DB21-T 3892-2023 工業(yè)數(shù)據(jù)流通 合規(guī)性檢查規(guī)范

ICS25.040.40CCSL7021遼寧省市場(chǎng)監(jiān)督管理局發(fā)布IDB21/T3892—2023前言 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4縮略語(yǔ) 5檢查內(nèi)容 5.1數(shù)據(jù)供方合規(guī)檢查 5.2數(shù)據(jù)來(lái)源合規(guī)檢查 5.3交易數(shù)據(jù)合規(guī)檢查 5.4數(shù)據(jù)處理過(guò)程合規(guī)檢查 5.5可追溯檢查 5.6數(shù)據(jù)出境合規(guī)評(píng)估及檢查 5.7征信場(chǎng)景下數(shù)據(jù)合規(guī)檢查的特殊要求 6檢查過(guò)程 6.1檢查準(zhǔn)備 6.2檢查實(shí)施 6.3問(wèn)題分析 6.4合規(guī)性判定 參考文獻(xiàn) DB21/T3892—2023本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由遼寧省工業(yè)和信息化廳提出并歸口。本文件起草單位：沈陽(yáng)華睿博信息技術(shù)有限公司、上海數(shù)據(jù)交易所、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心遼寧分中心、遼寧艾特斯智能交通技術(shù)有限公司、東北大學(xué)、遼寧職業(yè)學(xué)院、遼寧省大數(shù)據(jù)管理中心、北京賽迪時(shí)代信息產(chǎn)業(yè)股份有限公司、交通運(yùn)輸部公路科學(xué)研究所、遼寧省先進(jìn)裝備制造業(yè)基地建設(shè)工程中心。本文件主要起草人：邵華、申翔宇、李凱、黃書(shū)鵬、王宇飛、宋憲輝、譚振華、王義剛、楊成實(shí)、張翔宇、魏國(guó)偉、周艷芳、齊志峰、歐梓涵、孫昕、劉洋。本文件發(fā)布實(shí)施后，任何單位和個(gè)人如有問(wèn)題和意見(jiàn)建議，均可以通過(guò)來(lái)電和來(lái)函等方式進(jìn)行反饋，我們將及時(shí)答復(fù)并認(rèn)真處理，根據(jù)實(shí)際情況依法進(jìn)行評(píng)估及復(fù)審。歸口管理部門(mén)通信地址：沈陽(yáng)市遼寧省沈陽(yáng)市皇姑區(qū)北陵大街45-2號(hào)。歸口管理部門(mén)聯(lián)系電話文件起草單位通訊地址：遼寧省沈陽(yáng)市和平區(qū)青年大街386號(hào)華陽(yáng)國(guó)際大廈2396。文件起草單位聯(lián)系電話1DB21/TXXXX—XXXX工業(yè)數(shù)據(jù)流通合規(guī)性檢查規(guī)范本文件規(guī)定了數(shù)據(jù)供方合規(guī)檢查、數(shù)據(jù)來(lái)源合規(guī)檢查、交易數(shù)據(jù)合規(guī)檢查、數(shù)據(jù)處理過(guò)程合規(guī)檢查、可追溯檢查、數(shù)據(jù)出境合規(guī)、征信場(chǎng)景下數(shù)據(jù)合規(guī)檢查和檢查過(guò)程等方面的內(nèi)容。本文件適用于工業(yè)數(shù)據(jù)流通中的數(shù)據(jù)合規(guī)性檢查。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T5271.1-2000信息技術(shù)詞匯第1部分：基本術(shù)語(yǔ)GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T35274-2023信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求GB/T37932-2019信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求GB/T39204-2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求GB/T39335-2020信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1數(shù)據(jù)data信息的可再解釋的形式化表示，以適用于通信、解釋或處理。[來(lái)源：GB/T5271.1-2000,01.01.02]3.2數(shù)據(jù)供方datasupplier數(shù)據(jù)交易中提供數(shù)據(jù)的組織機(jī)構(gòu)。[來(lái)源:GB/T37932-2019，3.2]3.3數(shù)據(jù)需方dataacquirer數(shù)據(jù)交易中購(gòu)買(mǎi)和使用數(shù)據(jù)的組織機(jī)構(gòu)。[來(lái)源:GB/T37932-2019，3.3]3.42DB21/TXXXXX—2020數(shù)據(jù)交易datatransaction數(shù)據(jù)供方和需方之間以數(shù)據(jù)商品作為交易對(duì)象，進(jìn)行的以貨幣或貨幣等價(jià)物交換數(shù)據(jù)商品的行為。注1：數(shù)據(jù)商品包括用于交易的原始數(shù)據(jù)或加注2：數(shù)據(jù)交易包括以大數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易，也包括以傳統(tǒng)數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)[來(lái)源:GB/T37932-2019，3.1]3.5數(shù)據(jù)交易服務(wù)機(jī)構(gòu)datatransactionservice為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務(wù)的組織機(jī)構(gòu)。[來(lái)源:GB/T37932-2019，3.4]3.6匿名化anonymization個(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程。[來(lái)源:GB/T41479-2022，3.13]3.7個(gè)人信息personalinformation以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。注1：個(gè)人信息包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康注2：個(gè)人信息控制者通過(guò)個(gè)人信息或其他信息加工處理后形成的信息，例如,用戶畫(huà)像或特征標(biāo)簽,能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的,[來(lái)源:GB/T35273-2020，3.1，有修改]3.8關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。[來(lái)源:GB/T39204-2022，3.1]3.9數(shù)據(jù)流通datacirculation數(shù)據(jù)及數(shù)據(jù)產(chǎn)品在不同實(shí)體間流轉(zhuǎn)的行為。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件：API：應(yīng)用程序接口（ApplicationProgrammingInterface）SDK：軟件開(kāi)發(fā)工具包（SoftwareDevelopmentKit）3DB21/TXXXX—XXXX5檢查內(nèi)容5.1數(shù)據(jù)供方合規(guī)檢查5.1.1業(yè)務(wù)資質(zhì)檢查應(yīng)根據(jù)數(shù)據(jù)供方的經(jīng)營(yíng)范圍、具體業(yè)務(wù)模式和數(shù)據(jù)產(chǎn)品類別等，對(duì)數(shù)據(jù)供方取得的行政許可及相關(guān)證照的完備性、運(yùn)營(yíng)主體的一致性、授權(quán)范圍與實(shí)際數(shù)據(jù)處理相關(guān)活動(dòng)的匹配性以及質(zhì)量管理體系的健全性進(jìn)行檢查。5.1.2數(shù)據(jù)安全檢查應(yīng)對(duì)數(shù)據(jù)供方提供的數(shù)據(jù)安全情況進(jìn)行檢查，檢查要求如下：a）按照GB/T28448-2019中的測(cè)評(píng)要求對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行檢查。必要時(shí)，對(duì)網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)措施和測(cè)評(píng)整改符合要求的情況進(jìn)行核查；b）按照GB/T22240-2020的要求對(duì)數(shù)據(jù)提供者的網(wǎng)絡(luò)安全保護(hù)等級(jí)定級(jí)結(jié)果進(jìn)行復(fù)核；c）如涉及關(guān)鍵信息基礎(chǔ)設(shè)施，應(yīng)按GB/T39204-2022的相關(guān)要求進(jìn)行檢查；d）按照GB/T35274-2023的要求對(duì)數(shù)據(jù)提供方是否滿足最低安全防護(hù)要求或技術(shù)保護(hù)措施進(jìn)行檢查及在數(shù)據(jù)流通過(guò)程中是否遵循有關(guān)法律法規(guī)及部門(mén)規(guī)定要求采取數(shù)據(jù)脫敏、數(shù)據(jù)加密、安全通道等措施進(jìn)行檢查；e）如采用特定變換的方法對(duì)不屬于國(guó)家秘密的信息等進(jìn)行加密保護(hù)、安全認(rèn)證，應(yīng)檢查其所采用的技術(shù)、產(chǎn)品和服務(wù)是否符合商用密碼管理的相關(guān)要求。5.1.3委托處理數(shù)據(jù)的檢查數(shù)據(jù)供方委托外部機(jī)構(gòu)進(jìn)行數(shù)據(jù)處理時(shí)，應(yīng)檢查以下內(nèi)容：a）建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、個(gè)人信息安全影響評(píng)估以及內(nèi)外部數(shù)據(jù)安全、網(wǎng)絡(luò)安全檢查與評(píng)估制度的情況；b）對(duì)外部機(jī)構(gòu)業(yè)務(wù)資質(zhì)檢查的相關(guān)記錄，外部機(jī)構(gòu)業(yè)務(wù)資質(zhì)檢查內(nèi)容包括行政許可及相關(guān)證照的完備性、運(yùn)營(yíng)主體的一致性、授權(quán)范圍與實(shí)際數(shù)據(jù)處理相關(guān)活動(dòng)的匹配性以及質(zhì)量管理體系的健全性；c）與外部機(jī)構(gòu)簽訂的數(shù)據(jù)處理合同或協(xié)議的效力及內(nèi)容，包括合同約定的履行數(shù)據(jù)安全要求、數(shù)據(jù)處理目的、處理期限、處理方式、信息種類、保護(hù)措施、處理地點(diǎn)、銷毀、轉(zhuǎn)委托處理、分享以及雙方的權(quán)利和義務(wù)等；d）對(duì)外部機(jī)構(gòu)數(shù)據(jù)處理過(guò)程的監(jiān)督記錄，包括履行數(shù)據(jù)安全保護(hù)義務(wù)情況、處理方式及處理地點(diǎn)的正確性、是否進(jìn)行超出目的處理、處理后數(shù)據(jù)的刪除和銷毀情況等；e）如涉及處理個(gè)人信息，應(yīng)檢查委托前進(jìn)行個(gè)人信息安全影響評(píng)估的實(shí)施記錄和記錄保存情況，個(gè)人信息安全影響評(píng)估活動(dòng)應(yīng)依據(jù)GB/T39335-2020開(kāi)展。5.2數(shù)據(jù)來(lái)源合規(guī)檢查數(shù)據(jù)來(lái)源包括自有數(shù)據(jù)和外部獲取數(shù)據(jù)，各類型的數(shù)據(jù)來(lái)源合規(guī)檢查內(nèi)容應(yīng)包括：a）自有數(shù)據(jù)：檢查數(shù)據(jù)分類分級(jí)制度及落實(shí)情況，檢查不同數(shù)據(jù)等級(jí)的安全機(jī)制；b）外部獲取數(shù)據(jù)：企業(yè)從外部渠道獲取的數(shù)據(jù)，包括直接獲取和間接獲?。?DB21/TXXXXX—20201）直接獲取。針對(duì)公開(kāi)數(shù)據(jù)采集，從采集數(shù)據(jù)是否會(huì)侵犯其他主體的合法權(quán)益、采集方法和使用目的等方面進(jìn)行檢查；針對(duì)數(shù)據(jù)主體自主輸入上傳或同意采集的數(shù)據(jù)，除應(yīng)重點(diǎn)審查授權(quán)情況外，還應(yīng)檢查數(shù)據(jù)源是否涉密；針對(duì)以第三方組件方式采集數(shù)據(jù)的，除檢查授權(quán)外，還需審查采集方是否對(duì)第三方組件具有完整的內(nèi)控制度；針對(duì)采集水文、氣候及地理測(cè)繪等客觀世界數(shù)據(jù)，則應(yīng)綜合國(guó)家利益、所涉行業(yè)、采集方性質(zhì)等多方因素綜合檢查來(lái)源合規(guī)；2）間接獲?。簷z查采購(gòu)協(xié)議或授權(quán)許可協(xié)議的真實(shí)性、合理性。5.3交易數(shù)據(jù)合規(guī)檢查交易數(shù)據(jù)合規(guī)檢查內(nèi)容應(yīng)包括：a）應(yīng)檢查交易數(shù)據(jù)是否包含GB/T37932-2019中6.1列出的禁止交易數(shù)據(jù)；b）應(yīng)檢查交易數(shù)據(jù)的安全風(fēng)險(xiǎn)評(píng)估報(bào)告的全面性、真實(shí)性；c）應(yīng)檢查交易數(shù)據(jù)描述和樣本的準(zhǔn)確性、真實(shí)性；d）應(yīng)檢查交易數(shù)據(jù)的分類結(jié)果是否正確；e）根據(jù)不同類別數(shù)據(jù)遭篡改、破壞、泄露或非法利用后，可能對(duì)國(guó)家安全、國(guó)民經(jīng)濟(jì)、行業(yè)發(fā)展、公眾利益、社會(huì)秩序及企業(yè)等帶來(lái)的潛在影響，將數(shù)據(jù)分為一級(jí)（一般數(shù)據(jù)）、二級(jí)（重要數(shù)據(jù)）、三級(jí)（核心數(shù)據(jù)）3個(gè)級(jí)別。交易數(shù)據(jù)為重要數(shù)據(jù)的，應(yīng)檢查是否已取得相關(guān)部門(mén)對(duì)于數(shù)據(jù)交易的同意或許可，應(yīng)檢查重要數(shù)據(jù)傳輸過(guò)程中是否采取校驗(yàn)技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施。5.4數(shù)據(jù)處理過(guò)程合規(guī)檢查5.4.1數(shù)據(jù)收集數(shù)據(jù)收集情況的檢查內(nèi)容應(yīng)包括：a）收集信息的合法性基礎(chǔ)，包括相關(guān)資質(zhì)、行政許可、授權(quán)等；b）個(gè)人信息的收集是否符合GB/T35273-2020中第5章的要求和最小化原則；c）數(shù)據(jù)收集授權(quán)的展示時(shí)機(jī)、形式（明顯、非默認(rèn)同意）和內(nèi)容的規(guī)范性；d）實(shí)際收集數(shù)據(jù)與隱私政策、用戶協(xié)議等內(nèi)容是否一致。5.4.2數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)情況的檢查內(nèi)容應(yīng)包括：a）存儲(chǔ)時(shí)間是否超過(guò)與重要數(shù)據(jù)和個(gè)人信息主體約定的存儲(chǔ)期限或個(gè)人信息主體授權(quán)同意有效期；b）存儲(chǔ)個(gè)人生物特征識(shí)別信息的,是否符合GB/T35273-2020中6.3b)和c)的要求及生物特征識(shí)別信息保護(hù)相關(guān)國(guó)家標(biāo)準(zhǔn)要求；c）數(shù)據(jù)及其副本的存儲(chǔ)地點(diǎn)是否符合數(shù)據(jù)本地化存儲(chǔ)和數(shù)據(jù)跨境相關(guān)要求。5.4.3數(shù)據(jù)使用與加工數(shù)據(jù)使用與加工的檢查內(nèi)容應(yīng)包括：a）數(shù)據(jù)的使用和加工是否獲得相關(guān)方的授權(quán)；b）數(shù)據(jù)實(shí)際使用、加工的方式和范圍符合約定；c）是否涉及相關(guān)規(guī)定禁止的數(shù)據(jù)使用和加工，如未獲得用戶授權(quán)、用戶已撤回同意、歧視性的營(yíng)銷策略、違反道德倫理等情況。5.4.4數(shù)據(jù)傳輸與提供5DB21/TXXXX—XXXX數(shù)據(jù)傳輸與提供的檢查內(nèi)容包括但不限于：a）數(shù)據(jù)傳輸是否符合GB/T41479-2022中5.6的要求；b）數(shù)據(jù)提供是否符合GB/T41479-2022中5.7的要求；c）涉及第三方SDK組件或API接口的，檢查是否對(duì)SDK組件或API接口進(jìn)行安全檢測(cè)，是否存在已知的安全漏洞和可能引起數(shù)據(jù)泄露或未授權(quán)的數(shù)據(jù)出境行為。5.4.5數(shù)據(jù)公開(kāi)數(shù)據(jù)公開(kāi)的檢查內(nèi)容應(yīng)包括：a）數(shù)據(jù)公開(kāi)是否會(huì)危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定；b）數(shù)據(jù)公開(kāi)行為和內(nèi)容是否取得了相關(guān)單位的許可和授權(quán)；c）公開(kāi)對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息，是否已取得個(gè)人同意；d）公開(kāi)的數(shù)據(jù)應(yīng)具備一定的質(zhì)量，包括完整性、準(zhǔn)確性、可信性和可用性等方面。對(duì)于一些敏感或機(jī)密的數(shù)據(jù)，應(yīng)設(shè)置訪問(wèn)權(quán)限，只有特定用戶可以訪問(wèn)和獲取數(shù)據(jù)。5.4.6數(shù)據(jù)刪除數(shù)據(jù)刪除的檢查內(nèi)容應(yīng)包括：a）數(shù)據(jù)刪除的范圍是否包括數(shù)據(jù)本身及其所有副本；b）檢查數(shù)據(jù)刪除是否符合GB/T41479-2022中5.13、GB/T35273-2020中8.3和8.5的要求。5.4.7數(shù)據(jù)匿名化數(shù)據(jù)匿名化處理的檢查內(nèi)容應(yīng)包括：a）數(shù)據(jù)匿名化處理范圍是否包括數(shù)據(jù)本身及其所有副本；b）檢查數(shù)據(jù)匿名化處理是否符合GB/T41479-2022中5.13、GB/T35273-2020中8.5的要求。5.5可追溯檢查5.5.1文件檢查應(yīng)檢查數(shù)據(jù)交易服務(wù)機(jī)構(gòu)是否建立并留存以下文件：a）交易數(shù)據(jù)的來(lái)源介紹和證明文件；b）交易數(shù)據(jù)的處理記錄、使用記錄和審查記錄；c）數(shù)據(jù)供方和數(shù)據(jù)需方的基本信息；d）交易過(guò)程的記錄。5.5.2技術(shù)措施檢查應(yīng)檢查是否采用商用密碼等技術(shù)，將數(shù)據(jù)供方、數(shù)據(jù)需方身份信息，交易合同或協(xié)議，交易數(shù)據(jù)和交易過(guò)程等信息進(jìn)行登記、備案。應(yīng)檢查數(shù)據(jù)交易服務(wù)平臺(tái)是否具備交易過(guò)程信息，數(shù)據(jù)供方、數(shù)據(jù)需方身份信息及交易數(shù)據(jù)等信息的交易溯源功能。5.5.3數(shù)據(jù)登記5.5.3.1基本原則為保證數(shù)據(jù)交易可追溯，數(shù)據(jù)交易服務(wù)機(jī)構(gòu)宜建立數(shù)據(jù)確權(quán)登記、數(shù)據(jù)權(quán)利對(duì)抗登記和數(shù)據(jù)交易存證登記等數(shù)據(jù)登記制度，但建立并落實(shí)登記制度不是數(shù)據(jù)交易的必要條件。6DB21/TXXXXX—20205.5.3.2數(shù)據(jù)確權(quán)登記數(shù)據(jù)確權(quán)登記是針對(duì)權(quán)利歸屬情況清晰、產(chǎn)權(quán)主體單一的數(shù)據(jù)進(jìn)行的登記，如在不涉及數(shù)據(jù)安全問(wèn)題的情況下，應(yīng)對(duì)企業(yè)自行收集的實(shí)驗(yàn)數(shù)據(jù)、測(cè)繪數(shù)據(jù)進(jìn)行的初始權(quán)利登記，其目的在于通過(guò)嚴(yán)格審查程序明確數(shù)據(jù)初始產(chǎn)權(quán)。5.5.3.3數(shù)據(jù)權(quán)利對(duì)抗登記數(shù)據(jù)權(quán)利對(duì)抗登記是對(duì)數(shù)據(jù)整體轉(zhuǎn)讓和排他許可使用進(jìn)行的登記，登記產(chǎn)生對(duì)抗第三方的法律效力。數(shù)據(jù)權(quán)利對(duì)抗登記的目的在于通過(guò)對(duì)數(shù)據(jù)權(quán)利主體、使用權(quán)限和轉(zhuǎn)讓過(guò)程的記載，明確數(shù)據(jù)供方處理數(shù)據(jù)權(quán)限、數(shù)據(jù)需方使用數(shù)據(jù)的范圍。5.5.3.4數(shù)據(jù)交易存證登記數(shù)據(jù)交易存證登記是針對(duì)涉及普通許可使用或者數(shù)據(jù)服務(wù)場(chǎng)景下，數(shù)據(jù)交易歷程的登記，登記對(duì)象為數(shù)據(jù)產(chǎn)品的普通許可使用和數(shù)據(jù)開(kāi)發(fā)服務(wù)，其目的在于通過(guò)對(duì)歷次交易核心內(nèi)容的記錄與公示，為交易溯源提供依據(jù)和證明。5.6數(shù)據(jù)出境合規(guī)評(píng)估及檢查5.6.1出境安全評(píng)估要求重要數(shù)據(jù)和個(gè)人信息在出境前，應(yīng)由數(shù)據(jù)交易服務(wù)機(jī)構(gòu)向數(shù)據(jù)出境安全相關(guān)主管部門(mén)提交數(shù)據(jù)出境安全評(píng)估申報(bào)，提出申報(bào)前，還需自行進(jìn)行出境風(fēng)險(xiǎn)自評(píng)估或委托具有工業(yè)數(shù)據(jù)流通服務(wù)機(jī)構(gòu)授權(quán)或許可的第三方機(jī)構(gòu)進(jìn)行評(píng)估。委托處理可參考T/SZBA001-2023中7.2.2中的要求。出境風(fēng)險(xiǎn)自評(píng)估應(yīng)從以下角度進(jìn)行：a）出境數(shù)據(jù)，包括規(guī)模、范圍、種類、敏感程度和潛在風(fēng)險(xiǎn)；涉及個(gè)人數(shù)據(jù)的，向個(gè)人告知境外數(shù)據(jù)接收方的名稱、聯(lián)系方式、出境目的、出境方式、個(gè)人信息種類及個(gè)人向境外數(shù)據(jù)接收方行使權(quán)利的方式和程序等，并取得個(gè)人明示同意；b）數(shù)據(jù)出境行為可能對(duì)國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來(lái)的風(fēng)險(xiǎn)；數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性，是否符合最小必要原則；關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)；c）境外接收方承諾承擔(dān)的責(zé)任義務(wù)，以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全；當(dāng)?shù)氐谋Ｗo(hù)政策及保護(hù)水平是否滿足我國(guó)相關(guān)政策、法規(guī)及標(biāo)準(zhǔn)化文件的要求；d）數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險(xiǎn)，使用境外的數(shù)據(jù)服務(wù)商和SDK組件可能引起的潛在的數(shù)據(jù)出境風(fēng)險(xiǎn)情況，以及個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等；e）與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件等是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)，且合同中應(yīng)至少約定數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍，境外接收方處理數(shù)據(jù)的用途、方式等；f）數(shù)據(jù)在境外保存地點(diǎn)、期限，以及達(dá)到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施；g）對(duì)于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個(gè)人的約束性要求；h）境外接收方在實(shí)際控制權(quán)或者經(jīng)營(yíng)范圍發(fā)生實(shí)質(zhì)性變化，或者所在國(guó)家、地區(qū)數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化，以及發(fā)生其他不可抗力情形導(dǎo)致難以保障數(shù)據(jù)安全時(shí)，應(yīng)當(dāng)采取的安全措施；i）違反法律文件約定的數(shù)據(jù)安全保護(hù)義務(wù)的補(bǔ)救措施、違約責(zé)任和爭(zhēng)議解決方式；出境數(shù)據(jù)遭到篡7DB21/TXXXX—XXXX改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險(xiǎn)時(shí)，妥善開(kāi)展應(yīng)急處置的要求和保障個(gè)人維護(hù)其個(gè)人信息權(quán)益的途徑和方式。5.6.2數(shù)據(jù)出境評(píng)估人員要求數(shù)據(jù)出境評(píng)估人員需要具備一定的專業(yè)知識(shí)和技能，以確保對(duì)數(shù)據(jù)出境過(guò)程的全面評(píng)估和監(jiān)控。以下是對(duì)數(shù)據(jù)出境評(píng)估人員的基本要求：a）法律和合規(guī)知識(shí)：熟悉涉及數(shù)據(jù)出境的法律、法規(guī)和標(biāo)準(zhǔn)，包括數(shù)據(jù)保護(hù)法、隱私法和相關(guān)行業(yè)規(guī)范。了解不同國(guó)家和地區(qū)的法律要求，并能準(zhǔn)確評(píng)估數(shù)據(jù)出境的合規(guī)性；b）數(shù)據(jù)管理和分類技能：理解數(shù)據(jù)的分類和敏感性評(píng)估方法，能夠確定數(shù)據(jù)類型和級(jí)別，并確定適當(dāng)?shù)陌踩Ｗo(hù)措施；c）風(fēng)險(xiǎn)評(píng)估與管理能力：能夠識(shí)別和評(píng)估數(shù)據(jù)出境過(guò)程中的安全和隱私風(fēng)險(xiǎn)，并提供相應(yīng)的風(fēng)險(xiǎn)控制和管理建議；d）信息安全知識(shí)：具備信息安全的基本知識(shí)，包括密碼學(xué)、訪問(wèn)控制和身份認(rèn)證等。了解數(shù)據(jù)加密、數(shù)據(jù)傳輸安全等技術(shù)控制措施，并能評(píng)估其在數(shù)據(jù)出境過(guò)程中的應(yīng)用情況；e）隱私保護(hù)和倫理意識(shí)：具備關(guān)于個(gè)人隱私保護(hù)和倫理的專業(yè)知識(shí)和意識(shí)，能夠確保對(duì)個(gè)人數(shù)據(jù)的合理使用和保護(hù)，并遵守相關(guān)道德準(zhǔn)則；f）項(xiàng)目管理技能：能夠有效組織和管理數(shù)據(jù)出境評(píng)估項(xiàng)目，包括制定項(xiàng)目計(jì)劃、協(xié)調(diào)相關(guān)人員、跟蹤進(jìn)展等。5.6.3數(shù)據(jù)出境合規(guī)檢查數(shù)據(jù)出境合規(guī)檢查內(nèi)容包括但不限于：a）涉及個(gè)人信息的，是否向個(gè)人告知境外接收方的名稱或者姓名、聯(lián)系方式、出境目的、出境方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本文件規(guī)定權(quán)利的方式和程序等事項(xiàng)，并取得個(gè)人的明示同意；b）是否具有個(gè)人信息安全影響評(píng)估的責(zé)任部門(mén)或責(zé)任人員，是否自行開(kāi)展或聘請(qǐng)外部獨(dú)立第三方機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄是否妥善保存；注：個(gè)人信息安全影響評(píng)估活動(dòng)應(yīng)依據(jù)GB/T3c）是否與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)。合同中是否約定數(shù)據(jù)出境的目的及方式、境外數(shù)據(jù)保存情況、境外數(shù)據(jù)再轉(zhuǎn)移、不可抗力以及其他違約或侵權(quán)事宜及其解決途徑與方式；d）數(shù)據(jù)出境處理活動(dòng)是否需要向相關(guān)管理機(jī)構(gòu)申報(bào)數(shù)據(jù)出境安全評(píng)估，如需要申報(bào)，應(yīng)開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)第三方評(píng)估或自評(píng)估，并向相關(guān)管理機(jī)構(gòu)申報(bào)數(shù)據(jù)出境安全評(píng)估；e）關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)是否在中國(guó)境內(nèi)存儲(chǔ)；f）出境數(shù)據(jù)是否包含相關(guān)管理機(jī)構(gòu)認(rèn)定的不得出境的數(shù)據(jù)；g）是否存在使用境外的服務(wù)供應(yīng)商和第三方SDK組件可能引起的潛在的數(shù)據(jù)出境風(fēng)險(xiǎn)情況；h）是否建立并保存跨境傳輸相關(guān)的管理記錄，包括傳輸發(fā)送方、接收方及所在區(qū)域、傳輸機(jī)制、信息類型、處理目的、合同條款、數(shù)據(jù)主體同意的相關(guān)記錄。5.7征信場(chǎng)景下數(shù)據(jù)合規(guī)檢查的特殊要求5.7.1征信機(jī)構(gòu)采集數(shù)據(jù)合規(guī)檢查征信機(jī)構(gòu)采集數(shù)據(jù)合規(guī)情況，應(yīng)檢查以下內(nèi)容：a）征信機(jī)構(gòu)是否對(duì)數(shù)據(jù)來(lái)源、數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全措施和數(shù)據(jù)主體授權(quán)等進(jìn)行必要檢查；b）采集的數(shù)據(jù)是否包含個(gè)人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)8DB21/TXXXXX—2020規(guī)定禁止采集的其他個(gè)人信息；c）采集的數(shù)據(jù)是否包含個(gè)人的收入、存款、有價(jià)證券、商業(yè)保險(xiǎn),不動(dòng)產(chǎn)的信息和納稅數(shù)額信息，如包含上述信息，是否明確告知信息主體提供該信息可能產(chǎn)生的不利后果，并取得其書(shū)面同意；d）征信機(jī)構(gòu)是否與數(shù)據(jù)供方通過(guò)協(xié)議等形式明確信息采集的原則以及各自在獲得數(shù)據(jù)主體同意、數(shù)據(jù)采集、加工處理、數(shù)據(jù)更正、異議處理和數(shù)據(jù)安全等方面的權(quán)利義務(wù)和責(zé)任。5.7.2征信機(jī)構(gòu)提供數(shù)據(jù)合規(guī)檢查征信機(jī)構(gòu)提供數(shù)據(jù)合規(guī)情況，應(yīng)檢查以下內(nèi)容：a）征信機(jī)構(gòu)是否取得相關(guān)行政許可、是否已依法辦理相關(guān)備案；b）征信機(jī)構(gòu)采集個(gè)人信用信息的方式、方法，是否遵循最小必要的原則，是否存在過(guò)度采集情況；c）征信機(jī)構(gòu)是否提供相應(yīng)的證據(jù)或承諾表明已采取合理措施，保障提供數(shù)據(jù)的準(zhǔn)確性，數(shù)據(jù)采集、存儲(chǔ)和加工等過(guò)程中不存在篡改原始信息的情形。6檢查過(guò)程6.1檢查準(zhǔn)備6.1.1主要工作內(nèi)容檢查準(zhǔn)備階段主要工作內(nèi)容包括制訂檢查方案、調(diào)研、資料收集。6.1.2檢查方案檢查方案應(yīng)包括以下內(nèi)容：a）檢查團(tuán)隊(duì)的人員數(shù)量、專業(yè)組成以及溝通機(jī)制；注1：團(tuán)隊(duì)人員應(yīng)具備可支撐檢查開(kāi)展的法律、技術(shù)、安全管理、業(yè)務(wù)規(guī)則b）根據(jù)檢查對(duì)象和檢查目的確定的檢查范圍；注2：檢查范圍可包括組織范圍、物理地域范圍、項(xiàng)目范圍、業(yè)務(wù)流程和業(yè)務(wù)活動(dòng)范圍、信息系統(tǒng)和技術(shù)工具范圍、人c）應(yīng)明確相關(guān)的法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準(zhǔn)則、國(guó)際條約及行業(yè)標(biāo)準(zhǔn)化文件等檢查依據(jù)；d）應(yīng)明確可能使用的檢查工具，包括但不限于檢查表、基線檢查工具、安全掃描及測(cè)試工具、安全審計(jì)工具等；e）對(duì)檢查進(jìn)度進(jìn)行預(yù)期規(guī)劃，包括檢查準(zhǔn)備、檢查實(shí)施、分析、判定階段的周期及時(shí)間點(diǎn)安排；f）對(duì)檢查活動(dòng)可能存在的風(fēng)險(xiǎn)及造成的影響進(jìn)行分析，如檢查活動(dòng)可能造成信息泄密的風(fēng)險(xiǎn)、測(cè)試掃描活動(dòng)對(duì)業(yè)務(wù)運(yùn)行和數(shù)據(jù)正確性的影響、檢查工作自身的局限性及約束等，檢查實(shí)施應(yīng)采取最小影響原則。6.1.3調(diào)研6.1.3.1應(yīng)對(duì)檢查對(duì)象的業(yè)務(wù)運(yùn)營(yíng)模式、數(shù)據(jù)處理活動(dòng)、安全管理制度構(gòu)建及落實(shí)、處罰及整改相關(guān)情況進(jìn)行調(diào)研。6.1.3.2業(yè)務(wù)運(yùn)營(yíng)模式調(diào)研包括業(yè)務(wù)范圍、內(nèi)容、模式以及與外部機(jī)構(gòu)合作的情況。6.1.3.3數(shù)據(jù)處理活動(dòng)調(diào)研涉及處理數(shù)據(jù)的類型、流程、規(guī)模及數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、流通、刪除等全生命周期的活動(dòng)。6.1.3.4安全管理制度構(gòu)建及落實(shí)調(diào)研包括安全管理組織架構(gòu)、管理制度、技術(shù)措施、網(wǎng)絡(luò)安全等級(jí)保護(hù)落實(shí)情況、培訓(xùn)教育制度的構(gòu)建及落實(shí)。9DB21/TXXXX—XXXX6.1.3.5處罰及整改調(diào)研是否存在數(shù)據(jù)合規(guī)的投訴、行政處罰、訴訟、仲裁，如存在，還應(yīng)調(diào)研以往的信息安全相關(guān)測(cè)評(píng)和數(shù)據(jù)合規(guī)檢查的整改措施。6.1.4資料收集應(yīng)收集的數(shù)據(jù)合規(guī)相關(guān)資料包括但不限于：a）數(shù)據(jù)交易主體的營(yíng)業(yè)執(zhí)照以及相關(guān)行業(yè)的經(jīng)營(yíng)許可；b）相關(guān)的協(xié)議、合同以及審查文件；c）數(shù)據(jù)交易主體的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、數(shù)據(jù)分級(jí)分類、個(gè)人信息保護(hù)等事項(xiàng)的管理文件，包括制度文件、程序文件、行業(yè)準(zhǔn)則和承諾、指引文件、培訓(xùn)考核和監(jiān)督要求以及近三年執(zhí)行相關(guān)活動(dòng)形成的技術(shù)和質(zhì)量記錄等；d）近年（例如三年內(nèi)）與信息安全或數(shù)據(jù)安全相關(guān)的訴訟、仲裁和被執(zhí)法機(jī)關(guān)調(diào)查和處罰的相關(guān)文件，包括約談、調(diào)查通知、處罰通知、判決書(shū)等；e）近年（例如三年內(nèi)）涉及的網(wǎng)絡(luò)安全審查報(bào)告、等級(jí)保護(hù)的備案證明以及相關(guān)信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)報(bào)告、網(wǎng)絡(luò)信息安全及數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告等；f）已發(fā)生過(guò)的網(wǎng)絡(luò)安全攻擊、系統(tǒng)中斷、信息泄露等事件的情況分析及應(yīng)急響應(yīng)報(bào)告?？筛鶕?jù)檢查需求，通過(guò)對(duì)公開(kāi)信息進(jìn)行查詢的方式獲取評(píng)估對(duì)象的相關(guān)信息，以對(duì)收到的資料進(jìn)行印證和補(bǔ)充，查詢渠道包括：國(guó)家企業(yè)信用信息公示系統(tǒng)、信息產(chǎn)業(yè)主管部門(mén)網(wǎng)站