YD_T 3105-2016电信和互联网服务 用户个人信息保护技术要求 电子商务服务.pdf

ICS 33.030M 21YO中华人民共和国通信行业标准YD/T3105-2016电信和互联网服务用户个人信息保护技术要求电子商务服务Telecom and intemetservice technicial requirements foruserpersonalinformationprotectionelectroniccommerceservice2016-07-11发布2016-10-01实施中华人民共和国工业和信息化部发布 YD/T集和转移，应征得用户同意：应定义个人信息各生命周期（包括信息收集、生成、存储、使用、传输、销吸等各个环节）安全管理规范：一应采取必要的访间控制措施。c）消费信息和账单的保护要求：转移信息时应征得用户同意应采取必要的访问控制指施，7.2.5支付结算服务用户个人信息保护要求支付结算服务用户个人信息保护要求包括：a）交易类身份和鉴权信息的保护要求：交易类身份和鉴权信息的收集应当有充分的必要性；变易类身份和鉴权信息应保存在境内服务器，用户在境外使用注册、登陆、订期等服务的，除必要的验证、展示以及直接交易双方之间信息交互外，用户身份证明、交易类身份和鉴权信息也应存储在境内服务器：收集、转移和使用应征得用户同意，非经用户同意，使用范国不得扩大，和转移的第三方之间应有书面协议，在信息的存储以及收集和转移的传输过程应使用高要度的加密措施，保障数据的机害性和完整性：应定义严格的个人信息各生命周期（包括信息收集、生成、存储、使用、传输、销毁等各个环节）安全管理规范；应采取严格的访问控制措施，设置专人负责的内部数据审批流程及制度：对信息的使用宜进行监控及预警，确保身份证明、交易账号及密码信息的不外传、不泄露；支付结算过程中，电子商务服务提供者不得记录用户交易类鉴权信息，不得向第三方泄露用户交易类身份标识、交易记录等用户个人信息：b）消费信息和账单的保护要求：转移信息时应征得用户同意：应采取必要的访问控制措施，c）业务订购关系的保护要求：应采取必要的访间控制措施7.2.6信用评价服务用户个人信息保护要求信用评价服务用户个人信息保护要求包括：a）普通服务身份标识和鉴权信息、服务内容信息、服务记录和日志的保护要求：收集和转移，应征得用户同意：应定义个人信息各生命周期（包括信息收集、生成、存储、使用、传输、销假等各个环节）安全管理规范：应采取必要的访问控制措施。b）消费信息和账单的保护要求；—转移信息时应征得用户同意： YD/T3105-2016一应采取必要的访问间控制措施。c）业务订购关系的保护要求：一应采取必要的访问控制措施。7.2.7网络营销服务用户个人信息保护要求网络营销服务不应当涉及用户身份证明、生理标识、交易类服务鉴权信息、用户私有资料数据。网络营销服务用户个人信息保护要求包括：a）用户基本资料、位置信息、联系人信息的保护要求：一信息的收集和转移应征得用户同意；在信息的收集和转移的传输过程应采取必要的加密措施，保障数据的机密性和完整性；应定义严格的个人信息各生命周期（包括信息收集、生成、存储、使用、传输、销毁等各个环节）安全管理规范：一应采取严格的访问控制措施，设置专人负责的内部数据审批流程及制度；一对信息的使用宜进行监控及预警。b）普通服务身份标识和鉴权信息、服务内容信息、服务记录和日志的保护要求收集和转移，应征得用户同意；应定义个人信息各生命周期（包括信息收集、生成、存储、使用、传输、销数等各个环节）安全管理规范：应采取必要的访问控制措施。c）消费信息和账单的保护要求：转移信息时应征得用户同意；一应采取必要的访间控制措施。d）业务订购关系的保护要求：应采取必要的访问控制措施。7.3第4级电子商务服务用户个人信息保护要求7.3.1用户注册、登录服务用户个人信息保护要求用户注册、登录服务用户个人信息保护要求包括：a）用户基本资料、位置信息的保护要求：一用户基本资料、位置信息的收集和转移应征得用户同意：一在信息的收集和转移的传输过程应采取必要的加密措施，保障数据的机密性和完整性：一应定义产格的个人信息各生命周期（包括信息收集、生成、存储、使用、传输、销股等各个环节）安全管理规范：应采取产格的访向控制措施，设置专人负资的内部数据审批流程及制度对信息的使用宜进行监控及预警。b）普通服务身份标识和鉴权信息、服务记录和日志及设备信息的保护要求收集和转移，应征得用户同意；一应定义个人信息各生命周期（包括信息收集、生成、存储、使用、传输、销毁等各个环节）安全管理规范：8 YD/T采取必要的访问控制措施。用户个人在接受用户注册服务时，应当提交与本人直接相关的用户个人信息，禁止使用他人个人信息接受用户注册服务，禁止以要约高价出售、出租或者以其他方式转让该注册账户获取不正当