《移动智能终端循环交易平台服务管理要求》.docx

TAF-WG4AS0001-V1.0.0

PAGEII

团体标准

T/TAFxxx—2025

移动智能终端循环交易平台服务管理要求

Requirementsforservicemanagementofmobileintelligentterminalcirculartradingplatform

2025-xx-xx发布

2025-xx-xx实施

电信终端产业协会发布

ICS33.050

CCSM30

T/TAFxxx—2025

PAGE1

T/TAFxxx—2025

PAGE2

移动智能终端循环交易平台服务管理要求

范围

本文件主要明确移动智能终端循环交易平台服务管理要求的术语定义、总体原则、整体框架和实施要求。

本文件适用于指导移动智能终端循环交易平台服务的信息安全管理，同时适用于主管机构、第三方测评机构对移动智能终端循环交易平台服务的信息安全管理进行监督、验证与认证。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

T/TAFXXXX循环回收移动通信终端数据擦除工具技术要求

术语和定义

下列术语和定义适用于本文件。

移动智能终端smartmobileterminal

能够接入移动通信网，具有能够提供应用软件开发接口的操作系统，具有安装、加载和运行应用软件能力的终端。

注：以下文中提及移动智能终端均指废旧移动智能终端。

移动智能终端循环交易平台mobileintelligentterminalcirculartradingplatform

面向社会公开提供回收或售卖废旧移动智能终端服务的服务提供者。

关键岗位keypositions

对组织的运营、安全、稳定和发展具有重要影响、承担重要职责且在一定时期内难以替代的岗位，其工作内容一般需要较高的专业技能和丰富的经验，其错误决策或操作可能导致重大风险或不良影响。

数据清除dataerasure

是指采取软件编程的方法对存储空间进行处理使其数据不可被恢复，例如数据删除、数据覆写或者删除数据相关的密钥等方法。

基本原则

移动智能终端循环交易平台提供的服务应遵循以下基本原则：

合法合规：符合涉及个人信息保护的法律法规和标准；

诚实信用：应与用户签订服务协议，基于诚实的态度，售卖时如实描述移动智能终端产品的外观、性能等技术指标，善意履行所约定的用户权益保护义务，恪守所作出的用户权益保护承诺；

公平公正：应在提供产品和服务的过程中，采取有效措施防止产生歧视和差别待遇等违法行为；

公开透明：应在提供产品和服务的过程中，公开个人信息处理与平台交易规则，采取有效措施提升移动智能终端循环交易平台服务的透明度；

安全保密：服务过程中用户的个人信息及移动智能终端中的数据不被非授权的个人或实体处理，确保用户个人信息安全，防止未经授权的访问、使用或泄露；

知情自愿：基于用户同意提供循环回收服务的，该同意应由用户在充分知情的前提下自愿、明确作出；

便捷行权：应建立健全投诉、举报机制，设置便捷的投诉、举报入口，公布处理流程和反馈时限，及时受理、处理公众投诉举报并反馈处理结果。

安全管理要求

基本要求

平台服务提供者的安全管理基本要求如下：

服务提供者企业应具备合法经营资格，如企业营业执照等；

应制定内部信息安全管理制度和操作规程，确定信息安全管理负责人；

信息安全管理负责人应无犯罪行为记录且未被列入失信人员名单；

应采取相应的安全技术措施和其他必要措施，确保信息安全，防止出现信息泄露、损毁、丢失等问题；

应明确移动智能终端循环回收业务处理流程及各阶段的规范化处理规范，明确各工作岗位的职责、权限、义务和惩戒措施；

应建立并及时更新涉及移动智能终端循环回收业务的从业人员档案，定期对从业人员进行信息安全教育、技术培训和技能考核；

涉及使用第三方数据清除服务的，应对第三方服务相关能力进行评估，评估内容应包含6.4章要求，确保服务提供方相关资质能力有效，并与第三方以服务协议、合同等形式约定信息处理的目的、方式、保护措施以及双方的权利和义务等；

应建立信息安全风险监测机制，发现信息安全缺陷等风险时，应立即采取补救措施；

应定期对其信息安全管理情况进行合规审计。

人员管理

人员安全管理要求如下；

应对拟任职移动智能终端循环回收关键岗位的人员进行犯罪记录调查；

应对拟任职移动智能终端循环回收关键岗位的人员进行任职调查，确认任职资格；

应制定从业人员管理制度，如临时人员不参与核心业务服务、关键岗位人员签订保密协议，说明与职位和安全相关的要求及其责任，并为任职