2024個人信息保護社會責(zé)任報告編寫指南

I個人信息保護社會責(zé)任報告編寫指南目??次17423前言 II19217引言 III128451范圍 193622規(guī)范性引用文件 1325343術(shù)語和定義 146954縮略語 278295基本原則 2194525.1合規(guī)性 244935.2全面性 2191935.3可及性 2261256報告內(nèi)容 2198996.1總則 2325436.2報告基本情況 2143586.3組織治理 2301106.4組織管理 3165716.5消費者權(quán)益保護及服務(wù)提升 4208586.6生態(tài)圈及供應(yīng)鏈發(fā)展 468816.7促進產(chǎn)業(yè)提升 5165457編制及發(fā)布流程 5101057.1總則 5215797.2組建報告編制小組 5299457.3策劃報告及內(nèi)容 6119827.4報告信息采集、篩選及審核 690087.5撰寫報告并設(shè)計排版 6277567.6報告批準(zhǔn) 6250027.7報告發(fā)布 7209437.8報告影響評估跟蹤及反饋 7個人信息保護社會責(zé)任報告編寫指南范圍本文件提供了個人信息保護社會責(zé)任報告編寫指南，包括基本原則、報告內(nèi)容、編制及發(fā)布流程。本文件適用于指導(dǎo)個人信息處理者編寫個人信息保護社會責(zé)任報告。個人信息處理者可根據(jù)自身合規(guī)要求、業(yè)務(wù)范圍、經(jīng)營狀況及市場環(huán)境，對標(biāo)準(zhǔn)所提及的具體內(nèi)容做適當(dāng)調(diào)整及刪減。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T36001-2015社會責(zé)任報告編寫指南GB/T19000-2016質(zhì)量管理體系基礎(chǔ)和術(shù)語GB/T24001-2016環(huán)境管理體系要求及使用指南術(shù)語和定義GB/T36001界定的以及下列術(shù)語和定義適用于本文件。個人信息保護社會責(zé)任報告socialresponsibilityreportofpersonalinformationprotection基于與利益相關(guān)方進行個人信息保護社會責(zé)任溝通的需要，個人信息處理者定期或不定期對外公開發(fā)布的一種展示其個人信息保護社會責(zé)任理念和認(rèn)識，并系統(tǒng)披露其社會責(zé)任活動及績效信息的特定報告或特定章節(jié)。[修訂：GB/T36001-2015，3.1]績效performance可度量的結(jié)果?？冃Э赡芘c定量或定性的發(fā)現(xiàn)有關(guān)。績效可能與活動、過程、產(chǎn)品（包括服務(wù)）、體系或企業(yè)的管理有關(guān)。[來源：GB/T19000-2016，3.7.8]合規(guī)compliance個人信息處理者必須遵守的法律法規(guī)要求，以及個人信息處理者必須遵守或選擇遵守的其他要求。[修訂：GB/T24001-2016，3.2.9]縮略語ESG：環(huán)境、社會和治理（Environmental,Social,Governance）基本原則合規(guī)性個人信息保護社會責(zé)任報告需要遵守相關(guān)法律法規(guī)要求，法律法規(guī)要求披露的信息可按要求在報告中體現(xiàn)，報告不披露現(xiàn)法律法規(guī)禁止披露的信息，并保護信息所涉及利益相關(guān)方受法律法規(guī)保護的隱私和權(quán)益。全面性個人信息保護社會責(zé)任報告需要完整、客觀、并盡可能全面體現(xiàn)個人信息保護方面的正面和負(fù)面表現(xiàn)，以及相關(guān)績效信息，以便于利益相關(guān)方全面認(rèn)知個人信息保護方面情況?？杉靶詡€人信息保護社會責(zé)任報告可采用紙質(zhì)文件、電子文件等多種形式，個人信息處理者至少在一種渠道進行發(fā)布，例如：官方網(wǎng)站、應(yīng)用程序、公眾號等，確保所披露的個人信息保護信息易于被利益相關(guān)方獲取和理解。報告內(nèi)容總則個人信息處理者考慮自身活動及與其活動有緊密聯(lián)系的其他實體或個人的行動所導(dǎo)致的針對個人信息保護方面的潛在和實際影響，充分了解如下情況：自身的經(jīng)營環(huán)境；所處的內(nèi)外部環(huán)境；法律法規(guī)及監(jiān)管要求；主要社會責(zé)任標(biāo)準(zhǔn)；行業(yè)內(nèi)的個人保護保護相關(guān)事件及熱點議題；與個人信息處理者發(fā)展密切相關(guān)的利益相關(guān)方的需求和期待。了解方式包括：訪談、問卷、座談、研討、調(diào)研等。個人信息處理者可根據(jù)所了解到的上述情況，結(jié)合自身合規(guī)要求、業(yè)務(wù)范圍、經(jīng)營狀況及市場環(huán)境，對本章內(nèi)容補充或刪減，策劃并撰寫自身個人信息保護社會責(zé)任報告具體內(nèi)容。報告基本情況報告所涉及的個人信息處理者基本情況信息，包括：企業(yè)概況、主要業(yè)務(wù)、價值觀與發(fā)展理念、主要利益相關(guān)方等。報告所涉及的時間范圍和業(yè)務(wù)范圍。組織治理6.3.1使命理念個人信息處理者所制定的、用于指導(dǎo)個人信息保護工作相關(guān)的戰(zhàn)略、規(guī)劃、方針、愿景、使命、理念等。6.3.2履責(zé)聲明/承諾個人信息處理者及其高級管理層所宣稱的個人信息保護聲明、承諾、工作方針等，以體現(xiàn)其對個人信息保護的重視和關(guān)注。6.3.3管理職責(zé)及組織架構(gòu)個人信息處理者所建立的涵蓋董事會（適用時）、管理層、執(zhí)行層、獨立監(jiān)督機構(gòu)等個人信息保護相關(guān)的組織架構(gòu)、管理職責(zé)、崗位分工以及具體的相關(guān)履職情況。組織管理6.4.1個人信息管理情況6.4.1.1收集階段個人信息處理者在合法合規(guī)性的基礎(chǔ)上，所建立的個人信息收集方面的管理制度，以及具體實施效果，例如：最小必要原則、個人信息主體自主意愿、明示告知、獲取個人信息主體授權(quán)同意等。6.4.1.2存儲階段個人信息處理者所建立的個人信息數(shù)據(jù)存儲、數(shù)據(jù)備份、數(shù)據(jù)恢復(fù)等方面的管理制度，以及具體實施效果，例如：最小化存儲時間原則、去標(biāo)識化、敏感個人信息加密存儲等。6.4.1.3使用階段個人信息處理者所建立的個人信息訪問控制、個人信息使用/用戶畫像目的限制等使用方面的管理制度，以及具體實施效果。所披露的個人信息使用管理制度及實施效果宜涉及利益相關(guān)方關(guān)注的個人信息使用場景，例如：個性化展示、自動化決策等。6.4.1.4加工階段個人信息處理者所建立的個人信息加工方面的管理制度，以及具體實施效果，例如：保證個人信息不被無關(guān)的相關(guān)方獲知、加工過程系統(tǒng)持續(xù)穩(wěn)定、如實告知個人信息主體對其個人信息的查詢等。6.4.1.5傳輸、提供和公開階段個人信息處理者所建立的個人信息傳輸、提供和公開方面的管理制度，以及具體實施效果，例如：個人信息影響評估、明示告知、傳輸前后對個人信息保護機制等。6.4.1.6刪除階段個人信息處理者所建立的個人信息刪除及個人信息留存方面的管理制度，以及具體實施效果，例如個人信息留存時間、刪除方式等。6.4.2合規(guī)要求識別及落實個人信息處理者所建立的周期性對個人信息保護相關(guān)的合規(guī)及監(jiān)管要求持續(xù)跟進的機制，并根據(jù)所跟進的要求而不斷完善內(nèi)部制度及流程，積極整改問題（若涉及），有效響應(yīng)落實，以及具體的完善落實情況及效果。6.4.3事件處置、應(yīng)急響應(yīng)及預(yù)警演練個人信息處理者所建立的面對個人信息數(shù)據(jù)泄露（丟失）、濫用、被篡改、數(shù)據(jù)被損毀、數(shù)據(jù)違規(guī)使用等安全事件的應(yīng)急預(yù)案、應(yīng)急處置等相關(guān)內(nèi)容，以及應(yīng)急演練實施效果。個人信息處理者處理重大個人信息安全事件的情況及效果（若涉及）。6.4.4內(nèi)審/自評估及第三方評估/認(rèn)證/審計個人信息處理者對所使用和處理個人信息的相關(guān)管理制度、實施效果、場景等進行的個人信息保護相關(guān)內(nèi)審/審計及第三方評估/認(rèn)證/審計工作的相關(guān)制度及具體情況，宜披露具體績效數(shù)據(jù)，例如：第三方評估/認(rèn)證/審計結(jié)果。6.4.5內(nèi)部意識提升及教育培訓(xùn)個人信息處理者面向全體員工、有權(quán)查看和處理個人信息的員工、相關(guān)業(yè)務(wù)人員、新入職員工等，所開展的、多層次、多維度的個人信息保護相關(guān)的意識提升、教育培訓(xùn)、崗位考試、案例分享等多樣活動的具體情況，宜披露具體績效數(shù)據(jù)，例如：覆蓋人次、累計時長、課程數(shù)量等。消費者權(quán)益保護及服務(wù)提升6.5.1用戶個人信息保護個人信息處理者在處理用戶個人信息時所遵循的處置原則、功能設(shè)置、實施情況及效果，例如：保障用戶對其數(shù)據(jù)控制權(quán)（如查詢、復(fù)制、更正、刪除、轉(zhuǎn)移等）的具體方式；用戶提供必要數(shù)據(jù)即可獲得與所處理數(shù)據(jù)相關(guān)功能等。個人信息處理者對特定群體（如：未成年人用戶、老年用戶、殘障用戶等）及多元用戶（如：身處不同地區(qū)、處于不同知識水平、處于不同語言環(huán)境等相關(guān)用戶）權(quán)益保護相關(guān)的特定管理規(guī)定、功能設(shè)置、實施情況及效果。個人信息處理者積極擴展相關(guān)技術(shù)及潛能，保障用戶信息方面的良好實踐，例如：用戶號碼隱私保護、“雙清單”展示、匿名化數(shù)據(jù)處理等。6.5.2用戶溝通交流管理針對個人信息保護方面，個人信息處理者所建立的體驗評價、申訴投訴、政策查詢、意見征集等用戶溝通交流渠道，以及對所溝通交流事項的收集、統(tǒng)計、分析、處置等過程所對應(yīng)的管理規(guī)定、實施情況及效果，宜披露具體績效數(shù)據(jù)，例如：溝通交流的頻次及數(shù)量、辦結(jié)率/處置率等。6.5.3信息披露及提升公眾意識針對個人信息保護方面，個人信息處理者在官方網(wǎng)站、應(yīng)用程序、行業(yè)組織會議等渠道，通過規(guī)則/算法展示、科普文章或視頻、社會責(zé)任報告、會議發(fā)言等，面向公眾所開展的信息披露、知識普及、意識宣傳、警示案例教育等。生態(tài)圈及供應(yīng)鏈發(fā)展6.6.1生態(tài)圈及供應(yīng)商篩選個人信息處理者進行生態(tài)伙伴/供應(yīng)商篩選時，考慮個人信息保護相關(guān)的基線要求；在不影響合法合規(guī)和服務(wù)質(zhì)量的前提下，優(yōu)先考慮個人信息保護表現(xiàn)優(yōu)良、尤其是具有代表性和多元化的生態(tài)伙伴/供應(yīng)商。6.6.2向第三方提供用戶個人信息的管理規(guī)定個人信息處理者與生態(tài)伙伴/供應(yīng)商約定個人信息及數(shù)據(jù)的使用目的、使用范圍、保密約定、安全責(zé)任等內(nèi)容，約定方式可通過合同、協(xié)議等形式。個人信息處理者向第三方提供個人信息的管理規(guī)定，例如：用戶知情同意并獲取授權(quán)、匿名及去標(biāo)識化等。6.6.3生態(tài)圈及供應(yīng)商監(jiān)督管理措施根據(jù)生態(tài)伙伴/供應(yīng)商個人信息保護的實際情況，基于責(zé)任共擔(dān)、生態(tài)共建、互信共贏的理念，個人信息處理者所制定的生態(tài)圈及供應(yīng)鏈監(jiān)督管理措施，例如：普查抽查、評級定級、罰款限流、下架等，宜披露具體績效數(shù)據(jù)和實踐案例，例如：監(jiān)督措施實施的次數(shù)、對象、效果、典型案例等。6.6.4生態(tài)圈及供應(yīng)商履責(zé)支持措施根據(jù)生態(tài)伙伴/供應(yīng)商個人信息保護的實際情況，基于責(zé)任共擔(dān)、生態(tài)共建、互信共贏的理念，個人信息處理者所制定的生態(tài)圈及供應(yīng)鏈履責(zé)支持及鼓勵措施，例如：投入技術(shù)/人力/資金支持、提供培訓(xùn)/指導(dǎo)/咨詢/流量支持/項目扶持、總結(jié)表彰良好實踐等，宜披露具體績效數(shù)據(jù)和實踐案例，例如：支持鼓勵措施的提供次數(shù)、措施覆蓋率、生態(tài)伙伴/供應(yīng)商參與情況、生態(tài)伙伴/供應(yīng)商履責(zé)效果等。促進產(chǎn)業(yè)提升6.7.1技術(shù)研發(fā)及應(yīng)用針對個人信息保護方面，個人信息處理者所建立的支持鼓勵前沿技術(shù)積累、研發(fā)創(chuàng)新、技術(shù)應(yīng)用、知識產(chǎn)權(quán)保護、成果轉(zhuǎn)化方面的相關(guān)管理辦法、激勵政策及實施效果，例如：軟件著作權(quán)、發(fā)明專利、國家或行業(yè)獎項、試點示范、第三方認(rèn)證等。6.7.2產(chǎn)業(yè)發(fā)展針對個人信息保護方面，個人信息處理者利用技術(shù)優(yōu)勢及業(yè)務(wù)積累，積極參與的相關(guān)產(chǎn)業(yè)政策、法律法規(guī)、標(biāo)準(zhǔn)編制、公共事務(wù)管理、行業(yè)自律及治理活動、技術(shù)生態(tài)建設(shè)、產(chǎn)業(yè)人才培養(yǎng)、產(chǎn)業(yè)孵化基地等方面的相關(guān)工作及成果。編制及發(fā)布流程總則個人信息處理者編制及發(fā)布個人信息保護社會責(zé)任報告的流程通常包括如下步驟：組建報告編制小組；策劃報告內(nèi)容；報告信息采集、篩選及審核；撰寫報告并設(shè)計排版；報告批準(zhǔn)；報告發(fā)布；報告影響評估的跟蹤及反饋。組建報告編制小組個人信息處理者根據(jù)個人信息保護相關(guān)的管治架構(gòu)，聯(lián)合內(nèi)部相關(guān)部門，宜組建個人信息保護社會責(zé)任報告編制小組，小組負(fù)責(zé)人宜由高級管理層人員擔(dān)任，例如：首席數(shù)據(jù)官等。個人信息處理者可視情況，委托外部專業(yè)機構(gòu)承擔(dān)部分工作，或組建專家團隊提供專業(yè)意見。報告編制小組宜制定工作計劃，包括職責(zé)分工、工作進度、里程碑節(jié)點等。策劃報告及內(nèi)容7.3.1報告的時間范圍和發(fā)布頻次個人信息處理者宜充分考慮報告內(nèi)容的連續(xù)性，自行選定個人信息保護社會責(zé)任報告所覆蓋的時間范圍和發(fā)布批次，例如：可每一年或兩年發(fā)布報告，報告的時間范圍可以自然年度，也可與企業(yè)財年保持一致。若發(fā)生引起社會廣泛關(guān)注的個人信息保護方面的重大事件或重大變化時，個人信息處理者可不定期發(fā)布相關(guān)報告。7.3.2報告范圍個人信息保護社會責(zé)任報告的內(nèi)容宜盡可能覆蓋個人信息保護相關(guān)的個人信息處理者所涉及的運營業(yè)務(wù)，范圍需要作為報告的具體內(nèi)容之一而如實體現(xiàn)。7.3.3報告具體內(nèi)容個人信息處理者策劃個人信息保護相關(guān)的具體內(nèi)容（參考本標(biāo)準(zhǔn)第6章）。報告信息采集、篩選及審核7.4.1報告信息采集個人信息處理者根據(jù)所策劃的報告內(nèi)容，開展信息采集，信息來源包括但不限于：應(yīng)用程序、業(yè)務(wù)系統(tǒng)、內(nèi)部數(shù)據(jù)庫，對利益相關(guān)方調(diào)研問卷、座談訪談、客戶及消費者反饋以及其他合法及公開的途徑。7.4.2報告信息篩選及信息審核個人信息處理者可建立機制，針對所采集的信息進行篩選及審核，篩選原則包括但不限于：法律法規(guī)等合規(guī)要求；該信息披露后對個人信息處理者的影響。審核維度包括但不限于：信息的真實性；信息的有效期；信息的顆粒度；信息的全面性；信息統(tǒng)計方法及口徑的適用性和一致性。對于擬在報告中首次披露的信息，個人信息處理者宜嚴(yán)格按照個人信息處理者內(nèi)部信息的篩選及審核程序?qū)嵤┫鄳?yīng)流程，確保信息的適宜性；對于在報告中持續(xù)性披露的信息，個人信息處理者宜關(guān)注信息統(tǒng)計方法及口徑的一致性，以確保持續(xù)性披露信息的連貫性和可比性。撰寫報告并設(shè)計排版?zhèn)€人信息處理者根據(jù)審核通過的信息，對報告進行文字撰寫。為增強報告的可讀性，可綜合實用性和美觀性，對報告進行設(shè)計排版。報告批準(zhǔn)個人信息處理者宜經(jīng)由高級管理層正式批準(zhǔn)報告整體內(nèi)容