旅游大数据安全与隐私保护规范.pdf

旅游大数据安全与隐私保护规范

1范围

本文件给出了旅游大数据的通用安全目标、安全监管、数据采集安全、数据传输安全、数据使用安

全、数据交换安全、数据退役安全和游客信息隐私保护等方面的内容。

本文件适用于旅游公共管理和服务机构开展旅游大数据采集、存储、传输、使用、共享、开放、退

役等过程中的安全管理组织、人员安全管理、相关系统建设，也可为有关部门对旅游数据活动进行监管

管理提供参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069-2022信息安全技术术语

GB/T35273-2020信息安全技术个人信息安全规范

GB/T35274-2023信息安全技术大数据服务安全能力要求

3术语和定义

GB/T25069-2022、GB/T35273-2020、GB/T35274-2023界定的以及下列术语和定义适用于本文件。

3.1

旅游大数据tourismbigdata

指旅游行业的从业者及消费者所产生的数据，包括景区、酒店、旅行社、导游、游客、旅游企业等

旅游行业等所产生的管理或者业务数据，旅游行业基础资源信息库，互联网数据、旅游宏观经济数据、

旅游气象环保数据、交通数据等。

3.2

游客个人敏感信息touristspersonalsensitiveinformation

极易导致游客个人名誉、身心健康受到损害或歧视性待遇等的个人信息，一旦泄露、非法提供或滥

用可能危害人身和财产安全。包括但不限于身份证件号码、个人生物识别信息、银行账户、消费记录、

通讯记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、14岁以下（含）儿童的个人信息等。

3.3

大数据服务bigdataservice

支撑机构或个人对大数据采集、存储、使用和数据价值发现等数据生命周期相关的各种数据服务和

系统服。

3.4

旅游信息采集设备tourisminformationcollectionequipment

旅游信息采集设备是指用于收集、记录、传输和处理旅游信息的设备或工具，包括景区轧机、门禁

设备、摄像头、各类数据采集传感器、定位器等。

3.5

1

旅游移动应用travelmobileapplication

旅游移动应用是用于旅行者或潜在旅行者方便查询旅游信息和服务的移动设备应用程序，包括各类

旅游相关的手机APP、小程序等。

3.6

旅游数据管理机构tourismdatamanagementagency

旅游数据相关平台或应用的管理机构或部门，通常为各地的文旅厅等旅游行政管理部门。

4旅游大数据通用安全目标

4.1通用安全目标

旅游数据管理机构应当对数据安全与隐私负主体责任，对各类数据实行分级防护，宜采取合理和适

当的管理与技术保障措施，确保数据持续处于有效保护和合法利用的状态，以达到下列目标：

a)建立数据全生命周期安全管理制度，针对不同级别数据，制定数据收集、存储、使用、加工、

传输、提供、公开等环节的具体分级防护要求和操作规程；

b)根据需要配备数据安全管理人员，统筹负责数据处理活动的安全监督管理，协助监管部门开展

工作；

c)合理确定数据处理活动的操作权限，严格实施人员权限管理；

d)确保旅游数据的保密性、完整性和可用性；

确保旅游数据使用和披露过程的合法性和合规性，保护个人信息安全、公众利益和国家安全。

4.2安全与隐私保护架构

旅游大数据应在符合大数据安全与隐私保护运维管理、大数据安全与隐私保护生命周期安全管理和

大数据安全与隐私保护监控框架的前提下满足业务发展需求，如图1所示。其中大数据安全与隐私保护

生命周期管理应包含游客信息保护、分级、敏感数据保护、数据采集、数据传输、数据存储、数据治理、

数据共享、数据销毁等安全措施。

图1旅游大数据安全与隐私保护架构

5旅游大数据安全与隐私生命周期管理