附录A
(资料性)
网上购物服务数据分类分级示例
A.1网上购物服务数据类别范围
网上购物服务数据是指提供网上购物服务过程中,经网上购物服务平台直接收集或产成的数据。网上购物服务数据可分为:用户数据、业务数据,具体内容如表A.1所示。
表A.1  网上购物服务数据类别与范围
数据类别 范围
用户数据 1)个人基本资料,包括姓名、生日、性别、头像、账户/会员等级、所在地区、收货地址、手机号码、地址等;
2)个人身份信息,包括身份证、护照等;
3)个人生物识别信息,包括面部识别特征、声纹等;
4)网络身份标识信息,包括会员账号或会员名、昵称、I P地址等;
5)个人生理信息,包括身高、体重、三围、鞋码等;
6)个人财产信息,包括银行账户、鉴别信息、网络支付账户、交易和消费记录、会员积分等;
7)个人通信信息,包括与客服的通信/通话记录等;
8)联系人信息,包括代付款人姓名、手机号码、会员昵称,好友的昵称等;
9)个人上网记录,通过日志储存的个人信息主体操作记录,包括网站浏览记录、搜索记录、点击记录、收藏列表、关注店铺等;
10)个人常用设备信息,包括硬件序列号、设备 MAC 地址、软件列表、唯一设备识别码(如
I ME I/Android I D/I DFA/O penUD I D/GU I D/SI M卡 I M SI 信息等)等个人常用设备基本情况的信息
11)个人位置信息,行踪轨迹、精准定位信息、经纬度等;
12)其他信息,用户纠纷记录、用户评价与被评价信息等。
业务数据 1)业务统计数据,包括各类目的交易明细/排名、类目的交易成交总额、页面浏览量、用户访问量等;
2)业务经营数据,包括卖家等级、活动规则、活动方案、类目数据、合作授权价格、优惠活动浮动区间等;
3)业务技术数据,包括算法模型、技术指标参数、技术方案等。
A.2网上购物服务数据分级规则
根据数据重要程度、敏感程度、数据泄露造成的风险以及国家法律法规要求,可将网上购物服务数据分为4级:第1级为非敏感数据,第二级为较敏感数据,第三级为敏感数据,第四级为高敏感数据。
a)第1级非敏感数据是指可以被公共访问和或被用户设置为公开发布的数据,此类数据的公开对
网上购物服务用户或网上购物服务业务不会产生不良影响。具体包括:
1)..... 用户非敏感数据:用户自行公开发布的合法数据,该数据的自由传播是促进相关网上购
物服务活动开展的必要条件;
示例:交易评价等用户输入并公开的数据。
2)..... 业务非敏感数据:网上购物服务平台运营者或平台内运营者公开发布的数据,该数据的
自由传播不会产生任何安全或法律问题;
示例:卖家的等级、已发布的活动规则、已发布的商品类目。
GB/T XXXXX—XXXX b)第2级较敏感数据是指大范围开放可能会对业务或用户造成较小或者不显著的负面影响,但因
用户或业务要求需要对指定体开放的数据。2级数据需经数据所有者授权在特定范围内开放,具体包括:
1)用户较敏感数据:用户已授权可对指定人公开的数据;
示例:与客服人员的通信/通话记录及相关内容。
2)业务较敏感数据:仅限相关业务员工或签署了相应业务保密协议的第三方人员使用的数
据,如果泄露,可能会对该局部业务、客户或者员工造成较小或者不显著的负面影响;
示例:业务交易成交总额。
c)第3级敏感数据是指内部管理和业务运营需要且不应广泛公开的数据,具有较高商业价值,如
果发生非授权的泄露,将直接或间接给用户和业务造成不利影响或损害。
1)用户敏感数据:不能识别特定自然人,但能够与其他信息结合识别特定自然人身份的数据;
示例:电话、、购买记录。
2)业务敏感数据:仅限组织内部相关业务员工使用的数据,如果泄露,会对业务或网上购物
服务平台产生不利影响,造成经济损失、信誉破坏,并可能发生法律责任;
示例:核心业务的各种交易明细/排名。
d)第4级高敏感数据是指具有极高商业价值的数据,即使极少量的泄露也将对业务、用户造成严
重不利影响和损害。
1)用户高敏感数据:个人敏感信息以及能够单独识别特定自然人身份的数据;
示例:身份证号、护照号、用户账户密码。
2)业务高敏感数据:仅限组织内部极少数特点人员访问的数据,如果泄露,会对业务或网上
购物服务平台产生严重不利影响,甚至是对业务造成毁灭性的影响,牵扯到重大法律责任的数据;
示例:合作授权价格、优惠活动浮动区间。
11
附录B
(资料性)
网上购物服务可选个人信息收集范围及使用要求
网上购物服务运营者可选个人信息收集范围及使用要求如表B.1所示:
表B.1 网上购物服务可选个人信息收集范围及使用要求 个人信息类型使用要求
个人敏感信息个人基本资料:姓名、性别、出
生年月日、居住地、昵称、头像
仅用于为用户提供生日权益等附加会员服务 个人上网记录(仅限网上购物平
台内部的上网记录):业务功能
使用记录、点击记录、收藏列表、
关注列表
仅用于满足用户收藏、加购、关注等需求
个人身份信息:姓名、身份证件号码、身份证件照片
个人生物识别信息:人脸、声纹仅用于实人会员认证服务、刷脸登录、用声音进行身份验证、语音购物服务,更好的
保障账户安全
联系人信息:通讯录、好友列表仅用于代付款、添加好友、从通讯录选择联系人作为收件人、通过读取通讯录的形式
选择充值号码、社交分享等功能
个人通信信息:通信/通话记录仅用于提供售后服务、改进服务质量的需求
个人基本资料:性别、职业个人生理信息:身高、体重、三
围、鞋码仅用于网上购物服务中提供个性化服务的需求,如线上线下融合购物中线下导购根据
用户资料进行商品推荐
其他信息:用户发布的评论信息 完成评论信息发布功能的需求
GB/T XXXXX—XXXX
13 附 录 C (资料性)
网上购物服务App 相关系统权限申请范围及使用要求
网上购物服务App 相关系统权限申请范围及使用要求如表C .1、表C .2所示: C.1 Android 权限范围
表C .1 An d roi d  App 相关系统权限申请范围及使用要求
权限名称
使用要求
访问粗略位置 ACCE SS _C O AR S E_L O CAT IO N
仅用于本地生活服务、同城购物等分区域信息推荐等服务 访问精准定位 ACCE SS _F I NE_L O CAT IO N
用户添加当前位置的收货地址、O2O 定位用户位置
等服务
读取通讯录 READ_C O NTACT S 仅用于添加联系人、选择联系人作为收件人、通过读取通讯
录的形式选择充值号码等服务 读取外置存储器 READ_EXTERNAL_S T O RAGE
用于图片搜索商品、评论等服务 写入外置存储器 WR I TE_EXTERNAL_S T O RAGE
用于存储拍摄的照片和视频
拍摄 CAMERA  扫描二维码/条形码、人脸认证、图片搜索商品、评论等服务 录音 REC O RD_AUD IO  语音识别、音视频录制、语音搜索商品、与客服语音交流等
服务
编辑日历 WR I TE_CALENDAR  向用户提供购物或领取权益相关记录及提醒 读取日历 READ_CALENDAR
取消日历提醒,需要读取日历进行确认
C.2 iOS 权限范围
表C .2 i O S  App 相关系统权限申请范围及使用要求
权限名称
使用要求
麦克风 Microphone  仅用于语音识别、音视频录制、直播、语音搜索商品或购物、
与客服语音交流等
通讯录 Contacts  仅用于添加联系人、选择联系人作为收件人、通过读取通讯录
的形式选择充值号码等 始终访问位置
Location  Always  and  When  I n  Use
仅用于基于位置提供的服务 访问位置
仅用于基于位置提供的服务
权限名称使用要求
Location
使用期间访问位置
Location When I n Use
仅用于基于位置提供的服务
相机Camera 扫描二维码/条形码、人脸认证、图片搜索商品、评论、客服等
服务
读取和写入照片库
Photo Library
更换头像、图片搜索商品、发表评论、与客服员沟通等服务 日历
Calendars
向用户提供购物或领取权益相关记录及提醒