11     数据安全

11.1   基本要求

        快递服务主体的数据安全管理应满足以下要求:

        a)   应明确数据安全负责人和管理机构,落实数据安全保护责任;

        b)   应建立健全全流程数据安全管理制度,组织开展数据安全教育培训;

        c)   应按照国家标准、行业标准,识别快递服务涉及的数据,形成数据保护目录,并对数据进行分级分类保护;

        d)   应加强数据安全风险监测,发现数据安全缺陷、漏洞等风险时,应立即采取补救措施;

        e)   发生数据安全事件时,应立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;

        f)   快递服务主体应采取措施,保障寄递服务用户对其个人信息的处理享有知情权、决定权、查阅权、复制权、更正权、删除权等权利;

        g)   其他相关标准要求。

11.2    个人信息采集

11.2.1   采集范围

        快递服务主体采集寄递服务用户个人信息,应限于实现快递服务目的的最小范围,包括姓名、联系方式、寄件(收件)地址、寄递物品信息、身份证信息等,不应过度收集寄递服务用户个人信息。

        快递App采集信息范围应符合YZ/T 0189相关规定。

11.2.2    用户告知

        快递服务主体在采集寄递服务用户个人信息前,应以显著方式、清晰易懂的语言真实、准确、完整向用户告知以下内容:

        a)    包括快递服务主体在内的基地服务用户个人信息处理者的名称和联系方式;

        b)   寄递服务用户个人信息的处理目的、处理方式,处理的寄递服务用户个人信息种类、保存期限;

        c)   寄递服务用户行使法定权利的方式和程序等。

11.3     数据存储

        快递数据存储满足以下条件:

        a)   应将在中华人民共和国境内收集和产生的个人信息存储在境内;

        b)   用户个人信息应采用加密等安全措施进行存储;

        c)   手持终端对采集的个人信息进行离线存储,终端本地存储期限宜不超过 30 个日历天;

        d)   快递服务主体应对重要数据进行备份存储。

11.4     数据共享与使用

        快递数据共享满足以下要求:

        a)   快递服务主体、邮政企业、交通运输企业等应根据快快合作、邮快合作、交快合作等业务需求,加强信息共享。合作委托方应武昌向受托方提供快件收件人完整的名址、电话号码,受托方应做好用户个人信息保护。

        b)   快递服务主体与制造业仓配、电子商务、支付服务、末端服务的信息交换应符合 GB/T 40044、GB/T 40043、GB/T 38726、GB/T 39083、YZ/T 0153 要求;

        c)   共享的数据应遵循必要最小原则。

11.5     数据使用

        快递数据使用满足以下要求:

        a)   在快递收寄、投递、分拣等场景使用数据时,在不影响业务处理情况下,应采用加密、脱敏、数据抽样与聚合等去标识化方式对数据进行处理;

        b)   应根据数据安全级别,定义不同级别数据的访问权限;根据服务范围或服务对象分配内部人员的最小所需数据访问权限;

        c)    应对快递数据批量查询导出进行监控审计,及时发现异常并进行阻断。

11.6    数据委托处理与跨境传输

11.6.1   数据委托处理

        快递服务主体在快递共同配送、海关报关等环节,需要将数据委托其他组织进行处理的,应当与受托组织约定委托处理的目的、期限、处理方式、数据的种类、保护措施以及双方的权利和义务等,并对受托组织的数据处理活动进行监督。

11.6.2    数据跨境传输

        快递服务主体开展国际快递业务,需要进行快递数据跨境传输时,应满足以下要求:

        a)   向境外提供用户个人信息等数据的,应符合相关规定;

        b)   事先开展数据出境安全评估,并依评估结果采取有效的数据安全保护措施;根据业务发展和运营情况,定期对数据出境进行安全评估;

        c)   完整准确建立快递数据出境记录。

11.7    数据清除

        数据清除应满足以下要求:

        a)   快递服务主体应按规定删除或销毁到期的数据并保留操作记录;

        b)   停止运营的快递服务主体,按规定及时销毁相关数据。

国家标准快递服务 第2部分:组织要求 GB/T 27917.2-2023

12    服务合同

        寄件前,快递服务主体应与寄件人订立服务合同,服务合同可以“快递运单+服务协议”的形式呈现。快递电子运单应符合 GB/T 41833 的要求,应采取隐私面单等技术措施保护用户个人信息。

        服务合同应包括快件编号、快递服务主体信息、目的地信息、收件人/寄件人信息、内件信息、业务信息、快递服务费用和服务协议。

        服务协议应满足以下要求:

        a)   条款应体现公平、公正的原则,文字表述应真实、简洁、易懂;

        b)   内容应包括:用户和快递服务主体双方权利与责任;用户个人信息处理方式;快递服务承诺事项、履行方式和完成标准;包装用品和方式选择,包装义务、履行方式和完成标准;查询方式与期限;用户和快递服务主体产生争议后的解决途径;赔偿的有关规定;其他约定信息;

        c)   对免除或减轻快递服务主体责任及涉及快件损失赔偿等与对方有重大利害关系的条款,应予以特别说明并以醒目的方式提醒寄件人阅知;

        d)   应置于快递服务主体网站及 App 软件、小程序等系统中的醒目位置;或以营业场所实物张贴、当面提供等醒目方式,显著提示寄件人阅知、保存,供查询、追溯等使用;

        e)   服务协议修改应征得用户同意,用户未明示同意的应按原服务协议履行权利义务;快递服务主体应当保留服务协议历史版本,保证用户便利、完整查阅和下载。

13    服务安全

        为保障服务安全,快递服务主体应满足以下要求:

        a)   设立安全部门,配备安全管理人员,制定安全管理制度和应急预案,落实相关责任;

        b)   对从业人员进行生产安全、寄递安全、信息安全和职业健康培训和教育;

        c)    严格落实实名收寄、收寄验视、安全检查三项制度;

        d)   安全防范应满足 GA 1468 的要求,服务场所应配备符合国家行业要求的安全设施设备;

        e)   收寄物品符合国家禁限寄物品规定;在寄递过程中,不准许无关人员接触快件;不准许擅自通过拍照、录像等方式摄取快递运单信息;不准许从业人员私拆、隐匿、毁弃、窃取快件;如发现问题快件,应及时做好记录并妥善处理;

        f)   因停业、转产、破产等原因停止快递经营活动,对快件进行及时妥善处理;

        g)   落实国家行业相关安全管理规定和标准。

国家标准快递服务 第2部分:组织要求 GB/T 27917.2-2023

上一页 1 2 3 4 5 下一页