GB／T 42017-2022  信息安全技术 网络预约汽车服务数据安全要求

7.2.1乘客App、驾驶员App不应申请与App业务功能无关的系统权限，系统权限申请范围及使用要 求见附录D。

网络预约汽车服务提供者开展数据存储活动时， ，遵守以下要求： a）网络预约汽车服务个人信息存储期限应为实现个人信息处理目的所必需的最短时间，超出

GB/T420172022

网络预约汽车服务提供者对数据的访问控制，应在遵守GB/T35273一2020中7.1要求的基础上， 宇以下要求： a）应遵循最少够用、职责分离的原则，按照数据分级建立相应的数据访间控制措施和访问权限申 请审批流程，将数据分级与数据访问权限进行关联标识，访间权限应明确数据查阅、更正、删 除、下载等操作； b） 应对人脸识别数据、行踪轨迹、行程录音录像等高级别数据访问权限进行严格限制； C 应对访问乘客和驾驶员个人信息的行为采取访问控制措施，投诉处理场景数据安全保护要求 见附录F项目管理、论文，其他业务场景下的账号安全管理、数据访问控制等安全保护措施应遵照投诉处理场 景要求执行。

网络预约汽车服务提供者对用户画像的使用，应在遵守GB/T35273一2020中7.4、7.5、7.7要求的 基础上，遵守以下要求： a）不应利用大数据分析等技术手段，基于用户消费记录、消费偏好等对个人在交易价格等交易条

件方面实行不合理的差别待遇； b） 根据用户个人信息进行用户画像、制定派单策略时，应遵循公平、公正原则，保护乘客和驾驶员 人身和财产安全，尊重乘客消费者权益和驾驶员劳动者权益； c 基于用户出行习惯为用户提供上下车地点、常用路线推荐的，应为用户提供关闭选项； d 通过自动化决策方式进行信息推送、商业营销，应同时提供不针对其个人特征的选项，或者向 个人提供便捷的拒绝方式； e）基于用户画像的推荐功能应允许用户自主选择

9.4驾驶员信用记录使用

a 建立驾驶员信用记录用于驾驶员管理时，驾驶员注销账号后，应留存驾驶员服务过程中产生的 违反法律法规和违反平台规则的信用记录； b）. 驾驶员注销账号后重新注册/登录的，对于驾驶员在服务过程中产生的违反法律法规、违反平 台规则的信用记录，网络预约汽车服务提供者宜予以恢复。

10.1.1数据提供基本要求

10.1.2紧急情况下数据提供

10.1.3企业订单数据提供

网络预约汽车服务提供者提供企业订单数据，遵守以下要求： a）应要求企业在提供员工个人信息前，获得员工单独同意； b）应与企业约定企业订单中乘客个人信息的提供规则，在征得乘客单独同意后，向乘客所属企业 提供的订单信息包括出发地、目的地、支付信息、订单时间和里程； C 乘客在企业订单过程中发生安全事件，人身和财产安全受到损害或者威胁的，乘客所属企业向 网络预约汽车服务提供者索要乘客行程中安全事件信息的，应予以提供。

10.1.4地图服务方数据提供

网络预约汽车服务接入地图服务，为乘客和驾驶员提供路径规划、导航服务时，不应提供乘客 史员的手机号码及身份信息

10.1.5第三方服务平台数据提供

网络预药汽军服务接人到第三方服务平台，乘客通过第三方服务平台发起订单的，网络预药汽 提供者应遵循必要原则，与第三方服务平台约定提供的个人信息范围，并限于网络预约汽车服 需

10.2违法违规信息公开披露

网络预约汽车服务提供者对用户违法违规信息公开披露时，应在遵守GB/T35273一2020中 5要求的基础上，对乘客或驾驶员的个人信息进行去标识化处理。

12乘客和驾驶员个人信息权利

12.1个人信息查阅和复制

网络预约汽车服务提供者向用户提供个人信息查阅和复制，应在遵守GB/T35273一2020中8.1、 6要求的基础上，遵守以下要求： a 应为乘客和驾驶员提供在线个人信息查阅服务，个人信息查阅服务应简单方便、易于操作； b 乘客查阅的个人信息应包括但不限于账号信息、手机号码、实名信息、紧急联系人、常用地址、 账户余额、行程订单； c 驾驶员查阅的个人信息应包括但不限于手机号码、实名信息、个人头像、车辆信息、紧急联系 人、账户余额、行程订单、流水明细、服务评价：

网络预约汽车服务提供者向用户提供个人信息查阅和复制，应在遵守GB/T35273一2020中8.1 要求的基础上，遵守以下要求： a）应为乘客和驾驶员提供在线个人信息查阅服务，个人信息查阅服务应简单方便、易于操作； b）乘客查阅的个人信息应包括但不限于账号信息、手机号码、实名信息、紧急联系人、常用地址 账户余额、行程订单； 驾驶员查阅的个人信息应包括但不限于手机号码、实名信息、个人头像、车辆信息、紧急联系 人、账户余额、行程订单、流水明细、服务评价：

GB/T420172022

d）为用户提供在线个人信息复制功能时，应提供口令保护以防范个人信息副本泄

12.2个人信息更正或补充

网络预药汽车服务提供者提供个人信息更正或补充，应在遵守GB/T352732020中8.2要求的 基础上，遵守以下要求： a）应为乘客和驾驶员提供在线个人信息更正或补充服务，个人信息更正或补充服务应简单方便 易于操作； b 乘客更正或补充的个人信息应包括但不限于账号信息、手机号码、常用地址、紧急联系人； 驾驶员更正或补充的个人信息应包括但不限于账号信息、手机号码、个人头像、车辆信息、紧急 联系人。

网络预药汽车服务提供者向用户提供个人信息撤回同意，应在遵 GB/13527 8.4 求的基础上，遵守以下要求： a）应为用户提供在线面部识别特征授权撤回同意功能，收集面部识别特征为履行合同所必需的 除外； b应为乘客和驾驶员提 管理人口

12.6乘客和驾驶员注销账户

网络预药汽车服务提供者向用户提供账号注销，应在遵守GB/T35273一2020中8.5要求的基础 上，遵守以下要求： a）应为乘客和驾驶员提供在线账号注销服务； b） 账号注销应简单方便，可立即实现，有未完成订单、未处理完毕纠纷的除外； 账户注销后，对于法律法规规定或者双方约定的期限届满的，应立即删除或者置名化处理； d）账户注销功能不应增加收集个人信息。

13行程录音录像数据安全要求

13.1行程录音录像数据安全基本要求

行程录音录像数据是网络预约汽车服务中的敏感个人信息。网络预约汽车服务提供者应制定 音录像数据安全管理规范，在行程录音录像数据收集、使用、存储、删除等环节采取安全控制措施 重点保护。行程录音录像数据安全管理范式模板示例见附录H

13.2行程录音录像的收集

网络预约汽车服务提供者对行程录音录像的收集，符合以下要求： 收集行程录音录像应取得驾驶员和乘客单独同意，并在每次行程录音前单独提示，行程录音宜 通过驾驶员App或车载设备收集，行程录像宜通过车载设备收集； b） 收集的行程录像数据如需保存，应保存在车内，经用户单独同意才可上传，紧急情况下为保护 自然人的生命健康安全所必需的除外； c）应对车截设备采取必要的安全防护，包括但不限于授权访间，数据加密，禁用或屏蔽调试接口

13.3行程录音录像的使用

网络预约汽车服务提供者对行程录音录像的使用，符合以下要求： a）应与用户明确约定行程录音录像的使用用途，并严格按照约定用途使用行程录音录像，不应超 出约定用途使用行程录音录像 b） 应对行程录音录像采取水印技术防范录音转录和录像截取等泄露风险； c）宜对行程录音采取技术措施，使录音可识别录音内容但无法识别用户身份，如对音频信息的基 频进行改变等； 注：音频基频指每一个人声音的声纹特征，通过该特征能将不同人的声音进行有效的区分识别。 d）应对行程录像采取技术措施，对车外人员面部识别特征、车外车辆号牌、车内乘客面部识别特 征模糊化处理，如采取检测 别特征遮挡处理等

8.4行程录音录像的存

网络预约汽车服务提供者对行程录音录像的存储与删除，符合以下要求： 应为乘客和驾驶员提供已完成订单的行程录音录像删除渠道，在一次行程服务完成后，如乘客 和驾驶员对行程安全确认无误，应能向网络预约汽车服务提供者提出删除本次行程录音录像 数据请求，网络预约汽车服务提供者应在3天内删除行程录音录像； 收集的行程录音数据存储时间不应超过7天，当乘客或驾驶员有未处理完毕纠纷时，对应的行 程录音数据适当延长保存期限，纠纷处理完毕且超过约定存储时限的应删除

A.1网络预约汽车服务流程

附录A （资料性） 网络预约汽车服务数据处理活动及数据安全风险

网络预约汽车服务数据处理活动及数据安全风险

常见网络预约汽车服务流程，主要涉及用户注册/登录、驾驶员背景审核、乘客发起订单、订单匹配、 驾驶员接单、行程服务、网络预约汽车服务提供者安全秩序维护、付费收费、用户评价等步骤，如图A.1 所示。如果存在第三方服务平台，乘客通过第三方服务平台发布约车订单，第三方服务平台将订单请求 发送给接人的网络预约汽车服务提供者，后者进行订单匹配并将订单发送给驾驶员，

图A.1常见网络预约汽车服务流程

网络预约汽车服务涉及的业务功能主要包括： 用户注册登录：乘客在网络预约汽车服务的乘客App注册/登录，驾驶员在网络预约汽车服务 的驾驶员App注册/登录； b） 驾驶员背景审核：网络预约汽车服务提供者按照国家有关规定对网约车驾驶员资格进行审核， 经审核通过的驾驶员可以通过驾驶员ApP接收订单； 乘客发起订单：乘客输入起点、终点，通过网络预约汽车服务平台或第三方服务平台呼叫车辆； 订单匹配：网络预约汽车服务提供者对乘客、驾驶员的供需信息进行匹配后，将订单信息发送 给驾驶员； 驾驶员接单：驾驶员接收或自主选择网络预约汽车服务提供者匹配的订单； 行程服务：乘客乘坐车辆，驾驶员运送乘客至目的地； 安全秩序维护：网络预约汽车服务提供者制定平台规则，根据平台规则处理用户纠纷，维护平 台安全秩序，预防或者减少危害用户人身和财产安全的行为；

h）付费收费：乘客支付呼叫及乘坐车辆所产生的费用，驾驶员收取运送乘客产生的服务费用； i）用户评价：乘客、驾驶员对结束后的订单进行评价

A.2网络预约汽车服务数据处理活动

网络预约汽车服务数据处理活动涉及数据收集、存储、使用、加工、提供、公开、删除等环节，主要包 括驾驶员、乘客、网络预约汽车服务提供者、第三方服务平台、紧急联系人等相关角色。网络预约汽车服 务提供者为驾驶员提供注册/登录、审核、接单、收款、安全秩序维护等功能，为乘客提供注册/登录、发起 订单、支付、安全秩序维护等功能。网络预约汽车服务过程中的数据处理活动及相关角色和服务功能示 意图如图A.2所示。

A.3网络预约汽车服务数据安全风险

络预约汽车服务数据处理活动及相关角色和服务

网络预汽车服务主要面临以下数据安全风险： a）在数据收集活动中，网络预约汽车服务提供者过度或未经授权收集叫车人、乘车人和驾驶员的 个人信息或者过度索取移动智能终端操作系统权限的风险； b 收集使用和存储用户的行程录音录像、行踪轨迹和面部识别特征等敏感个人信息，可能造成数 据泄露和滥用的风险； 使用大数据分析技术不当，侵害用户合法权益的风险； d 在数据使用时，因权限设置不当、利用职权私自查阅等而带来无意或有意泄露用户行踪轨迹等 信息的风险； 数据提供时，在行程分享、一键报警、紧急联系人和企业订单等场景下，网络预约汽车服务提供 者未经用户同意或超出必要限度向第三方提供数据、对外公开披露数据的风险； 巧 在公开披露违法违规信息时，未采取充分去标识化措施，造成个人信息泄露的风险

GB/T42017—2022

网络预约汽车服务重要数据识别参考规则及数据分类示例

B.2网络预约汽车服务数据分类示份

网络预约汽车服务数据分类示例见表B.1

表B.1网络预约汽车服务数据分类示例

GB/T420172022

表B.1 网络预约汽车服务数据分类示例（续）

表B.1网络预约汽车服务数据分类示例（续）

人信息和常见扩展业务功能收集个人信息范围及

.1网络预约汽车服务通过App收集的驾驶员个人信息范围及使用要求见表C.1。

页约汽车服务通过APP收集的驾驶员个人信息范

表C.2网络预约汽车服务常见扩展业务功能收集的个人信息范围及使用要求

GB/T420172022

表C.2网络预约汽车服务常见扩展业务功能收集的个人信息范围及使用要求（续）

汽车服务App相关系统权限申请范围及使用要

D.1网络预约汽车服务乘客AndroidApp(Android11及以下版本）系统权限申请范围及 表D.1。

气车服务乘客AndroidApp(Android11及以下版本）系统权限申请范围及使用要求见

车服务乘客AndroidApp相关系统权限申请范围

表D.2网络预约汽车服务驾驶员AndroidApp相关系统权限申请范围及使用要求

D.3网络预约汽车服务乘客iOSApp(iOS14及以下版本）系统权限申请范围及使用要求见表D.3。

D.3网络预约汽车服务乘客iOSApp(iOS14及以下版本）系统权限申请范围及使用要求见表D.3

汽车服务乘客iOSApp相关系统权限申请范围

止回阀标准表D.3网络预约汽车服务乘客iOSApp相关系统权限申请范围及使用要求（续）

D.4网络预约汽车服务驾驶员iOSApp(iOS1 及以下版本）系统权限申请范围及使用要求 表D.4网络预约汽车服务驾驶员iOSApp相关系统权限申请范围及使用要求

D.4网络预约汽车服务驾驶员iOSApp(iOS14及以下版本）系统权限申请范围及使用要求见表D.4。

页约汽车服务驾驶员iOSApp相关系统权限申请

为提升××××服务产品安全能力、更好地处理××××服务的司乘纠纷，××××服务上线录音 功能。本协议将向您说明××X×服务收集使用录音信息的情况，请您务必认真阅读本协议，在确认充 分了解后慎重决定是否同意本协议。您点击同意后，本协议生效，对您及××××均具有法律约束力。 1.您同意本协议后，使用××××服务时，××××将通过软件或硬件设备录取您后续全部行程 中的车内环境声音信息（包括您及车上人员交谈或肢体动作产生的声音），且在开始录音前会单独提示。 受技术条件影响，××××各项服务在不同城市上线录音功能的时间不同，具体以××××显示的录音 状态为准。 2.录音将通过×X×X驾驶员ApP或其他具备录音功能的软件或硬件进行。录音仅在驾驶员、乘 客均同意的情况下开启。如乘客使用的App版本未及时更新，无法对录音进行授权，则录音不开启。 3.录音起始时间： a）录音自订单行程开始时起（预约订单自驾驶员到达乘客出发地时起），至行程结束后适当时间 停止（具体以驾驶员App显示的录音状态为准）。乘客自进人车辆后至离开车辆时，将同时被 采集录音信息。 b）其他上线录音功能的服务的录音起始时间以××××App另行告知为准。 4.如您是代他人叫车，在代叫车前请务必告知被代叫车人行程内录音信息收集情况，并征得被代 叫车人同意后，才可为其叫车。 5.录音数据将用于以下明确列明的使用场景： a）作为服务提供者处理用户纠纷的依据； b）为维护用户人身安全等重大合法利益，或情况紧急又很难获得用户同意时。 6.录音数据存储时间不超过7天，当乘客或驾驶员有未处理完毕的纠纷时，对应的行程录音数据 适当延长保存期限，在纠纷处理完毕且超过约定存储时限时将被删除。 7.用户使用的手机等硬件设备故障、网络状态不稳定、ApP版本过旧以及不可抗力等因素均可能 导致录音失败，您对此表示理解，如遇此类问题，××××不需承担责任。 8.××××将严格按照本协议约定收集使用用户录音数据。本协议对相关内容未作明确约定的， 以××××《个人信息保护及隐私政策》约定为准。

附录F （资料性） 投诉处理场景数据安全保护要求

对网络预约汽车服务提供者投诉处理人员账户安全管理要求包括： a）定义并维护投诉处理系统人员账号信息，对投诉处理人员岗位职责、角色和业务类型进行定义 说明，对不同岗位、角色、业务类型投诉处理人员数据访问范围进行限定； b） 采取多因素身份验证措施，防止身份冒用和账号共享，对单一账户多终端同时登录进行限制， 对投诉处理人员登录投诉处理系统网络地址进行限定。

对网络预约汽车服务提供者投诉处理人员账户安全管理要求包括： 定义并维护投诉处理系统人员账号信息，对投诉处理人员岗位职责、角色和业务类型进行定义 说明，对不同岗位、角色、业务类型投诉处理人员数据访问范围进行限定； 采取多因素身份验证措施，防止身份冒用和账号共享，对单一账户多终端同时登录进行限制车库设计规范和图纸， 对投诉处理人员登录投诉处理系统网络地址进行限定。