出行服务系统个人信息保护技术要求编制说明.docxVIP

出行服务系统个人信息保护技术要求

编制说明

目的意义

随着信息化与数字经济社会的深度融合发展，互联网已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。近年来我国在个人信息保护方面的法律法规不断加强，但依然存在一些企业、机构甚至个人，从商业利益等出发，随意收集、违法获取、过度使用、非法买卖个人信息，危害了人民群众的生命健康和财产安全等问题。现如今，个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。

习近平总书记多次强调，要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益，对加强个人信息保护工作提出明确要求。为贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《国务院办公厅关于促进平台经济规范健康发展的指导意见》等有关要求，加强保护广大人民群众日常出行服务过程中个人信息，强化出行服务平台企业数据安全责任、保障出行服务平台经济安全健康发展，针对出行服务平台所收集的常见个人数据，结合行业应用现状，出台《出行服务系统个人信息保护要求》团体标准具有较强的现实意义。

任务来源

国际上，个人信息保护法律法规兴起于20世纪70年代，1974年12月，美国国会通过《隐私法案》，是美国为保护公民隐私权和知情权出台的重要法律。2003年5月，日本正式通过《个人信息保护法》，新的修订版法律于2022年4月1日起正式生效。2006年7月，俄罗斯颁布《俄罗斯联邦个人数据法》，是数据与信息安全法律制度体系中主要法律准则。2020年11月，欧盟委员会发布了欧盟《数据治理法案》，一定程度上强化了欧盟对于公共数据的赋能，为欧洲新的数据治理方式奠定了基础。2022年5月，英国颁布新的《数据改革法案》，旨在指导英国独立于欧盟隐私立法。

我国在2016年11月正式颁布实施《网络安全法》，这是我国第一部全面规范网络空间安全管理方面问题的基础性法律。2021年9月，《数据安全法》正式施行，聚焦数据安全领域的突出问题，确立了数据分类分级管理，建立了数据安全风险评估、监测预警、应急处置，数据安全审查等基本制度，并明确了相关主体的数据安全保护义务，这是我国首部数据安全领域的基础性立法。2021年11月，正式实施《个人信息保护法》，是为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，是根据宪法制定的第一部专注于个人信息保护问题的的法律。这些标志着个人信息保护已经成为我国的重大战略需求。

目前，国内外还未对出行服务系统个人信息保护进行标准化，涉及出行服务场景下，个人信息保护还停留在通用的技术要求，对于出行服务过程中、出行服务结束后本系统内数据留存与使用、同机构跨系统间的共享、跨机构跨系统间的共享等环节缺少对个人信息保护的技术要求。因此制定出行服务系统个人信息保护要求标准可以有力的解决目前存在的这一问题，有助于进行提升出行服务平台的数据安全与个人信息保护的责任意识，从而进一步建设和提升全社会各行业各领域企业的个人信息保护能力。

编制过程

1) 2023年4月22日，团体标准编制正式启动，标准牵头单位中国科学院信息工程研究所汇总了前期的研究工作内容，确定了团体标准的研究思路和分工。

2) 2023年5月7日，向标准牵头负责人汇报工作进展，形成《出行服务系统个人信息保护要求》团体标准大体框架。

3) 2023年5月8日至2023年6月14日，期间进行了多次标准工作组内部讨论，并针对标准大体框架与内容方向进行了修改与调整。

4) 2023年6月15日至2023年11月22日，按照拟定的方向编制团体标准，形成第一版标准草案。

5) 2023年11月23日至2023年12月11日，期间进行了多次标准工作组内部讨论，针对标准内容进行了细节的修改与调整。

6) 2024年1月21日，形成第二版标准草案，并召集了标准草案的内部闭门研讨会。

7）2024年1月30日，形成征求意见初稿。

8）2024年6月27日，邀请专家对征求意见稿后的修改版本进行评审。

9）2024年12月，形成征求意见稿。

主要内容技术指标确立

本文件给出了出行服务系统的出行服务App、后台信息服务系统的个人信息保护要求，规定了在叫车与服务阶段、服务结束后的数据留存与使用、系统自身应用、同机构跨系统共享、跨机构跨系统共享等环节对个人信息保护的规范，包含上车、运行、目的地、GPS等信息的广泛收集、平台内使用、数据流通等方面的安全要求等。详细内容如下。

出行服务过程中数据的收集与使用：在注册/登录、叫车、出行、支付和评价等各业务阶段，个人信息控制者在个人信息收集、处理、使用、存储、提供以及删除等方面应遵循个人信息保护的技术要求。

出行服务结束后本系统内数据留存与使用：出行服务系统在完成出行服务后，收集的个人信息应按照脱敏控制的要求