网约车数据安全拟定国标:明确可收集的最小必要个人信息等
据全国信息安全标准化技术委员会11月10日官网消息,国家标准《信息安全技术网络预约汽车服务数据安全指南》征求意见稿出台。
该文件给出了网络预约汽车(简称“网约车”)服务运营者开展服务时数据收集、存储、使用、共享、公开披露、删除的数据类型、范围、方式和条件,以及数据安全管理要求。
据了解,一次完整的网约车服务活动,主要包括乘客和驾驶员注册、网约车运营者对驾驶员资质审核、乘客发单、订单匹配、驾驶员接单、行程服务、网约车服务运营者对安全秩序的维护、支付收款、用户评价等。
征求意见稿将网约车进行了数据分级,根据数据重要程度、敏感度和泄露后带来的危害将数据划分为4级。例如,可以直接标识个人身份的数据为第3级,限于履行工作岗位职责的人员访问使用;行程录音录像则为第4级,当发生投诉时才能授权访问查询。
在数据收集环节,征求意见稿要求,网约车服务运营者在收集用户个人信息前,应告知用户并征得用户同意;用户拒绝提供网约车服务最小必要个人信息以外的个人信息时,运营者不应拒绝提供网约车服务。
在网约车服务过程中,会提供一些允许用户自主选择是否使用的业务功能,如果用户拒绝提供可选业务功能对应的最小必要个人信息时,运营者可拒绝提供对应可选业务功能服务,但不应拒绝提供网约车服务。
征求意见稿针对乘客及驾驶员APP,分别给出了典型可选业务功能及对应收集的最小必要个人信息。以在线沟通功能为例,收集的最小必要信息为虚拟号码通话录音、在线沟通内容记录,用户核实事实、处理用户纠纷。
对于个人信息的展示,征求意见稿要求,订单匹配后,运营者所展示的个人信息应以满足核验需求为限,可向乘客展示的驾驶员信息包括驾驶员姓氏、头像、实时位置、车辆信息、评价信息,向驾驶员展示的乘客信息包括乘客手机号码最后四位、评价信息,提供乘客和驾驶员电话沟通渠道时应使用虚拟号码等。
在用户画像的使用上,网约车运营者应根据用户性别、年龄、饮酒情况或者其他信息进行用户画像,不应滥用大数据分析等技术手段,基于用户消费记录、消费偏好等设置不公平的交易条件,侵犯用户合法权益。
对行程录音录像的管理上,征求意见稿要求,驾驶员APP生成的行程录音文件应在上传完成后删除,不应在移动终端留存;车载设备应采取必要的安全防护,防范非授权访问。对于收集的行程录音录像数据存储时间不宜超过7天,如有纠纷可适当延期;运营者应为乘客和驾驶员提供已完成订单的行程录音录像删除服务,应使录音可识别录音内容但无法识别用户身份,对乘客和驾驶员面部识别特征模糊化处理等。
网约车的侵害用户权益行为已引起监管部门的重视。10月26日,工信部通报第五批侵害用户权益行为的APP,叮嗒出行、快狗打车、T3出行等多款网约车平台未完成整改。
以违规使用个人信息为例,叮嗒出行、东风出行、T3出行、悟空租车、快狗打车、蜜蜂出行、长安出行均存在该问题。其中,叮嗒出行、T3出行、蜜蜂出行、长安出行还涉及APP强制、频繁、过度索取权限的问题。
(作者:张雅婷 )