出行服务系统个人信息保护技术要求

出行服务系统个人信息保护技术要求范围本文件给出了出行服务系统的出行服务App、后台信息服务系统的个人信息保护要求，规定了在叫车与服务阶段、服务结束后的数据留存与使用、系统自身应用、同机构跨系统共享、跨机构跨系统共享等环节对个人信息保护的规范，包含上车、运行、目的地、卫星定位等信息的广泛收集、平台内使用、数据流通等方面的安全要求等。本文件可支撑出行服务系统的出行服务App、后台信息服务系统的安全评测和合规监管。该标准适用于规范各类组织的个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。规范性引用文件本文件引述下列文件中的部分内容。下列文件中，注日期的引用文件，仅该日期对应的版本适用于本指南；不注日期的引用文件，其最新版本适用于本指南。GB/T25069-2022信息安全技术术语GB/T35273-2020信息安全技术个人信息安全规范GB/T42017-2022信息安全技术网络预约汽车服务数据安全要求T/CSAC005-2024隐私计算总体框架T/CSACBBBBB-XXXX敏感个人信息分类分级框架T/CSAC009-2024隐私计算删除控制技术要求术语和定义

个人信息personalinformation以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包含个人信息本身及其衍生信息,不包括匿名化处理后的信息。[来源：GB/T35273—2020,3.1,有修改]

个人信息主体personalinformationsubject个人信息所标识或者关联的自然人、组织、设备或程序等实体。[来源：GB/T35273—2020,3.3,有修改]

敏感个人信息sensitivepersonalinformation 一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等，以及不满十四周岁未成年人的个人信息。

个人信息处理personalinformationprocessing个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

个人信息处理者personalinformationprocessor 在个人信息处理活动中自主决定处理目的、处理方式的组织、个人等实体。

去标识化de-identification通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程。去标识化建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信息的标识。[来源：GB/T35273—2020,3.14]

匿名化anonymization通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。个人信息经匿名化处理后所得的不属于个人信息。[来源：GB/T35273—2020,3.15]

共享sharing个人信息处理者向其他控制者提供个人信息，且双方分别对个人信息拥有独立控制权的过程。[来源：GB/T35273—2020,3.13]

脱敏控制desensitizationcontrol一种面向隐私信息跨生态圈共享场景，针对隐私信息在不同信息主体之间流转的各环节（例如：采集、分享、交换等过程），充分考虑不同信息主体，不同处理阶段的差异化脱敏需求，在隐私信息传播全生命周期内，对隐私信息进行合理控制和迭代脱敏操作的技术。

删除delete采用访问控制、消磁、物理破坏等技术或措施，使得信息不能被访问或被检索，或者从物理上去除了信息并保障其难以恢复的操作。删除包括不能被访问或被检索、全部物理删除或部分物理删除。[来源：GB/T35273—2020,3.10,有修改]

明示同意explicitconsent个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。[来源：GB/T35273-2020,3.6]

出行服务系统mobilityservicesystem是依托互联网技术构建的提供基本服务功能为网络预约汽车服务的信息系统。

出行服务Appmobilityserviceapp在移动端设备上为驾驶员和出行用户提供出行服务的应用程序。

后台信息服务系统backendinformationservicesystem对出行服务系统各业务环节收集的个人信息进行数据操作的信息系统。

叫车人onlineride-hailingcaller通过出行服务系统为本人或他人发起订单的个人或组织。[来源：GB/T42017—2022,3.9,有修改]概述出行服务业务流程出行服务过程中，对个人信息保护要求是在注册/登录、叫车、出行、支付和评价等各业务阶段，个人信息处理者在个人信息收集、处理、使用、存储、提供以及删除等方面应遵循的技术要求，出行服务涉及的个人信息主体包括乘客、驾驶员，个人信息处理者包括运营者、第三方等。主要内容在第5章中体现。出行服务结束后，对个人信息保护要求是指，在不同的数据流转场景下（如：本系统、同机构跨系统、跨机构跨系统等），个人信息处理者在脱敏、存储、使用、删除和存证等方面应遵循的技术要求，主要内容分别在第6、7、8章中体现。出行服务业务流程如图1所示，具体包括注册/登录、叫车、出行、支付和评价等阶段，整体的业务流程涉及个人信息的收集、加工、使用、存储、提供和删除等环节。图1出行服务业务流程出行服务后数据使用的典型场景出行服务结束后，出行服务中收集的个人信息被上传至后台信息服务系统。此阶段后数据流转过程如附录B中图B.1所示。出行服务系统在符合个人信息保护要求的条件下，结合具体的业务内容，可以在本系统内合规地脱敏、存储、使用和删除收集的个人信息，也可以在同机构跨系统、跨机构跨系统等场景下进行数据流转。具体分为下列四种场景进行概述数据流转的情况：出行服务过程中数据的收集与使用出行服务系统在完成出行业务的整个过程中，涉及到的业务各环节包括注册/登录、叫车、出行、支付和评价等，具体见4.1节，对个人信息的操作主要包括有收集、处理和使用等方面的要求，收集和使用个人信息应满足完成出行服务的最小业务范围的要求，可参考附录A中表A.1和表A.2。本系统内数据留存与使用出行服务系统在完成出行服务后，收集的个人信息应按照脱敏控制的要求进行处理，脱敏数据可用于本系统出行服务外其他业务功能，如纠正出行服务的路线、精确线路的导航、分析实时的道路状况等功能，不应用于与业务不相关的功能，如分析用户的家庭住址、单位地址、消费水平和个人偏好等。数据的存储、使用和删除分别应满足个人信息脱敏控制、使用控制和删除控制等要求。同机构跨系统间的共享在出行服务系统对将收集的个人信息向同机构其他系统进行流转场景下，个人信息处理者应根据自身的脱敏需求、数据接收方的用途、安全防护能力等因素，对流转的个人信息数据进行按需脱敏，确保数据流转过程中的任一数据接收方在使用个人信息数据时满足使用控制要求。跨机构跨系统间的共享在出行服务系统向跨机构跨系统进行数据流转的场景中，个人信息处理者应严格按照脱敏控制要求对流转的数据执行脱敏操作，应采用加密数据等手段进行数据传输，应具备向所属主管监管部门上报存证信息的功能，确保数据接收方的使用在个人信息处理者设定的使用控制范围内应严格按照删除控制的要求执行删除操作。出行服务中个人信息通用保护要求注册/登录阶段涉及的个人信息完成出行服务此业务环节收集的必要信息包括：手机号码、第三方账号信息；非必要信息包括：密码、身份证号、银行卡号、银行卡绑定手机号。收集要求出行服务系统在注册/登录阶段个人信息收集要求包括但不限于以下内容：注册/登录阶段收集的个人信息类型需要与出行服务业务功能直接相关，无此类个人信息无法完成区别账号、找回账号、正常使用系统等。包括：用户手机号码、第三方账号信息。未经用户明示同意，不应收集此类必要信息之外的个人信息；收集频率应限定在用户使用出行服务App注册/登录时及完善个人信息时对必要的信息进行收集，其他情况下不应收集个人信息；收集用户登录密码、身份证号、银行卡号、银行卡绑定手机号、常用地址（家庭地址、工作单位地址）等非必要信息时，应征得用户同意或用户主动填写非必要信息，如用户拒绝提供运营者不应拒绝网络预约汽车服务。处理要求出行服务系统在注册/登录阶段个人信息处理要求包括但不限于以下内容：对注册/登录服务阶段收集的个人信息，个人信息处理者应立即进行去标识化处理，并采取技术和管理方面的措施；对完成注册/登录服务各阶段收集的个人信息，个人信息处理者应将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理；在处理个人信息时，应采取加密措施保证数据不外泄。涉及的个人信息包括但不限于：手机号码、密码、身份证号、银行卡号、银行卡绑定手机号、常用地址（家庭地址、工作单位地址）等；对一般个人信息处理，应遵循收集个人信息时获得的授权同意范围。使用要求出行服务系统在注册/登录阶段个人信息使用要求包括但不限于以下内容：对于收集到的用户手机号码、第三方账号信息应用于标记出行服务用户，不应用于此业务之外的功能；对于收集到的密码应用于登录系统，不应用于此业务之外的功能；对于收集到的身份证号应用于标识用户身份，不应用于此业务之外的功能；对于收集到的银行卡号应用于支付，不应用于此业务之外的功能；对收集到的常用地址（家庭地址、工作单位地址），应用于用户下单时的默认地址，不可用于分析用户偏好和个性化的推荐。叫车阶段涉及的个人信息完成出行服务此业务环节收集的必要信息包括：位置信息（上车地点、行程轨迹、终点）、车型、出发时间、预计价格；非必要信息包括：紧急联系人手机号码。收集要求出行服务系统在叫车阶段个人信息收集要求包括但不限于以下内容：叫车阶段收集的个人信息类型，应与叫车服务业务功能直接相关，无此类个人信息无法完成叫车服务业务。包括：用户手机号码、卫星定位、上车地点、下车终点、车型、出发时间、预计价格等。未经用户明示同意，不应收集此类必要信息之外的个人信息；收集频率应限定在用户使用出行服务App叫车过程中对必要信息进行收集，其他情况下不应收集个人信息；使用代叫车功能为他人发起服务订单的，应提示收集乘车人个人信息的情况，并取得叫车人征得乘车人同意的确认。使用要求出行服务系统在叫车阶段个人信息使用要求包括但不限于以下内容：对于收集到的用户手机号码，应用于标记完成此次服务，不应用于此业务之外的功能；对于收集到的卫星定位信息，应用于接送用户，不应用于此业务之外的功能；对于收集到的出行时间、车型、预估价格等信息，不可用于分析用户偏好和个性化的推荐；订单匹配后，网络汽车预约服务运营者向乘客和驾驶员展示对方个人信息用于身份核验时，所展示的个人信息应以满足核验需求为限，向乘客展示的驾驶员信息宜包括驾驶员姓氏，驾驶员头像、手机号码后四位、实时位置、车辆品牌、车身颜色、车辆号牌和服务评价结果，向驾驶员展示的乘客信息宜包括乘客手机号码后四位和服务评价结果；订单匹配成功后，网络汽车预约服务运营者为驾驶员与乘客提供电话沟通渠道，应使用虚拟号码。出行阶段涉及的个人信息完成出行服务此业务环节收集的必要信息包括：订单信息（出发地、到达地、路线、时间、时长、里程数、交易状态信息）、支付信息（支付时间、支付金额、支付渠道）、位置信息、所乘车辆信息、行程预约上车时间；非必要信息包括：录音信息、录像信息、紧急联系人手机号码、航班信息。收集要求出行服务系统在出行阶段个人信息收集要求包括但不限于以下内容：出行阶段收集的个人信息类型需要与出行服务业务功能直接相关，无此类个人信息无法完成出行服务业务。包括：用户手机号码、上车地点、行程轨迹、用户的卫星实时定位信息、下车终点；用户的订单信息，包括出发地、到达地、路线、时间、时长、里程数、交易状态信息；用户的支付信息，包括支付时间、支付金额、支付渠道等；对出行服务过程中的录音、录像、添加紧急联系人、危险报警等功能，个人信息处理者不应违背个人信息主体的自主意愿，强迫用户接受出行服务过程中个人信息收集请求；收集频率应限定在用户出行服务过程中对必要的信息完成业务服务的最小频率（最高不超过1次/秒），其他情况下不应收集个人信息；收集行程录音录像，应制定单独行程录音录像收集协议，向用户告知行程录音录像收集方式、收集时间，使用目的、存储和删除规则，收集必要性及对用户个人权益的影响等内容，行程录音录像收集协议应征得用户单独同意。具体如下：收集行程录音录像时，应通过短信、车内语音播报等方式告知乘客行程录音录像收集情况；多人乘车的，应提醒叫车人告知同乘人个人信息收集情况；出行服务App系统权限申请应同步告知权限使用目的。处理要求出行服务系统在出行阶段个人信息处理要求包括但不限于以下内容：对出行阶段收集的个人信息，个人信息处理者需要立即进行去标识化处理，并采取技术和管理方面的措施；对完成出行服务各阶段收集的个人信息，个人信息处理者应将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理；在处理个人信息时应采取加密措施保证数据不外泄，包括但不限于身份证、驾驶证、行驶证、人脸识别数据、行程录音录像，银行卡号和行踪轨迹；对一般个人信息处理应遵循收集个人信息时获得的授权同意范围。存储要求出行服务系统在出行阶段个人信息存储要求包括但不限于以下内容：收集到的用户手机号码、用户位置信息、用户订单信息、用户支付信息等数据的存储期限，应是完成出行服务业务所必需的最短时间，法律法规另有规定或者个人信息主体另行授权同意的除外；超出上述存储期限后，个人信息处理者需要对个人信息进行删除或匿名化处理；删除应删除存储服务器中所有个人信息，包括个人信息副本。使用要求出行服务系统在出行阶段个人信息使用要求包括但不限于以下内容：对于收集到的用户手机号码应用于标记完成此次出行服务，不应用于此业务之外的功能；在已收集的个人信息中如变更使用用途，应告知变更后使用用途并征得用户同意；对于收集到的卫星定位信息，应用于接送用户、出行路线的导航、分析路况，不应用于此业务之外的功能；订单完成后，网络预约汽车服务运营者为用户保留纠纷处理的联系通道（如物品遗失等）时，应使用虚拟号码；对于收集到的位置信息、订单信息、支付信息等内容，不应用于关联用户的住址、单位等地址信息，不应用于分析用户的其他个人信息（工作单位、消费水平等），不应用于分析用户偏好和个性化的推荐。共享要求出行服务系统在出行阶段个人信息共享要求包括但不限于以下内容：未征得个人信息主体的授权同意，不应对收集到的个人信息进行共享或披露；乘客或驾驶员使用行程分享功能将其行程分享给亲友时，向亲友分享的信息包括分享人手机号码、驾驶员姓氏、驾驶员头像、出发地、目的地、实时位置和车辆信息；应准确记录和存储个人信息的共享情况，包括共享的日期、规模、目的，以及数据接收方基本情况。支付阶段涉及的个人信息完成出行服务此业务环节收集的必要信息包括：订单信息（出发地、到达地、路线、时间、时长、里程数、交易状态信息）、支付信息（支付时间、支付金额、支付渠道）。收集要求出行服务系统在支付阶段个人信息收集要求包括但不限于以下内容：支付阶段收集的个人信息类型需要与出现服务系统业务功能直接相关，无此类个人信息无法完成标识账单、订单支付等。包括：订单信息（出发地、到达地、路线、时间、时长、里程数、交易状态信息）、支付信息（支付时间、支付金额、支付渠道）等。未经用户明示同意，不应收集此类必要信息之外的个人信息；收集频率应限定在用户订单开始及用户完成此次出现服务之前，其他情况下不应收集个人信息。处理要求出行服务系统在支付阶段个人信息处理要求包括但不限于以下内容：在处理个人信息时应采取加密措施保证数据不外泄，包括但不限于订单信息（出发地、到达地、路线、时间、时长、里程数、交易状态信息）、支付信息（支付时间、支付金额、支付渠道）。存储要求出行服务系统在支付阶段个人信息存储要求包括但不限于以下内容：收集到的订单信息（出发地、到达地、路线、时间、时长、里程数、交易状态信息）、支付信息（支付时间、支付金额、支付渠道）的存储期限，应是完成出行服务所必需的最短时间，法律法规另有规定或者个人信息主体另行授权同意的除外；超出上述存储期限后，个人信息处理者，应对个人信息进行删除或匿名化处理；删除应删除存储服务器中所有个人信息，包括个人信息副本。使用要求出行服务系统在支付阶段个人信息使用要求包括但不限于以下内容：对于收集到的订单信息（出发地、到达地、路线、时间、时长、里程数、交易状态信息）、支付信息（支付时间、支付金额、支付渠道）应用于记录此次出行服务的详情，不应用于此业务之外的功能。评价阶段涉及的个人信息完成出行服务此业务环节收集的必要信息包括：评价信息。收集要求出行服务系统在评价阶段个人信息收集要求包括但不限于以下内容：评价阶段收集的个人信息类型需要与出现服务系统业务功能直接相关，无此类个人信息无法完成评价服务等。包括：匿名评价信息。未经用户明示同意，不应收集此类必要信息之外的个人信息；收集频率应限定在用户使用出行服务App发布评价时对必要的信息进行收集，其他情况下不应收集个人信息。使用要求出行服务系统在评价阶段个人信息使用要求包括但不限于以下内容：对于收集到的评价信息匿名应用于完成此次评价服务，不应用于此业务之外的功能；网络预约汽车服务运营者向乘客、驾驶员展示对方给出评价时，应延时、匿名提供。本系统数据留存与使用的个人信息保护技术要求留存的脱敏要求出行服务结束后本系统数据留存和使用的脱敏要求如下：出行服务过程中收集的个人信息，涉及订单信息（出发地、到达地、路线、时间、时长、里程数、交易状态信息）、支付信息（支付时间、支付金额、支付渠道）等；对出行服务过程收集的敏感个人信息，涉及身份证、驾驶证、行驶证、人脸识别数据、行程录音录像，银行卡号、注册账号信息和行踪轨迹等；针对收集的个人信息以及敏感个人信息，个人信息处理者应按照《敏感个人信息分类分级框架》（T/CSACBBBBB-XXXX）对其进行分类分级；针对分类分级后的信息，个人信息处理者应结合信息模态、业务需求、脱敏强度等因素，制定脱敏规则，进行脱敏处理，确保脱敏的数据已经去标识化、涉及定位个人信息应降低精度、确保脱敏数据无法通过反脱敏处理获取隐私信息。脱敏处理过程应遵循《隐私计算总体框架》（T/CSACAAAAA-XXXX）。留存数据的存储要求出行服务结束后数据存储要求如下：收集到的用户手机号码、用户位置信息、用户订单信息、用户支付信息等信息的存储期限，应为完成业务服务所必需的最短时间，法律法规另有规定或者个人信息主体另行授权同意的除外；个人信息处理者对收集的可识别到具体的乘客与司机的个人信息，应采用密码技术（如使用哈算法计算等）计算可标识到具体个人的信息匿名化处理；个人信息处理者应提供多种数据存储方案，应至少包括明文存储、拆分存储、加密存储等方式，应对业务中采集到的信息（驾驶员驾驶行为、通讯设备信息，紧急联系人等）进行分类，并设定数据安全级别，根据不同级别数据采用不同密码技术进行保护；个人信息处理者应将数据分级与数据访问权限进行关联标识，访问数据权限应明确数据查询、更正、删除、下载等操作，定义不同级别数据访问和查询的脱敏策略；个人信息处理者应支持本地存储和云平台存储等存储方式，应提供安全可靠的数据远程访问功能。留存数据的使用控制要求在出行服务过程中，使用收集的个人信息应遵守附录A中表A.1和表A.2要求。出行服务结束后，本系统内使用收集的个人数据要求如下：对非出行业务场景中使用的个人信息，应按照6.1节要求对数据进行脱敏控制处理，确保使用的数据无法关联个人信息主体；网络预约汽车服务运营者通过界面展示乘客和驾驶员个人信息应对展示的个人信息采取去标识化处理，如果查看去标识化的完整信息需要对查看行为留存审计日志；不为投诉处理人员配置非需求访问乘客和驾驶员订单信息的权限，投诉数据处理场景数据非必要个人信息需进行脱敏展示；网络预约汽车服务运营者根据用户性别、年龄、饮酒情况或其他信息进行用户画像，派单策略时，应以保护乘客和驾驶员人身财产安全为原则，尊重用户合法权利；网络预约汽车服务运营者建立驾驶员信用记录用于管理驾驶员，对于驾驶员在服务过程中产生的违反法律法规、违反平台规则的信息记录等，非必须不查询具体行为，对于驾驶员评定只给出等级评定，相关信息需脱敏展示；驾驶员注销账号后重新注册的，对于驾驶员违反法律法规、违反平台规则的信息记录等可以进行恢复；数据接收方应严格按照个人信息处理者设定的使用控制要求对数据进行操作，收集的数据可用于纠正出行服务的路线、精确线路的导航、分析实时的道路状况等方面，不能用于出行服务之外的分析，比如分析个人信息主体的家庭住址、公司地址、消费水平和个人偏好等，不应基于用户消费记录、消费偏好等设置不公平交易条件。留存数据的删除要求出行服务结束后，本系统内收集的个人数据删除要求如下：个人信息处理者应在出行服务系统App中明示同意的条款项说明，App为个人信息主体提供自动删除和按需删除两种功能，自动删除和按需删除实施要求应参考《隐私计算删除控制技术要求》（T/CSACCCCCC-XXXX）第6章要求；个人信息处理者应在出行服务系统App中明示同意的条款项向个人信息主体说明，所收集的个人信息删除触发条件；个人信息处理者违反法律法规或与个人信息主体的约定，进行收集或使用个人信息的情况下，应按照自动删除要求执行删除操作，立即删除个人信息数据及其所有副本；个人信息处理者违反法律法规规定或与个人信息主体的约定向第三方共享、公开披露个人信息，应按照自动删除要求执行删除操作，立即删除个人信息数据及其所有副本；收集到的用户手机号码、用户位置信息、用户订单信息、用户支付信息等信息的存储期限，应为完成业务服务所必需的最短时间，超出此存储期限后，个人信息处理者应对收集的个人信息进行自动删除，删除的内容包括此类信息的所有副本；收集的行程录音、录像数据存储时间不应超过法律法规规定的最短时间期限，当乘客或驾驶员有未处理完毕纠纷时，对应的行程录音数据适当延长保存期限，纠纷处理完毕且超过约定存储时限的应执行自动删除，删除的内容包括此类信息的所有副本；个人信息处理者应为乘客和驾驶员提供按需删除功能，包括不限于：个人信息在线删除服务或通过客服提供删除服务，在线账号﹑紧急联系人、常用地址和订单删除服务，行程录音录像删除服务；个人信息处理者应具备删除通知下发、删除通知下发验证、删除结果反馈接收等能力，数据接收方应具备删除存证上报、删除通知的接收、删除触发、自动删除、按需删除、多副本查找等功能，确保符合个人信息删除控制的要求。存证要求本系统在留存使用个人信息过程中，应对各阶段进行存证操作，此过程要求如下：个人信息处理者应在出行服务系统App中明示同意的条款项说明，对收集的个人信息（含敏感个人信息）有二次加工处理的可能，并说明具体的数据处理过程，应在个人信息主体的授权同意下方可进行数据处理；个人信息处理者对数据执行脱敏操作时，应准备记录操作数据内容的摘要、数据的模态、个人信息的类别、使用目的、操作类别、操作时间、操作地点、操作人员；个人信息处理者和数据接收方应具备向所属主管监管部门上报证据的能力，证据的内容包括不限于数据内容的摘要、数据的类别、数据的模态、使用目的、时间、操作人员、数据接收方的基本信息等内容；个人信息处理者对个人信息数据执行删除操作时，事前应向所属主管监管部门进行上报存证，证据内容包括不限于：删除个人信息摘要、删除原因、删除方法、删除时间、操作人员等内容；个人信息处理者向所属主管监管部门上报存证数据时，应采用防篡改、抗抵赖、低开销的安全通信协议，确保存证信息的完整性、真实性与可靠性。同机构跨系统共享的个人信息保护技术要求跨系统流转数据的脱敏要求个人信息在同机构跨系统进行数据流转时，脱敏要求如下：在后台信息服务系统已按照6.1节执行脱敏控制要求的基础上，确保无法通过关联分析、还原等技术手段将共享的个人信息准确定位到个人，降低数据流转过程导致的个人隐私信息泄露；数据流转过程中，个人信息处理者应根据自身的脱敏需求、数据接收方的安全防护能力、使用目的等方面制定脱敏规则，包括不限于位置、角色、内容等进行控制，应符合个人信息处理者的脱敏意图，脱敏处理后应对脱敏数据进行脱敏效果评估，应在符合脱敏效果评估的条件下进行数据流转共享。跨系统数据的流转控制要求当个人信息需要在同机构内跨系统间进行数据流转时，流转控制要求如下：个人信息处理者应保障个人信息主体的知情权，在未征得个人信息主体的授权同意条件下，不得对收集到的个人信息进行同机构跨系统间的数据流转使用；个人信息处理者征得个人信息主体授权同意后，在同机构不同系统间数据流转的过程中，应准确记录流转的个人信息内容、共享的方式、接收方基本信息、接收方数据使用目的；个人信息处理者在同机构跨系统流转个人信息时不强制要求进行加密传输，但应提供加密传输的方式，应具备密钥分发和密钥协商两种生成加密传输密钥功能。跨系统数据的使用控制要求当个人信息需要在同机构内跨系统间进行数据传输时，使用控制要求如下：个人信息处理者应将数据分级与数据访问权限进行关联标识，访问数据权限应明确数据查询、更正、删除、下载等操作，定义不同级别数据访问和查询的脱敏策略；不为投诉处理人员配置非需求访问乘客和驾驶员订单信息的权限，投诉数据处理场景数据非必要个人信息需进行脱敏展示。跨系统数据的删除要求同机构跨系统间共享个人信息在删除要求方面，在遵守6.4节要求的基础上，具体要求如下：个人信息处理者对数据进行流转时，应同时传输个人信息的删除控制要求，确保数据接收方履行该删除控制要求；个人信息处理者应提供用于接收删除通知的接口或者其他接收方式；个人信息处理者的删除通知下发应与数据流转路径相同，删除通知中的删除控制规则应在数据流转路径上保持一致，包括删除对象、删除方式等。存证要求个人信息处理者应具备向所属主管监管部门上报存证的能力，在脱敏操作、使用控制、删除等阶段应向主管监管部门上报证据，具体要求应符合6.5节相关条款内容。跨机构跨系统共享的个人信息保护技术要求跨机构流转数据的脱敏要求个人信息在跨机构跨系统间数据流转时，个人信息脱敏在遵守7.1节要求的基础上，具体要求如下：个人信息处理者与第三方数据共享应符合相应的法律法规要求且按照数据分类等级做适当脱敏并不应向无业务需要的第三方共享网络预约汽车服务数据；个人信息处理者应严格按照系列标准中的《隐私计算总体框架》（T/CSACAAAAA-XXXX）的脱敏控制技术，结合自身的脱敏需求，数据接收方的安全防护能力、使用目的等方面制定脱敏规则，脱敏处理后应对脱敏数据执行脱敏效果评估，应在符合脱敏效果评估要求条件下进行数据流转共享；个人生物识别信息原则上不应跨机构流转。因业务需要，确需共享的，应单独向个人信息主体告知数据使用目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等，并征得个人信息主体的明示同意。跨机构数据的流转控制要求个人信息在跨机构跨系统间数据流转时，个人信息流转应遵守7.2节要求的基础上，具体要求如下：个人信息处理者未征得个人信息主体的授权同意，不得将收集到的个人信息进行跨机构跨系统间进行流转；个人信息处理者共享个人信息过程中应采用加密、完整性保护等安全措施传输，加密传输数据的密钥应采用密钥协商的方式生成，应对个人信息进行分类，并设定数据安全级别，根据不同级别数据采用不同密码技术进行保护；紧急情况的个人信息共享具体要求如下：用户设置的紧急联系人或其他亲友以用户人身安全存在重大风险为由，要求平台提供用户的行程和位置信息的，平台应使用虚拟号码联系用户，如联系到用户则按照用户要求进行处理，如无法联系到用户，平台可以向进线人提供对应用户的行程信息与位置信息，其他非必要信息不提供；在用户使用一键报警或其他紧急情况下，网络预约汽车服务运营者可以向用户设置的紧急联系人共享行程信息、位置信息和报警情况。企业订单数据共享时具体要求如下：网络预约汽车服务运营者应与企业用户预订企业订单中乘客个人信息的共享规则，在征得乘客明示同意后，可向乘客所属的企业共享的个人信息包括：乘客姓名、乘客手机号码、出发地、目的地和支付信息；乘客企业订单过程中发生安全事件，人身财产安全收到损害或威胁的，乘客所属企业向网络预约汽车服务运营者索要乘客行程中安全事件信息的，可以予以提供。第三方地图数据共享，网络预约汽车服务接入第三方地图服务为驾驶员和乘客规划路径，提供导航服务时，在征得乘客明确同意后，可共享通讯设备信息、实时位置信息和路线规划信息，不应共享乘客和驾驶员的个人信息；第三方平台数据的共享具体要求如下：订单匹配成功后，第三方平台可以向网络预约汽车服务运营者共享乘客的用户标识、手机号码、发单城市、出发地、目的地和通讯设备信息；订单匹配成功后，网络预约汽车服务运营者可向第三方平台提供驾驶员的用户标识、手机号码、姓氏、实时位置、车辆信息、完单量和评价信息；网络预约汽车服务运营者和第三方平台作为支付渠道的乙方可以向另一方共享乘客的支付信息；乘客申请发票时，第三方平台可以向网络预约汽车服务运营者共享电子发票所需的电子邮箱或纸质发票所需的收件人信息。个人信息处理者应准确记录并存储流转个人信息的内容，包括共享信息的摘要、日期、规模、目的、操作人员和数据接收方基本情况；个人信息处理者对收集的个人信息进行第三方共享时，应向个人信息主体告知数据接收方的基本信息、联系方式、处理目的、处理方式以及个人信息的种类，并取得个人的明示同意，不应向无业务需求的第三方机构提供个人信息；网络预约汽车服务运营者公开纰漏违法违规信息时，应对乘客和驾驶员的身份信息进行去标识化处理。跨机构数据的使用控制要求个人信息在跨机构跨系统间数据流转时，个人信息使用应遵守7.2节要求的基础上，具体要求如下：对进行跨机构跨系统流转的个人信息敏感程度应进行分级，根据分级的结果对个人信息设定不同的使用控制策略，确保和业务紧相关且具备相应数据安全保护等级的单位/人员才可以进行访问或使用该数据；第三方机构违反法律法规要求或双方的约定进行使用或处理个人信息的情况下，个人信息处理者应立即要求数据接收方停止相关行为，数据接收方应需采取有效补救措施（如更改口令、回收权限、断开网络连接等）控制或消除个人信息面临的安全风险。跨机构数据的删除要求个人信息在跨机构跨系统间数据流转时，个人信息使用应遵守7.3节要求的基础上，具体要求如下：第三方机构违反法律法规要求或双方约定处理个人信息的，个人信息处理者应解除与第三方机构的业务关系，第三方机构应按照自动删除要求执行删除操作，立即删除个人信息数据，包括此类信息的所有副本；个人信息处理者应在出行服务系统App中明示同意的条款项说明，App为个人信息主体提供自动删除和按需删除两种功能，符合6.1节相关条款。存证要求个人信息处理者应具备向所属主管监管部门上报存证的能力，在脱敏操作、使用控制、删除等阶段应向主管监管部门上报证据，具体要求应符合6.5节相关条款内容。

（资料性）个人信息使用要求

概述本附录介绍了出行服务系统收集的必要个人信息内容及使用要求，以及出行服务各业务环节所需的个人信息及使用要求，供服务提供者参考。出行服务系统必要个人信息及使用要求出行服务系统必要个人信息范围和使用要求服务类型必要个人信息使用要求网络预约汽车服务注册用户移动电话号码用于网络约车用户注册，满足对出行服务App注册用户进行真实身份信息认证的要求，同时也可用于司机与乘客联系乘车人出发地、到达地、位置信息、行踪轨迹乘车人出发地、到达地用于确定行程起终点位置信息用于确定用户当前位置，推荐周围上车点，搜索显示附近车辆信息行踪轨迹用于保障行程安全及处理用户纠纷，完成处理目的的行踪轨迹信息应及时删除或匿名化处理仅对使用网络预约汽车服务的用户收集：支付时间、支付金额、支付渠道等支付信息用于用户对网络预约汽车服务订单付款出行服务系统各业务环节收集的个人信息及使用要求出行服务系统各业务环节收集的个人信息及使用要求业务功能个人信息使用要求注册/登录手机号码、第三方账号信息用于网络约车用户注册、登录，满足对出行App注册用户进行真实身份信息认证和区分的要求，保障账号信息安全账号信息：密码、身份证号、银行卡号、银行卡绑定手机号叫车位置信息：上车地点、行程轨迹、终点用于驾驶员确定当前位置，匹配订单车型、出发时间、预计价格、紧急联系人手机号码用于用户网络预约汽车服务产生订单信息出行/支付订单信息：出发地、到达地、路线、时间、时长、里程数交易状态信息、位置信息的收集频率、所乘车辆信息、行程预约上车时间记录驾驶员服务行为，用于核实服务过程、解决司乘纠纷支付信息：支付时间、支付金额、支付渠道用于驾驶员使用第三方支付方式对约车订单收款，记录支付情况，用于核实订单完成情况录音信息、录像信息、紧急联系人手机号码、航班信息用于对驾驶员的驾驶行为监督，提升出行安全，仅用于保护自然人的生命健康和财产安全。应经用户单独同意后才可收集评价匿名评价信息仅用于用户对此次出行服务的评价T/CSACXXXXX—XXXX

（资料性）按需脱敏在不同数据流转场景的示例及使用方法

概述在网约车出行服务系统中，会涉及大量的用户个人信息，例如：位置数据、行程详情、银行账号和个人习惯等。出行服务系统在日常运营中，会针对上述个人信息进行采集、脱敏、计算、共享和删除等各种操作，若处理不当，可能会导致严重的隐私泄露。按需脱敏可针对业务系统不同阶段的隐私信息跨域流转提供按需隐私保护能力，支撑在不泄露用户具体数据的前提下，实现数据的有效利用。本附录以出行服务系统业务流程涉及的数据流转为例，介绍了按需脱敏在不同数据流转场景的示例及使用方法，供进行按需脱敏操作时参考。按需脱敏操作过程示例当出行服务结束后，出行服务过程中收集的个人信息被上传至后台信息服务系统。此阶段后数据流转过程如图D.1所示。出行服务系统在符合个人信息保护要求的条件下，结合具体的业务内容，可以在本系统内合规地脱敏、存储、使用和删除收集的个人信息，也可以在同机构跨系统、跨机构跨系统等场景下进行个人信息流转。图B.1出行服务数据流转示意图出行服务系统导航过程中在导航过程中出行服务数据可以不脱敏，原始出行数据示见表B.1。表B.SEQ表D-\*ARABIC1原始出行数据示例手机号码姓名订单号银行卡号支付账号当前地址目的地江3965370225659153805308594374229955880233087059918187829965广西壮族自治区玉林市北流市塘岸收费站入口(北海方向)广西壮族自治区玉林市北流市城西一路16号朝阳旅社(城西一路盛雨3900861899244107406055957646824955880226161579915708026968四川省攀枝花市东区新源路110攀枝花市公安局四川省攀枝花市东区新宏路与机场路交叉口西南150米学府广铭艳2573167011495572234811314662861955880226161579915938458003重庆市城口县复兴街道太和社区银子岩隧道龙城宏翰复兴派出所(城口县复兴街道社区卫生服务中心西北)重庆市城口县朱家航娟2331759524028188183447860410980622200226161579818281903000广西壮族自治区崇左市天等县506县道南150米天等中学农场广西壮族自治区崇左市天等县天宝路西100米古鼎香·四季湖景导航结束后在导航结束后，根据个人信息所有者设定的脱敏要求，个人信息处理者（运营者），针对不同模态信息采用适合的脱敏算法集合处理。例如：为了保护用户隐私，通过匿名化处理方法对移动电话号码、支付信息等隐私信息进行保护，达到对可标识到具体个人的信息匿名化处理。在位置信息等发送到服务器前，本地设备可通过实施差分隐私技术添加随机噪声。例如，对于出发地、目的地等位置数据可以添加一定范围内的随机偏移。出行服务后的数据脱敏示例见表B.2。 表B.SEQ表D-\*ARABIC2出行服