YD ICS 33.030 CCS M 21 中华人民共和国通信行业标准 YD/T XXXXXXXX 电信和互联网服务用户个人信息保护技 术要求网络约车出行服务 personal information protectionOnline ride-hailing service (报批稿) XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布 YD/T XXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件是“电信和互联网服务用户个人信息保护”系列标准之一，该系列标准名称预计如下： a) YD/T2781电信和互联网服务用户个人信息保护定义及分类； b) YD/T2782电信和互联网服务用户个人信息保护分级指南； c) YD/T3105电信和互联网服务用户个人信息保护技术要求电子商务服务； (P YD/T3106电信和互联网服务用户个人信息保护技术要求移动应用商店； e) YD/T3327电信和互联网服务用户个人信息保护技术要求即时通信服务； f) YD/TXXXX电信和互联网服务用户个人信息保护技术要求网络约车出行服务； YD/TXXXX电信和互联网服务用户个人信息保护技术要求基础电信服务。 g) 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、北京易行出行旅游有限公司、南京领行科技股份有限公 司、北京奇虎科技有限公司。 本文件主要起草人：李鑫、常浩伦、郭文双、臧磊、汤立波、李宗祥、刘欢、张中维、谷中宝、 刘烨、任海峰、秦文聪。 II YD/T XXXX-XXXX 电信和互联网服务用户个人信息保护技术要求网络约车出行 服务 1范围 本文件规定了网络约车出行服务中个人信息的收集、存储、使用、加工、传输、提供、公开、 删除等环节的个人信息保护技术要求。 本文件适用于网络约车出行服务提供者在提供服务过程中规范自身个人信息处理活动，也适 用于主管部门、第三方评估机构等相关网络约车出行服务提供者的个人信息保护能力进行监督和 评估。 2规范性引用文件 本文件没有规范性引用文件。 3术语和定义 本文件没有需要界定的术语和定义。 4网络约车出行服务中个人信息范围 网络约车出行服务相关方包括网络约车出行服务提供者（网络约车出行服务运营者、第三方 网络服务平台）、用户（叫车人、乘车人、网约车驾驶员、出租车驾驶员）。第三方网络服务平 台接入一家或者多家网络约车出行服务运营者，为用户提供服务。 根据网络约车出行服务业务场景，参考GB/T43506-2023第6章的描述，将网络约车出行服务 所涉及到的信息进行分类，提出网络约车出行服务收集个人信息典型范围及场景，如表1所示。 表1网络约车出行服务收集个人信息典型范围及场景 序号 类型 子类 范围 信息举例 典型处理场景 A1-1:用户基本资 个人姓名、生日、性别、民族、国籍、 1 用户注册 料 住址、手机号码等 A1-2:用户身份证 证件类型及号码，例如身份证、护照、 2 用户注册 明 机动车驾驶证等 A1-3:用户私密资 揭示个人种族、家属信息、宗教信仰、 A1:用户自 用户注册 料 个人健康、私人生活等用户私密信息 然人身份和 A1-4:用户生物特 标识信息 4 指纹、声纹、虹膜、面部特征等信息 用户注册 A:用户身 征 份和鉴权 网络预约出租汽车驾驶员证、网络预 信息 A1-5:背景审核资 约出租汽车运输证、车辆监督卡、车 5 用户注册 料（仅限司机端） 辆保险、信用记录、违法犯罪记录及 符合城市人民政府规定的其他条件 头像、会员账号或会员名、昵称、网 A2-1:用户网络身 A2:用户虚 络地址、个人数字证书、电子邮件地 6 份标识和鉴权信 用户注册 拟身份和鉴 址及服务所涉及的登录密码、以及这 息 权信息 些密码关联的密码保护答案等 7 A2-2:交易类服务 各类交易账号和相应的密码、密码保」支付结算 YD/T XXXX-XXXX 身份标识和鉴权 护答案等。 信息 B1-1:用户车辆数 车辆号牌、车辆类型、品牌型号、车 8 用户注册、导航 据 辆识别代号等 订单类型、出发地点、目的地、订单 呼叫车辆、司机 B1-2:订单数据 时间、订单里程、订单金额等 接单 乘坐车辆、司机 B1-3:行程记录数 轨迹数据、行程录像录音信息等 接单、运送乘 10 B1:用户服 据 客、安全风控 B:用户数 务内容和资 支付金额、支付方式、银行卡相关信 支付结算、开具 11 据和服务 料数据 B1-4:支付数据 息等 发票 内容信息 网络地址、卫星定位以及能够提供地 理位置相关信息的其他传感器所产生 12 B1-5:位置信息 呼叫车辆 的数据，例如无线接入点、基站等信 息 13 B1-6:联系人信息 通讯录、紧急联系人等信息 乘坐车辆 B2用户社 B2-1:司乘交流信 14 司乘间对话文字、语音等信息 呼叫、乘坐车辆 交内容信息 息 15 C1-1:评论数据 用户的评价与服务评价结果等 服务评价 C1-2:用户服务使 订单记录、付款记录、与客服的通信 记录查询、开具 16 用记录 记录、用户纠纷记录等 发票 C1-3:用户违规记 发布违规信息、驾驶员的违章记录、 17 安全风控 C1:用户服 录 用户的作弊记录等 18 务衍生信息 Cookie内容、搜素记录、浏览记录等 用户画像分析 C1-4：服务日志 C1-5:服务统计数 乘客出行次数、乘客出行里程数、驾 用户画像分析、 19 据 驶员接单数量和服务天数等 统计分析 C:用户服 C1-6:个性化分析 20 务相关信 常用上下车点、兴趣爱好等 个性化服务 结果 息 硬件型号、操作系统版本、设备配置、 广告推广、用户 C2-1:设备属性信 唯一设备标识符、国际移动设备身份 21 画像分析、安全 息 码、网络设备硬件地址、广告标识符 风控 C2:用户设 等 备信息 C2-2:设备连接信 浏览器的类型、电信运营商、使用的 22 息 语言等 C2-3:设备状态信 设备传感器数据，设备应用安装列表 23 息 等 5网络约车出行服务中个人信息保护级别 5.1网络约车出行服务中个人信息保护分级方法 根据GB/T43697-2024，基于网络约车出行服务的用户个人信息按照一般数据和重要数据（不 涉及核心数据）划分网络约车出行服务分级保护方法，保护级别由低到高划分为1～5级。服务所 处理的用户个人信息敏感程度、一旦泄露、丢失、破坏造成的危害程度越高，该服务的用户个人 信息保护级别就越高。 2 YD/T XXXX-XXXX 5.2第5级服务的分级方法 如果网络约车出行服务提供者在提供服务过程中处理第5级分级要素，则该服务的用户个人信 息保护级别为5级，第5级服务的分级要素包括以下内容。 一A1-2（用户身份证明）：包括但不限于证件类型及号码，例如身份证、护照、机动车驾 驶证等。 一A1-3（用户私密资料）：包括但不限于揭示个人种族、家属信息、宗教信仰、个人健康、 私人生活等。 A1-4（用户生物特征）：包括但不限于指纹、声纹、虹膜、面部特征等信息。 一A1-5：（背景审核资料）：包括但不限于网络预约出租汽车驾驶员证、网络预约出租汽车 运输证、车辆监督卡、车辆保险、信用记录、违法犯罪记录及符合城市人民政府规定的其他条件。 一A2-2（交易类服务身份标识和鉴权信息）：包括但不限于各类交易账号和相应的密码、 密码保护答案等。 一一B1-3（行程记录数据）：包括但不限于轨迹数据、行程录像录音信息等。 5.3第4级服务的分级方法 如果网络约车出行服务提供者在提供服务过程中未处理第5级服务分级要素，但处理第4级 服务分级要素，则该服务的用户个人信息保护级别为4级，第4级服务的分级要素包括以下内容。 一A1-1（用户基本资料）：包括但不限于个人姓名、生日、性别、民族、国籍、住址、手 机号码等。 A2-1（用户网络身份标识和鉴权信息）：包括但不限于头像、会员账号或会员名、昵称、 网络地址、个人数字证书、电子邮件地址及服务所涉及的登录密码、以及这些密码关联的密码保 护答案等。 一B1-1（用户车辆数据）：包括但不限于车辆号牌、车辆类型、品牌型号、车辆识别代号 等。 一B1-2（订单数据）：包括但不限于订单类型、出发地点、目的地、订单时间、订单里程、 订单金额等。 B1-4（支付数据）：包括但不限于支付金额、支付方式、银行卡相关信息等。 一B1-5（位置信息）：包括但不限于网络地址、卫星定位以及能够提供地理位置相关信息 的其他传感器所产生的数据，例如无线接入点、基站等信息。 一C1-3（用户违规记录）：包括但不限于发布违规信息、驾驶员的违章记录、用户的作弊记 录等。 一一C1-6（个性化分析结果）：包括但不限于常用上下车点、兴趣爱好等。 5.4第3级服务的分级方法 如果网络约车出行服务提供者在提供服务过程中未处理第4级、第5级服务分级要素，但处 理第3级服务分级要素，则该服务的用户个人信息保护级别为3级，第3级服务的分级要素包括 以下内容。 一一B1-6（联系人信息）：包括但不限于通讯录、紧急联系人等。 一C1-2（用户服务使用记录）：包括但不限于订单记录、付款记录、与客服的通信记录、 用户纠纷记录等。 一C1-4（服务日志）：包括但不限于Cookie内容、搜素记录、浏览记录等。 一C1-5（服务统计数据）：包括但不限于乘客出行次数、乘客出行里程数、驾驶员接单数 3 YD/T XXXX-XXXX 量和服务天数等