《個(gè)人信息保護(hù)合規(guī)管理實(shí)施指南》征求意見稿

1個(gè)人信息保護(hù)合規(guī)管理實(shí)施指南織機(jī)構(gòu)（以下統(tǒng)稱為組織也可為監(jiān)管、檢查、評(píng)估等活動(dòng)提供參考。GB/T25069-2022信息安全技術(shù)術(shù)語GB/T35273-2020信息安全技術(shù)個(gè)人信息GB/T43697-2024數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后2在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除組織以有效防控個(gè)人信息保護(hù)合規(guī)風(fēng)險(xiǎn)為目的，以提升依法個(gè)人信息保護(hù)合規(guī)經(jīng)營管理水平為導(dǎo)因未遵守個(gè)人信息保護(hù)合規(guī)管理而需要承擔(dān)民事法律責(zé)任、行政法律責(zé)任或者刑事法律責(zé)任的可模、較廣業(yè)務(wù)種類、較多業(yè)務(wù)范圍、較高經(jīng)濟(jì)體在重要數(shù)據(jù)處理活動(dòng)中自主決定處理目的、處理方式4縮略語APP：移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（MobileInteAPI：應(yīng)用程序接口（ApplicationPrograSDK：軟件開發(fā)工具包（SoftwareDevelopme5.1個(gè)人信息保護(hù)基本原則保安全、主體參與”的總體原則，設(shè)計(jì)并實(shí)5.2個(gè)人信息保護(hù)合規(guī)管理框架合規(guī)管理基本內(nèi)容和個(gè)人信息保護(hù)合規(guī)管理進(jìn)階提升三個(gè)方面提出了個(gè)人個(gè)人信息保護(hù)合規(guī)管理基本要求4角色的領(lǐng)導(dǎo)。組織應(yīng)發(fā)布機(jī)構(gòu)設(shè)置及責(zé)任人任命，確定其職能職責(zé)，包括但不a)依法制定并實(shí)施個(gè)人信息保護(hù)合規(guī)管理計(jì)劃；b)制定個(gè)人信息保護(hù)合規(guī)管理制度和操作規(guī)程；c)監(jiān)督本組織按照約定的個(gè)人信息處e)組織開展個(gè)人信息保護(hù)影響評(píng)估；f)定期對(duì)本組織處理個(gè)人信息遵守中華人民共和國法律、行政g)組織開個(gè)人信息安全教育和培訓(xùn)；i)接受個(gè)人信息保護(hù)職責(zé)的部門對(duì)個(gè)人信息處理活動(dòng)的監(jiān)督，包括答復(fù)詢問、配合檢查等。a)主要業(yè)務(wù)涉及個(gè)人信息處理，且從業(yè)人員規(guī)模大于200人；個(gè)人信息處理者應(yīng)設(shè)立專職或兼職的個(gè)人信息安全管理崗位，加強(qiáng)個(gè)人信息安全相關(guān)個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)由具有相關(guān)管理工作經(jīng)歷和個(gè)人信息保護(hù)專業(yè)知識(shí)的人員擔(dān)任，參與有關(guān)個(gè)人信息處理活動(dòng)的重要決策直接向組織主要負(fù)責(zé)人報(bào)告工作。具體應(yīng)滿足以a)應(yīng)具備與履行職責(zé)相適應(yīng)的專業(yè)水平和相關(guān)管理工作經(jīng)歷?！煜€(gè)人信息保護(hù)、數(shù)據(jù)安全等相關(guān)法律法規(guī)、政策、標(biāo)準(zhǔn)；c)應(yīng)了解組織業(yè)務(wù)的整體狀況，熟悉業(yè)務(wù)流程，具備個(gè)人信息保5a)明確個(gè)人信息保護(hù)合規(guī)管理工作的主要目標(biāo)、基本要求、工作任務(wù)d)向本組織的主要負(fù)責(zé)人匯報(bào)個(gè)人信息保護(hù)合規(guī)管理工作情況，推動(dòng)個(gè)人信息保護(hù)合規(guī)管理工處理流程、信息系統(tǒng)及相關(guān)設(shè)備設(shè)施、內(nèi)部和外部環(huán)境等。具體b)個(gè)人信息安全管理崗位人員等能直接接觸個(gè)人信息的人員簽署保密協(xié)議。醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個(gè)人信息權(quán)限的崗a)應(yīng)制定個(gè)人信息保護(hù)合規(guī)管理的總體方針和安全策略等綱領(lǐng)性制度文件，包括本組織的個(gè)人信息保護(hù)合規(guī)管理工作的目標(biāo)、范圍、原則和安全框架等相d)涉及處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)制定專門的f)應(yīng)將個(gè)人信息泄露等相關(guān)個(gè)人信息安全事件處理納入組織信息安全或數(shù)據(jù)安全事件應(yīng)急處置6組織應(yīng)遵循國家關(guān)于數(shù)據(jù)分類分級(jí)的要求，對(duì)個(gè)人信息實(shí)據(jù)分類分級(jí)的基礎(chǔ)上增加個(gè)人信息分類及確立對(duì)個(gè)人信息按照業(yè)務(wù)屬性和安全屬性分類的思路進(jìn)行分類。安全屬性以個(gè)人信息是否涉及個(gè)人隱私——關(guān)鍵業(yè)務(wù)——業(yè)務(wù)屬性分類”的方式給出二級(jí)a)根據(jù)個(gè)人信息的業(yè)務(wù)屬性，組織對(duì)個(gè)人信息進(jìn)行細(xì)化分類。常見業(yè)務(wù)般而言，個(gè)人信息分級(jí)分為2-4個(gè)級(jí)別，可注2：重要數(shù)據(jù)的分級(jí)在一般數(shù)據(jù)的數(shù)據(jù)分類分權(quán)限，不同用戶只能訪問與自己職責(zé)對(duì)應(yīng)的7b)特權(quán)賬號(hào)需明確安全責(zé)任人，如root、adminstrator或其他特權(quán)賬統(tǒng)管理員，同時(shí)嚴(yán)格限定特權(quán)賬號(hào)的使用地點(diǎn)，并配套多因素認(rèn)證措施對(duì)使用者進(jìn)行實(shí)名認(rèn)c)制定特權(quán)賬號(hào)的使用場景和使用規(guī)則，并配套建立審批授權(quán)機(jī)制，應(yīng)通過堡壘機(jī)進(jìn)行e)從外部數(shù)據(jù)提供方采集個(gè)人信息的，具體應(yīng)滿足以下要求：——負(fù)責(zé)外部數(shù)據(jù)采購的牽頭部門要求外部數(shù)據(jù)提供方說明其個(gè)人信息來源、采集范圍和頻關(guān)個(gè)人信息采集合同協(xié)議內(nèi)容和相關(guān)個(gè)人信息主體的授權(quán)信息，對(duì)個(gè)人信8f)采用個(gè)人信息主體直接錄入方式收集敏感個(gè)人信息的，應(yīng)當(dāng)采取有效技術(shù)措施核驗(yàn)個(gè)人信息g)采用信息系統(tǒng)間交互方式收集敏感個(gè)人信息的，應(yīng)當(dāng)采取有效技術(shù)措施核驗(yàn)雙方設(shè)備或者信i)APP、WEB等客戶端相關(guān)業(yè)務(wù)完成后不留存敏k)對(duì)采集的敏感個(gè)人信息進(jìn)行數(shù)據(jù)加密，優(yōu)先使用SMa)在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息應(yīng)在境內(nèi)存儲(chǔ)，如需出境應(yīng)遵循國家相c)敏感個(gè)人信息原則上不得在終端設(shè)備和移動(dòng)介質(zhì)中存儲(chǔ)。組織應(yīng)當(dāng)統(tǒng)一明確敏感個(gè)人信息可——具有異地個(gè)人信息備份功能，敏感個(gè)人信9c)收集的個(gè)人信息應(yīng)根據(jù)不同級(jí)別采取相應(yīng)的安全加密存儲(chǔ)等安全措施進(jìn)行處理，加密算法建議使用國家密碼管理局推薦使用的加密算法，加密技術(shù)可采用專用加密芯片和設(shè)備的硬加密方式，也可采用SM系列算法等軟加密技術(shù)?？刂?，將操作執(zhí)行的網(wǎng)絡(luò)地址限制在有限的問結(jié)束后及時(shí)對(duì)實(shí)際操作和申請(qǐng)操作進(jìn)行驗(yàn)證，保證操作的一致性。涉及導(dǎo)出時(shí)還應(yīng)使用加密、脫敏等技術(shù)手段防止數(shù)據(jù)泄露，國家及行業(yè)主管部門另有c)通過訪問控制等措施限制人員頻繁查詢個(gè)人信息的訪問頻率，確需批量查詢的應(yīng)通過相應(yīng)審頻率、總量等指標(biāo)的實(shí)時(shí)監(jiān)測預(yù)警功能，并留存相關(guān)f)禁用展示界面復(fù)制、打印等可將展示數(shù)據(jù)導(dǎo)措施防止信息泄露，國家及行業(yè)主管部門另有規(guī)定經(jīng)脫敏處理的個(gè)人信息用于開發(fā)測試時(shí)應(yīng)按照規(guī)程履行審批手續(xù)，同時(shí)測試環(huán)境應(yīng)當(dāng)采取與k)應(yīng)對(duì)脫敏后的信息或其他數(shù)據(jù)集匯聚后重新識(shí)別出個(gè)人信息主體的風(fēng)險(xiǎn)進(jìn)行識(shí)別和評(píng)價(jià)，并c)所收集的個(gè)人信息進(jìn)行加工處理而產(chǎn)生的信息，能夠單獨(dú)或與其他信息結(jié)合識(shí)別特定自然人d)對(duì)個(gè)人信息加工過程進(jìn)行必要的監(jiān)督和檢查，確保加工過程的a)應(yīng)建立對(duì)內(nèi)外部環(huán)境間個(gè)人信息傳輸管控機(jī)制，對(duì)涉及跨安全域的個(gè)人信息傳輸活動(dòng)實(shí)行差安全傳輸通道或安全傳輸協(xié)議等安全措施確保敏感個(gè)c)定期檢查或評(píng)估個(gè)人信息傳輸?shù)陌踩詃)向國家機(jī)關(guān)、行業(yè)主管和監(jiān)管單位傳輸個(gè)人信息a)個(gè)人信息傳輸前對(duì)接入的設(shè)備進(jìn)行身份鑒別與認(rèn)證，確保傳輸雙方是可信任的。e)敏感個(gè)人信息傳輸時(shí)應(yīng)采取數(shù)據(jù)加密、安全傳輸通道（如專線、VPN等）或安全傳輸協(xié)議等法，推薦使用AES:128位、RSA:204f)應(yīng)在個(gè)人信息傳輸不完整時(shí)清除傳輸緩存數(shù)據(jù)，在個(gè)人信息傳輸完成后立即清除傳輸歷史緩情況下通過第三方進(jìn)行傳遞，國家及行業(yè)主管部門另有規(guī)定的除個(gè)人信息提供主要包括委托處理、共享、轉(zhuǎn)讓等幾種常a)受委托的第三方機(jī)構(gòu)需滿足國家及行業(yè)主管部門的相關(guān)要求，組織需對(duì)第三方機(jī)構(gòu)開展事前托處理場景及方案是否滿足個(gè)人信息保護(hù)需求，并特別關(guān)注其方案中是否存在供應(yīng)鏈引入的b)委托行為不得超出事前已獲得授權(quán)及合同協(xié)議約定的個(gè)人信息使用范圍。e)個(gè)人信息事先采用數(shù)據(jù)脫敏等技術(shù)防止個(gè)人信息泄露。因業(yè)務(wù)確需無法對(duì)個(gè)人信息進(jìn)行脫敏h)個(gè)人信息以紙質(zhì)介質(zhì)或磁盤等存儲(chǔ)介質(zhì)與委托方進(jìn)行傳遞時(shí)，需執(zhí)行相應(yīng)的內(nèi)部授權(quán)審批程i)保存委托處理過程記錄與有關(guān)個(gè)人e)利用自動(dòng)化工具如代碼、腳本、接口、算法模型、SDK等進(jìn)行個(gè)人信息共享時(shí)，需通過網(wǎng)絡(luò)攻擊，并定期檢查和評(píng)估自動(dòng)化工具安全性和f)如因業(yè)務(wù)需要向境外提供個(gè)人信息，應(yīng)遵守國家相關(guān)法律法規(guī)和標(biāo)準(zhǔn)的要求。g)在組織出現(xiàn)收購、兼并、重組等情形時(shí)，依照國家及行業(yè)有關(guān)規(guī)定履行義務(wù)。h)組織將其提供的產(chǎn)品或服務(wù)移交至其他組織時(shí)，需通過逐一傳達(dá)或公告的方式向個(gè)人信息主a)事先開展個(gè)人信息保護(hù)影響評(píng)估，并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施。b)向個(gè)人信息主體告知公開披露個(gè)人信息的目的、類型，并事先征得個(gè)人信息主體明示同意。f)依據(jù)組織有關(guān)程序執(zhí)行個(gè)人信息公開披露審批程序，其審批過程和記錄留檔。h)盡可能對(duì)個(gè)人信息進(jìn)行加密、匿名、假名等去標(biāo)識(shí)化處理，防止泄露，造成危個(gè)人信息的分析結(jié)果）原則上不得公開披露，國家及行業(yè)主管部門另有規(guī)定的e)境外接收方所在國家或者地區(qū)的個(gè)人信息保護(hù)政策法規(guī)對(duì)履行個(gè)人信息保護(hù)義務(wù)和保障個(gè)人f)其他可能影響個(gè)人信息跨境處理安全的事項(xiàng)。a)依據(jù)國家及行業(yè)主管部門有關(guān)規(guī)定及與個(gè)人信息主體約定的時(shí)限等，針對(duì)不同類型的個(gè)人信至數(shù)據(jù)提供方，由其進(jìn)行數(shù)據(jù)刪除情況確認(rèn)，并及時(shí)報(bào)備個(gè)人信息保護(hù)d)采取技術(shù)手段，在產(chǎn)品和服務(wù)所涉及的系統(tǒng)中去除待刪除h)存儲(chǔ)個(gè)人信息的介質(zhì)還需繼續(xù)使用的，應(yīng)為不同個(gè)人信息的存儲(chǔ)方式制定相異的邏輯銷毀方——通過數(shù)據(jù)恢復(fù)工具或數(shù)據(jù)發(fā)現(xiàn)工具進(jìn)行個(gè)人信息的嘗試恢復(fù)及檢查，驗(yàn)證個(gè)人信息銷毀——針對(duì)數(shù)據(jù)擦除后擦除失敗的存儲(chǔ)介質(zhì)，進(jìn)一步采用i)采取雙人制實(shí)施個(gè)人信息刪除，分別作為執(zhí)行人和復(fù)核人，并對(duì)個(gè)人信息刪除全過程進(jìn)行記具或數(shù)據(jù)發(fā)現(xiàn)工具進(jìn)行個(gè)人信息的嘗試恢復(fù)及檢查，驗(yàn)證個(gè)k)刪除個(gè)人信息可能影響執(zhí)法機(jī)構(gòu)調(diào)查取證時(shí)，應(yīng)采取適當(dāng)?shù)母綦x和屏蔽措施。有下列情形之一的，組織應(yīng)進(jìn)行事前的個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行b)利用個(gè)人信息進(jìn)行自動(dòng)化決策的；g)其他對(duì)個(gè)人權(quán)益有重大影響的用戶個(gè)人信息a)個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；c)所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。根據(jù)不同的評(píng)估場景，由個(gè)人信息保護(hù)影響評(píng)估工作的發(fā)起方組織或邀請(qǐng)第三方參照個(gè)人信息保a)評(píng)估工作準(zhǔn)備：評(píng)估工作準(zhǔn)備主要圍繞評(píng)估范圍編制個(gè)人信息保護(hù)影響評(píng)估實(shí)施方案并獲得果對(duì)目標(biāo)系統(tǒng)的個(gè)人信息以及個(gè)人信息處理活所能夠造成的個(gè)人權(quán)益影響與該風(fēng)險(xiǎn)導(dǎo)致安全事件發(fā)生的可能性兩個(gè)方面入手，綜合考慮風(fēng)將其定位在相應(yīng)的位置）。綜合考慮可能性和影響級(jí)別能夠有效提升資源分配的合理性。e)出具評(píng)估報(bào)告：評(píng)估團(tuán)隊(duì)在完成檢查工作后將根據(jù)記錄了評(píng)估項(xiàng)證明依據(jù)以及符合狀態(tài)的評(píng)估表綜合分析整理評(píng)估對(duì)象的合規(guī)狀況以及所面臨的個(gè)人信息保護(hù)安全風(fēng)險(xiǎn)。綜合分析現(xiàn)存e)具備個(gè)人信息安全風(fēng)險(xiǎn)展示功能；h)具備個(gè)人信息保護(hù)合規(guī)知識(shí)庫的功能等。f)處理個(gè)人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性；k)安全事件發(fā)生的可能性分析結(jié)果；個(gè)人信息保護(hù)合規(guī)審計(jì)分為定期審計(jì)、監(jiān)管審計(jì)兩a)以下個(gè)人信息處理者應(yīng)當(dāng)每年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。b)其他個(gè)人信息處理者應(yīng)當(dāng)每二年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。監(jiān)管審計(jì)是指履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理者在個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以要求個(gè)人信息處理者a)組織在收到個(gè)人信息保護(hù)職責(zé)的部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)時(shí)，應(yīng)優(yōu)先選擇國家網(wǎng)信部門、公安機(jī)關(guān)等國務(wù)院有關(guān)部門確立的推薦目錄中的專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審b)原則上應(yīng)當(dāng)在90個(gè)工作日內(nèi)完成，并按照專業(yè)機(jī)構(gòu)給出的整改建議進(jìn)行整改，并將合報(bào)告、專業(yè)機(jī)構(gòu)復(fù)核后的整改情況報(bào)送履行個(gè)人信息職責(zé)的護(hù)的重要性和個(gè)人信息保護(hù)合規(guī)管理方針、管理制度，要求其b)應(yīng)向社會(huì)公開宣傳組織的隱私政策和個(gè)人信息保護(hù)工作。對(duì)外開展涉及個(gè)人信息的相關(guān)業(yè)務(wù)c)應(yīng)在宣傳資料、網(wǎng)絡(luò)媒介及其他面向社會(huì)的各類文件中包含個(gè)人信息保護(hù)的相關(guān)內(nèi)容。a)建立新員工個(gè)人信息保護(hù)培訓(xùn)機(jī)制，確保新員工上崗前掌握個(gè)人信息保護(hù)基礎(chǔ)知識(shí)和制度要b)按照培訓(xùn)計(jì)劃定期開展全員個(gè)人信息保c)制定個(gè)人信息處理相關(guān)崗位人員的安全專項(xiàng)培訓(xùn)計(jì)劃，規(guī)定不同崗位員工的必修及選修培訓(xùn)位人員、外部數(shù)據(jù)采購崗位及其他個(gè)人信息處理關(guān)鍵d)對(duì)密切接觸敏感個(gè)人信息的人員定期開展個(gè)人信息保護(hù)意識(shí)教育和培訓(xùn)，培養(yǎng)辦公過程中涉e)至少每年1次或在隱私政策發(fā)生重大變化時(shí)，對(duì)個(gè)人信息處理相關(guān)崗位c)發(fā)生個(gè)人信息安全事件后，應(yīng)根據(jù)應(yīng)急預(yù)案進(jìn)行以下處置：和個(gè)人信息主體可以采取的減輕危害的措施，事件處置相關(guān)人員的聯(lián)d)根據(jù)相關(guān)法律法規(guī)變化情況以及事件處置情況，及時(shí)更新應(yīng)急預(yù)案?！踩录膬?nèi)容和影響；——個(gè)人信息保護(hù)工作機(jī)構(gòu)和負(fù)責(zé)人的聯(lián)系方式。體有權(quán)要求個(gè)人信息處理者對(duì)其個(gè)人信息處理規(guī)則進(jìn)行d)個(gè)人信息主體有權(quán)拒絕個(gè)人信息處理者僅通過自動(dòng)化決策方式作出的個(gè)人信息處理決e)個(gè)人信息主體有權(quán)對(duì)違法個(gè)人信息處理活動(dòng)向中華人民共和國履行個(gè)人信息保護(hù)職責(zé)的部門f)個(gè)人信息權(quán)益受到損害時(shí)，個(gè)人信息主組織在保障個(gè)人信息主體基本權(quán)益的同時(shí)，還應(yīng)滿），a)產(chǎn)品隱私政策設(shè)計(jì)（如隱私政策彈窗邏輯與頁b)產(chǎn)品權(quán)限管理設(shè)計(jì)（如權(quán)限申請(qǐng)彈窗c)第三方插件/SDK（第三方接入）；f)用戶查詢、刪除、更正、賬號(hào)注銷、撤回同意等權(quán)益功能及機(jī)制的設(shè)計(jì)；h)身份認(rèn)證和訪問控制機(jī)制的設(shè)計(jì)（防止個(gè)人信息未經(jīng)授權(quán)的訪問及不正當(dāng)?shù)氖褂茫?；）；k)個(gè)人信息加密設(shè)計(jì)及密鑰管理設(shè)計(jì)等。國家鼓勵(lì)個(gè)人信息處理者通過認(rèn)證提升個(gè)人信息保護(hù)能力，組織在滿足個(gè)人信息保護(hù)合規(guī)管理基a)個(gè)人