1、 1 电子商务数据交易 隐私保护 规范 国家标准编制说明 一、 工作简况 1、 任务来源 本标准由全国电子业务标准化技术委 员会( SAC/TC83)提出和归口,经国家标准化管理委员会批准,正式列入 2015 年 国家标准制修订项目计划,项目 计划号为 20154003-T-469, 项目名称为 电子商务数据交易 隐私保护 规范 。在标准研制中经过深入研究和多次研讨,并 根据业内相关专家的意见和建议,将 标准 名称更改为电子商务数据交易 隐私保护规范 , 以便更准确体现标准内容。 本标准的起草单位: XXXXXX、 XXXXXX、 等。 本标准主要起草人: XXX、 XXX、 等。 2、 目的
2、 与 意义 数据是大数据发展的基础。大数据技术的发展使得人们利用这些数据成为可能, 而如何获取这些数据就成为首先要解决的问题。由于 数据资源的稀缺性,市场成为资源配置的重要手段之一。 数据交易是打破信息孤岛及行业信息壁垒 , 实现数据价值最大化的新兴产业。在数据交易过程中 , 数据常以免费公布或交易给买方的形式被发布出去 , 而发布的数据中包含着大量的个人信息。攻击者可以根据这些个人信息 ,以数据挖掘技术手段进行信息分析 , 从而使得个人隐私发生泄漏进而造成经济损失和人身伤害等问 题。为此 , 如何保护数据交易中个人隐私安全已经成2 为亟待解决的问题。 数字安全研究公司金雅拓( Gemalto
3、)数据显示: 2016 年上半年全球发生的数据泄露事件高达 974 起,数据泄露记录总数超过了 5.54 亿条之多,相比较于 2015 年,增长了 15%。与之相伴随,则是猖獗的数据黑市。之所以称为“数据黑市”,在于其中所交易的数据涉及个人隐私、商业机密,甚至于国家安全,未经任何清洗、脱敏等技术处理,严重危害社会。 目前 , 国际上 关于个人隐私保护 多采用 法律 模式 , 具有代 表性的 有 欧盟、美国和日本。其中 , 欧盟采用统一立法模式,通过 制定综合性的个人 数据 保护法律对个人 数据 全生命周期进行管理 , 如 General Data Protection Regulation ;
4、美国采用分散立法和行业自律相结合的模式,对个人隐私保护进行分散立法 , 如 消费者隐私权利法案 ;日本则以专项保护法律为核心,同其他法律共同构成个人隐私保护法律体系 , 如 个人信息保护法 。 我国目前针对个人信息保护尚未形成统一的综合法律规范,而是具体地规定在法律、行政法规、部门规章、地方性法规和规章、各类规范性文件等多层次、多 领域的规范当中,形成了一个内容分散、体系庞杂的个人信息 保护模式 。诸如, 在标准建立方面, 发布了 GB/Z 28828-2012 信息安全技术 公共及商用服务信息系统个人信息保护指南 、 GB/T 34987-2017信息安全技术 移动智能终端个人信息保护技术要
5、求、 GB/T 35273-2017 信息安全技术 个人信息安全规范 等相关标准 规范 ; 在行政管理方面, 国家出台了 个人信用信息基础数据库管理暂行办法 ( 中国人民银行令 2005第 3 号 ) 、电信和互联网用户个人信息保护规定 ( 工业和信息化部令第 24 号 ) 等行业行政规范 ; 在立法层面,国家发布了 中华人民共和国 网络安全法 、 中华人民共和国刑法修正案(九) 、 全国人民代表大会常务委员会关于加强网络信息3 保护的决定 等法律法规 。 我国个人信息保护法草案早在 2008 年已 呈 交至国务院,但到目前为止仍未正式颁布实施。 随着网络社会信息化和大数据产业的快速发展,人们
6、越来越多地参与到社会活动中来,个人信息及个人隐私保护问题也越来越突出。 隐私问题是大数据发展过程中的一个关键问题,多项实际案例表明,即使无害的数据被大量收集后,也会暴露个人隐私。实际上,人们面临的威胁并不仅限于个人隐私泄露,保护对象不仅包括大数据自身,也包含通过大数据分析得到的知识,例如基于大数据对人们状态和行为的预测。 尤其 在当前大数据产业 快速发展 和 大数据技术应用的 环境下, 个人敏感信息会发生变化,可能在某一 时期或某个环境下不属于敏感信息,但放在另一时期或特定环境中就 成为了 敏感信息。因此,有必要针对大数据环境下的数据交易过程中涉及的个人隐私制定适用的隐私保护规范。 通过制定电
7、子商务数据交易 隐私保护规范 这项 国家标准, 旨在规范电子商务模式下的 数据交易中的隐私保护总则 、数据提供方、数据需求方、等交易主体的职责权利, 以及交易平台职责义务和 信息 主体 享有的 权利 等 ,以 确保数据交 易过程中个人信息 主体权益,实现交易过程中的 隐私保护, 为数据交易市场 提供参考依据和指导 ,对于规范数据交易市场 安全、稳定运营具有重要的意义 。 3、 主 要工作 过程 ( 1) 筹备调研阶段 2016 年 04 月,成立标准起草工作组,确定标准 编制 计划、 参与 人员 、任务分工 等 工作 事项 。 2016 年 06 月,组织召开标准起草工作启动会议,全面启动标准
8、制定工作 。 4 2016 年 10 月, 标准起草工作组 重点针对国内外关于个人信息、个人数据、隐私、敏感数据等方面开展广泛调研和资料搜集整理,同时针对法律业内的专家出版的专著、发表的期刊等进行研究分析 。此外,还针对国内涌现出的诸多电子商务数据交易平台采用的隐私规范、隐私政策等进行调研、搜集、整理和分析。 ( 2)草 案起草阶段 2017 年 05 月, 基于前期所做的大量调研工作整理分析的资料,标准起草工作组内部多次召开研讨会议,分析个人信息、个人数据、个人隐私之间的关联和区别,界定本标准的研究对象,确定标准草案大纲。 2017 年 11 月,标准起草工作组 根据标准草案大纲多次 召开
9、研讨会议 , 逐步补充、完善各章节内容,并对标准内容进行多次修改与完善,形成了标准草案初稿 。 2018 年 02 月, 标准起草工作组根据已完成的标准草案 初稿,经过 多次研讨和沟通,并对标准草案初稿 做进一步的修改和完善 ,形成 了 标准草案终稿。 ( 3) 形成 征求意见 稿 阶段 2018 年 08 月,标准起草工作组多次召开标准 研讨会,针对标准 的核心问题,诸如隐私保护规范的切入点等 具体问题进行深入研讨,并根据研讨结论继续 修改完善标准草案, 最终形成标准征求意见稿。 2018 年 09 月,标准起草工作组完成标准编制说明 。 2018 年 12 月 , 标准起草工作组组织召开电
10、子商务数据交易 隐私保护规范征求意见会, 邀请 了 行业相关专家对标准征求意见稿进行审查和指导。会后 ,根据专家 提出的 意见 和建议 ,进一步对标准征求意见稿进行修改和完善。 5 现将征求意见稿面向社会公众、企业、机构等广泛征求意见。 二 、 标准编制原则和确定 标准主要内容的论据 1、 编制原则 本标准严格 按照 GB/T 1.1-2009标准化工作导则第 1 部分:标准的结构和编写的要求和规定编写标准内容。 本标准应具有 科学、 合理性 。 本标准 规定的内容是基于 现行有效 的国内外关于个人信息、个人数据 、 个人 隐私 等 方面的 法律法规 、标准规范 的相关规定, 确定 了 本标准
11、 的研究思路,分别从 隐私保护总则、交易主体 职责义务 、交易平台职责义务和 信息主体权利 等方面 规范隐私保护 。 本标准的研究内容在符合国家相关法律法规、标准规范的基础上, 能够适用于大数据环境下的电子商务数据交易活动中的隐私保护。 本标准应具有可扩展性。随着 国家立法部门对个人隐私方面的法律法规、政策的出台,相关标准规范的颁布,以及电子商务 模式下的 数据交易市场 的发展和演变 等 , 将对标准内容 进行扩展和 修订 。 2、 标准 主要内容与确定 论据 ( 1) 标准主要内容 本标准规定了电子商务模式下数据交易中的隐私保护总则,数据提供方、数据需求方 的职责义务,以及 交易平台职责义务
12、 和 信息主体权利。本标准适用于电子商务模式下 的 数据交易中的隐私保护。 本标准的结构如下: 范围 规范性引用文件 术语和定义 6 总则 数据提供方 职责 义务 数据需求方 职责义务 交易平台职责义务 信息主体权利 参考文献 ( 2) 标准 确定论据 本标准主要通过对国内外现行有效的法律、法规、部门规 章、行政法规、标准规范等进行调研,并对搜集的资料进行分析、整理和 汇总,梳理出有关个人数据、个人信息、个人隐私、敏感信息 以及隐私保护 等方面的定义和规定。 通过调研结果 可以得出以下结论: a) 标准研究对象的确定 通过查阅大量资料,梳理出有关本标准研究对象的相关概念的现状 。根据调研梳理结
13、果, 可以 总结出 当前对于 隐私保护的规定 大多是以 立法 模式实现的。 各国立法使用了不同的概念,大体可归纳为三类:个人数据、个人信息、个人隐私。其中, 使用“个人数据”概念的 以欧盟 成员国以及受其影响较大的国家为主,如欧盟、英国、德国等;使用“个人信息”概念的有法国、中国等;使用“个人隐私”概念的有美国、澳大利亚等。无论采用哪种概念,它们三者之间存在密切的关联性,具体体现在以下方面: “个人信息”和“个人数据”的定义类似, 其 定义 基本指向 已识别或可识别的自然人的信息(数据),即可直接或间接的识别自然人的信息(数据) ; 个人信息(数据) 一般 分为敏感数据和非敏感数据( 或一般数
14、据); 7 “个人隐私”在立法中 指 的是个人信息(数据)中包含的敏感性信息(数据); 指不愿被他人知晓的信息(数据),一旦泄露会给 个人信息主体 造成损失或产生不良影响; 国内外立法或标准规范中大多通过对“敏感性信息(数据)”的保护来实现对个人隐私的保护; 中华人民共和国网络安全法 ( 主席令 第五十三号 )中 规定了 “个人信息”的定义: “ 个人信息 ” 是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号 码、个人生物识别信息、住址、电话号码等 。为了 与我国当前立法保持一致,本标准采用“个人信息”这个概念。
15、 但由于电子商务数据交易平台上交易的数据为电子化数据,因此本标准对“个人信息”的定义进行了修改,以确保其 能符合本标准的研究背景。因此,本标准给出的“个人信息”的定义为: 是指以电子方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等 。 关于“个人敏感信息”,本标准 参考了 GB/T 35273 信息安全技术 个人信息安 全规范 和 GB/Z 28828-2012 信息安全技术公共及商用服务信息系统个人信息保护指南 中规定的定义。 由于在大数据背景下,个人敏感信息具有动态性,因此本标准对于隐私保
16、护的对象不仅包括个人敏感信息,还包括通过大数据挖掘分析等技术能够识别特定个人的信息。 b) 标准研究 范围 的确定 通过搜集分析国内法律法规关于隐私的规定,梳理出禁止公开、传播、泄8 露或出售等相关 规定条款, 诸如 : 全国人民代表大会常务委员会关于加强网络信息保护的决定 中规定“ 任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非 法向他人提供公民个人电子信息。 ”; 中华人民共和国刑法修正案(九) 中规定“ 窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚 ”; 中华人民共和国网络安全法 中规定“ 第四十二条 网络运营者不得泄露、篡改、毁损其收集的
17、个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外 ”等。 根据国家相关法律、法规的规定,个人信息和涉及个人隐私的信息是不允许公布、泄露、传播、出售或非法向他人提供的。 因此,电子商务数据交易平台上是禁止 交易个人 信息和 个人敏感信息 的 。 但 由于 大数据 技术的应用 ,可能导致大量 无害 数据 隐含或 经 大数据挖掘 分析 后 能够 获取 识别特定个人或暴露个人敏感信息 的信息 。因此, 本标准的研究范围 是: 遵守国家法律法规的电子商务模式下的数据交易 中 涉及的 、 可能 隐含 的 或经过处理后 会 重新识别特定 个人 的 信息 和
18、个人 敏感信息 进行保护。 c) 数据相关主体 的确定 通过查阅大量资料,梳理出有关数据相关主体的定义, 部分内容 如下表所示: 名称 依据 定义 个人信息主体 GB/Z 28828-2012 信息安全技术公共及商用服务信息系统个人信息保护指南 个人信息指向的自然人 。 GB/T 35273-2017 信息安全技术个人信息安全规范 个人信息所标识的自然人。 信息主体 中华人民共和国个人信息保护法 (草案 ) 指产生个人信息并享有个人信息权利的自然人 。 数据主体 通用数据保护条例( GDPR, an individual about whom information is stored in
19、a 9 2018) computer-based system 个人信息管理者 GB/Z 28828-2012 信息安全技术公共及商用服务信息系统个人信息保护指南 决定个人信息处理的目的和方式,实际控制个人信息并利 用信息系统处理个人信息的组织和机构。 个人信息控制者 GB/T 35273-2017 信息安全技术个人信息安全规范 有权决定个人信息处理目的 、 方式等的组织或个人 。 利益相关者 大数据时代个人数据隐私规制( 2014.06,书籍,中国) 任何可以影响组织目标的实现或受该目标影响的群体或个人 。 根据在个人数据应用过程中扮演的角色,分为个人、个人数据收集者、个人数据处理者、个人数
20、据应用者、个人数据监督者 。 生态系统中的参与者 大数据治理( 2014,书籍,美国) 个人数据的整个生态系统涉及到 的 参与者 。包括: 个体: 数据主体 数据采集者:数据源(包括金融服务公司、互联网运营商、医疗保健提供商、政府部门、零售商、公用事业部门) 数据经纪商:信息经纪商或数据厂商 数据用户(包括银行、保险公司、市场营销部门、雇主、执法机构和情报部门等) 根据上述调研分析 结果,结合电子商务数据交易活动中涉及的 参与者 ,本标准采用“ 个人 信息 主体”、“ 交易主体 ”的概念来表示数据的相关主体。其中,个人信息 主体是指 个人信息 所标识的自然人 ; 交易主体 是 参与 电子商务
21、数据交易活动的 组织或 个人 ,其角色包括但不限于数据提供方、数据需求方等。 d) 隐私保护规则的 确定 关于 “隐私保护规则”的规范是本标准的核心内容,也是本标准的 重点难点。 目前国内外对隐私的保护 大多都 是以立法形式进行规范的 。 国内 颁布了有关个人信息安全或保护方面的 相关 国 家标准 规范 , 如 GB/T 35273-2017信息安全技术 个人信息安全规范 、 GB/T 34987-2017信息安全技术 移动智能终端个人信息保护技术要求和 GB/Z 28828-2012信息安全技术 公共及商用服务信息系统个人信息保护指南 。 前 两项标准侧重于信息系统和移动终端对于 个人信息的
22、保存、安全 处理以及组织的管理要求等方面内容 ,后者 侧10 重于信息系统中个人信息处理的过程 。 可以看出, 它们 都没有针对交易活动中涉及的个人信息或个人敏感信息进行规范 。 因此,有必要基于 大数据产业环境和数据交易的特性 规范隐私保护 。 综观国内外立法和标准,结合电子商务数据交易活动的目的在于“交易”,故本标准规定隐私保护规则应基于以下几个原则来开展: 本标准是针对 电子商务 模式下的 数据交易 中的隐私保护进行规范 ; 交易数据不包括国家 法律 、 法规明文规定的不能 采集、 公开、泄露、出售或 非法向他人 提供 的 能够识别特定个人的信息 和个人敏感信息等 ; 围绕 交易主体、
23、数据交易平台和 个人 信息主体在隐私保护中的职责 义务 和权利 等方面开展 研究,规范 交易活动中的 隐私保护。 三、 采用国际标准和国外先进标准的程度 本标准为首次自主制定,不涉及国际国外标准采标情况 。 四、 与有关的现行法律、法规和强制性国家标准的关系 本标准符合国家现行法律、法规、规章和强制性国家标准的要求,本标准有助于 中华人民共和国网络安全法 、 中华人民共和国刑法修正案(九) 和 全国人民代表大会常务委员会关于加强网络信息保护的决定 等相关法律、法规、规章和强制性国家标准的实施 。 本标准的实施不涉及对现行标准的废止情况。 五、 重大分 歧意见的处理经过和依据 本标准在制定过程中未出现重大分歧意见。 六、 国家标准作为强制性国家标准或推荐性国家标准的建议
