1、 ICS 03.220.20 CCS R 80 3502 福 建省厦门市地方标准 DB3502/T 046.4 2021 网约车运 营服务管 理 第4 部分:信息 安全 App-based ride-hailing operation service managementPart 4:Information security 2021-10-21 发布 2021-11-22 实施 厦门市市 场监督 管 理局 发 布 DB3502/T 046.4 2021 I 目 次 前言.II 引言.III 1 范围.1 2 规 范性 引用 文件.1 3 术 语和 定义.1 4 总 体要 求.2 5 网 约车
2、 经营 者信 息安 全.2 6 线 下合 作机 构信 息安 全.6 7 驾 驶员 和乘 客信 息安 全.7 8 管 理部 门信 息安 全.7 参考文 献.9 DB3502/T 046.4 2021 II 前 言 本文件 按照GB/T 1.1 2020 标 准化 工作 导则 第1 部分:标准 化文 件的 结构 和起草 规则 的 规 定起草。本文件 是DB3502/T 046 网约车 运营 服务 管理 的 第4部 分。DB3502/T 046 已 经发布 了以 下部 分:第1部 分:运营 条件;第2部 分:服务 规范;第3部 分:运营 管理;第4部 分:信息 安全。请注意 本文 件的 某些 内容
3、可能涉 及专 利。本文 件的 发布机 构不 承担 识别 专利 的责任。本文件 由厦 门市 运输 事业 发展中 心提 出。本文件 由厦 门市 交通 运输 局归口。本文件 起草 单位:厦 门市 运输事 业发 展中 心、厦门 市标准 化研 究院、厦 门未 来交通 创新 研究 院、滴滴出行 科技 有限 公司。本文件 主要起 草人:王文 杰、王 文果、翁明 鸿、林 少雄、吴珊、沈群 红、李 钊茜、张晓阳、孙 铁、刘浩、张旭。本文件 为首 次发 布。DB3502/T 046.4 2021 III 引 言 推进网 约车 规范 化运 营,有 利于规 范我 市网 约车 管理,进一步 提升 网约 车安 全和 服务
4、水 平。制定 网约车运 营服务 管理 标准,有助 于实现 网约 车行业 规范健 康发展,规 范各方 开展网 约车运 营服 务管理,满足人 民群 众高 品质 出行 需求。DB3502/T 046 拟由 六个部 分构 成。第1 部分:运营 条件,目的在 于规范 网约 车经营 者、专 职网约 车、兼职网 约车、网约车 驾驶 员开展运 营所 需具 备的 条件,作为 网约 车相 关主 体所 遵循的 准入 依据。第2 部分:服务 规范,目的在 于规范 网约 车经营 者及驾 驶员的 服务、网约 车服务 档次要 求、遗失物归 还和 服务 监督 管理,作为 网约 车相 关主 体开 展服务 所需 遵循 的准 则。
5、第3 部分:运营 管理,目的在 于规范 网约 车经营 者、线 下合作 机构 的运营 管理要 求,作 为规 范网约车 相关 主体 运营 管理 的依据。第4 部分:信息 安全,目的在 于规范 网约 车经营 者、线 下合作 机构、驾驶 员、乘 客、管 理部 门的信息 安全 要求,作 为网 约车运 营服 务管 理的 信息 安全防 护依 据。第5 部分:安全 与应 急,目的 在于规 范网 约车经 营者、线下合 作机 构的安 全与应 急要求,作 为网约车 运营 安全 与应 急处 置依据。第6 部分:监督 管理,目的在 于规范 网约 车管理 部门的 监督管 理要 求,作 为管理 部门开 展网 约车监督 管理
6、 的依 据。DB3502/T 046.4 2021 1 网 约车运 营服务管 理 第 4 部 分:信 息安全 1 范围 本文件 规定 了网 络预 约出 租汽车(简 称网 约车)经 营者、网约 车线 下合 作机 构、网 约车 驾驶 员、网约车乘 客、网约 车管 理部 门的信 息安 全要 求。本文件 适用 于网 约车 运营 服务管 理活 动中 的信 息安 全防护。2 规范性 引用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 文件必 不可 少的 条款。其 中,注日 期的 引用 文件,仅该日 期对 应的 版本 适用 于本文 件;不注 日期 的引 用文件,其 最新 版本(包 括
7、所有 的修 改单)适 用 于 本文件。GB 25069 信息 安全 技术 术语 GB/T 22239-2019 信 息安 全技术 网 络安 全等 级保 护 基本要 求 GB/T 29245-2012 信 息安 全技术 政 府部 门信 息安 全 管理基 本要 求 GB/T 35273-2020 信 息安 全技术 个 人信 息安 全规 范 DB 3502/T 046.1-2019 网约车 运营 服务 管理 第1 部分:运营 条件 DB 3502/T 046.2-2019 网约车 运营 服务 管理 第2 部分:服务 规范 DB 3502/T 046.3-2019 网约车 运营 服务 管理 第3 部分
8、:运营 管理 3 术语和 定义 GB 25069、JT/T 1068、DB3502/T 046.1-2019、DB3502/T 046.2-2019 和DB 3502/T 046.3-2019 界定的以 及下 列术 语和 定义 适用于 本文 件。用户 user 使用网 约车 服务 的个 人,通常包 括乘 客和 驾驶 员。乘客包 括约 车人 和乘 车人。保密性 information confidentiality 确保信 息只 被授 权人 员访 问。完整性 integrity 包括数 据完 整性 和系 统完 整性。数 据完 整性 表征 数 据所具 有的 特性,即无 论 数据形 式作 何变 化,
9、数据 的 准确 性 和一 致 性均 保持 不 变的 程 度;系 统完 整性 表 征系 统 在防 止 非授 权用 户 修改 或 使用 资 源和防止授权 用户 不正 确地 修改 或使用 资源 的情 况下,系 统能履 行其 操作 目的 的品 质。可用性 availability 表征数 据或 系统 根据 授权 实体的 请求 可被 访问 与使 用程度 的安 全属 性。DB3502/T 046.4 2021 2 约车人 booking person 向网络 服务 平台 发送 预约 用车请 求的 人,可以 不是 乘车人。4 总体要 求 网约车 经营者、线 下合作 机构、管理部 门在 运营服 务管理 活动中
10、 应按 照本文 件要求 开展信 息安 全管理工 作,确保 网约 车运 营服务 管理 的信 息安 全,并接受 相关 部门、社 会各 界的监 督。网约车 经营 者、线下 合作 机构、管理 部门 在个 人信 息处理 活动 中应 遵循 合法、正当、必 要的 原则,并参 照GB/T 35273-2020 中的要 求执 行。网约车 经营 者的 网络 信息 安全保 护能 力应 不低 于 GB/T 22239-2019 中 规定 的 第二级 等级 防护 要求;网约车 线下 合作 机构、管 理部门 的网 络信 息安 全保 护能力 应参 照 GB/T 22239-2019 的 规定 确定 等级 防护或相 关要 求
11、。5 网约车 经营 者信 息安 全 安全管 理 5.1.1 基本要 求 应确保 网约 车信 息的 保密 性、可用 性和 完整 性,包 括 但不限 于建 立安 全管 理制 度、设立 安全 管理 岗位、处 理安 全事 件、编制 应急预 案及 演练、开 展安 全检查 及优 化。5.1.2 信息安 全管 理制 度 5.1.2.1 应建立 符 合GB/T 22239-2019 中 第二 级及 以上 安全 要求的 安全 管理 制度,对 信息安 全工 作 开展管理。5.1.2.2 应明确 网约 车经 营者 信息 安全保 护的 组织 机构、岗 位职能 和人 员职 责。5.1.2.3 应对网 约车 运营 服务
12、过程 中的信 息安 全管 理流 程,信息安 全操 作规 范予 以明 确。5.1.2.4 应设置 专门 的部 门及 人员 负责信 息安 全管 理制 度的 制定。5.1.2.5 信息安 全管 理制 度应 通过 正式、有效 的方 式向 经营 者内部 全体 人员 发布,并 进行版 本控 制。5.1.3 信息安 全管 理机 构 5.1.3.1 应设立 信息安 全管 理工作 的职能 部门,设立 信息安 全主管、安全 管理 各岗位 负责人,并规 定各负责 人职 责。5.1.3.2 应配备 足够 数量 的信 息安 全管理 人员。5.1.3.3 应根据 各部 门和 岗位 的职 责明确 信息 安全 授权 审批 事
13、项、审批 部门 和批 准人。5.1.3.4 应针对 系统 变更、物 理访 问、系统 接入、数 据传 输和 数 据使用 等事 项执 行信 息安 全审批 过程。5.1.3.5 应加强 经营者 内部 各类管 理人员、组织 机构 和信息 安全管 理机构 之间 的合作 和沟通,定期 召开协调 会议,共 同协 作处 理信息 安全 问题。5.1.3.6 应定期 进行信 息安 全管理 工作检 查与审 核,检查内 容包括 系统日 常运 行,系 统漏洞 和数据 安全等情 况。5.1.4 信息安 全管 理人 员 DB3502/T 046.4 2021 3 5.1.4.1 应对被 录用的 信息 安全管 理人员 的身份
14、、安 全背景、专业 资格或 资质 进行审 查,并 签署保 密协议。5.1.4.2 应及时 终止 离岗 人员 的所 有访问 权限,收 回各 种工 作 证件、钥匙 及经 营者 提供 的 软硬件 设备,并要求 继续 履行 保密 义务。5.1.4.3 应对经 营者 内部 各类 工作 人员进 行信 息安 全教 育和 培训,宣贯 信息 安全 责任 和惩戒 措施。5.1.4.4 应在外 部人员 接入 受控网 络访问 系统前 提出 书面申 请,批 准后由 专人 开设账 户、分 配权限 并登记备 案,并与 外部 人员 签订保 密协 议。5.1.5 信息安 全 事 件处 理 5.1.5.1 应形成 信息安 全事
15、件的监 控机制,及时 发现 系统弱 点、可 疑事件 和安 全事件,并向 信息安 全管理部 门报 告。5.1.5.2 应建立 信息安 全事 件报告 和处理 制度,明确 不同类 型和影 响的事 件报 告、响 应和处 置流程,规定信 息安 全事 件现 场处 理、事 件报 告和 后期 恢复 等环节 的管 理职 责。5.1.5.3 应在信 息安 全事 件响 应和 处置过 程中,分 析和 鉴定 事 件产生 原因,收 集证 据,记 录处理 过程,总结经 验教 训,并追 究相 关人员 责任。5.1.5.4 应及时 将事件 相关 情况 以 邮件、信函、电话、推送 通知等 方式告 知受 影响的 个人信 息主体。难
16、以逐 一告 知个 人信 息主 体时,应采 取合 理、有效 的方式 发布 与公 众有 关 的 警示信 息。5.1.6 应急预 案及 演练 5.1.6.1 应分析 不同 类型 信息 安全 事件的 影响 程度 和范 围,制 定有效 的应 急预 案,包括 应 急处理 流程、系统恢 复流 程、数据 恢复 流程等。5.1.6.2 应定期 对系 统和 数据 安全 相关人 员进 行应 急预 案培 训,定 期开 展应 急预 案演 练。5.1.7 安全检 查 5.1.7.1 应制定 信息 安全 检查 计划 和方案,明 确检 查范 围、对象和 方法。5.1.7.2 应定期 开展 信息 安全 检查,记录 检查 活动,
17、分 析潜 在信息 安全 风险。5.1.7.3 应持续 改进 信息 安全 管理 制度,优化 信息 安全 事件 处理流 程和 应急 预案。信息安 全 5.2.1 数据收 集 5.2.1.1 采集乘 客的个 人信 息,分 为乘客 必要信 息和 可选信 息,必 要信息 的采 集应用 于网约 车基础 服务,可选 信息 的采 集应 用 于乘客 自主 选择 的可 选业 务功能,不得 超越 提供 网 约车业 务所 必需 的范 围。乘客必要 信息 和乘 客可 选信 息具体 如下:a)乘客必 要信 息包 括 身 份信 息、位 置信 息、订单 信息、交易 信息、通信 设 备信 息 等。b)乘客可 选信 息包 括实
18、际乘 车人姓 名及 手机 号码、紧 急联系 人姓 名及 手机 号码、家庭 住址、公 司地址、虚拟 电话 号码 通话 录音、App 端内 在线 沟通 记录、服务 评价、乘 客与 客服的 通话 记录、发票信 息、纸质 发票 收件 地址、电子 发票 收件 邮箱 等。5.2.1.2 采集驾 驶员的 个人 信息,分为驾 驶员静 态信 息和动 态运营 信息,不得 超越提 供网约 车业务 所必需的 范围。驾 驶员 静态 信息和 动态 运营 信息 具体 如下:a)驾驶员 静态 信息 包括 身份 信息、车辆 信息、许 可信 息、收款 信 息、通信 设备 信息 等。DB3502/T 046.4 2021 4 b)
19、驾驶员 动态 运营 信息 包括 位置信 息、行 程轨 迹、订 单信息、行程 录音、行 程 驾驶行 为信 息等,网约车 安装 有智 能车 载设 备的,收集 的驾 驶员 动态 运营信 息包 括行 程录 像。5.2.1.3 为保障 服务正 常开 展,需 向乘客 申 请移 动终 端操作 系统位 置信息 权限,需向 驾驶员 申请移 动终端操 作系 统位 置信 息、麦克风 和相 机权 限,网络 预约汽 车服 务 App 采 集位 置信息 频率 每秒 不应 超 过 一次。5.2.1.4 应通过 其服务 平台 以显著 方式 向 个人信 息主 体告知 采集和 使用 用 户个 人信息 的目 的、方式、范围,保障
20、其知 情权,并 获得个 人信 息主 体的 授权 同意。5.2.2 数据传 输 5.2.2.1 基本要 求 应根据 业务 情况 确定 数据 传输的 类型、方式 和数 量,采取数 据加 密等 保护 措施,不 向无 关第 三方 传输网约 车驾 驶员 与乘 客信 息数据。5.2.2.2 安全区 域边 界 数据传 输网 络 安 全区 域边 界应符 合GB/T 22239-2019 中规定 的第 二级 安全 要求 中关于 边界 防护 和 访问控制 的相 关要 求。5.2.2.3 紧急情 况下 数据 传输 在紧急 情况 下数 据传输 应 遵循如 下要 求:a)用 户 设置 的 紧急 联系 人 以用 户 人身
21、 安 全存 在重 大 风险 为 由,要 求网 约车 经 营者 提 供用 户 信 诚信息和 位置 信息 的,网 约 车经营 者应 先尝 试联 系用 户,如无 法联 系到 用户 则 向紧急 联系 人提 供相应信 息,如联 系到 用户,则按 用户 要求 处理。b)网 约 车经 营 者应 为用 户 提供 紧 急联 系 人查 询信 息 授权 功 能。用 户授 权紧 急 联系 人 查询 用 户 个人信息 的,紧急 联系 人要 求获取 用户 个人 信息 时,网约车 经营 者应 予以 提供。c)网约车 经营 者应 提供“一 键呼叫”功能,用 户遇 紧 急情况 使用 时,能 够实 现 向网约 车平 台发 送车辆
22、实 时动 态信 息及 人员 信息。5.2.2.4 地图服 务数 据传 输 接入第 三方 地图 服务 为乘 客和 驾 驶员 提供 路径 规划、导 航服 务时,在征 得乘 客 明示同 意后,可向 地图服务 方传 输通 信设 备信 息、实 时位 置和 路线 规划 信 息,不 应传 输乘 客或 驾驶 员 的手机 号码 及身 份信 息。5.2.2.5 第三方 平台 数据 传输 接入第 三方 平台,乘 客可 通过第 三方 平台 发单 的,网约车 经营 者与 第三 方平 台应约 定传 输个 人信 息类型,传输 信息 应以 为乘 客提供 网约 车服 务所 必须 的信息 为限。5.2.2.6 网络支 付数 据传
23、 输 网约车 服务 中乘 客使 用网 络支付 的,在征 得乘 客明 示同意 后,网约 车经 营者 可向网 络支 付机 构传 输支付时 间、支付 金额、支 付渠道 等支 付信 息。5.2.2.7 司乘沟 通信 息 应在司 乘沟 通环 节提 供如 下保障:DB3502/T 046.4 2021 5 a)网约车 经营 者应 采用“虚 拟号码”技 术,保障 驾驶 员、乘 客真 实手 机号 码互 不可见。订 单结 束或取消 后,虚 拟号 码自 动失 效,确保 驾驶 员乘 客之 间不 能再互 相联 系,避 免个 人手 机号码 泄露。b)网约车 经营 者应 提供 司乘 间即时 通讯 服务,司 乘双 方可通
24、过 App 互相 发送 文 字或语 音信 息 联系行程 事宜,行 程结 束后 联系通 道自 动关 闭。5.2.3 数据存 储 5.2.3.1 应遵守 国家网 络和 信息安 全有关 规定,所采 集的个 人信息 和生成 的业 务数据,应当 在中国 大陆境内 存储,保 存期 限不 少于 2 年,除法 律法 规另 有规定 外,不得 外流。5.2.3.2 应对涉 及安 全类 投诉 的相 关数据 进行 永久 保存。5.2.3.3 应将个 人身 份信 息、面部 识别特 征和 行程 录音 录像 数据分 开存 储。5.2.3.4 采集的 行程轨 迹和 行程录 音录像 数据不 应存 储在办 公终端 中,应 在有
25、安全防 护措施 的服务 器端存储。5.2.3.5 应部署 数据容 灾备 份系统,关键 数据宜 采取 异地备 份,采 用同步 或异 步方式 实时在 线备份 数据。5.2.3.6 应制定 灾难恢 复预 案并定 期演练,一旦 灾难 发生能 在短时 间内恢 复数 据,保 障信息 系统的 业务连续 性。5.2.4 数据使 用 5.2.4.1 规范数 据使 用的 范围 应遵守 如下 数据 使用 范围 要求:a)网约车 经营 者可 在用 户明 示同意 的前 提下,使用 前 述个人 信息 进行 用户 个人 信息展 示、用 户 画像使用 和驾 驶员 信用 记录 使用;b)未经用 户明 示 同 意,网约 车经营
26、者不 得使 用前 述用 户个人 信息 用于 开展 其他 业务;c)除按规 定向 监管 部门 提供 有关信 息,配 合国 家机 关 依法行 使监 督检 查权 或刑 事侦查 权外,网 约车经营 者不 得向 任何 第三 方提供 驾驶 员和 乘客 的姓 名、联 系方 式、家庭 住址、银行账 户或 支 付账户、地 理位 置、出行 线 路等个 人信 息,不 得泄 露 地理坐 标、地 理标 志物 等 事关国 家安 全的 敏感信息。5.2.4.2 个人信 息展 示 在展示 个人 信息 时应 遵循 如下要 求:a)订单匹 配后,向乘 客和 驾 驶员展 示对 方个 人信 息用 于身份 核验 时,所 展示 的 个人
27、信 息应 以满 足核验需 求为 限,可向 乘客 展示的 驾驶 员信 息包 括驾 驶员姓 名、照片、手 机号 码、实 时位 置、车辆 信 息和 服 务评 价结 果,向 驾 驶员 展 示的 乘客 信 息包 括 乘客 手 机号 码最 后 四位 和 服务 评 价 结果;b)订单匹 配后,为 乘客 和驾 驶员提 供电 话沟 通渠 道时,应使 用虚 拟电 话号 码;c)乘 客 和驾 驶 员使 用行 程 分享 功 能将 其 行程 分享 给 亲友 时,向 亲 友分 享的 信 息包 括 分享 人 手 机号码、驾驶 员姓 氏、驾驶 员头像、出 发地、目 的地、实时 位置 和车 辆信 息;d)订单完 成后,为 用户
28、 保留 纠 纷处理 的联 系通 道(例如 物 品遗失 沟通)时,应 使用 虚 拟电话 号码;e)向乘客、驾 驶员 展示 对方 给出的 评价 内容 时,应延 时 24 小时 及以 上,且匿 名 展示;f)应 对 内部 业 务系 统需 展 示的 用 户个 人 信息 采取 去 标识 化 处理,为去 标识 化 信息 提 供查 看 完 整信息功 能的,应 对查 看行 为留存 审计 日志。DB3502/T 046.4 2021 6 5.2.4.3 用户画 像使 用 在开展 用户 画像 时应 遵循 如下要 求:a)根据用 户个 人信 息进 行用 户画像,制 定派 单策 略时,应以保 护用 户人 身和 财产
29、安全为 原则,尊重用户 合法 权利;b)根据用 户画 像进 行个 性化 展示时,应 显著 区分 个性 化展示 的内 容和 非个 性化 展示的 内容;c)不应利 用大 数据 分析 等技 术手段,基 于 用 户消 费记 录、消 费偏 好等 设置 不公 平的交 易条 件,侵犯用户 合法 权益。注:基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一样的内容和搜索结果排序,则不属于个性化展示。5.2.4.4 驾驶员 信用 记录 使用 在使用 驾驶 员信 息记 录时 应遵循 如下 要求:a)建立驾 驶员 信用 记录 用于 驾驶员 管理 时,驾 驶员 注 销账号
30、后,对 于驾 驶员 曾 在服务 过程 中产 生的违反 法律 法规 和违 反平 台规则 的信 用记 录,以 及 低于初 始分 的信 用记 录,网约车 经营 者在 提供服务 期间 可持 续保 存;b)驾驶员 注销 账号 后重 新注 册的,对 于驾 驶员 在服 务 过程中 产生 的违 反法 律法 规、违 反 平台 规 则的信用 记录,以 及低 于初 始分的 信用 记录,网 约车 经营者 宜予 以恢 复驾 驶员 信用记 录。6 线下合 作机 构信 息安 全 车辆管 理线 下合 作机 构信 息安全 6.1.1 管理要 求 6.1.1.1 应建立 信息 安全 管理 制度,对车 辆信 息安 全开 展管 理工
31、作。6.1.1.2 应建立 租赁 经营 信息 管理 档案,并按 照要 求向 管理 部门报 送数 据信 息。6.1.1.3 应建立 符合 信息 安全 管理 制度的 管理 岗位,负 责实 施租赁 经营 服务 中的 信息 安全管 理工 作。6.1.1.4 发生重 大信 息安 全事 故时,应及 时向 管理 部门 报告,并采 取有 效补 救措 施。6.1.1.5 应定期 开展 信息 安全 检查,记录 检查 活动,分 析潜 在信息 安全 风险。6.1.2 信息安 全 6.1.2.1 不应泄 露网约 车车 辆车牌 号码、车牌颜 色、车辆厂 牌、车 辆类型、车 辆型号、所属 车主、车身颜色、车 辆照 片、网约
32、 车运输 证 或 兼职 网约 车备 案证 等 车辆 信息。6.1.2.2 不应泄 露车辆 保险 公司、保险号、保险 类型、保险 金额、保险生 效时 间及保 险到期 时间等 信息。驾驶员 管理 线下 合作 机构 信息安 全 6.2.1 管理要 求 6.2.1.1 应建立 信息 安全 管理 制度,对驾 驶员 信息 安全 开展 管理工 作。6.2.1.2 应建立 驾驶 员信 息管 理档 案,并 按照 要求 向管 理部 门报送 数据 信息。DB3502/T 046.4 2021 7 6.2.1.3 应建立 符合信 息安 全管理 制度的 管理岗 位,负责实 施网约 车驾驶 员线 下管理 中的信 息安全
33、管理工作。6.2.1.4 发生重 大信 息安 全事 故时,应及 时向 管 理 部门 报告,并采 取有 效补 救措 施。6.2.1.5 应定期 开展 信息 安全 检查,记录 检查 活动,分 析潜 在信息 安全 风险。6.2.2 信息安 全 6.2.2.1 采集的 驾驶员 个人 信息主 要包括 姓名、手机 号码、身份证、驾驶 证、行驶证、网约 车驾驶 员证、网 约车 运输 证 或 兼职 网约车 备案 证等,不 应超 越提供 网约 车驾 驶员 线下 管理业 务所 必需 的范 围。6.2.2.2 应通过 协议 等显 著方 式告 知驾驶 员信 息采 集和 使用 目的、方式、范 围,保障 其知情 权。6.
34、2.2.3 不应泄 露网 约车 驾驶 员个 人信息。7 驾驶员 和乘 客信 息安 全 乘客不 宜向 驾驶 员透 露约 车人或 乘车 人的 姓名 及联 系方式 等个 人信 息。驾驶员 不应 询问 和泄 露乘 客的姓 名、联系 方式、家 庭住址、乘 车地 址、出行 线路等 个人 信息。乘客不 应询 问和 泄露 驾驶 员的姓 名、联系 方式、家 庭地址 等个 人信 息。8 管理部 门信 息安 全 管理要 求 8.1.1 基本要 求 管理部 门开展 信 息安 全 管 理应遵 循GB/T 29245-2012 中的 相 关规 定。8.1.2 建立信 息泄 露报 告制 度 发生信 息泄 露后,应及 时 采
35、取有 效补 救措 施,告 知 相关信 息主 体,并 按规 定 向上级 管理 部门 及信 息安全管 理部 门报 告。8.1.3 安全审 计与 监督 8.1.3.1 应按如 下要 求对 网约 车经 营者 开 展安 全 审 计与 监督:a)应组织 第三 方对 网约 车经 营者开 展信 息安 全审 计,发布年 度信 息安 全报 告;b)应 组 织或 委 托专 业机 构,对 网 约车 经 营者 在本 市 产生 的 信息 安 全性 和可 能 存在 的 风险 每 年 至少进行 一次 检测 评估,并 对检测 评估 情况 及采 取的 改进措 施提 出网 络安 全报 告;c)审计记 录和 留存 时间 应符 合法律
36、 法规 的要 求。8.1.3.2 管理部 门 应 接受 网络 安全 监管部 门 等 相关 部门 的监 督管理,并 接受 社会 各界 监督。信息安 全 8.2.1 数据接 入 管 理 部 门应 督 促网 约 车经营 者 按 照规 定 的要 求 将真实 可 信、符 合 行业 监 管需求 的 运 营服 务 数据 接入厦门 市网 约车 监管 平台。DB3502/T 046.4 2021 8 8.2.2 数据存 储 管理部 门应要 求网 约车经 营者,对接入 厦门 市网约 车监管 平台的 数据 保存不 少于2年,数 据存储 介质防护 管理 应符合GB/T 29245-2012 中5.7 的要 求。8.2
37、.3 系统防 护 管理部 门应 按照GB/T 29245-2012 中5.3的 要求 开展 信息系 统防 护管 理。8.2.4 终端防 护 管理部 门所 使用 的终 端计 算机应 按照GB/T 29245-2012 5.6 终 端计 算机 防护 管 理的要 求开 展防 护工作。DB3502/T 046.4 2021 9 参考文 献 1 中华 人民 共和 国网 络安全 法 2016 年11 月7 日第十 二届 全国 人民 代表 大会常 务委 员会 第二 十四次会 议通 过 2 中华 人民 共和 国电 子商务 法 2018 年8 月31 日第十 三届 全国 人民 代表 大会常 务委 员会 第五 次
38、会议通 过 3 电信 和互 联网 用户 个人信 息保 护规 定 2013 年7月16 日 中华 人民 共和 国 工业和 信息 化部 令第24号公 布,自2013 年9 月1 日起 施行 4 移动 互联 网应 用程 序 信息服 务管 理规 定 2016 年6月28 日 国家 互联 网信 息 办公室 发布,自2016年8月1 日起 实施 5 网络 交易 监督 管理 办 法国 家市 场监 督管 理总 局令第37 号 公布,自2021 年5月1 日起 施行 6 网 络预 约出 租汽 车 经营服 务管 理暂 行办 法2016 年7 月27 日交 通运 输部、工业 和信 息化 部、公安部、商务 部、工商总 局、质 检总局、国 家网信 办发布,根据2019 年12 月28 日交 通运 输部 工业 和信息化 部 公 安部 商务部 市场监 管总局 国家 网信 办 关于修 改的 决定 修 正 7 小微 型客 车租 赁经 营服务 管理 办法 交通 运 输部令2020 年第22 号 8 网络 预约 出租 汽车 监管信 息交 互平 台总 体技 术要求(暂 行)交办 运 2016 180 号 9 GB 28827.4-2019 信 息技术 服务 运 行维 护 第4 部分:数据 中心 服务 要求
