《网络货运平台数据安全技术要求（征求意见稿）》及编制说明.docx

2

网络货运平台数据安全技术要求

1范围

本文件规定了网络货运平台数据的收集、存储、使用、传输、出境、清理和销毁等处理活动的安全技术要求。

本文件适用于网络货运经营者规范数据处理活动，也可为监管部门、第三方评估机构对网络货运平台数据处理活动进行监督、管理评估提供参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T25069-2022

信息安全技术术语

GB/T20269-2006

信息安全技术信息系统安全管理要求

GB/T22239-2019

信息安全技术网络安全等级保护基本要求

GB/T35273-2020

信息安全技术个人信息安全规范

GB/T39335信息安全技术个人信息安全影响评估指南

GB/T41391-2022信息安全技术移动互联网应用程序（App）收集个人信息基本要求GB/T41479信息安全技术网络数据处理安全要求

3术语和定义

3.1网络货运平台

依托互联网平台整合配置运输资源，以承运人身份与托运人签订运输服务合同、承担承运人责任，委托实际承运人完成运输服务的物流平台。不包括仅为托运人和实际承运人提供信息中介和交易撮合等服务的物流平台。

3.2网络货运平台数据

网络货运经营者在提供网络货运服务过程中收集和产生的数据。主要包括用户数据和业务数据，不包括网络货运平台经营者内部管理数据。

3.3实际承运人

受网络货运平台经营者委托，使用符合条件的载货汽车和驾驶员，实际从事道路货物运输的经营者。

3.4数据安全

通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

4基本要求

3

4.1网络货运平台功能

网络货运平台主要功能包括但不限于，信息发布、在线交易、财务结算、在线评价、咨询投诉、数据保存与调取、查询统计等服务功能，以及装卸货监控、在途位置监控、逾期订单识别和预警等安全功能。从事城市配送业务的，还应当具备行程录音、行程分享、110报警等安全功能。

4.2网络货运平台数据范围

4.2.1用户数据

a)货主信息，主要包括单位名称及统一社会信用代码、联系人姓名及电话、电子邮箱、通信地址等；

b)司机个人信息，主要包括身份证信息、从业资格证信息、手机号码、支付信息等；

c)驾驶员绑定车辆信息，主要包括机动车行驶证信息、道路运输证信息、购买机动车交通事故责任强制保险信息等。

4.2.2业务数据

在网络货运服务提供过程中收集和产生的服务运营数据，主要包括运单信息、轨迹信息、资金流水信息等。

4.2.3其他数据

在网络货运服务提供过程中收集和产生的其他数据，如保险理赔、投诉反馈等信息。

4.3基本要求

a)网络货运平台应具备GB/T22239-2019规定的三级及以上信息系统安全等级保护能力，且取得相应备案证明及网络安全等级保护测评报告；

b)网络平台应能接入省级网络货运信息监测系统；

c)应按照有关要求和标准进行数据分类分级保护，识别网络货运涉及的核心数据、重要数据、一般数据，对不同级别的数据采取不同的保护措施；

d)数据处理活动应符合GB/T41479规定的要求，个人信息处理活动应符合GB/T35273-2020规定的要求，司机App个人信息收集活动应符合GB/T41391-2022规定的要求；

e)应履行互联网平台运营者义务，如个人信息保护独立监督、制定公平公正的平台规则、隐私政策披露、平台内经营者管理、发布个人信息保护社会责任报告等。

5数据收集

网络货运平台收集司机、货主及业务数据，按照最小必要原则明确收集的必要信息范围，应遵守以下要求：

a)建立数据收集审批机制，确定收集的内容、范围等；

b)对司机和货主信息进行完整性和一致性校验；

c)为司机和货主提供在线个人信息查阅、更新和更正服务，个人信息查阅、更新和更正服务应简单方便、易于操作；

d)收集14周岁以下未成年人个人信息的，应当征得其监护人同意；

e)其他途径获得的个人信息或企业信息，与直接收集负有同等保护责任和义务；

4

f)不得以默认授权、功能捆绑等形式，强迫、误导信息主体同意数据采集；

g)收集的用户信息的类型应与实现的业务功能有直接关联；

h)收集运行轨迹时，通过系统位置权限收集位置信息不应超过1次/s。单位时间内同