ICS35.240.01 A 10 中华人民共和国国家标准 GB/T 40094.4—2021 电子商务数据交易 第4部分：隐私保护规范 Electronic commerce data transactionPart 4:Privacy protection specification 2021-05-21发布 2021-12-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T 40094.4—2021 目 次 前言 1 范围 2 规范性引用文件 3 术语和定义 4 总则 5 数据提供方职责义务 6 数据需求方职责义务 7 交易平台运营商职责义务 信息主体权利 8 证实方法 参考文献 GB/T40094.4—2021 前言 GB/T40094《电子商务数据交易》分为如下部分： 第1部分：准则； 一第2部分：数据描述规范； 一第3部分：数据接口规范； 一第4部分：隐私保护规范。 本部分为GB/T40094的第4部分。 本部分按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由全国电子业务标准化技术委员会（SAC/TC83）提出并归口。 本部分起草单位：成都中科大旗软件股份有限公司、广州台慧信息技术有限公司、合肥高维数据技 术有限公司、北京中汇未来电子商务有限公司、厦门有卖电子商务有限公司、北京中普至信标准化咨询 事务所、广东集采物联网科技有限公司、福建省德化县优扬工艺品有限公司、中国标准化研究院、广东新 安怀电子商务有限公司、江门市四五楼电子商务有限公司、北京无界标准科技有限公司、浙江省林业技 术推广总站、佛山市荣仕照明科技有限公司、佛山市金钜伦五金文具有限公司、浙江和也健康科技有限 公司、福建海西标准化技术服务事务所有限公司、中国计量大学、泉州润物科技有限公司、中食北山（福 建）酒业有限公司、北京中金永嘉大数据技术有限公司、北京阿拉丁火燚大数据科技有限公司 本部分主要起草人：周道华、吕宏义、李园莉、田辉、吕海涛、曹岩松、李武贤、马建红、刘颖、梁锡钧、 郭春材、陈亚红、陈桂清、陈绪超、洗畅荣、张科、陈宇超、陈荣瑞、项子涵、梁润斌、胡静、胡立江、缪仙玉、 郝凤英、王金兰。 Ⅲ GB/T40094.4—2021 电子商务数据交易 第4部分：隐私保护规范 1 范围 GB/T40094的本部分规定了电子商务数据交易中隐私保护总则，数据提供方职责义务、数据需求 方职责义务、交易平台运营商职责义务和信息主体权利的要求和证实方法 本部分适用于电子商务数据交易中的隐私保护。 2规范性引用文件 SZG 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T40094.1一2021电子商务数据交易第1部分：准则 GB/T40094.2一2021电子商务数据交易第2部分：数据描述规范 3 术语和定义 GB/T40094.1一2021GB/T40094.2一2021界定的以及下列术语和定义适用于本文件 3.1 个人信息 personalinformation 能够单独或者与其他信息结合识别自然人个人身份的各种信息。 注：包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址和电话号码等。 3.2 个人信息主体 personal information subject 个人信息所标识或关联的自然人。 [GB/T35273—2020，定义3.3] 3.3 匿名化anonymization 通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原 的过程。 注：个人信息经匿名化处理后所得的信息不属于个人信息， [GB/T35273—2020,定义3.14] 3.4 去标识化 de-identification 通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的 过程。 注：去标识化建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信息的 标识。 1 GB/T40094.4—2021 ［GB/T35273—2020，定义3.15] 4总则 4.1 隐私范畴 本部分的隐私范畴应包括但不限于以下内容： a）天 未成年人信息； b) 财产信息； c）通信信息； (P 艾滋病、传染病等疾病患者信息； e) 国家法律法规规定的其他信息。 4.2 交易数据 交易数据应符合GB/T40094.1一2021中第5章的规定。 4.3 交易主体 交易主体应符合GB/T40094.1—2021中4.3的规定。 4.4 交易平台运营商 平台运营商应符合GB/T40094.1一2021中4.2的规定 5数据提供方职责义务 数据提供方对数据交易中的隐私保护承担的职责义务应包括但不限于： a) 贯彻个人信息保护相关国家法律法规及行为规范，自觉维护个人信息主体合法权益； b) 对其提供的所有数据的流通和使用行为的合规性负责； c) 确保提供的所有数据不涉及国家法律法规禁止发布或传输的信息； d) 确保提供的所有数据不涉及隐私信息； e） 当提供的数据涉及隐私信息时，先对其进行匿名化、去标识化等技术处理，确保数据不涉及隐 私信息且无法复原后，方可进人流通环节； 明确数据的适用范围、使用期限和权利限制等； g） 确保数据的存储、发布和传输过程中的安全性，防止数据泄露、篡改和删除等； h) 对因隐私泄露而对个人信息主体造成伤害的行为承担主要责任。 6数据需求方职责义务 数据需求方对数据交易中的隐私保护承担的职责义务应包括但不限于： a 贯彻个人信息保护相关国家法律法规及行为规范，自觉维护个人信息主体合法权益： b) 购买需求符合国家法律法规的相关规定； c) 按数据提供方界定的数据适用范围、使用期限和权利限制等合法、合规使用数据； 当在数据使用过程中发现隐私信息时，立即向平台举报或向有关主管部门报告； 2 GB/T40094.4—2021 e）确保数据存储、使用过程中的安全性，防止数据泄露、篡改和删除等； f） 对因使用数据而导致隐私信息泄露所产生的后果承担主要责任； g） 按照约定方式使用完成或规定期限结束后，销毁购买数据且不可被恢复。 7交易平台运营商职责义务 平台运营商对数据交易中的隐私保护承担的职责义务应包括但不限于： a) 贯彻个人信息保护相关国家法律法规及行为规范，自觉维护个人信息主体合法权益。 b) 根据国家法律法规规定，制定平台隐私政策，确保交易主体的合法权益。 设立隐私保护管理部门，负责平台隐私保护工作的日常管理和实施。 d) 制定隐私保护管理制度，明确平台运营商、交易主体的职责义务及惩罚措施。 e） 建立隐私保护管理机制，包括但不限于： 数据销售许可机制：确保交易主体获得销售许可资格后，充许其参与交易； 一一数据流转登记机制：做好数据交易信息记录备案，确保每次数据流转都有记录可追溯： 隐私泄露投诉举报机制：积极响应和解决投诉举报，明确投诉解决途径和举报奖励制度。 f）组织开展隐私保护宣传培训活动。 g）加强数据审核管理，发现国家法律法规禁止发布或传输的信息时，依法采取必要处置措施，并 向有关主管部门报告。 h) 积极配合有关主管部门依法履行职责时开展的各项工作。 8信息主体权利 本部分中的信息主体特指个人信息主体，不包含除个人信息主体之外的其他信息主体。个人信息 主体对数据交易中的隐私保护享有的权利应包括但不限于： a）有权提出撤销、删除和销毁交易中涉及的个人隐私信息； b）个人信息主体认为交易活动违反相关国家法律法规规定，侵犯其合法权益的，有权依法维权； ）因隐私信息泄露而对个人信息主体造成伤害的，个人信息主体有权提出赔偿请求。 9证实方法 9.1平台运营商对通过数据交易平台进行数据交易的数据提供方和数据需求方的资质材料进行审核， 检查是否符合GB/T40094.1一2021中4.3的要求。 9.2平台运营商在9.1基础上，向符合GB/T40094.1一2021中4.3要求的数据提供方说明其职责义 务，并对其提交的交易数据进行审核，检查是否符合第5章的各项要求，对通过审核的数据提供方允许 通过数据交易平台开展数据交易 9.3平台运营商在9.1基础上，向符合GB/T40094.12021中4.3要求的数据需求方说明其职责义务 应符合第6章要求，并签订数据安全使用承诺书。 9.4电子商务数据交易主管部门按照第7章的要求，对交易平台运营商的职责义务进行检查和监管。 3 GB/T40094.4—2021 参考文献 [1] GB/T 18391.1—2009 元数据注册系统（MDR） 信息技术 第1部分：框架 [2] GB/T 34978 2017 信息安全技术移动智能终端个人信息保护技术要求 [3] GB/T35273 2020 信息安全技术个人信息安全规范 [4] GB/T 35408 -2017 电子商务质量管理术语 [5] GB/T36310—2018 电子商务模式规范 4