針對iso27001信息安全，網約車亮身份

　　根據(jù)交通部指示，網約車平臺應建立信息安全保護制度，加強對個人信息、國家安全信息的保護。個人信息包括駕駛員、約車人和乘客的姓名、聯(lián)系方式、家庭住址、銀行賬戶或者支付賬戶、地理位置、出行線路等;國家安全信息包括地理坐標、地理標志物等。

　　貴陽市昨天公布網約車管理暫行辦法，與全國其他城市推出的網約車嚴苛準入門檻相比，貴陽在車輛軸距、價格、排量、數(shù)量管制上的“四無要求”堪稱最為開明。與暫行辦法一同發(fā)布的《網約車信息安全管理暫行辦法》，更是國內首個針對網約車信息安全制定的管理辦法。以往一些通過網絡預約的汽車服務，曾經出現(xiàn)過不少乘客信息被泄露情況，最新出臺的《貴陽市網約車信息安全管理暫行辦法》明確網約車平臺公司的主體責任，要求各家公司必須對所有涉及乘客的姓名、性別、電話號碼、身份證號等加密，交易信息所有敏感信息無法通過任何渠道非法獲取。此外，平臺公司不能超越業(yè)務范圍收集和使用乘客的位置、金融等個人信息。

　　關于印發(fā)《貴陽市網約車信息安全管理暫行辦法》的通知

　　筑交通[2016]號129號

　　市直有關部門：

　　《貴陽市網約車信息安全管理暫行辦法》已經市人民政府研究同意，現(xiàn)印發(fā)給你們，請遵照執(zhí)行。

　　貴陽市網約車信息安全管理暫行辦法

　　第一章總則

　　第一條為保證我市網約車市場信息安全，維護網絡空間公共利益，保護乘坐人、網絡平臺公司、網約車駕駛員及個體所有人的合法權益，促進網約車市場的有序經營和管理，制定本規(guī)定。

　　第二條在貴陽市從事網約車信息服務的交易雙方所涉及的信息安全監(jiān)督管理，適用本規(guī)定。

　　第三條堅持誠實守信、健康文明的服務行為，形成全社會共同參與、促進信息安全的良好環(huán)境。

　　第四條貴陽市交通委員會、貴陽市公安交通管理局、貴陽市大數(shù)據(jù)發(fā)展管理委員會加強交流與合作，形成合力、齊抓共管，推動網約車市場的安全、開放和有序。

　　第五條市交通運管部門負責統(tǒng)籌網約車信息的相關監(jiān)督管理工作。公安部門、大數(shù)據(jù)管理部門和其他有關部門在各自職責范圍內負責安全保護和監(jiān)督管理工作。

　　第六條建設、運營網約車平臺的公司或者通過網約車平臺提供服務的，應當依照法律、法規(guī)和國家標準、行業(yè)標準的強制性要求，采取技術措施和其他必要措施，保障信息安全、穩(wěn)定運行，有效應對信息安全事件，防范違法犯罪活動，維護信息數(shù)據(jù)的完整性、保密性和可用性。

　　第七條各網約車平臺公司應依照在當?shù)剡\管部門備案的網約車信息管理規(guī)定，加強行業(yè)自律，提高安全信息保護水平，促進行業(yè)健康發(fā)展。

　　第八條任何個人和組織使用網約車平臺應當遵守憲法和法律，遵守公共秩序，尊重社會公德，不得利用網約車平臺從事危害國家安全、傳播淫穢色情信息、擾亂社會秩序、損害公共利益和其他合法權益等活動。

　　第九條任何個人和組織都有權對危害網約車平臺信息安全的行為向交通、大數(shù)據(jù)委、公安等部門舉報。收到舉報的部門應當及時依法作出處理;不屬于本部門職責的，應當及時移送有權處理的部門。

　　第二章網約車信息安全管理職責

　　1.網約車平臺公司信息安全主體責任

　　第十條敏感數(shù)據(jù)的保存。網約車平臺公司所產生的所有涉及敏感的內容和字段，其中包括，姓名、性別、電話號碼、身份證號等必須通過加密方式存放在數(shù)據(jù)庫中，交易信息所有敏感信息無法通過任何方式非法獲取。

　　第十一條各網約車平臺公司應建立健全用戶信息保護制度，加強對用戶個人信息、隱私和商業(yè)秘密的保護。

　　第十二條各網約車平臺公司收集、使用乘客個人信息，應當遵循合法、正當、必要的原則，不得超越提供網約車業(yè)務所必需的范圍，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。

　　第十三條各網約車平臺公司不得收集與其提供的服務無關的乘客個人信息，不得違反法律、行政法規(guī)，并應當依照法律、行政法規(guī)的規(guī)定或者與用戶的約定，處理其保存的個人信息。

　　第十四條各網約車平臺公司收集的駕乘雙方信息必須嚴格保密，不得泄露、篡改、毀損，不得非法出售或者非法向他人提供。

　　第十五條各網約車平臺公司應當建立信息安全投訴、舉報平臺，公布投訴、舉報方式等信息，及時受理并處理有關信息安全的投訴和舉報。

　　第十六條各網約車平臺公司是信息安全管理的第一責任人，應切實履行信息安全主體責任，并提供下列安全保護義務，確保保障信息免受干擾、破壞或者未經授權的訪問，防止網絡數(shù)據(jù)泄露或者被竊取、篡改：

　　(一)制定內部安全管理制度和操作規(guī)程，確定信息安全負責人，落實信息安全保護責任;

　　(二)采取防范計算機病毒和網絡攻擊、網絡入侵等危害網絡安全行為的技術措施;

　　(三)采取記錄、跟蹤平臺運行狀態(tài)，監(jiān)測、記錄信息安全事件的技術措施，并按照規(guī)定留存信息日志;

　　(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;

　　(五)法律、行政法規(guī)規(guī)定的其他義務。

　　第十七條各網約車平臺公司應為其產品、服務持續(xù)提供安全維護，在雙方約定的期間內，不得終止提供信息服務。

　　第十八條各網約車平臺公司為駕駛員辦理信息接入、注冊服務等手續(xù)，或者為駕駛員提供信息發(fā)布服務，應當在與用戶簽訂協(xié)議或者確認提供服務時，要求駕駛員提供真實身份信息。駕駛員不提供真實身份信息及佐證材料的，各網約車平臺公司不得為其提供相關服務和證照的申報工作。

　　第十九條各網約車平臺公司的車輛、人員信息經交通、公安審驗過后方可對外推送。

　　第二十條網約車平臺公司對關鍵信息還應當履行下列安全保護義務：

　　(一)設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查;

　　(二)定期對從業(yè)人員進行信息安全教育、技術培訓和技能考核;

　　(三)對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份;

　　(四)制定信息安全事件應急預案，并定期組織演練;

　　(五)法律、行政法規(guī)規(guī)定的其他義務。

　　第二十一條為國家安全和偵查犯罪的需要，偵查機關依照法律規(guī)定，可以要求網絡運營者提供必要的支持與協(xié)助。

　　2.各職能部門信息安全監(jiān)督工作職責

　　第二十二條市道路運輸管理部門應審核有關信息，并通過證照核發(fā)的形式予以認可。核實信息包括：車輛車型、車輛購置價格、車輛衛(wèi)星定位、車輛營運性保險、從業(yè)人員培訓等涉及證照發(fā)放信息。

　　第二十三條市道路運輸管理部門應將《網絡預約出租汽車運輸證》，通過信息交換告知公安機關，供公安機關在車輛所有人申請使用性質變更時核驗。

　　第二十四條市道路運輸管理部門應對支付信息、位置信息、通訊信息進行監(jiān)管，確保乘坐信息安全。

　　(一)市道路運輸管理部門督促網約車平臺不得以任何方式顯示支付乘客的金融信息。

　　(二)市道路運輸管理部門督促北斗衛(wèi)星定位設備供應商、網約車平臺不得向任何單位和個人透露車輛和乘坐人位置信息，嚴禁位置信息和其他的導航軟件及可能透露位置信息的軟硬件進行對接。

　　(三)市道路運輸管理部門督促網約車平臺對乘客和駕駛員雙方的通訊信息進行加密，并設置虛擬號碼在訂單中使用，監(jiān)督網約車平臺嚴禁使用其他方式或可能透露乘客聯(lián)系方式的技術進行通訊對接。

　　第二十五條市道路運輸管理部門按照相關法律法規(guī)，準許符合標準的車輛信息、從業(yè)人員信息納入網約車平臺，并督促網約車平臺公司應用審批同意后的信息實行對外服務。

　　第二十六條市道路運輸管理部門按照交通部技術標準，準許符合技術標準的北斗營運商進入網約車市場安裝定位裝置，定位裝置產生的數(shù)據(jù)無條件向市道路運輸管理部門開放。

　　第二十七條市公安部門應對以下信息進行核查，并于市道路運輸管理部門進行信息交換：從業(yè)人員無交通肇事犯罪、危險駕駛犯罪記錄，無吸毒記錄，無飲酒后駕駛記錄，最近連續(xù)3個記分周期內沒有記滿12分記錄以及無暴力犯罪記錄，

　　第二十八條市公安部門應將網約車行駛里程達到60萬千米強制報廢時的信息及時告知交通運輸部門，交通運輸部門依法注銷其《網絡預約出租汽車運輸證》;

　　第二十九條市公安部門應依法查詢涉及人身安全和違反治安法規(guī)的有關信息，對在平臺中發(fā)生交通重大違法違章和重大治安投訴的信息進行查實。

　　3.數(shù)據(jù)存儲管理的安全

　　第三十條信息存儲安全性。各網約車平臺公司信息存儲的基礎設施應當在我市區(qū)域內存儲，并負責在運營中收集運營和個人信息等重要數(shù)據(jù)。

　　第三十一條各網約車平臺公司在貴陽地區(qū)產生的信息數(shù)據(jù)的安全應當自行或者委托專業(yè)機構對其信息的安全性和可能存在的風險每年至少進行一次檢測評估，并對檢測評估情況及采取的改進措施提出網絡安全報告，報送公安網信部門。

　　第三章信息監(jiān)測預警與責任處置

　　第三十二條市道路運輸管理機構有權向各網約車平臺隨時調取服務質量評價、運營軌跡和運行投訴數(shù)據(jù)，用于加強安全信息分析、收集和通報，建立市級統(tǒng)一的網約車監(jiān)管平臺。

　　第三十三條凡是發(fā)生下列行為經調查屬實的，經公安部門調查屬實的，終止已經許可的《網絡預約出租汽車運輸證》。

　　一是發(fā)生一般以上安全生產責任事故的;

　　二是其他涉及公安部門管理的重大內容;

　　三是其他行業(yè)管理部門的規(guī)定

　　第三十四條凡是發(fā)生下列行為經調查屬實的，經公安部門調查屬實的，終止已經許可的《網絡預約出租汽車駕駛員證》

　　一是因信息透露導致發(fā)生私自信息騷擾乘客的;

　　二是因信息透露導致營運期間違法治安管理規(guī)定的;

　　三是發(fā)生毒駕、酒駕行為的，該車輛和人員的信息列入黑名單管理;

　　四是借助網約車信息平臺召集車輛擾亂正常出租車營運秩序的;

　　五是發(fā)生重大服務事件，引發(fā)乘客上訪、舉報還未處置完畢的;

　　六是對抗行業(yè)執(zhí)法，還未調查處置完畢的車輛人員信息列入黑名單管理;

　　七是瞞報、謊報、虛報證照申報信息的;

　　八是其他行業(yè)管理部門的規(guī)定

　　第三十五條市交通運管部門、市公安部門建立信息通報制度，并按照規(guī)定相互抄送監(jiān)測預警和處置信息，監(jiān)測預警信息應實現(xiàn)一月一抄報。

　　第三十六條市交通運管部門按照行業(yè)管理內容，每年度組織專業(yè)機構對我市各網約車平臺公司的信息安全進行分析，并發(fā)布年度運行監(jiān)測報告。

　　第三十七條各網約車平臺公司對未按規(guī)定的要接受限期整改，因信息安全導致的賠償，要做到先賠先付。對拒不接受整改的，暫停該網約車平臺公司在我市的業(yè)務申請。

　　網約車的一系列信息安全事件，是不是對我們企業(yè)的iso27001認證帶來一些警示呢?

　　上海賽學iso27001認證公司的合作伙伴，將以保姆式的姿態(tài)對中小企業(yè)的信息安全進行一次掃描，從信息安全策略到信息安全認證全程跟蹤。

　　上海賽學免費為各大租車公司、網約車平臺提供iso27001認證咨詢方案，免費為黃浦區(qū)|徐匯區(qū)|長寧區(qū)|靜安區(qū)|普陀區(qū)|虹口區(qū)|楊浦區(qū)|寶山區(qū)|閔行區(qū)|嘉定區(qū)|浦東新區(qū)|松江區(qū)|金山區(qū)|青浦區(qū)企業(yè)做上門診斷，出具iso27001認證風險防范策略。