TTAF 179-2023 個人信息保護社會責任報告編寫指南

ICS33.050

CCSM30

團體標準

T/TAF179—2023

個人信息保護社會責任報告編寫指南

Guidelinesoncompilingsocialresponsibilityreportofpersonal

informationprotection

2023-09-11發(fā)布2023-09-11實施

電信終端產(chǎn)業(yè)協(xié)會發(fā)布

T/TAF179—2023

個人信息保護社會責任報告編寫指南

1范圍

本文件提供了個人信息保護社會責任報告編寫指南，包括基本原則、報告內(nèi)容、編制及發(fā)布流程。

本文件適用于指導提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者編寫

個人信息保護社會責任報告。非上述提及的個人信息處理者也可參考本文件編寫個人信息保護社會責任

報告。

個人信息處理者可根據(jù)自身合規(guī)要求、業(yè)務范圍、經(jīng)營狀況及市場環(huán)境，對標準所提及的具體內(nèi)容

做適當調(diào)整及刪減。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T36001-2015社會責任報告編寫指南

GB/T19000-2016質(zhì)量管理體系基礎和術語

GB/T24001-2016環(huán)境管理體系要求及使用指南

3術語和定義

GB/T36001界定的以及下列術語和定義適用于本文件。

3.1

個人信息保護社會責任報告socialresponsibilityreportofpersonalinformationprotection

基于與利益相關方進行個人信息保護社會責任溝通的需要，個人信息處理者定期或不定期對外公開

發(fā)布的一種展示其個人信息保護社會責任理念和認識，并系統(tǒng)披露其社會責任活動及績效信息的特定報

告或特定章節(jié)。

[來源：GB/T36001-2015，3.1，有修改]

3.2

績效performance

可度量的結(jié)果。

注：績效可能與定量或定性的發(fā)現(xiàn)有關?？冃Э赡芘c活動、過程、產(chǎn)品（包括服務）、體系或企業(yè)的管理有關。

[來源：GB/T19000-2016，3.7.8]

3.3

合規(guī)compliance

個人信息處理者必須遵守的法律法規(guī)要求，以及個人信息處理者必須遵守或選擇遵守的其他要求。

1

T/TAF179—2023

[來源：GB/T24001-2016，3.2.9，有修改]

4縮略語

下列縮略語適用于本文件。

ESG：環(huán)境、社會和治理（Environmental,Social,Governance）

5基本原則

5.1合規(guī)性

個人信息保護社會責任報告需要遵守相關法律法規(guī)要求，法律法規(guī)要求披露的信息可按要求在報告

中體現(xiàn)，報告不披露現(xiàn)法律法規(guī)禁止披露的信息，并保護信息所涉及利益相關方受法律法規(guī)保護的隱私

和權益。

5.2全面性

個人信息保護社會責任報告需要完整、客觀、并盡可能全面體現(xiàn)個人信息保護方面的正面和負面表

現(xiàn)，以及相關績效信息，以便于利益相關方全面認知個人信息保護方面情況。

5.3可及性

個人信息保護社會責任報告可采用紙質(zhì)文件、電子文件等多種形式，個人信息處理者至少在一種渠

道進行發(fā)布，例如：官方網(wǎng)站、應用程序、公眾號等，確保所披露的個人信息保護信息易于被利益相關

方獲取和理解。

6報告內(nèi)容

6.1總則

個人信息處理者考慮自身活動及與其活動有緊密聯(lián)系的其他實體或個人的行動所導致的針對個人

信息保護方面的潛在和實際影響，充分了解如下情況：

a）自身的經(jīng)營環(huán)境；

b）所處的內(nèi)外部環(huán)境；

c）法律法規(guī)及監(jiān)管要求；

d）主要社會責任標準；

e）行業(yè)內(nèi)的個人保護保護相關事件及熱點議題；

f）與個人信息處理者發(fā)展密切相關的利益相關方的需求和期待。

注：了解方式包括：訪談、問卷、座談、研討、調(diào)研等。

個人信息處理者可根據(jù)所了解到的上述情況，結(jié)合自身合規(guī)要求、業(yè)務范圍、經(jīng)營狀況及市場環(huán)境，

對本章內(nèi)容補充或刪減，策劃并撰寫自身個人信息保護社會責任報告具體內(nèi)容。

6.2報告基本情況

報告所涉及的個人信息處理者基本情況信息，包括：企業(yè)概況、主要業(yè)務、價值觀與發(fā)展理念、主

要利益相關方等。

報告所涉及的時間范圍和業(yè)務范圍。

2

T/TAF179—2023

6.3組織治理

6.3.1使命理念

個人信息處理者所制定的、用于指導個人信息保護工作相關的戰(zhàn)略、規(guī)劃、方針、愿景、使命、理

念等。

6.3.2履責聲明/承諾

個人信息處理者及其高級管理層所宣稱的個人信息保護聲明、承諾、工作方針等，以體現(xiàn)其對個人

信息保護的重視和關注。

6.3.3管理職責及組織架構(gòu)

個人信息處理者所建立的涵蓋董事會（適用時）、管理層、執(zhí)行層、獨立監(jiān)督機構(gòu)等個人信息保護

相關的組織架構(gòu)、管理職責、崗位分工以及具體的相關履職情況。

6.4組織管理

6.4.1個人信息管理情況

總則

個人信息處理者所建立的個人信息全流程管理的相關制度以及具體實施效果，若相關內(nèi)容已在其他

公開報告中涉及，可做適當引用。

收集階段

個人信息處理者在合法合規(guī)性的基礎上，所建立的個人信息收集方面的管理制度，以及具體實施效

果，例如：最小必要原則、個人信息主體自主意愿、明示告知、獲取個人信息主體授權同意等。

存儲階段

個人信息處理者所建立的個人信息數(shù)據(jù)存儲、數(shù)據(jù)備份、數(shù)據(jù)恢復等方面的管理制度，以及具體實

施效果，例如：最小化存儲時間原則、去標識化、敏感個人信息加密存儲等。

使用階段

個人信息處理者所建立的個人信息訪問控制、個人信息使用/用戶畫像目的限制等使用方面的管理

制度，以及具體實施效果。所披露的個人信息使用管理制度及實施效果宜涉及利益相關方關注的個人信

息使用場景，例如：個性化展示、自動化決策等。

加工階段

個人信息處理者所建立的個人信息加工方面的管理制度，以及具體實施效果，例如：保證個人信息

不被無關的相關方獲知、加工過程系統(tǒng)持續(xù)穩(wěn)定、如實告知個人信息主體對其個人信息的查詢等。

傳輸、提供和公開階段

個人信息處理者所建立的個人信息傳輸、提供和公開方面的管理制度，以及具體實施效果，例如：

個人信息影響評估、明示告知、傳輸前后對個人信息保護機制等。

刪除階段

個人信息處理者所建立的個人信息刪除及個人信息留存方面的管理制度，以及具體實施效果，例如

個人信息留存時間、刪除方式等。

3

T/TAF179—2023

6.4.2合規(guī)要求識別及落實

個人信息處理者所建立的周期性對個人信息保護相關的合規(guī)及監(jiān)管要求持續(xù)跟進的機制，并根據(jù)所

跟進的要求而不斷完善內(nèi)部制度及流程，積極整改問題（若涉及），有效響應落實，以及具體的完善落

實情況及效果。

6.4.3事件處置、應急響應及預警演練

個人信息處理者所建立的面對個人信息數(shù)據(jù)泄露（丟失）、濫用、被篡改、數(shù)據(jù)被損毀、數(shù)據(jù)違規(guī)

使用等安全事件的應急預案、應急處置等相關內(nèi)容，以及應急演練實施效果。

個人信息處理者處理重大個人信息安全事件的情況及效果（若涉及）。

6.4.4內(nèi)審/自評估及第三方評估/認證/審計

個人信息處理者對所使用和處理個人信息的相關管理制度、實施效果、場景等進行的個人信息保護

相關內(nèi)審/審計及第三方評估/認證/審計工作的相關制度及具體情況。

6.4.5內(nèi)部意識提升及教育培訓

個人信息處理者面向全體員工、有權查看和處理個人信息的員工、相關業(yè)務人員、新入職員工等，

所開展的、多層次、多維度的個人信息保護相關的意識提升、教育培訓、崗位考試、案例分享等多樣活

動的具體情況，宜披露具體績效數(shù)據(jù)，例如：覆蓋人次、累計時長、課程數(shù)量等。

6.5消費者權益保護及服務提升

6.5.1用戶個人信息保護

個人信息處理者在處理用戶個人信息時所遵循的處置原則、功能設置、實施情況及效果，例如：保

障用戶對其個人信息控制權（如查詢、復制、更正、刪除、轉(zhuǎn)移等）的具體方式等。

個人信息處理者對特定群體（如：未成年人用戶、老年用戶、殘障用戶等）及多元用戶（如：身處

不同地區(qū)、處于不同知識水平、處于不同語言環(huán)境等相關用戶）權益保護相關的特定管理規(guī)定、功能設

置、實施情況及效果。

個人信息處理者積極擴展相關技術及潛能，保障用戶信息方面的良好實踐，例如：用戶號碼隱私保

護、“雙清單”展示、匿名化數(shù)據(jù)處理等。

6.5.2用戶溝通交流管理

針對個人信息保護方面，個人信息處理者所建立的體驗評價、申訴投訴、政策查詢、意見征集等用

戶溝通交流渠道，以及對所溝通交流事項的收集、統(tǒng)計、分析、處置等過程所對應的管理規(guī)定、實施情

況及效果，宜披露具體績效數(shù)據(jù)，例如：溝通交流的頻次及數(shù)量、辦結(jié)率/處置率等。

6.5.3信息披露及提升公眾意識

針對個人信息保護方面，個人信息處理者在官方網(wǎng)站、應用程序、行業(yè)組織會議等渠道，通過規(guī)則

/算法展示、科普文章或視頻、社會責任報告、會議發(fā)言等，面向公眾所開展的信息披露、知識普及、

意識宣傳、警示案例教育等。

6.6生態(tài)圈及供應鏈發(fā)展

6.6.1生態(tài)圈及供應商篩選

4

T/TAF179—2023

個人信息處理者進行生態(tài)伙伴/供應商篩選時，考慮個人信息保護相關的基線要求；在不影響合法

合規(guī)和服務質(zhì)量的前提下，優(yōu)先考慮個人信息保護表現(xiàn)優(yōu)良、尤其是具有代表性和多元化的生態(tài)伙伴/

供應商。

6.6.2向第三方提供用戶個人信息的管理規(guī)定

個人信息處理者與生態(tài)伙伴/供應商約定個人信息及數(shù)據(jù)的使用目的、使用范圍、保密約定、安全

責任等內(nèi)容，約定方式可通過合同、協(xié)議等形式。

個人信息處理者向第三方提供個人信息的管理規(guī)定，例如：用戶知情同意并獲取授權、匿名及去標

識化等。

6.6.3生態(tài)圈及供應商監(jiān)督管理措施

根據(jù)生態(tài)伙伴/供應商個人信息保護的實際情況，基于責任共擔、生態(tài)共建、互信共贏的理念，個

人信息處理者所制定的生態(tài)圈及供應鏈監(jiān)督管理措施，例如：普查抽查、評級定級、罰款限流、下架等，

宜披露具體績效數(shù)據(jù)和實踐案例，例如：監(jiān)督措施實施的次數(shù)、對象、效果、典型案例等。

6.6.4生態(tài)圈及供應商履責支持措施

根據(jù)生態(tài)伙伴/供應商個人信息保護的實際情況，基于責任共擔、生態(tài)共建、互信共贏的理念，個

人信息處理者所制定的生態(tài)圈及供應鏈履責支持及鼓勵措施，例如：投入技術/人力/資金支持、提供培

訓/指導/咨詢/流量支持/項目扶持、總結(jié)表彰良好實踐等，宜披露具體績效數(shù)據(jù)和實踐案例，例如：支

持鼓勵措施的提供次數(shù)、措施覆蓋率、生態(tài)伙伴/供應商參與情況、生態(tài)伙伴/供應商履責效果等。

6.7促進產(chǎn)業(yè)提升

6.7.1技術研發(fā)及應用

針對個人信息保護方面，個人信息處理者所建立的支持鼓勵前沿技術積累、研發(fā)創(chuàng)新、技術應用、

知識產(chǎn)權保護、成果轉(zhuǎn)化方面的相關管理辦法、激勵政策及實施效果，例如：軟件著作權、發(fā)明專利、

國家或行業(yè)獎項、試點示范、第三方認證等。

6.7.2產(chǎn)業(yè)發(fā)展

針對個人信息保護方面，個人信息處理者利用技術優(yōu)勢及業(yè)務積累，積極參與的相關產(chǎn)業(yè)政策、法

律法規(guī)、標準編制、公共事務管理、行業(yè)自律及治理活動、技術生態(tài)建設、產(chǎn)業(yè)人才培養(yǎng)、產(chǎn)業(yè)孵化基

地等方面的相關工作及成果。

7編制及發(fā)布流程

7.1總則

個人信息處理者編制及發(fā)布個人信息保護社會責任報告的流程通常包括如下步驟：

a）組建報告編制小組；

b）策劃報告內(nèi)容；

c）報告信息采集、篩選及審核；

d）撰寫報告并設計排版；

e）報告批準；

f）報告發(fā)布；

g）報告影響評估的跟蹤及反饋。

5

T/TAF179—2023

7.2組建報告編制小組

個人信息處理者根據(jù)個人信息保護相關的管治架構(gòu)，聯(lián)合內(nèi)部相關部門，宜組建個人信息保護社會

責任報告編制小組，小組負責人宜由高級管理層人員擔任，例如：首席數(shù)據(jù)官等。

個人信息處理者可視情況，委托外部專業(yè)機構(gòu)承擔部分工作，或組建專家團隊提供專業(yè)意見。

報告編制小組宜制定工作計劃，包括職責分工、工作進度、里程碑節(jié)點等。

7.3策劃報告及內(nèi)容

7.3.1報告的時間范圍和發(fā)布頻次

個人信息處理者宜充分考慮報告內(nèi)容的連續(xù)性，自行選定個人信息保護社會責任報告所覆蓋的時間

范圍和發(fā)布批次，例如：可每一年或兩年發(fā)布報告，報告的時間范圍可以自然年度，也可與企業(yè)財年保

持一致。

若發(fā)生引起社會廣泛關注的個人信息保護方面的重大事件或重大變化時，個人信息處理者可不定期

發(fā)布相關報告。

7.3.2報告范圍

個人信息保護社會責任報告的內(nèi)容應遵循相關法律法規(guī)要求，宜盡可能覆蓋個人信息保護相關的個

人信息處理者所涉及的運營業(yè)務，范圍需要作為報告的具體內(nèi)容之一而如實體現(xiàn)。

7.3.3報告具體內(nèi)容

個人信息處理者策劃個人信息保護相關的具體內(nèi)容（參考本標準第6章）。

7.4報告信息采集、篩選及審核

7.4.1報告信息采集

個人信息處理者根據(jù)所策劃的報告內(nèi)容，開展信息采集，信息來源包括但不限于：應用程序、業(yè)務

系統(tǒng)、內(nèi)部數(shù)據(jù)庫，對利益相關方調(diào)研問卷、座談訪談、客戶及消費者反饋以及其他合法及公開的途徑。

7.4.2報告信息篩選及信息審核

個人信息處理者可建立機制，針對所采集的信息進行篩選及審核，篩選原則包括但不限于：

a）法律法規(guī)等合規(guī)要求；

b）該信息披露后對個人信息處理者的影響。

審核維度包括但不限于：

a）信息的真實性；

b）信息的有效期；

c）信息的顆粒度；

d）信息的全面性；

e）信息統(tǒng)計方法及口徑的適用性和一致性。

對于擬在報告中首次披露的信息，個人信息處理者宜嚴格按照個人信息處理者內(nèi)部信息的篩選及審

核程序?qū)嵤┫鄳鞒?，確保信息的適宜性；對于在報告中持續(xù)性披露的信息，個人信息處理者宜關注信

息統(tǒng)計方法及口徑的一致性，以確保持續(xù)性披露信息的連貫性和可比性。

7.5撰寫報告并設計排版

6

T/TAF179—2023

個人信息處理者根據(jù)審核通過的信息，對報告進行文字撰寫。為增強報告的可讀性，可綜合實用性

和美觀性，對報告進行設計排版。

7.6報告批準

個人信息處理者宜經(jīng)由高級管理層正式批準報告整體內(nèi)容。

7.7報告發(fā)布

個人信息處理者可根據(jù)自身時間規(guī)劃而發(fā)布報告，報告可引申為多種形式，例如：簡化版、視頻版、

游戲互動版等，報告發(fā)布渠道可選擇一種或多種，例如：官方網(wǎng)站、應用程序、公眾號等。

個人信息處理者可在與利益相關方的交流座談、商業(yè)談判、營銷服務等過程中，重復使用報告內(nèi)容，

擴大報告的輻射范圍，增強影響力，最大化報告的應用價值。

7.8報告影響評估跟蹤及反饋

個人信息處理者可采取訪談、問卷、座談、研討、調(diào)研、業(yè)務系統(tǒng)推送等技術手段和工具，對個人

信息保護社會責任報告的發(fā)布效果、利益相關方的反饋、傳播數(shù)據(jù)等進行跟蹤、挖掘和分析，評估報告

的輻射范圍、影響力等，以便為下一次報告編寫及發(fā)布的策劃和改進提供參考。