YDT 3105-2016 電信和互聯(lián)網(wǎng)服務用戶個人信息保護技術要求電子商務服務

中華人民共和國通信行業(yè)標準電信和互聯(lián)網(wǎng)服務用戶個人信息保護技術要求電子商務服務2016-07-11發(fā)布2016-10-01實施中華人民共和國工業(yè)和信息化部發(fā)布IYD/T3105-2016 I1范圍 2規(guī)范性引用文件 3術語和定義 4縮略語 5電子商務服務分級方法 6電子商務服務用戶個人信息保護環(huán)節(jié)及用戶個人信息保護內(nèi)容 27電子商務服務用戶個人信息保護技術要求 4Ⅱ本標準是“電信和互聯(lián)網(wǎng)服務用戶個人信息保護”系列標準之一，該系列標準名稱和電信和互聯(lián)網(wǎng)服務用戶個人信息保護定義及分類電信和互聯(lián)網(wǎng)服務用戶個人信息保護分級指南電信和互聯(lián)網(wǎng)服務用戶個人信息保護技術要求移動應用商店電信和互聯(lián)網(wǎng)服務用戶個人信息保護技術要求電子商務服務一電信和互聯(lián)網(wǎng)服務用戶個人信息保護技術要求即時通信服務本標準按照GB/T1.1-2009給出的規(guī)則起草。隨著技術的發(fā)展，還將制定后續(xù)的相關標準。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別這些專利的本標準由中國通信標準化協(xié)會提出并歸口。本標準起草單位：中國信息通信研究院、阿里巴巴通信技術(北京)有限公司、中國聯(lián)合網(wǎng)絡通信集團有限公司、中國移動通信集團公司、中國電信集團公司。本標準主要起草人：李娜、顧偉、蔡曉丹、湯立波、李成、葛雨明、康彥榮、韓涵、鄭斌、于潤東、馬錚、高楓、徐克航、王蘭芳、胡莉瓊。1電信和互聯(lián)網(wǎng)服務用戶個人信息保護技術要求電子商務服務本標準規(guī)定了電子商務服務的用戶個人信息及相關權益的保護要求。本標準適用于電子商務服務。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。YD/T2781-2014電信和互聯(lián)網(wǎng)服務用戶個人信息保護定義及分類YD/T2782-2014電信和互聯(lián)網(wǎng)服務用戶個人信息保護分級指南3術語和定義下列術語和定義適用于本文件。利用各種與公用通信網(wǎng)或互聯(lián)網(wǎng)相連的數(shù)據(jù)與交易/事務處理應用平臺，通過公用通信網(wǎng)或互聯(lián)網(wǎng)為用戶提供在線數(shù)據(jù)處理和交易/事務處理的業(yè)務。用戶User中華人民共和國境內(nèi)用戶。通過模糊化等方法對原始數(shù)據(jù)進行處理，達到屏蔽真實數(shù)據(jù)和結果不可逆的一種數(shù)據(jù)保4縮略語下列縮略語適用于本文件。MACMediaAccessControl介質(zhì)訪問控制5電子商務服務分級方法電子商務服務用戶個人信息保護分級對象為電子商務服務。本標準根據(jù)電子商務服務過程中所收集、轉(zhuǎn)移和使用的用戶個人信息涉及到的分級要素，確定電子商務服務的用戶個人信息保護級別，并提出不同級別電子商務服務的用戶個人信息保護要求。用戶個人信息的定義及分類見YD/T2781-2014,用戶個人信息保護分級方法和分級要素見YD/T26電子商務服務用戶個人信息保護環(huán)節(jié)及用戶個人信息保護內(nèi)容6.1概述與用戶個人信息相關的電子商務服務流程包括用戶注冊、登陸服務、瀏覽檢索服務、訂購服務、快遞物流服務、支付結算服務、信用評價服務、網(wǎng)絡營銷服務等。6.2用戶注冊、登錄服務本標準中用戶注冊服務是指為規(guī)范用戶與電子商務經(jīng)營者之間的行為及關系，用戶與電子商務經(jīng)營者就經(jīng)營者所提供的商品和服務訂立協(xié)議的服務。用戶登錄服務是指供多人使用的電子商務經(jīng)營平臺系統(tǒng)為每位用戶配置了一套獨特的用戶名和密碼，用戶可以使用各自的這套用戶名和密碼來使用系統(tǒng)，以便系統(tǒng)能識別該用戶的身份，從而保持該用戶的使用習慣或使用數(shù)據(jù)。6.2.2用戶注冊、登陸服務用戶個人信息保護內(nèi)容電子商務服務用戶注冊、登錄涉及的用戶個人信息包括： 交易類服務身份標識和鑒權信息：如交易賬號和密碼(交易類電子商務服務)、密碼保護答案等；——用戶基本資料：如姓名、證件類型及號碼、年齡、性別、職業(yè)、工作單位、地址等；——位置信息：如用戶所在的地區(qū)代碼、小區(qū)代碼等； 普通服務身份標識和鑒權信息：如電話號碼、賬號、昵稱、登錄密碼、IP地址、郵箱地址以及服務涉及的密碼、口令、密碼保護答案等；——服務記錄和日志：如注冊服務日志等；——設備信息：如硬件型號、設備MAC地址等。6.3瀏覽檢索服務本標準中瀏覽檢索服務是指電子商務經(jīng)營者為用戶個人提供的商品與服務信息瀏覽、查詢和匹配服務。6.3.2瀏覽檢索服務用戶個人信息保護內(nèi)容電子商務服務瀏覽檢索涉及的用戶個人信息包括：——位置信息：如用戶所在的地區(qū)代碼、小區(qū)代碼等；——普通服務身份標識和鑒權信息：如電話號碼、賬號、昵稱、IP地址、郵箱地址等；——服務記錄和日志：如Cookie內(nèi)容、服務訪問記錄，如網(wǎng)址、業(yè)務日志等；——設備信息：如硬件型號、設備MAC地址等。6.4訂購服務本標準中訂購服務主要是指直接通過互聯(lián)網(wǎng)(含移動互聯(lián)網(wǎng))預先約定購買商品，形成商品訂單的6.4.2訂購服務用戶個人信息保護內(nèi)容電子商務服務訂購服務涉及的用戶個人信息包括：——用戶基本資料：如姓名、地址、證件類型和號碼等；3——位置信息：如用戶所在的地區(qū)代碼、小區(qū)代碼等；——普通用戶身份標識和鑒權信息：如電話號碼、賬號、昵稱、登錄密碼、IP地址、郵箱地址等； 服務內(nèi)容信息：如網(wǎng)購訂單、物流信息等；——服務記錄和日志：如Cookie內(nèi)容、服務訪問記錄、網(wǎng)購記錄、聊天紀錄等；——設備信息：如硬件型號、設備MAC地址等；——消費信息和賬單：如在網(wǎng)時間、信用等級、付費方式、消費金額、發(fā)票抬頭等； 通過交易平臺銷售商品或提供服務的經(jīng)營者，使用交易平臺以外的計算機信息系統(tǒng)管理訂購服務用戶個人信息的，適用訂購服務用戶個人信息保護要求。6.5快遞物流服務本標準中快遞物流服務是指在承諾的時限內(nèi)將訂購商品封裝，形成快遞包裹交由快遞物流公司的服務。6.5.2快遞物流服務用戶個人信息保護內(nèi)容電子商務服務快遞物流服務涉及的用戶個人信息包括： 用戶基本資料：如姓名、地址、證件類型和號碼等；——普通用戶身份標識和鑒權信息：如電話號碼、賬號、昵稱等；——服務內(nèi)容信息：如快遞物品信息、物流信息等；——消費信息和賬單：如付費方式、賬單金額信息等。6.6支付結算服務本標準中支付結算服務是指電子商務活動中，為單位、個人提供直接或授權他人通過電子終端發(fā)出支付指令，實現(xiàn)貨幣支付與資金轉(zhuǎn)移的服務。6.6.2支付結算服務用戶個人信息保護內(nèi)容電子商務服務支付結算服務涉及的用戶個人信息包括：——交易類服務身份標識和鑒權信息：如交易賬號和密碼(交易類電子商務服務)等；——消費信息和賬單：如付費方式、賬單金額信息、余額等； 業(yè)務訂購關系：如業(yè)務訂購信息、訂單號等。6.7信用評價服務本標準中信用評價服務是指交易平臺或社會中介機構對經(jīng)營者和消費者的真實交易信用情況客觀、公正地進行采集、記錄及披露的服務。6.7.2信用評價服務用戶個人信息保護內(nèi)容電子商務服務信用評價服務涉及的用戶個人信息包括： ——服務內(nèi)容信息：如網(wǎng)購訂單信息等；——服務記錄和日志：如服務訪問記錄、網(wǎng)購記錄等； 4——業(yè)務訂購關系：如業(yè)務訂購信息等。6.8網(wǎng)絡營銷服務本標準中網(wǎng)絡營銷服務是指借助搜索引擎、電子郵件、即時通信工具、論壇、微博客、通信短信息等信息通信載體，幫助經(jīng)營者實現(xiàn)營銷目標的電子商務服務。網(wǎng)絡營銷服務涉及信息收集、信息分析及信息利用三個環(huán)節(jié)。6.8.2網(wǎng)絡營銷服務用戶個人信息保護內(nèi)容電子商務經(jīng)營者在網(wǎng)絡營銷服務各個環(huán)節(jié)，可能會使用用戶個人基本資料、服務內(nèi)容信息、服務記錄、聯(lián)系人信息、社交信息、位置信息等。電子商務服務網(wǎng)絡營銷服務用戶個人信息保護內(nèi)容包括：——用戶基本資料：如姓名、年齡、性別、喜好、消費習慣等； 位置信息：如用戶所在的地區(qū)代碼、小區(qū)代碼等；——聯(lián)系人信息：如通訊錄、好友列表、群列表、朋友圈列表、關注對象列表等用戶資料數(shù)據(jù)；——普通用戶身份標識和鑒權信息：如電話號碼、賬號、昵稱、IP地址、郵箱地址等； 服務內(nèi)容信息：如網(wǎng)購訂單信息等；——服務記錄和日志：如Cookie內(nèi)容、服務訪問記錄、網(wǎng)購記錄等；——消費信息和賬單：如在網(wǎng)時間、信用等級等； 業(yè)務訂購關系：如業(yè)務訂購信息等。7電子商務服務用戶個人信息保護技術要求7.1概述電子商務服務收集和使用用戶個人信息應符合法律要求，保證用戶知情權、選擇權，并承擔用戶個人信息的保護責任。電子商務服務提供方應按照相應級別的管理要求及保護技術要求對其提供服務過程中涉及的用戶個人信息的收集、存儲、轉(zhuǎn)移、使用和銷毀等工作流程進行規(guī)范化管理。隸屬于同一實體或被同一實體所控制的電子商務經(jīng)營者之間的內(nèi)部個人信息交互活動，不屬于個人信息的轉(zhuǎn)移，有對外使用用戶個人信息行為的，參照用戶個人信息的使用要求。電子商務經(jīng)營者向關聯(lián)機構或其他受信任的商家或個人提供用戶個人信息，應當要求關聯(lián)機構或其他受信任的商家或個人，遵守電子商務經(jīng)營者的隱私權政策以及其他任何與用戶的約定。本標準對于電子商務服務的用戶個人信息保護技術要求，遵循同級別的不同類型服務應當承擔同等程度的用戶個人信息保護要求的原則。電子商務服務提供方應按照本標準中規(guī)定的1～5級的用戶個人信息保護技術要求，對其提供的服務脫敏后的數(shù)據(jù)不屬于用戶個人信息，不在本標準的保護范圍內(nèi)。7.2第5級電子商務服務用戶個人信息保護要求7.2.1用戶注冊、登錄服務用戶個人信息保護要求用戶注冊、登錄服務用戶個人信息保護要求包括：a)用戶身份證明、交易類身份和鑒權信息的保護要求：5——用戶身份證明、交易類身份和鑒權信息的收集應當有充分的必要性；——用戶身份證明、交易類身份和鑒權信息應保存在境內(nèi)服務器，用戶在境外使用注冊、登陸、訂購服務等服務的，除必要的驗證、展示以及直接交易雙方信息交互外，用戶身份證明、交易類身份和鑒——收集、轉(zhuǎn)移和使用應征得用戶同意，非經(jīng)用戶同意，使用范圍不得擴大，和轉(zhuǎn)移的第三方之間應有書面協(xié)議，在信息的存儲以及收集和轉(zhuǎn)移的傳輸過程應使用高強度的加密措施，保障數(shù)據(jù)的機密性——應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安全管理規(guī)范； 應采取嚴格的訪問控制措施，設置專人負責的內(nèi)部數(shù)據(jù)審批流程及制度；——對信息的使用宜進行監(jiān)控及預警，確保身份證明、交易賬號及密碼信息的不外傳、不泄露。b)用戶基本資料、位置信息的保護要求： 用戶基本資料、位置信息的收集和轉(zhuǎn)移應征得用戶同意；——在信息的收集和轉(zhuǎn)移的傳輸過程應采取必要的加密措施，保障數(shù)據(jù)的機密性和完整性； 應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安全管理規(guī)范；——應采取嚴格的訪問控制措施，設置專人負責的內(nèi)部數(shù)據(jù)審批流程及制度；——對信息的使用宜進行監(jiān)控及預警。c)普通服務身份標識和鑒權信息、服務記錄和日志及設備信息的保護要求：——收集和轉(zhuǎn)移，應征得用戶同意；——應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安 應采取必要的訪問控制措施。用戶個人在接受用戶注冊服務時，應當提交與本人直接相關的用戶個人信息，禁止使用他人個人信息接受用戶注冊服務，禁止以要約高價出售、出租或者以其他方式轉(zhuǎn)讓該注冊賬戶獲取不正當利益的目的接受用戶注冊服務。瀏覽檢索服務用戶個人信息保護要求包括：a)用戶基本資料、位置信息的保護要求：——用戶基本資料、位置信息的收集和轉(zhuǎn)移應征得用戶同意；——在信息的收集和轉(zhuǎn)移的傳輸過程應采取必要的加密措施，保障數(shù)據(jù)的機密性和完整性；——應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安全管理規(guī)范； 應采取嚴格的訪問控制措施，設置專人負責的內(nèi)部數(shù)據(jù)審批流程及制度；——對信息的使用宜進行監(jiān)控及預警。b)普通用戶身份標識和鑒權信息、服務內(nèi)容信息、服務記錄和日志、設備信息的保護要求： 收集和轉(zhuǎn)移，應征得用戶同意；6——應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安 應采取必要的訪問控制措施。c)消費信息和賬單的保護要求： 應采取必要的訪問控制措施。d)業(yè)務訂購關系的保護要求： 訂購服務用戶個人信息保護要求包括：a)用戶基本資料、位置信息的保護要求：——用戶基本資料、位置信息的收集和轉(zhuǎn)移應征得用戶同意；——在信息的收集和轉(zhuǎn)移的傳輸過程應采取必要的加密措施，保障數(shù)據(jù)的機密性和完整性；——應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安全管理規(guī)范；——應采取嚴格的訪問控制措施，設置專人負責的內(nèi)部數(shù)據(jù)審批流程及制度；——對信息的使用宜進行監(jiān)控及預警。b)普通用戶身份標識和鑒權信息、服務內(nèi)容信息、服務記錄和日志、設備信息的保護要求：——收集和轉(zhuǎn)移，應征得用戶同意；——應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安 應采取必要的訪問控制措施。c)消費信息和賬單的保護要求：——應采取必要的訪問控制措施。d)業(yè)務訂購關系的保護要求： 采取必要的訪問控制措施。7.2.4快遞物流服務用戶個人信息保護要求快遞物流服務用戶個人信息保護要求包括：a)用戶基本資料的保護要求：——用戶基本資料的收集和轉(zhuǎn)移應征得用戶同意；——在信息的收集和轉(zhuǎn)移的傳輸過程應采取必要的加密措施，保障數(shù)據(jù)的機密性和完整性；——應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安全管理規(guī)范；——應采取嚴格的訪問控制措施，設置專人負責的內(nèi)部數(shù)據(jù)審批流程及制度；——對信息的使用宜進行監(jiān)控及預警。b)普通用戶身份標識和鑒權信息、服務內(nèi)容信息的保護要求：7 收集和轉(zhuǎn)移，應征得用戶同意； 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安 c)消費信息和賬單的保護要求：——轉(zhuǎn)移信息時應征得用戶同意； 應采取必要的訪問控制措施。7.2.5支付結算服務用戶個人信息保護要求支付結算服務用戶個人信息保護要求包括：a)交易類身份和鑒權信息的保護要求：——交易類身份和鑒權信息的收集應當有充分的必要性；——交易類身份和鑒權信息應保存在境內(nèi)服務器，用戶在境外使用注冊、登陸、訂購等服務的，除必要的驗證、展示以及直接交易雙方之間信息交互外，用戶身份證明、交易類身份和鑒權信息也應存儲——收集、轉(zhuǎn)移和使用應征得用戶同意，非經(jīng)用戶同意，使用范圍不得擴大，和轉(zhuǎn)移的第三方之間應有書面協(xié)議，在信息的存儲以及收集和轉(zhuǎn)移的傳輸過程應使用高強度的加密措施，保障數(shù)據(jù)的機密性 應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安全管理規(guī)范； 應采取嚴格的訪問控制措施，設置專人負責的內(nèi)部數(shù)據(jù)審批流程及制度；——對信息的使用宜進行監(jiān)控及預警，確保身份證明、交易賬號及密碼信息的不外傳、不泄露；——支付結算過程中，電子商務服務提供者不得記錄用戶交易類鑒權信息，不得向第三方泄露用戶交易類身份標識、交易記錄等用戶個人信息。b)消費信息和賬單的保護要求： 應采取必要的訪問控制措施。c)業(yè)務訂購關系的保護要求： 應采取必要的訪問控制措施。7.2.6信用評價服務用戶個人信息保護要求信用評價服務用戶個人信息保護要求包括：a)普通服務身份標識和鑒權信息、服務內(nèi)容信息、服務記錄和日志的保護要求： 收集和轉(zhuǎn)移，應征得用戶同意； 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安 b)消費信息和賬單的保護要求： 轉(zhuǎn)移信息時應征得用戶同意；8 應采取必要的訪問控制措施。c)業(yè)務訂購關系的保護要求： 應采取必要的訪問控制措施。7.2.7網(wǎng)絡營銷服務用戶個人信息保護要求網(wǎng)絡營銷服務不應當涉及用戶身份證明、生理標識、交易類服務鑒權信息、用戶私有資料數(shù)據(jù)。網(wǎng)絡營銷服務用戶個人信息保護要求包括：a)用戶基本資料、位置信息、聯(lián)系人信息的保護要求： 信息的收集和轉(zhuǎn)移應征得用戶同意； 在信息的收集和轉(zhuǎn)移的傳輸過程應采取必要的加密措施，保障數(shù)據(jù)的機密性和完整性； 應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安全管理規(guī)范；——應采取嚴格的訪問控制措施，設置專人負責的內(nèi)部數(shù)據(jù)審批流程及制度； 對信息的使用宜進行監(jiān)控及預警。b)普通服務身份標識和鑒權信息、服務內(nèi)容信息、服務記錄和日志的保護要求： 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安 c)消費信息和賬單的保護要求： 轉(zhuǎn)移信息時應征得用戶同意 應采取必要的訪問控制措施。d)業(yè)務訂購關系的保護要求： 7.3第4級電子商務服務用戶個人信息保護要求7.3.1用戶注冊、登錄服務用戶個人信息保護要求用戶注冊、登錄服務用戶個人信息保護要求包括：a)用戶基本資料、位置信息的保護要求： 用戶基本資料、位置信息的收集和轉(zhuǎn)移應征得用戶同意； 在信息的收集和轉(zhuǎn)移的傳輸過程應采取必要的加密措施，保障數(shù)據(jù)的機密性和完整性； 應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安全管理規(guī)范； 應采取嚴格的訪問控制措施，設置專人負責的內(nèi)部數(shù)據(jù)審批流程及制度 對信息的使用宜進行監(jiān)控及預警。b)普通服務身份標識和鑒權信息、服務記錄和日志及設備信息的保護要求： 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安9 用戶個人在接受用戶注冊服務時，應當提交與本人直接相關的用戶個人信息，禁止使用他人個人信息接受用戶注冊服務，禁止以要約高價出售、出租或者以其他方式轉(zhuǎn)讓該注冊賬戶獲取不正當利益的目的接受用戶注冊服務。7.3.2瀏覽檢索服務用戶個人信息保護要求瀏覽檢索服務用戶個人信息保護要求包括：a)用戶基本資料、位置信息的保護要求： 用戶基本資料、位置信息的收集和轉(zhuǎn)移應征得用戶同意；——在信息的收集和轉(zhuǎn)移的傳輸過程應采取必要的加密措施，保障數(shù)據(jù)的機密性和完整性；——應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安全管理規(guī)范；——應采取嚴格的訪問控制措施，設置專人負責的內(nèi)部數(shù)據(jù)審批流程及制度； 對信息的使用宜進行監(jiān)控及預警。b)普通用戶身份標識和鑒權信息、服務內(nèi)容信息、服務記錄和日志、設備信息的保護要求： 收集和轉(zhuǎn)移，應征得用戶同意；——應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安 應采取必要的訪問控制措施。c)消費信息和賬單的保護要求：——轉(zhuǎn)移信息時應征得用戶同意； 應采取必要的訪問控制措施。d)業(yè)務訂購關系的保護要求： 應采取必要的訪問控制措施。7.3.3訂購服務用戶個人信息保護要求訂購服務用戶個人信息保護要求包括：a)用戶基本資料、位置信息的保護要求：——用戶基本資料、位置信息的收集和轉(zhuǎn)移應征得用戶同意； 在信息的收集和轉(zhuǎn)移的傳輸過程應采取必要的加密措施，保障數(shù)據(jù)的機密性和完整性；——應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安全管理規(guī)范； 應采取嚴格的訪問控制措施，設置專人負責的內(nèi)部數(shù)據(jù)審批流程及制度 b)普通用戶身份標識和鑒權信息、服務內(nèi)容信息、服務記錄和日志、設備信息的保護要求： 收集和轉(zhuǎn)移，應征得用戶同意；——應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安 應采取必要的訪問控制措施。c)消費信息和賬單的保護要求：——轉(zhuǎn)移信息時應征得用戶同意； 應采取必要的訪問控制措施。d)業(yè)務訂購關系的保護要求： 應采取必要的訪問控制措施。7.3.4快遞物流服務用戶個人信息保護要求快遞物流服務用戶個人信息保護要求包括：a)用戶基本資料的保護要求：——用戶基本資料、位置信息的收集和轉(zhuǎn)移應征得用戶同意； 在信息的收集和轉(zhuǎn)移的傳輸過程應采取必要的加密措施，保障數(shù)據(jù)的機密性和完整性； 應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安全管理規(guī)范；——應采取嚴格的訪問控制措施，設置專人負責的內(nèi)部數(shù)據(jù)審批流程及制度； 對信息的使用宜進行監(jiān)控及預警。b)普通用戶身份標識和鑒權信息、服務內(nèi)容信息的保護要求： ——應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安 應采取必要的訪問控制措施。c)消費信息和賬單的保護要求： 應采取必要的訪問控制措施。7.3.5支付結算服務用戶個人信息保護要求支付結算服務用戶個人信息保護要求包括：a)消費信息和賬單的保護要求： 應采取必要的訪問控制措施。b)業(yè)務訂購關系的保護要求： 7.3.6信用評價服務用戶個人信息保護要求信用評價服務用戶個人信息保護要求包括：a)普通服務身份標識和鑒權信息、服務內(nèi)容信息、服務記錄和日志的保護要求： 收集和轉(zhuǎn)移，應征得用戶同意；——應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安 應采取必要的訪問控制措施。b)消費信息和賬單的保護要求： 轉(zhuǎn)移信息時應征得用戶同意； 應采取必要的訪問控制措施。c)業(yè)務訂購關系的保護要求： 7.3.7網(wǎng)絡營銷服務用戶個人信息保護要求網(wǎng)絡營銷服務不應當涉及用戶身份證明、生理標識、交易類服務鑒權信息、用戶私有資料數(shù)據(jù)。網(wǎng)絡營銷服務用戶個人信息保護要求包括：a)用戶基本資料、位置信息、聯(lián)系人信息的保護要求： 用戶基本資料、位置信息的收集和轉(zhuǎn)移應征得用戶同意，——在信息的收集和轉(zhuǎn)移的傳輸過程應采取必要的加密措施，保障數(shù)據(jù)的機密性和完整性； 應定義嚴格的個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安全管理規(guī)范； 應采取嚴格的訪問控制措施，設置專人負責的內(nèi)部數(shù)據(jù)審批流程及制度 b)普通服務身份標識和鑒權信息、服務內(nèi)容信息、服務記錄和日志的保護要求： 收集和轉(zhuǎn)移，應征得用戶同意； 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安 c)消費信息和賬單的保護要求： 應采取必要的訪問控制措施。d)業(yè)務訂購關系的保護要求； 7.4第3級電子商務服務用戶個人信息保護要求7.4.1用戶注冊、登錄服務用戶個人信息保護要求用戶注冊、登錄服務用戶個人信息保護要求包括：a)普通服務身份標識和鑒權信息、服務記錄和日志及設備信息的保護要求： 收集和轉(zhuǎn)移，應征得用戶同意； 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安 應采取必要的訪問控制措施。用戶個人在接受用戶注冊服務時，應當提交與本人直接相關的用戶個人信息，禁止使用他人個人信息接受用戶注冊服務，禁止以要約高價出售、出租或者以其他方式轉(zhuǎn)讓該注冊賬戶獲取不正當利益的目的接受用戶注冊服務。7.4.2瀏覽檢索服務用戶個人信息保護要求瀏覽檢索服務用戶個人信息保護要求包括：a)普通用戶身份標識和鑒權信息、服務內(nèi)容信息、服務記錄和日志、設備信息的保護要求： 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安 應采取必要的訪問控制措施。b)消費信息和賬單的保護要求： 轉(zhuǎn)移信息時應征得用戶同意； 應采取必要的訪問控制措施。c)業(yè)務訂購關系的保護要求： 應采取必要的訪問控制措施。7.4.3訂購服務用戶個人信息保護要求訂購服務用戶個人信息保護要求包括：a)普通用戶身份標識和鑒權信息、服務內(nèi)容信息、服務記錄和日志、設備信息的保護要求： 收集和轉(zhuǎn)移，應征得用戶同意； 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安 應采取必要的訪問控制措施。b)消費信息和賬單的保護要求： 轉(zhuǎn)移信息時應征得用戶同意； 應采取必要的訪問控制措施。c)業(yè)務訂購關系的保護要求： 應采取必要的訪問控制措施。7.4.4快遞物流服務用戶個人信息保護要求快遞物流服務用戶個人信息保護要求包括：a)普通用戶身份標識和鑒權信息、服務內(nèi)容信息的保護要求： 收集和轉(zhuǎn)移，應征得用戶同意； 應定義個人信息各生命周期(包括信息收集、生成、存儲、使用、傳輸、銷毀等各個環(huán)節(jié))安 應采取必要的訪問控制措施。b)消費信息和賬單的保護要求： 應采取必要的訪問控制措施。7.4.5支付結算服務用戶個人信息保護要求支付結算服務用戶個人信息保護要求包括：a)消費信息和賬單的保護要求： 應采取必要的訪問控制措施。b)業(yè)務訂購關系的保護要求： 應采取必要的訪問控制措施。7.4.6信用評價服務用戶個人信息保護要求信用評價服務用戶個人信息保護要求