中華人民共和國通信行業標準電信和互聯網服務用戶個人信息保護技術要求電子商務服務2016-07-11發布2016-10-01實施中華人民共和國工業和信息化部發布IYD/T3105-2016 I1范圍 2規范性引用文件 3術語和定義 4縮略語 5電子商務服務分級方法 6電子商務服務用戶個人信息保護環節及用戶個人信息保護內容 27電子商務服務用戶個人信息保護技術要求 4Ⅱ本標準是“電信和互聯網服務用戶個人信息保護”系列標準之一，該系列標準名稱和電信和互聯網服務用戶個人信息保護定義及分類電信和互聯網服務用戶個人信息保護分級指南電信和互聯網服務用戶個人信息保護技術要求移動應用商店電信和互聯網服務用戶個人信息保護技術要求電子商務服務一電信和互聯網服務用戶個人信息保護技術要求即時通信服務本標準按照GB/T1.1-2009給出的規則起草。隨著技術的發展，還將制定后續的相關標準。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的本標準由中國通信標準化協會提出并歸口。本標準起草單位：中國信息通信研究院、阿里巴巴通信技術(北京)有限公司、中國聯合網絡通信集團有限公司、中國移動通信集團公司、中國電信集團公司。本標準主要起草人：李娜、顧偉、蔡曉丹、湯立波、李成、葛雨明、康彥榮、韓涵、鄭斌、于潤東、馬錚、高楓、徐克航、王蘭芳、胡莉瓊。1電信和互聯網服務用戶個人信息保護技術要求電子商務服務本標準規定了電子商務服務的用戶個人信息及相關權益的保護要求。本標準適用于電子商務服務。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。YD/T2781-2014電信和互聯網服務用戶個人信息保護定義及分類YD/T2782-2014電信和互聯網服務用戶個人信息保護分級指南3術語和定義下列術語和定義適用于本文件。利用各種與公用通信網或互聯網相連的數據與交易/事務處理應用平臺，通過公用通信網或互聯網為用戶提供在線數據處理和交易/事務處理的業務。用戶User中華人民共和國境內用戶。通過模糊化等方法對原始數據進行處理，達到屏蔽真實數據和結果不可逆的一種數據保4縮略語下列縮略語適用于本文件。MACMediaAccessControl介質訪問控制5電子商務服務分級方法電子商務服務用戶個人信息保護分級對象為電子商務服務。本標準根據電子商務服務過程中所收集、轉移和使用的用戶個人信息涉及到的分級要素，確定電子商務服務的用戶個人信息保護級別，并提出不同級別電子商務服務的用戶個人信息保護要求。用戶個人信息的定義及分類見YD/T2781-2014,用戶個人信息保護分級方法和分級要素見YD/T26電子商務服務用戶個人信息保護環節及用戶個人信息保護內容6.1概述與用戶個人信息相關的電子商務服務流程包括用戶注冊、登陸服務、瀏覽檢索服務、訂購服務、快遞物流服務、支付結算服務、信用評價服務、網絡營銷服務等。6.2用戶注冊、登錄服務本標準中用戶注冊服務是指為規范用戶與電子商務經營者之間的行為及關系，用戶與電子商務經營者就經營者所提供的商品和服務訂立協議的服務。用戶登錄服務是指供多人使用的電子商務經營平臺系統為每位用戶配置了一套獨特的用戶名和密碼，用戶可以使用各自的這套用戶名和密碼來使用系統，以便系統能識別該用戶的身份，從而保持該用戶的使用習慣或使用數據。6.2.2用戶注冊、登陸服務用戶個人信息保護內容電子商務服務用戶注冊、登錄涉及的用戶個人信息包括： 交易類服務身份標識和鑒權信息：如交易賬號和密碼(交易類電子商務服務)、密碼保護答案等；——用戶基本資料：如姓名、證件類型及號碼、年齡、性別、職業、工作單位、地址等；——位置信息：如用戶所在的地區代碼、小區代碼等； 普通服務身份標識和鑒權信息：如電話號碼、賬號、昵稱、登錄密碼、IP地址、郵箱地址以及服務涉及的密碼、口令、密碼保護答案等；——服務記錄和日志：如注冊服務日志等；——設備信息：如硬件型號、設備MAC地址等。6.3瀏覽檢索服務本標準中瀏覽檢索服務是指電子商務經營者為用戶個人提供的商品與服務信息瀏覽、查詢和匹配服務。6.3.2瀏覽檢索服務用戶個人信息保護內容電子商務服務瀏覽檢索涉及的用戶個人信息包括：——位置信息：如用戶所在的地區代碼、小區代碼等；——普通服務身份標識和鑒權信息：如電話號碼、賬號、昵稱、IP地址、郵箱地址等；——服務記錄和日志：如Cookie內容、服務訪問記錄，如網址、業務日志等；——設備信息：如硬件型號、設備MAC地址等。6.4訂購服務本標準中訂購服務主要是指直接通過互聯網(含移動互聯網)預先約定購買商品，形成商品訂單的6.4.2訂購服務用戶個人信息保護內容電子商務服務訂購服務涉及的用戶個人信息包括：——用戶基本資料：如姓名、地址、證件類型和號碼等；3——位置信息：如用戶所在的地區代碼、小區代碼等；——普通用戶身份標識和鑒權信息：如電話號碼、賬號、昵稱、登錄密碼、IP地址、郵箱地址等； 服務內容信息：如網購訂單、物流信息等；——服務記錄和日志：如Cookie內容、服務訪問記錄、網購記錄、聊天紀錄等；——設備信息：如硬件型號、設備MAC地址等；——消費信息和賬單：如在網時間、信用等級、付費方式、消費金額、發票抬頭等； 通過交易平臺銷售商品或提供服務的經營者，使用交易平臺以外的計算機信息系統管理訂購服務用戶個人信息的，適用訂購服務用戶個人信息保護要求。6.5快遞物流服務本標準中快遞物流服務是指在承諾的時限內將訂購商品封裝，形成快遞包裹交由快遞物流公司的服務。6.5.2快遞物流服務用戶個人信息保護內容電子商務服務快遞物流服務涉及的用戶個人信息包括： 用戶基本資料：如姓名、地址、證件類型和號碼等；——普通用戶身份標識和鑒權信息：如電話號碼、賬號、昵稱等；——服務內容信息：如快遞物品信息、物流信息等；——消費信息和賬單：如付費方式、賬單金額信息等。6.6支付結算服務本標準中支付結算服務是指電子商務活動中，為單位、個人提供直接或授權他人通過電子終端發出支付指令，實現貨幣支付與資金轉移的服務。6.6.2支付結算服務用戶個人信息保護內容電子商務服務支付結算服務涉及的用戶個人信息包括：——交易類服務身份標識和鑒權信息：如交易賬號和密碼(交易類電子商務服務)等；——消費信息和賬單：如付費方式、賬單金額信息、余額等； 業務訂購關系：如業務訂購信息、訂單號等。6.7信用評價服務本標準中信用評價服務是指交易平臺或社會中介機構對經營者和消費者的真實交易信用情況客觀、公正地進行采集、記錄及披露的服務。6.7.2信用評價服務用戶個人信息保護內容電子商務服務信用評價服務涉及的用戶個人信息包括： ——服務內容信息：如網購訂單信息等；——服務記錄和日志：如服務訪問記錄、網購記錄等； 4——業務訂購關系：如業務訂購信息等。6.8網絡營銷服務本標準中網絡營銷服務是指借助搜索引擎、電子郵件、即時通信工具、論壇、微博客、通信短信息等信息通信載體，幫助經營者實現營銷目標的電子商務服務。網絡營銷服務涉及信息收集、信息分析及信息利用三個環節。6.8.2網絡營銷服務用戶個人信息保護內容電子商務經營者在網絡營銷服務各個環節，可能會使用用戶個人基本資料、服務內容信息、服務記錄、聯系人信息、社交信息、位置信息等。電子商務服務網絡營銷服務用戶個人信息保護內容包括：——用戶基本資料：如姓名、年齡、性別、喜好、消費習慣等； 位置信息：如用戶所在的地區代碼、小區代碼等；——聯系人信息：如通訊錄、好友列表、群列表、朋友圈列表、關注對象列表等用戶資料數據；——普通用戶身份標識和鑒權信息：如電話號碼、賬號、昵稱、IP地址、郵箱地址等； 服務內容信息：如網購訂單信息等；——服務記錄和日志：如Cookie內容、服務訪問記錄、網購記錄等；——消費信息和賬單：如在網時間、信用等級等； 業務訂購關系：如業務訂購信息等。7電子商務服務用戶個人信息保護技術要求7.1概述電子商務服務收集和使用用戶個人信息應符合法律要求，保證用戶知情權、選擇權，并承擔用戶個人信息的保護責任。電子商務服務提供方應按照相應級別的管理要求及保護技術要求對其提供服務過程中涉及的用戶個人信息的收集、存儲、轉移、使用和銷毀等工作流程進行規范化管理。隸屬于同一實體或被同一實體所控制的電子商務經營者之間的內部個人信息交互活動，不屬于個人信息的轉移，有對外使用用戶個人信息行為的，參照用戶個人信息的使用要求。電子商務經營者向關聯機構或其他受信任的商家或個人提供用戶個人信息，應當要求關聯機構或其他受信任的商家或個人，遵守電子商務經營者的隱私權政策以及其他任何與用戶的約定。本標準對于電子商務服務的用戶個人信息保護技術要求，遵循同級別的不同類型服務應當承擔同等程度的用戶個人信息保護要求的原則。電子商務服務提供方應按照本標準中規定的1～5級的用戶個人信息保護技術要求，對其提供的服務脫敏后的數據不屬于用戶個人信息，不在本標準的保護范圍內。7.2第5級電子商務服務用戶個人信息保護要求7.2.1用戶注冊、登錄服務用戶個人信息保護要求用戶注冊、登錄服務用戶個人信息保護要求包括：a)用戶身份證明、交易類身份和鑒權信息的保護要求：5——用戶身份證明、交易類身份和鑒權信息的收集應當有充分的必要性；——用戶身份證明、交易類身份和鑒權信息應保存在境內服務器，用戶在境外使用注冊、登陸、訂購服務等服務的，除必要的驗證、展示以及直接交易雙方信息交互外，用戶身份證明、交易類身份和鑒——收集、轉移和使用應征得用戶同意，非經用戶同意，使用范圍不得擴大，和轉移的第三方之間應有書面協議，在信息的存儲以及收集和轉移的傳輸過程應使用高強度的加密措施，保障數據的機密性——應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安全管理規范； 應采取嚴格的訪問控制措施，設置專人負責的內部數據審批流程及制度；——對信息的使用宜進行監控及預警，確保身份證明、交易賬號及密碼信息的不外傳、不泄露。b)用戶基本資料、位置信息的保護要求： 用戶基本資料、位置信息的收集和轉移應征得用戶同意；——在信息的收集和轉移的傳輸過程應采取必要的加密措施，保障數據的機密性和完整性； 應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安全管理規范；——應采取嚴格的訪問控制措施，設置專人負責的內部數據審批流程及制度；——對信息的使用宜進行監控及預警。c)普通服務身份標識和鑒權信息、服務記錄和日志及設備信息的保護要求：——收集和轉移，應征得用戶同意；——應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安 應采取必要的訪問控制措施。用戶個人在接受用戶注冊服務時，應當提交與本人直接相關的用戶個人信息，禁止使用他人個人信息接受用戶注冊服務，禁止以要約高價出售、出租或者以其他方式轉讓該注冊賬戶獲取不正當利益的目的接受用戶注冊服務。瀏覽檢索服務用戶個人信息保護要求包括：a)用戶基本資料、位置信息的保護要求：——用戶基本資料、位置信息的收集和轉移應征得用戶同意；——在信息的收集和轉移的傳輸過程應采取必要的加密措施，保障數據的機密性和完整性；——應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安全管理規范； 應采取嚴格的訪問控制措施，設置專人負責的內部數據審批流程及制度；——對信息的使用宜進行監控及預警。b)普通用戶身份標識和鑒權信息、服務內容信息、服務記錄和日志、設備信息的保護要求： 收集和轉移，應征得用戶同意；6——應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安 應采取必要的訪問控制措施。c)消費信息和賬單的保護要求： 應采取必要的訪問控制措施。d)業務訂購關系的保護要求： 訂購服務用戶個人信息保護要求包括：a)用戶基本資料、位置信息的保護要求：——用戶基本資料、位置信息的收集和轉移應征得用戶同意；——在信息的收集和轉移的傳輸過程應采取必要的加密措施，保障數據的機密性和完整性；——應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安全管理規范；——應采取嚴格的訪問控制措施，設置專人負責的內部數據審批流程及制度；——對信息的使用宜進行監控及預警。b)普通用戶身份標識和鑒權信息、服務內容信息、服務記錄和日志、設備信息的保護要求：——收集和轉移，應征得用戶同意；——應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安 應采取必要的訪問控制措施。c)消費信息和賬單的保護要求：——應采取必要的訪問控制措施。d)業務訂購關系的保護要求： 采取必要的訪問控制措施。7.2.4快遞物流服務用戶個人信息保護要求快遞物流服務用戶個人信息保護要求包括：a)用戶基本資料的保護要求：——用戶基本資料的收集和轉移應征得用戶同意；——在信息的收集和轉移的傳輸過程應采取必要的加密措施，保障數據的機密性和完整性；——應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安全管理規范；——應采取嚴格的訪問控制措施，設置專人負責的內部數據審批流程及制度；——對信息的使用宜進行監控及預警。b)普通用戶身份標識和鑒權信息、服務內容信息的保護要求：7 收集和轉移，應征得用戶同意； 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安 c)消費信息和賬單的保護要求：——轉移信息時應征得用戶同意； 應采取必要的訪問控制措施。7.2.5支付結算服務用戶個人信息保護要求支付結算服務用戶個人信息保護要求包括：a)交易類身份和鑒權信息的保護要求：——交易類身份和鑒權信息的收集應當有充分的必要性；——交易類身份和鑒權信息應保存在境內服務器，用戶在境外使用注冊、登陸、訂購等服務的，除必要的驗證、展示以及直接交易雙方之間信息交互外，用戶身份證明、交易類身份和鑒權信息也應存儲——收集、轉移和使用應征得用戶同意，非經用戶同意，使用范圍不得擴大，和轉移的第三方之間應有書面協議，在信息的存儲以及收集和轉移的傳輸過程應使用高強度的加密措施，保障數據的機密性 應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安全管理規范； 應采取嚴格的訪問控制措施，設置專人負責的內部數據審批流程及制度；——對信息的使用宜進行監控及預警，確保身份證明、交易賬號及密碼信息的不外傳、不泄露；——支付結算過程中，電子商務服務提供者不得記錄用戶交易類鑒權信息，不得向第三方泄露用戶交易類身份標識、交易記錄等用戶個人信息。b)消費信息和賬單的保護要求： 應采取必要的訪問控制措施。c)業務訂購關系的保護要求： 應采取必要的訪問控制措施。7.2.6信用評價服務用戶個人信息保護要求信用評價服務用戶個人信息保護要求包括：a)普通服務身份標識和鑒權信息、服務內容信息、服務記錄和日志的保護要求： 收集和轉移，應征得用戶同意； 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安 b)消費信息和賬單的保護要求： 轉移信息時應征得用戶同意；8 應采取必要的訪問控制措施。c)業務訂購關系的保護要求： 應采取必要的訪問控制措施。7.2.7網絡營銷服務用戶個人信息保護要求網絡營銷服務不應當涉及用戶身份證明、生理標識、交易類服務鑒權信息、用戶私有資料數據。網絡營銷服務用戶個人信息保護要求包括：a)用戶基本資料、位置信息、聯系人信息的保護要求： 信息的收集和轉移應征得用戶同意； 在信息的收集和轉移的傳輸過程應采取必要的加密措施，保障數據的機密性和完整性； 應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安全管理規范；——應采取嚴格的訪問控制措施，設置專人負責的內部數據審批流程及制度； 對信息的使用宜進行監控及預警。b)普通服務身份標識和鑒權信息、服務內容信息、服務記錄和日志的保護要求： 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安 c)消費信息和賬單的保護要求： 轉移信息時應征得用戶同意 應采取必要的訪問控制措施。d)業務訂購關系的保護要求： 7.3第4級電子商務服務用戶個人信息保護要求7.3.1用戶注冊、登錄服務用戶個人信息保護要求用戶注冊、登錄服務用戶個人信息保護要求包括：a)用戶基本資料、位置信息的保護要求： 用戶基本資料、位置信息的收集和轉移應征得用戶同意； 在信息的收集和轉移的傳輸過程應采取必要的加密措施，保障數據的機密性和完整性； 應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安全管理規范； 應采取嚴格的訪問控制措施，設置專人負責的內部數據審批流程及制度 對信息的使用宜進行監控及預警。b)普通服務身份標識和鑒權信息、服務記錄和日志及設備信息的保護要求： 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安9 用戶個人在接受用戶注冊服務時，應當提交與本人直接相關的用戶個人信息，禁止使用他人個人信息接受用戶注冊服務，禁止以要約高價出售、出租或者以其他方式轉讓該注冊賬戶獲取不正當利益的目的接受用戶注冊服務。7.3.2瀏覽檢索服務用戶個人信息保護要求瀏覽檢索服務用戶個人信息保護要求包括：a)用戶基本資料、位置信息的保護要求： 用戶基本資料、位置信息的收集和轉移應征得用戶同意；——在信息的收集和轉移的傳輸過程應采取必要的加密措施，保障數據的機密性和完整性；——應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安全管理規范；——應采取嚴格的訪問控制措施，設置專人負責的內部數據審批流程及制度； 對信息的使用宜進行監控及預警。b)普通用戶身份標識和鑒權信息、服務內容信息、服務記錄和日志、設備信息的保護要求： 收集和轉移，應征得用戶同意；——應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安 應采取必要的訪問控制措施。c)消費信息和賬單的保護要求：——轉移信息時應征得用戶同意； 應采取必要的訪問控制措施。d)業務訂購關系的保護要求： 應采取必要的訪問控制措施。7.3.3訂購服務用戶個人信息保護要求訂購服務用戶個人信息保護要求包括：a)用戶基本資料、位置信息的保護要求：——用戶基本資料、位置信息的收集和轉移應征得用戶同意； 在信息的收集和轉移的傳輸過程應采取必要的加密措施，保障數據的機密性和完整性；——應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安全管理規范； 應采取嚴格的訪問控制措施，設置專人負責的內部數據審批流程及制度 b)普通用戶身份標識和鑒權信息、服務內容信息、服務記錄和日志、設備信息的保護要求： 收集和轉移，應征得用戶同意；——應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安 應采取必要的訪問控制措施。c)消費信息和賬單的保護要求：——轉移信息時應征得用戶同意； 應采取必要的訪問控制措施。d)業務訂購關系的保護要求： 應采取必要的訪問控制措施。7.3.4快遞物流服務用戶個人信息保護要求快遞物流服務用戶個人信息保護要求包括：a)用戶基本資料的保護要求：——用戶基本資料、位置信息的收集和轉移應征得用戶同意； 在信息的收集和轉移的傳輸過程應采取必要的加密措施，保障數據的機密性和完整性； 應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安全管理規范；——應采取嚴格的訪問控制措施，設置專人負責的內部數據審批流程及制度； 對信息的使用宜進行監控及預警。b)普通用戶身份標識和鑒權信息、服務內容信息的保護要求： ——應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安 應采取必要的訪問控制措施。c)消費信息和賬單的保護要求： 應采取必要的訪問控制措施。7.3.5支付結算服務用戶個人信息保護要求支付結算服務用戶個人信息保護要求包括：a)消費信息和賬單的保護要求： 應采取必要的訪問控制措施。b)業務訂購關系的保護要求： 7.3.6信用評價服務用戶個人信息保護要求信用評價服務用戶個人信息保護要求包括：a)普通服務身份標識和鑒權信息、服務內容信息、服務記錄和日志的保護要求： 收集和轉移，應征得用戶同意；——應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安 應采取必要的訪問控制措施。b)消費信息和賬單的保護要求： 轉移信息時應征得用戶同意； 應采取必要的訪問控制措施。c)業務訂購關系的保護要求： 7.3.7網絡營銷服務用戶個人信息保護要求網絡營銷服務不應當涉及用戶身份證明、生理標識、交易類服務鑒權信息、用戶私有資料數據。網絡營銷服務用戶個人信息保護要求包括：a)用戶基本資料、位置信息、聯系人信息的保護要求： 用戶基本資料、位置信息的收集和轉移應征得用戶同意，——在信息的收集和轉移的傳輸過程應采取必要的加密措施，保障數據的機密性和完整性； 應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安全管理規范； 應采取嚴格的訪問控制措施，設置專人負責的內部數據審批流程及制度 b)普通服務身份標識和鑒權信息、服務內容信息、服務記錄和日志的保護要求： 收集和轉移，應征得用戶同意； 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安 c)消費信息和賬單的保護要求： 應采取必要的訪問控制措施。d)業務訂購關系的保護要求； 7.4第3級電子商務服務用戶個人信息保護要求7.4.1用戶注冊、登錄服務用戶個人信息保護要求用戶注冊、登錄服務用戶個人信息保護要求包括：a)普通服務身份標識和鑒權信息、服務記錄和日志及設備信息的保護要求： 收集和轉移，應征得用戶同意； 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安 應采取必要的訪問控制措施。用戶個人在接受用戶注冊服務時，應當提交與本人直接相關的用戶個人信息，禁止使用他人個人信息接受用戶注冊服務，禁止以要約高價出售、出租或者以其他方式轉讓該注冊賬戶獲取不正當利益的目的接受用戶注冊服務。7.4.2瀏覽檢索服務用戶個人信息保護要求瀏覽檢索服務用戶個人信息保護要求包括：a)普通用戶身份標識和鑒權信息、服務內容信息、服務記錄和日志、設備信息的保護要求： 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安 應采取必要的訪問控制措施。b)消費信息和賬單的保護要求： 轉移信息時應征得用戶同意； 應采取必要的訪問控制措施。c)業務訂購關系的保護要求： 應采取必要的訪問控制措施。7.4.3訂購服務用戶個人信息保護要求訂購服務用戶個人信息保護要求包括：a)普通用戶身份標識和鑒權信息、服務內容信息、服務記錄和日志、設備信息的保護要求： 收集和轉移，應征得用戶同意； 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安 應采取必要的訪問控制措施。b)消費信息和賬單的保護要求： 轉移信息時應征得用戶同意； 應采取必要的訪問控制措施。c)業務訂購關系的保護要求： 應采取必要的訪問控制措施。7.4.4快遞物流服務用戶個人信息保護要求快遞物流服務用戶個人信息保護要求包括：a)普通用戶身份標識和鑒權信息、服務內容信息的保護要求： 收集和轉移，應征得用戶同意； 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環節)安 應采取必要的訪問控制措施。b)消費信息和賬單的保護要求： 應采取必要的訪問控制措施。7.4.5支付結算服務用戶個人信息保護要求支付結算服務用戶個人信息保護要求包括：a)消費信息和賬單的保護要求： 應采取必要的訪問控制措施。b)業務訂購關系的保護要求： 應采取必要的訪問控制措施。7.4.6信用評價服務用戶個人信息保護要求信用評價服務用戶個人信息保護要求