ICS35.030 CCS L 80 GE 中华人民共和国国家标准 GB/T 42013—2022 信息安全技术 快递物流服务数据安全要求 Information security technologyData security requirements for express logistics services 2022-10-12发布 2023-05-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T 42013—2022 目 次 前言 范围 2 规范性引用文件 3 术语和定义 缩略语 5 概述 5.1 快递物流服务业务组成 5.2快递物流服务数据范围 6基本要求 数据收集 7.1收集个人信息 7.2 申请系统权限 7.3 告知同意 8数据存储和传输 8.1数据存储 8.2 数据传输 9数据使用和加工 9.1 数据展示 9.2 数据访问 9.3 数据导出 9.4 个性化推荐 9.5 日志记录与审计 10 数据提供和公开 11. 数据删除 数据出境· 12 13个人信息主体权利 14快递物流服务典型业务场景数据安全保护 14.1收派员收派服务 14.2智能快件箱与智能信包箱 14.3 收派移动作业终端 10 附录A（资料性） 快递物流服务数据处理活动及安全风险· 附录B（资料性） 快递物流服务重要数据识别参考规则及数据分类示例 13 附录C（资料性） 快递物流服务常见扩展业务功能的个人信息收集范围及使用要求 附录D(资料性) 快递物流服务App相关系统权限申请范围及使用要求 15 附录E（资料性） 信息查询反馈规则 16 参考文献 GB/T 42013—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任 本文件由全国信息安全标准化技术委员会（SAC/TC26O）提出并归口。 本文件起草单位：顺丰速运有限公司、中国电子技术标准化研究院、北京大学、中国邮政速递物流股 份有限公司、北京京东振世信息技术有限公司、浙江菜鸟供应链管理有限公司、苏宁易购集团股份有限 公司、中电长城网际系统应用有限公司、中国信息通信研究院、西安邮电大学。 洪小崇、王涛、闵京华、杨青、赵新强、张瑾、王姣、王森、张林、郭琦、吴剑锋、黄琳、康琼、符薇、刘佳、曹京、 荆伟、张勇。 I GB/T 42013—2022 信息安全技术快递物流服务数据安全要求 1范围 本文件规定了快递物流服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的 安全要求。 本文件适用于快递物流服务提供者规范数据处理活动，也可为监管部门、第三方评估机构对快递物 流服务数据处理活动进行监督、管理、评估提供参考。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T25069 信息安全技术术语 GB/T35273—2020信息安全技术个人信息安全规范 GB/T37988信息安全技术数据安全能力成熟度模型 GB/T39335信息安全技术个人信息安全影响评估指南 GB/T41479信息安全技术网络数据处理安全要求 3术语和定义 GB/T25069、GB/T35273一2020界定的以及下列术语和定义适用于本文件。 3.1 快递物流服务expresslogistics service 在承诺的时限内快速完成的邮件快件寄递服务 注1：本文件中所称快递物流服务不包括道路货物运输服务 注2：涉及从接收用户订单开始直到将物品送达用户为止的完整活动，通常包括下单、揽件、封装、中转、派件等服务 环节。 ［来源：GB/T27917.1一2011，2.1，有修改 3.2 寄递用户senderandaddresser 使用快递物流服务（3.1)的个人或组织 注：包括寄件用户和收件用户，本文件中简称“用户” 3.3 快递物流服务提供者 expresslogisticsserviceprovider 快递物流服务组织（3.4）、快递物流服务受理组织（3.6）、快件代存组织（3.7)的统称 注：本文件中简称“提供者”。 1 GB/T 42013—2022 3.4 快递物流服务组织expresslogistics serviceorganization 在中国境内依法注册的，提供快递物流服务（3.1)的企业及其加盟企业、代理企业。 ［来源：GB/T27917.1一2011，2.2，有修改] 3.5 快件expressitem 由快递物流服务组织（3.4)依法递送的信件、包裹、印刷品等的统称。 ［来源：GB/T10757一2011，5.2.1，有修改] 3.6 快递物流服务受理组织express logistics service acceptanceorganization 为寄递用户（3.2）提供寄件下单、订单受理转交、快件信息查询等服务的组织。 注：本文件中简称“服务受理组织”。快递物流服务受理组织向快递物流服务组织提供订单信息，由快递物流服务 组织完成邮件快件的寄递。 3.7 快件代存组织expressdepositorganization 通过智能快件箱（3.13）、智能信包箱（3.14）、快递服务站等方式向寄递用户（3.2）提供代揽收、代派 件服务的组织。 3.8 快递物流服务第三方参与者expresslogistics servicethird-partyparticipant 除快递物流服务提供者（3.3）和寄递用户（3.2)之外的快递物流服务（3.1)的参与主体 3.9 收派员courier 从事上门揽收和投递快件（3.5)工作的人员。 L来源：GB/T27917.1一2011，4.2.1，有修改 3.10 快递物流服务数据expresslogistics servicedata 快递物流服务提供者（3.3）在提供快递物流服务（3.1)过程中收集和产生的数据。 注：主要包括用户数据和业务数据，不包括提供者内部管理经营数据。 3.11 快件路由信息express itemtracking information 快件（3.5)在寄递过程主要环节的流转信息， 注：通常包括处理时间、处理场所、处理状态和处理结果等。 3.12 智能服务终端smartserviceterminal 支持音频、视频、数据传输等多媒体功能的、用于信息处理的智能设备 注：快递物流服务中常见的智能服务终端包括智能快件箱、智能信包箱、无人车、无人机、智能穿戴设备、收派移动 作业终端等。其中，收派移动作业终端包括提供者自有收派移动作业终端（如收派巴枪）以及安装有收派业务 App的内部人员个人智能手机。 3.13 智能快件箱intelligentself-expressservicemachine 设立在公共场合，可供快递物流服务组织（3.4）和寄递用户（3.2）投递、提取快件的自助服务设备 L来源：YZ/T0133一2013，3.1，有修改 2 GB/T42013—2022 3.14 智能信包箱intelligentmail&parcellocker 应用信息技术控制与管理，通过密码验证、电子验证、生物识别和其他身份识别方式进行操作，供用 户接收邮件和快件的智能服务终端。 ［来源：GB/T24295—2021,3.1] 4缩略语 下列缩略语适用于本文件： OTP：动态口令（One-TimePassword) 5概述 5.1快递物流服务业务组成 快递物流服务数据处理活动主要围绕着快递物流服务的业务功能开展，包括：用户的注册、寄件、收 件、快件信息查询等；提供者的揽件、中转、清关、派送等。 快递物流服务涉及的相关方包括快递物流服务提供者、寄递用户，以及快递物流服务第三方参与 者。其中，快递物流服务提供者包括快递物流服务组织、快递物流服务受理组织，以及快件代存组织；快 递物流服务第三方参与者主要为接受快递物流服务提供者委托，处理快递物流服务中的清关、保险、客 服等特定事项的组织。快递物流服务参与主体交互示意图见图1。 第三方参与君 保险、清关等服务 合作、监督 合作、监督 保险、清关等服务 提供订单信息 反馈签收信息 快递物流服务组织 反馈履约和支付等信息 提供收件用户信息和取件状态 提供完整或 部分寄递服务 提供寄件下单服务 提供代揽收、代派件服务 快递物流服务受理组织 寄递用户 快件代存组织 图1快递物流服务参与主体交互示意图 快递物流服务数据处理活动及安全风险见附录A。 3 GB/T42013—2022 5.2 2快递物流服务数据范围 本文件中快递物流服务数据范围包括： 用户数据：快递物流服务提供者在提供快递物流服务过程中收集和产生的个人用户数据和企 a)月 业用户数据，如收寄件人姓名、地址、联系电话、企业账号信息、企业通信信息等； b) 业务数据：快递物流服务提供者在提供快递物流服务过程中处理的各类业务经营相关的数据， 如寄递物品及费用数据、配送数据、签收数据、营业场所数据、财务数据、营销运营数据等。 6基本要求 快递物流服务提供者数据安全的基本要求如下： a）数据处理活动应遵守GB/T41479中规定的要求； b）个人信息处理活动应遵守GB/T35273一2020中规定的要求，快递物流ApP个人信息收集活 动应遵守GB/T41391一2022中规定的要求； c）应按照有关要求和标准进行数据分类分级保护，识别快递物流服务涉及的