每年臨近“雙十一”，很多人都會遭受網購平台商家促銷短信的“狂轟濫炸”。而近日發布的國家标準《信息安全技術 網上購物服務數據安全要求》（下稱《網購國标》）有望規制這一現象——它提出，未經用戶單獨同意，網購平台不應使用用戶因下單提供的個人信息進行營銷活動。

針對此前飽受诟病的平台默認展示用戶購物記錄功能，《網購國标》還要求，如網購平台基于網購服務數據提供用戶個人主頁展示功能，需由用戶自主選擇開啟。除非經過用戶單獨同意，否則不應公開其購買、收藏、關注、浏覽記錄等。

未經同意，平台不應将用戶個人信息用于營銷

《網購國标》将常見的網購服務形式分為網上商城購物、直播購物、社交購物、線上線下融合購物四大類。根據網購服務提供商品和服務的特性，網購服務還包括餐飲外賣、交通票務、酒店服務及演出票務等。涉及的相關方則包括平台、買賣雙方和第三方（支付、物流等）。

根據《信息安全技術 移動互聯網應用程序（App）收集個人信息基本要求》，網購平台的必要個人信息可能涉及：姓名，手機号，身份證号，地址，交通工具班次，入住酒店名稱等，既有一般個人信息，也有敏感個人信息。

因此，在數據收集和存儲方面，《網購國标》提出，網購平台應對不同類型的個人信息進行标識和分類管理；存儲時，應将實名認證環節收集的身份信息與其他個人信息分開存儲，還要将個人身份信息、訂單數據、個人生物識别信息分開隔離存儲。

為了向用戶展示其可能感興趣的商品/服務或聯系人，網購平台可能會根據用戶個人基本資料、聯系人信息、位置信息等進行推薦。《網購國标》提出，相關功能需征得用戶單獨同意後開啟并提供關閉渠道，且關閉後不應使用此前收集的相關個人信息。

此外，在進行廣告推送、商品推薦等個性化推薦時，網購平台應向用戶提供重置畫像信息的功能，且重置後不應再次基于之前用于畫像的個人信息進行個性化推薦。

所謂用戶畫像，是指根據用戶的基本屬性、用戶偏好、生活習慣、用戶行為等信息抽象而成的标簽化用戶模型。根據《網購國标》，網購平台不應根據用戶的購買記錄等操作/行為或用戶畫像等特征，在交易價格等方面實行不合理的差别待遇。

針對令用戶不堪其擾的騷擾電話和短信，《網購國标》要求，未經用戶單獨同意，網購平台不應使用用戶因下單提供的個人信息進行營銷活動。

平台不應默認公開用戶的購買記錄

目前，很多網購平台都推出了社交功能，用戶可以在個人頁面展示自己購買過的商品、發布的評價等等。然而，此前不少類似功能都是默認開啟，用戶的網購信息在其不知情的情況下被公開分享，引發用戶不滿。

對此，《網購國标》要求，如網購平台基于網購服務數據提供用戶個人主頁展示功能，需由用戶自主選擇開啟。除非經過用戶單獨同意，否則不應公開其購買、收藏、關注、浏覽記錄等。

在社交購物的場景下，用戶是通過即時通信平台進入網購平台。《網購國标》提出，網購平台應對購買隐私商品或服務的用戶昵稱進行去标識化處理後展示；用戶主動分享包含其個人信息的頁面時，不應允許其他用戶轉發；未經用戶單獨同意，不應公開用戶的浏覽狀态、購買的商品信息。

而在線上線下融合購物的場景下，《網購國标》要求網購平台向賣家/線下商戶提供用戶數據前，應向用戶告知并取得用戶同意，且不應提供用戶的網購平台使用記錄。如需電話溝通，應使用虛拟号碼。

值得注意的是，根據《網購國标》，在用戶拒絕接收營銷信息後，網購平台不應将用戶數據繼續提供給賣家/線下商戶用于營銷。

據南都記者此前報道，網購流程中還涉及物流、訂單管理服務商等多個第三方，它們都有能力獲取和存儲網購平台的訂單信息，卻長期存在于用戶的感知之外。這些第三方服務商因缺乏直接監管，信息安全能力薄弱，屢屢成為黑客和内鬼的攻擊目标，用戶的個人信息因此屢遭洩露，進而引發詐騙。

因此，《網購國标》對訂單數據導出也作出要求。它提出，可以要求賣家綁定電話号碼或郵箱，導出時進行驗證，并且應對訂單數據導出操作進行日志記錄。使用訂單數據時，不應在物流面單上顯示訂單的商品屬性信息。

圖自全國信安标委

采寫：南都記者蔣琳

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!