代码法定代表人身份证号码法定代表人住所法定代表人住所邮政编码法定代表人固定电话法定代表人移动电话法定代表人电子信箱2财务负责人财务负责人姓名财务负责人身份证件种类代码财务负责人身份证件号码财务负责人固定电话财务负责人移动电话财务负责人电子信箱3办税人办税人电子信箱办税人身份证件种类代码办税人身份证件号码办税人固定电话办税人移动电话办税人电子信箱4税务代理人税务代理人名称税务代理人纳税人识别号税务代理人身份证件号码税务代理人固定电话税务代理人移动电话税务代理人电子信箱5开票人开票人姓名税局端及企业端开票人身份证件种类代码开票人身份证件号码开票人固定电话开票人移动电话开票人电子信箱6复核人复核人姓名企业端复核人固定电话复核人移动电话复核人电子信箱7收款人收款人姓名收款人固定电话收款人移动电话收款人电子信箱8收票人收票人姓名收票人移动电话