ICS35.240.60

A10

中華人民共和國國家標準

GB/TXXXXX—XXXX

電子商務數據交易隱私保護規范

E-commercedatatransaction——

Specificationforprivacyprotection

點擊此處添加與國際標準一致性程度的標識

（征求意見稿）

XXXX-XX-XX發布XXXX-XX-XX實施

GB/TXXXXX—XXXX

目??次

前言.................................................................................II

1范圍...............................................................................1

2規范性引用文件.....................................................................1

3術語和定義.........................................................................1

4總則...............................................................................3

5數據提供方職責義務.................................................................3

6數據需求方職責義務.................................................................4

7交易平臺職責義務...................................................................4

8信息主體權利.......................................................................4

參考文獻..............................................................................5

I

GB/TXXXXX—XXXX

電子商務數據交易隱私保護規范

1范圍

本標準規定了電子商務數據交易中隱私保護總則，數據提供方職責義務、數據需求方職責義務、交

易平臺職責義務和信息主體權利。

本標準適用于電子商務數據交易中的隱私保護。

2規范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T5271.1信息技術詞匯第1部分：基本術語

GB/Z28828信息安全技術公共及商用服務信息系統個人信息保護指南

GB/T35273信息安全技術個人信息安全規范

GB/T35408電子商務質量管理術語

GB/TXXX電子商務數據交易準則

3術語和定義

下列術語和定義適用于本文件。

3.1

電子商務E-commerce

通過信息網絡進行產品和服務交易的經營活動。

[GB/T35408，定義2.1.1]

3.2

數據data

信息的可再解釋的信息化表示，以適用于通信、解釋和處理。

注：一個概念模型表示人們對一個體系的理解。

[GB/T5271.1，定義01.01.02]

3.3

電子商務數據交易平臺E-commercedatatransactionplatform

在電子商務模式下為交易雙方或多方提供數據交易撮合及相關服務的信息網絡系統。

3.4

交易主體transactionsubject

1

GB/TXXXXX—XXXX

經由電子商務數據交易平臺根據有關法律法規及電子商務數據交易平臺的有關規定審核批準，在電

子商務數據交易平臺進行數據交易的組織或個人。分為：

a)數據提供方：即賣方，利用電子商務數據交易平臺出售數據或提供服務；

b)數據需求方：即買方，利用電子商務數據交易平臺購買數據或獲取服務。

注：本標準只涉及數據交易，不包括服務交易。

3.5

數據提供方datasupplier

在電子商務數據交易中，擁有數據所有權或受數據所有者合法授權而獲得部分或全部權益的向平臺

提供交易數據的組織或個人。

3.6

數據需求方datademander

在電子商務數據交易中發布數據需求或搜索、購買數據的組織或個人。

3.7

個人信息personalinformation

以電子方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自

然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

3.8

個人敏感信息personalsensitiveinformation

一旦泄露、非法提供或濫用，會危害所標識的個人信息主體的人身和財產安全，對其造成不良影響

的個人信息。

3.9

個人一般信息personalgeneralinformation

除個人敏感信息以外的個人信息。

[GB/Z28828，定義3.8]

3.10

個人信息主體personalinformationsubject

個人信息所標識的自然人。

注：改寫GB/T35273，定義3.3

3.11

匿名化anonymization

通過對個人信息的技術處理，使得個人信息主體無法被識別，且處理后的信息不能被復原的過程。

注：個人信息經匿名化處理后所得的信息不屬于個人信息。

[GB/T35273，定義3.13]

3.12

去標識化de-identificaiton

2

GB/TXXXXX—XXXX

通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程。

注：去標識化建立在個體基礎之上，保留了個體顆粒度，采用假名、加密、哈希函數等技術手段替代對個人信息的

標識。

[GB/T35273，定義3.14]

4總則

4.1隱私

隱私的范疇包括但不限于以下內容：

a)隱私的主體是自然人，在本標準中指代的是個人信息主體；

b)隱私是個人信息主體不愿公開或不愿被他人知曉的與公共利益、群眾利益無關的個人信息；

c)個人信息按照是否涉及隱私可劃分為個人敏感信息和個人一般信息；本標準中定義的個人敏感

信息是指涉及個人隱私的個人信息；

d)合法的個人隱私受國家法律、行政法規的保護，主要包括：

——能夠識別個人身份的信息；

——未成年人信息；

——消費者個人信息；

——財產信息；

——通信信息和通訊信息；

——網絡用戶身份信息和日志信息；

——艾滋病、傳染病等疾病患者信息；

——法律、行政法規規定的其他個人信息。

e)經過匿名化、去標識化等技術處理后且無法復原的信息不屬于個人信息或個人敏感信息的范

疇。

4.2交易數據

交易數據的要求應符合GB/TXXX《電子商務數據交易準則》中5的規定。

4.3交易主體

交易主體的要求應符合GB/TXXX《電子商務數據交易準則》中4.3的規定。

4.4交易平臺

交易平臺的要求應符合GB/TXXX《電子商務數據交易準則》中4.2的規定。

5數據提供方職責義務

數據提供方對數據交易中的隱私保護承擔的職責義務包括但不限于：

a)應貫徹個人信息保護相關法律、行政法規及行為規范，自覺維護個人信息主體合法權益；

b)應對其提供的所有數據的流通和使用行為的合規性負責；

c)應確保提供的所有數據不涉及法律、行政法規禁止發布或傳輸的信息；

d)應確保提供的所有數據不涉及能夠識別個人身份的信息和個人敏感信息；

3

GB/TXXXXX—XXXX

e)當提供的數據涉及能夠識別特定個人的信息或個人敏感信息時，應先對其進行匿名化、去標識

化等技術處理，確保數據無法識別特定個人且無法復原后，方可進入流通環節；

f)應明確數據的適用范圍、使用期限和權利限制等；

g)應確保數據的存儲、發布和傳輸過程中的安全性，防止數據泄露、篡改和刪除等；

h)應對因個人信息泄露而對個人信息主體造成傷害的行為承擔主要責任。

6數據需求方職責義務

數據需求方對數據交易中的隱私保護承擔的職責義務包括但不限于：

a)應貫徹個人信息保護相關法律、行政法規及行為規范，自覺維護數據主體合法權益；

b)購買需求應符合法律、行政法規的相關規定；

c)應按數據提供方界定的數據適用范圍、使用期限和權利限制等合法、合規使用數據；

d)當在數據使用過程中發現能夠識別特定個人的信息或個人敏感信息時，應立即向有關主管部門

報告或向平臺舉報；待數據提交后刪除且不可被恢復；

e)應確保數據存儲、使用過程中的安全性，防止數據泄露、篡改和刪除等；

f)應對因使用數據而導致個人信息泄露所產生的后果承擔主要責任；

g)按照約定方式使用完成或規定期限結束后，應銷毀購買數據且不可被恢復。

7交易平臺職責義務

平臺對數據交易中的隱私保護承擔的職責義務包括但不限于：

a)應貫徹個人信息保護相關法律、行政法規及行為規范，自覺維護個人信息主體合法權益；

b)應根據法律、行政法規規定，制定平臺隱私政策，確保交易主體的合法權益；

c)應設立隱私保護管理部門，負責平臺隱私保護工作的日常管理和實施；

d)應制定隱私保護管理制度，明確平臺、交易主體的職責義務及懲罰措施；

e)應建立隱私保護管理機制，包括但不限于：

——數據銷售許可機制：交易主體應獲得平臺或第三方機構許可后，方可參與交易；

——數據流轉登記機制：應做好數據交易信息記錄備案，確保每次數據流轉都有記錄可追溯；

——隱私泄露投訴舉報機制：應積極響應和解決投訴舉報，明確投訴解決途徑和舉報獎勵制度。

f)應組織開展隱私保護宣傳培訓活動；

g)應加強數據審核管理，發現法律、行政法規禁止發布或傳輸的信息時，應依法采取必要處置措

施，并向有關主管部門報告；

h)應積極配合有關主管部門依法履行職責時開展的各項工作。

8信息主體權利

本標準中的信息主體特指個人信息主體，不包含除個人信息主體之外的其他信息主體。個人信息主

體對數據交易中的隱私保護享有的權利包括但不限于：

a)應有權提出撤銷、刪除和銷毀交易中涉及的能夠識別個人身份的信息或個人敏感信息；

b)個人信息主體認為交易活動違反相關法律、行政法規規定，侵犯其合法權益的，應有權依法提

起訴訟；

c)因個人信息泄露而對個人信息主體造成傷害的，應有權提出賠償請求；

d)經過處理無法識別特定個人且不能復原的除外。

4

GB/TXXXXX—XXXX

參?考?文?獻

[1]GBT36310-2018電子商務模式規范

[2]GB/T34987-2017信息安全技術移動智能終端個人信息保護技術要求

[3]GB/T35273-2017信息安全技術個人信息安全規范

[