数据安全技术 数据安全和个人信息保护社会责任指南.docx

ICS35.030CCS1.80G目中华人民共和国家标准GB/TXXXXX-XXXX数据安全技术数据安全和个人信息保护社会责任指南Datasecuritytechnology-Guidanceonsocialrcsp<nsibililyofdatasecurityandpersonalinformationprotection（点击此处添加与国际标准一致性程度的标识）（征求意见稿）在提交反愦意见时，请将您知道的相关专利连同支持性文件一并附上.XXXX-XX-XX发布XXXX-XX-XX实施目次前言I1范围12Be范性引用文件13术谱和定义14概述25组织治理和内部管理36合规性、创新性和价值体现57公平运行、竞争与合作88用户权益保护119公益参与和社会发展1410社会责任耀行情况按寤16附录A（资料性）数据安全和个人保护社会货任评价方法18附录B（资料性）数据安全和个人信息保护社会货任实践案例30附录C（资料性）数据安全和个人信息保妒社会责任报告模板35参考文献37本文件按照GB打1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则:，的规定起草.本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本文件起草单位：北京褰西科技发展有限贵住公F.中国科学院信息工程研究所、中国电子技术标准化斫究院、中国网络安全审查技术与认证中心、北京百度网讯科技有限公司、北京快手科技有限公司、蚂蚊科技集团股份有限公司、国家信息技术安全研究中心、公安部第三研究所、膜讯科技（深圳）有限公司、贝壳找房（北京）科技有限公司、深圳赛西信息技术有限公司、JH天科技股份有限公司、北京抖音信息服务有限公司、广州竟远安全技术股份有限公司、完荚世界（北京软件科技发展有限公司等.本文件主要起草人：何过哲、商能、李敬、契华、朱明岬、落红卫、先建领、白晓媛、张朝、武杨、王海棠、宣埼、杨韬、王福彪、绘水林、李映靖、何倒、王昕、薛颖、黄篙等.数据安全技术数据安全和个人信息保护社会责任指南1楚图本文件为组织理耨数据安全和个人信息保护社会责任以及实施相关活动提供指南.本文件适用于处理数据的组织，还适用于评价数据处埋组织履行数据安全和个人信息保护社会史任程度的第三方机构，2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件,其最新版本(包括所有的修改地)适用于本文件。GB/T352732020信息安全技术个人信息安全规范GB/T360002015社会贲住指南GH/T41479-2022信忠安全技术网络数据处埋安全要求3术语和定义GB/T360002015界定的以及下列术语和定义适用于本文件，社会责任socialresponsibility组织通过透明和合乎道使的行为为其决策和活动对社会和环境的影响而担当的诜任。这些行为:一一致力于可持续发展,包括社会成员的健康和社会的福祉：考虑了利益相关方的期望：一一符合适用的法律，并与国际行为规范和一致；一一被融入整个组织并在组织关系中实施。注1：活动包括产品、服务和过程.注2I班关泰是指狙织在其影响走W内的酒动，IGB.T360(X)2015.定义3.163.2利益相关方stakeholdersM利益可能会受到组织决策或活动影响的个人或团体.IGB1T36000-2015,定义3/33.3消费者consumer出于私人目的而购买或使用财产、产品或眼务的个人,GB.-T360002015,定义3.19)3.4员工employee与组织(3.22)通过劳动合同建立起劳动关系或存在事实劳动关系的个人。(GB/T360002015.定义3.203.5弱势群体vulnerablegroup因具有一个或多个共同特点而易遭受歧视或处于不利的社会、经济、文化、政治或健康状况，乃至缺乏手段以实现其权利或享有平等机会的个体所组成的群体，GB'T36000-2015.定义3.15)3.6组织organization对贡任、权限和关系做出安排并有明确目标，由人与设施结合而成的实体或团体.GBT360002015,定义3.224概述本文件旨在帮助组织在遵守法律法规和基本道德规范的基础上实现更高的社会价值，最大限度地致力于可持续发展,祖织在其数据处理活动湎足适用的法律法规要求的基础上，参照GB“360002015提出的拒员、透明、合乎道雄的行为、尊重利益相关方的利益、尊重法治.尊重国际行为规范、尊重人权的原则.根据本文件第5章至第9章中的五大主SS和相关议处.倘定具体的数据安全和个人信息保护社会员任范用及优先理项。如图I所示,五大主心包括：殂织治理，合规性、创新性和价值体现,公平运行、竞争与合作，用户权益保护,公益参与和社会发展.所有主题相互关联且相互补充,但由于有效的组织治理可确保组织能够针对其他主超和议遨采取行动,因此,组织冷埋是所有主题的中心.同时，社会说任披露是对祖织社会员任履行情况进行社会监督的通行做法和有效手段，也能梢助组织提升声誉、获得更大范困认可。公平坛行、竟多与合作第十章社会费任履行情况披露合烧性'创新性加价依体现为八章图1数据安全和个人信息保护社会贡任相关主题本文件第5政至第9率中的主SS和议题并不完全适用于所有组织,组织可结合所在地区的经济、社会和环境发展水平、自身行业特征、规模、性质、发展阶段及利益相关方期望，识别确定好项社会贡任主题和议题中适用的具体内容.组织或限业机构宜根据冏录A给出的评价方法，识别社会货任履行的薄弱环节，不断提升履行救据安全和个人信息保护社会责任的管理成熟度.需要强调的是评价得到的绩效等级并非代表社会责任工作是否到位，不同规模、发展阶段及行业特征的组织将可能分布在不同的绩效等级，参与评价将为同等规模、同样发展阶段及问业组织进，步提升履行社会员任水平提供参考，助推其社会贡任工作持续开展，为社会发展进步做出贡献。5组织治理1.1 核心价值观及发展理念1.1.1 议题描述核心价值观,是指存在于组织内部并为组织全体员工认同且长久秉持的基本价值取向,是引领组织进行决策和活动的核心指导原则.发展理念,是指组织所担负的使命、所奏持的基本信念、所追求的创立宗旨、所遵循的发展哲学。从核心价值观和发展理念层面纳入数据安全和个人信息保护的IR要性对全面履行相关社会责任至关重要。1.1.2 相关行动和期望组织宜采取的行动和达到的期里包括但不限于以下方面.一一组织在已成文并广泛推广的核心价值观、发展理念中阐述关于数据安全和个人信息保护相关的邺景、目标.注：B1l,在产品或服务的设计理念中体现数据安全和个人信息保护为依优先考虑的要案.1.2 管理层承诺或声明5. 2.1议逊描述管理层承诺或声明,是指对组织负有管理责任的人员作出的表态或说明.承诺和声明有利于推动管理层对数据安全和个人信息保护社会贡任相关工作予以Hi视，6. 2.2相关行动和期望组织宜采取的行动和达到的期望包括倒不限于以卜力面.组织的管理层在正式、公开的场合阐述组织数据安全和个人信息保护的组织战略、发展理念等，并以承诺、声明等形式予以强圜.一一粗织的管理层在内部宣贯、培训等场合向员工阐述组税数据安全和个人信息保护的祖织AS略、发展理会等，以促进相关价值观、理念等得以到彻，7. 3社会责任工作方针与目标5. 3.1议题描述社会责任工作方针,是指fH于企业在经营过程中统领和指导本组织中长期社会责任实践.积极艰行社会说任的一系列准则和原则，通常包括了方案和措脩、监测和评估机制等.工作目标，是指组织根据实际情况需要所拟订的具体行动目标和指标。6. 3.2相关行动和期里组织宜采取的行动和达到的期望包括但不限于以下方面。一组织将数据安全、个人信息保护等方面的内容纳入组织的社会责任工作方针和目标中.注：阳单:H给出了发如布致第安全和个人皤息保护社会费任女我案例，可为俎次制定工作Il标提供警号，祖织将社会适任工作方针和目标形成具体的纲领性文件，在组织内向有关部门及人员进行下发，使其能充分的沟通和理解，并在Fi常工作中将以贯彻执行。组织建立有效的检测与评估机制，保障社会员任工作方针与目标的履也顺M与可持续性。7. 4实施主体及资源支持5. 4.1议题描述实施主体.是指组织中具体实随数据安全和个人信息保护社会责任工作的部门或人员.资源支持.是指组织为推动数据安全和个人信息保妒社会4任工作提供人力、财务、环境等资源.实施主体和资源支持是数据安全和个人信息保护社会货任相关工作实施的前提条件，6. 4.2相关行动和期望如织宜枭取的行动和达到的期望包括但不限于以下方面。指定具体的高管担任实施数据安全和个人信息保护社会贲任工作的负责人并明确其职责,如任命高管担任数据保护官(DPO)或首席隐私音(CPO)等职位,并由其负资履行相关的社会贡任。注1：担任负说人的Ift管职务、姓幺、联系方式至少在组炽层面予以公开.指定负责数据安全和个人信息保护社会责任工作的部门或人员,明确其履行社会责任的工作目标、工作职击和工作方案.注2：选样指定部n还是人员取决于组织的经营规模、处理故据的出领和人员配备情况.在相关部门或人员的工作职班中明确需定期向社会披乐社会责任履行情况，如定期发布包含数据安全和个人信息保护相关内容的社会责任报告.为换取数据安全和个人信息保护和关的社会反像信恩提供技术支持，以便于相关部门或人员全面了解利益相关方在数据安全和个人信息保护社会五任方面的期望和诉求，并积极沟通回应。注3：变双社会反馈的信息集道包括I新同媒体报道、互联网社交，信息发布等平台的热议语圆、投诉.举报泰道等.为履行数据安全和个人信息保护社会责任提供专门、充足的财务预算，5.5内部软贸和培训5 .5.1议题描述内部宣贯，是指班织通过宣传法律法规、政策、方窠等使姐织内部员工深刻理解并付诸于实践。内部培训,足指组织通过各种方式、手段ISf促员工在知识、技能、态度等方面有所改进,以达到预期目标.宣理和培训将推动数据安全和个人信息保妒社会责任相关工作在内部有更广泛的认可度，并促进内就员工对相关工作的配合意识，6 5.2相关行动和期望组织宜采取的行动和达到的期望包括但不限于以下方面，一一组织在管理制度中明确贯彻落实数据安全和个人信息保护社会责任的相关内容。注】：一理制度中可包含落实社会击任的姐织柒构体霰、相关职击、目标、方案等.具体可参号5.3.54一一祖织定期（每年至少一次开展数据安全和个人伯息保护社会史任理念、制度、知识、案例等的宣传、培训工作。一一鼓励员工积极学习数据安全和个人信息保护相关的知识和技能，为其提供数据安全和个人信息保护相关知识技能培训,聘请数据安全和个人信息保护专家对负责落实社会责任要求的关隧商位人员（如负资人、相关部门贡任人、社会击任报告编制人等）进行曳点培训.注2：专家宜具备在IS行社会责任方面的经验.叁与过丰富的数据安全和个人俗息保护的社会公益活动,井优先选择受到权威如枳表彰和社会广泛认可的与*，5.6内部监督和员工激励5. 6.1议题描述内部监督.是指组织对社.会贲任战略的实施、相关主体职责的履行'以及各方面资源保障等情况进行赛超检查，评价组织内部管理的彳1'效性,发现组织管理缺陷，井及时加以改进.员工海励，是指殂织通过有效的手段，激发员工的动力，充分桧匏潜力，以达到预期目标，监督和激励措施将推动数据安全和个人信息保护社会责任相关工作在内部有更加显著的执行力。6. 6.2相关行动和期望组织宜采取的行动和达到的期望包括但不限于以下方面.一一建立内部监督机制，由数据安全和个人信息保妒社会货任工作的部门或人员接收内部人员反馈的监督意见，并推动相美意见得到处理,一一鼓励员工通过参与数据安全和个人信息保护的社会公益活动或相关实践活动、社会培训及资格考试等方式提升能力水平.一一将相关人员充分、积极、主动制行数据安全和个人怕恩保护社会史任职费和义务纳入到其绩效考核体系中，如取得枳极社会反响在绩效考核时予以加分，注：由权威布门授予稣谢信、奖状等方式可视为取得枳极社会影响.6合规性、创新性和价值体现6.1 产品或服务的合规性6.1.1 议懑描述产处或服务在数树安全和个人伯恩保护方面的合规性，是指产处或服务符合法律法规、规改、规莅性文件、相关标准等要求，以降低合规性风险。合规工作主要表现形式为组税开展剌度、文档、策略、流程的隹设，完成内审、自评估、第三方评价、第三方审计，荻得专业机构认证等.6.1.2 相关行动和期里组织宜采取的行动和达到的期里包括但不限于以下方面.一一通过组织内自行发起或引入独立第三方对产品或服务遵循法律法规、规章、强制性标准的情况进行评估或审计，井形成评估或审计记录、认证、结论或报告以指殍产品或服务持续诙进.注1：谭化或审计的依据可番考推荐性的国*标小、行业标准、团体标准，以及业界广泛认可的技术现公：；注2：常用的评估依据丫力GB/T35273-2020.GBZT41479-2022笥。引入独立第三方评价后，取得产品或服务在数据安全和个人信息保妒方面的合规认证（包括国内与国际），与监管部门、利益相关方、用户等保持沟通，接受数据安全与个人胞私监督与建议。通过对组织层面数捌安全和个人信息保护方面的管理体系、产品或服务的认证与监督，使知产品或服务能膨持续保持符合性.发布数据安全和个人信息保护相关的合规说明（或白皮书、报告、说明等），向外界展示数据安全和个人信息保护方面的耀说情况，增进用户对产品或服务所采取合规措施的理解。建立数据安全与个人保护相关陶急安全预防和处理管理体系'机制、预案，建立与利益相关方、监管部门的沟通渠道及程序，提升数据安全和个人信息保护相关的安全突发事件响应能力和处罚候力。62技术的创新性和先进性6 .2.1议题描述技术的创新性和先进性，是指基于当前技术发展水平，能更高效、低成本解决数据安全和个人信息保护相关特定问起.或能提升相关生产力水平,或对经济发展、社会进步有促进作用.组织通常以研究成果转化等方式，实现产品或服务在数据安全和个人信息保护水平的突破性诳展，为行业、社会创造经济效益、社会效益。创新性和先进性主要表现形式有专利、专业机构认证、国家或行业奖项、试点示范等。7 2.2相关行动和期望组织宜采取的行动和达到的期望包括但不限于以下方面.构建数匏安全和个人信息保护创新性和先进性的评价标准和指导方针，建立对技术创新的长期激励机制，包括管理制度、缄效考核、资金奖励等。参与卬报、实施数据安全和个人信息保护相关的科研项目.-产品或服务数据安全和个人信息保护相关技术的创新及先进性获得外部认可,包括申报专利、成为优秀案例、然得奖项等.对具备数据安全和个人信息保护相关技术创新性、先进性且产业实践效果良好的产品或服务,通过参赛展示、试点应用等方式扩大其影响面、应用面.-将数据安全和个人信息保护专利申请及授权量、获取的科技奖项作为组织宣传的重要案材予以体现.搭建同行业交流机制或平台，交流分享创新性理会、方法，并为技术创新提供学术研究、国际交流等方面的有利条件。整合系列具有自主知识产权.在创新性和先进性上有显著优势的数据安全和个人信息保护相关技术，形成相关的产M或眼芬，并创立行业知名的品牌.为提升行业整体水平、在全洋能圉内展现竞争力有显著作用。63用户使用的价值体现6.3.1议题描述刖户使用的价值体现，向用户提供其所僭的产品或眼务期间，根据数据处理的目的进行数据处理活动,充分限行数据安全和个人信息保护贵仔，并为用户提供保障其数据和个人信息权益的机制，通过数据安全和个人信息保护保陲或提升用户使用产品或服务的价值.6. 3.2相关行动和期望组织宜采取的行动和达到的期里包括但不限于以下方面.一一用户使用相应功能仅需提供该功能实现所必要的数据.注1：在用户使用功能时不便过置不合理的条件，如捆绑其他功健、帮加收岖数界的种类.设置过长的等待时间,增加无关的援修步虞等一一将数据安全和个人信息保护的功能谀置为基础功能的一部分.注2,延础服务通常不向用户额外收取费用.一一通过不断优化数据处理的流程、步赚，以优化收集数据时机、场亮,然少收架数据的种类和存储时间,在不影响使用的前提下增加对数据的脱敏、去标识化、匿名化处理.一一在不影响用户权益的前提下，通过优化算法等方式进一步挖掘数据价值，提升服务质奴、提而响应效率，并强化安全保障等。一一提供必要的措施以保障用户对其数据的控制权，并优化用户行使权利的路径，包括对数据进行查询、复制、更正、捌除、转移等.注3：境外的组织面向境内用户1«供的行使权利的路径时.充分老电了境内用户的沿宫,捱作等U惯.一一通过强化时数据处理活动进行审计、监测等机制，进一步提升及时发现、处况安全缺陷、安全风险的能力，预防用户权益殳损。6.4社会治理的价值体现6. 4.1议题描述社会治理的价值体现,是指组织为保障用户数据安全及个人信息保护.所制定的具有社会功能的治理策珞，以支撑有关部门开展社会治理活动,进行科技伦埋风险防控，降低社会安全风险；促进社会祖银、企业开展行业自律，股行社会费任：引导用户自我管理、自我敢可、自我服务、自我监督，发挥用户参与的枳极作用.7. 4.2相关行动和期望组织宜果取的行动和达到的期里包括但不限于以下方面.一一产品或服务可支撑有关主管监管部门、社会组税等开展的数据安全和个人信息保护相关的评议、治理、而管、执法等活动，或对相关活动提供技术支撑、资源保障。注1：支律自美主管监管麻门、社会Ift炽活动期何，涉及到受委任处理散粼的，带充分R!行数据安金和个人信息保护义务。一为社会公众提供磐马预防、举报、制止数据安全和个人信息保护相关侵权行为的制度、集道,完善用户参与社会治理的机制。-向社会公众发布数据安全和个人信息保护相关的常见问题、突发事件预警、优秀经5金案例等有参考价值的信息、内容.一一产品或服务所提供的功能等能主动引导用户加强数据安全和个人信息保护，大范用提升数据安全和个人信息保护的水平。注2：如加仃大敏用户的产M或故分.通过免於、状认设置等方式向用户提供SC据安全和个人侑息保护的功俺.一一通过构建技术平台、行业合作框架等方式促进信息共享和机制优化,对物繁发生、影响感劣的危占用户数据安全和个人信息保护相关权益的行为、信息等能快速识别、响应，井及时处置。-通过多组织协作、与监管部门联动等形式及时响应数据安全和个人信息保护相关的事件应急处置等活动.1. 5数字包容与特殊保护6. 5.1议题描述数字包容与特殊保护，是指祖织为保隔多元人群的数据安全及个人信息保护所开展的活动，使得多元人群能公平、自由、安全地荻取和享受技术变革和产业发展提供的便利,能无差别的体粉数字化生活.数字包容与特殊保护主要表现形式有为多元人群提供更便利的数据安全服务、更有效的个人信息保护措族、为多元人群提供更全面的和公平的社会环境.7. 5.2相关行动和期望祖织宜采取的行动和达到的期望包括但不限于以下方面。一开发无障闻产品/方案,为多元用户（如残障人士、老年人等）提供平等的数字产品或服务，消除数字鸿沟,电视井保护多元人群的数据和个人信息,为多元人群提供符合其应用场景的数据安全和个人信息保妒机制.在面向特殊人群（如青少年、残障人士、老年人等提供符合其使用习惯的产品或限务时，为其提供个人信息的增强保护机制，如雅护人同意、悔助、行权的模式,为其个人信息使用场景进行严格限制等.制定特殊人群（如青少年、残障人士、老年人等）个人信息保护方面的处埋规则，并为特殊人群提供专门的服务界面、服务渠道，以确保其能耘如、获取个人信息保护方面的信息.一参与特殊人群（如青少年、残障人士、老年人等）数据安全和个人信里保护相关标准制定，加入相关但议、计划等活动,以促进行业孙同.投入资源主动推广特殊人称（如青少年、残障人士、老年人等使用的产M或服务（或相关模式，开展公益宣传活动，为其科普数据安全与个人信息保护知识，并引导特殊人群关注使用产品或服务时保护个人信息。对数字包容和特殊人群保护方面的涉及数据安全和个人信息保护的能力、技术资源进行开放.为行业提供参考、支拽.7公平运行、竞争与合作7.1 数据处理规则的透明性7.1.1 议题描述数据处理规则的透明性,是指组织以适当方式公开其数据处理的具体规则，明示处理的目的、方式和范用等,从而确保数据处理活动对利益相关方是清晰透明'容易获取的,增进利益相关方信任.便于利益相关方进行监仰、审计.7.1.2 相关行动和期望如织宜枭取的行动和达到的期望包括但不限于以卜方面，一涉及个人信息处理的，根据相关法律法规要求，遵循公开、透明原则，向个人完整、真实、准确按笈个人信息处理的规则，具体的方式参照GB/T352732020第S章.建立与利益相关方沟通的机制.就数据处理的目的、方式、范围等规则进行及时沟通、审核并确认,必要时向利益相关方提供专门的数据处理规则问询、答疑的朱道，针对熨杂、雄怖、关注度离的数据处理规则（如利用算法自动化决或相关的数据处理规则），可通过迸一步解择说明的方式以增进理解，数据处理规则可旎影响到利益相关方重大权益的.采取书面或口头告知等方式理点说明情况.无法取知联系方式的可采取公开发布的方式，确f国利益相关方能处理解后做出决定.一数据处理规则影响范困广泛（如超过100O万用户的互联网平台的产品及服务的个人信息保护政策），可通过公开征求意见等方式进一步确认具体条款内容的合理性：有关法律法规、规章制度等有规定的从其规定.7.2 知识和技术成果保护与共享7. 2.1议逊描述知识和技术成果主要友现形式为知识产权、商业秘密及其他财产性权益.承认致掘安全和个人信息保护的财产性权益既可促进投资、经济和有形财产的安全，也可激励知识和技术成果的共享与技术迭代创新.8. 2.2相关行动和期望组织宜采取的行动和达到的期望包括但不限于以下方面.一一实施能够推动尊乘数据安全和个人信息保护知识和技术成果的政策、实践和管埋程序,开展恰当的调自，以确保享有相关知识和技术成果的使用权或处置权。注：如在使用或处置相关知识和技术成JR之的开展必要的词3以确保学有所播的相应权限.-坚决抵制侵犯数据安全和个人信息保护相关知识和技术成果及阻碍相关知识和技术成果合法共享的活动，包括滥用支配地位进行垄断、假行和盗版等不正当竞争行为.一一对所获得或使用的数据安全和个人信息保护相关知识和技术成果共享支付合理的对价，一一在行使并保护自身的数据安全和个人信息保护相关知识和技术成果相关权利时,考虑社会期里、个人能求.一一推动形成数据安全和个人信息保护相关知识和技术成果的交易及价值创造机制,以价值共享的形式推动知识和技术成果共享。一一可自行或与其他组织合作，推动探索多种数据安全和个人信息保护相关知识和技术成果共享方式,包括： 发布数掂安全和个人信息保护相关的白皮书，分享优秀羟验、案例： 与高校、培训机构等联合开发课程； 鼓励员工发表技术文章、参与专著撰写等； 授权后向开源社区等分享源代码： 向具有法定职能的祖织共享威胁、事件情报.一一在所涉行业、领域或自身业务范用内促进数据安全和个人信息保护先进技术的推广及应用，如区块链、隐私计算、机密计算等新兴技术.7. 3.1议踵描述平台规则的有效性关系到平台运臂者所制定数据安全和个人信息保护的策略、方针、制度、细则、程序等能否促使平台参与方（如商户、合作伙伴等）切实履行相关货任和义务。定期评估平台规则的有效性,可明晰当前规则落地现状,为策略、方针、制度、细则、程序等优化提供支持.定期对外公布平台规则的执行效果可提升平台的信誉、影响力,以引导平台参与方不断强化数据安全和个人信息保护意识.8. 3.2相关行动和期望如织宜采取的行动和达到的期望包括但不限于以下方面。组织所制定的平行规则.需关注数据安全和个人信息保护相关法律法现要求以及行业最佳实践.引导平台参与方更好地执行保护数据安全和个人伯恩保护的策略、采取更有效的安全措施。一将数据安全和个人信息保护相关平台规则执行效果纳入到审计等监督环节中,以推动平台规则能切实有效执行.一一形成可以衡瓜数据安全和个人信息保妒相关平台规则执行效果的评价指标、标准，通过计算方式评价平台规则的执行效果以认定工作成效。定期（至少每年一次开展平台规则整体执行效果评估，并根据评估结果对平台规则进行优化.为保证执行效果评价客观性,可引入专业机构,保证评估结果的客观性.一-鼓励将数据安全和个人信息保护相关平台规则执行效果面向社会公开，如定期发布相关的执行效果的报告等，9. 4供应商规则共建及协助10. 4.1议题描述供应商规则共建及苏助，是指建立供应商的管理机制，实现平等交易、互利互惠、和请共修的供应商关系.促进相关供应商的数据安全和个人信息保护水平整体提升.11. .2相关行动和期望机织宜采取的行动和达到的期望包括但不Rl于以下方面.建立供应商管理制度，并在供应商筛选阶段公开，明确供应商应符合的数据安全和个人信息相关安全基线、湖汰指标等.设立必要的监Rf机制维护供应商的公平竟争，不宜通过注定过于夏杂、特殊的数据安全和个人信息保护要求，以定向促成相关供应商的入选。以合同、协议等方式与供应商约定数据的使用目的、使用葩困、保密约定、安全责任等内容。对合作过程中接触数据的人员权限进行限定、审批、登记及管理，并要求签郭保密侨议，定期对相关人员行为进行审核.一一涉及与供应商使用接口等方式进行数据交互的，采取必要的技术手段时数据交互11忐进行记录，如供应商不具备技术能力的,可向其共享相关日志信息以增进透明性。通过对供应商数据处理活动的安全风险和供应商数据安全管理能力进行评估等方式推动供应商保持数据安全能力水平,评估发现理大安全风险的，可执行供应商退出、昔换机制等，避免为利益相关方带来损失。建立供应商应急响应机制，对合作过程中的数据安全事件及时响应，并为供应商提供必要的技术、人员等资源支持，一一注重与供应商的长期合作，楞助供应商解决数据安全和个人信息保护方面面临的困难和难麹,建立互信共虢的合作关系.2. 5公平竞争环境构建7. 5.1议题描述内建公平竟争环境，营造优胜劣汰的市场狙围，能够激励组织更加有效率地投资和创新，激励组锐以更优质的产品或服务推动消费，对促进经济发展和人民生活水平至关而要，但如果组织利用在数据、流量等方面枳景的优势地位.破坏公平竞争环境，将可能阻碍中小企业的发展和新业态的创新.8. 5.2相关行动和期望组织宜采取的行动和达到的期望包括但不限于以下方面.一一在数据处理相关的生产经营活动和参与市场比争中，遵得自愿、平等、公平、诚侑的原则，遵守竞争、知识产权保护相关的法律法规和商业道使，将公平竞争作为组织治理、生产经首和商业活动的行为准则。-杜绝任何形式利用数据的不正当竞争及垄断行为,如： 通过数据、算法、平台规则等方式达成垄断协议： 利用数据、翼法、技术等方面的优势实施流用市场支配地位的垄断行为； 通过非法或不正当手段获取其他平台数据（包括但不限于可联网平台用户的个人信息）： 利用数据和用户个人信息建立的竞争优势,形成数据垄断阻碍竞争对手进入市场损舍用户的自主选择权： 利用垄断地位阻止其他组织向监管部门投诉、举报： 其他不正当竞争行为。-杜绝任何形式利用数据安全和个人信息保护为由进行自我优待.干扰其他组织产品或服务正常运行以及干涉用户自主判断的行为.一制定并实施如织内部反腐败反爵改制度，对管理层和员工在数据安全和个人信息保护方面的腐败和舞弊行为均来取零容忍态度。注：网收行为包括I利用权限切除、更改用户撵作记来避行牟利，在业务合作中收受曲业躺赂造成数幅被超范IH使Rk共享等.一一通过内部培训、考试等方式，提裔员工对数据安全和个人信息保护相关的反垄断、反不正当竞争、知识产权保护等方面的知识和意识：拥护政府部门构建平台经济公平竞争环境的政策和行动.遵守数据安全、个人信息保护等相关的法律法规，积股配合施管部门对反垄断、反不正当竞争相关的网查和执法行动.8用户权益保护8.1 人身、财产利益保护8.1.1 议逊描述人身、财产（包括虚拟财产）利益保护，是指组织提供的产品或眼务不会因未尽数据安全和个人信息保护义务而给用户（主要为消费芥）带来严重的人身、财产损害风险.并旎修通过系列识别风险的机制，防莅损杏用户人身、财产利舐的行为发生。81.2相关行动和期望如织宜采取的行动和达到的期望包括但不限于以F方面.-若有充分证据表明现已存在能够显著提高数据安全和个人信息保护水平的解决方案.组织不宜保持较低的数据安全和个人信息保护水平.在产品或服务的设计、开发过程中，通过下列方法最大程度的降低用户人身、财产损胃的风险： 分析产品或服务在所有使用场景、阶段和条件下,可能对用户人身、财产产生损害的功能组件、服务场景等,评估损害风险并明确防止损害的具体措施： 充分考虑用户的衡求差异、能力差异或局限性（尤其是了解信息所需时间的差异或局限性）,优化产品或限务的设计方案，防止因其导致用户利益受损： 遵第以下优先级南I序降低对用户利益的风险：首先.考虑采用完全消除风险的安全设计:其次，考虑增设保妒性袋置降低风险：最后，考虑向用户提供警示信息，在产品或服务的使用过程中，建立能够识别用户风险行为的特征库，识别用户存在风险行为的,视具体情况枭取以卜措施； 通过更合措施核验用户的身份： 通过显著方式向用户警示可能出现的风险，井经用户稳认.注：除使用文字怕息外.还宜尽可能使用符耳、图片、谙音等方式向用户传递告知里瞿信息.当用户遛受或可能遣受人身、财产投咨时，为用户提供简捷、迅速的反愦集道，井及时处置。在用户使用产品或服务前,组织在： 指导用户安全、正确使用产品或服务： 结合产品或服务的具体情况，说明与使用有关的风险及预防措施： 告知用户遭受或可能遭受人身、财产损咨时的反馈索道及处置方式，采取紧急措施以避免用户人身、财产利益继续受损.猿急措胞涉及刖户个人信息处理的植当满足相关法律法规要求,并尽可能同步向用户告知相关情况.在产品或服务的使用过程中，如出现Hi大漏洞、或包含有谡导或错误的信息，可立即中止提供眼务以防止用户利益受损，并及时通知受影响的用户以采取补救擀施，建立旎垓识别损害用户人身、财产利益违法违规行为的特征库.并持续监测、打击违法行为.2. 2用户投诉及争议处理8. 2.1议Sfi描述用户投诉及争议处埋.是组织在提供产品或服分时，接受用户关于数据安全和个人信息保护方面问题反馈、原督的关键手段.组织可通过用户的投诉、建议等完善内部数据安全和个人信息保护的机制，不断提升数据安全和个人信息保护水平。9. 2.2相关行动和期里跄织宜采取的行动和达到的期里包括但不限于以下方面.以清晰、显著的方式公示数据安全和个人信息保护相关投诉集道、处理方式及反馈时限。公示的投诉栗道稳定、易用，如涉及投诉集道的变更、箝换，层可能通过内部防调实现，不对用户带来过多困扰、打扰.提供一定比例人工客服支持的投诉反馈梁道.注：比例可根据川户对投诉处理机刎满意收的评价情况T以设定.一一建立投诉处理流程.并完善有效的操作规范，形成从投诉接收到投诉反馈的闭环，避免用户投诉无人处理、无人反馈等情况.一一制定投诉优先级，优先处理影响产Ift或影响面大的侵犯用户数据安全或者个人信息保护的投诉内容，并明确对用户的反馈时限。一一建立投诉处理湎意度的反愦途径，便于用户通过该途径反馋意见或建议。建立投诉处理库不得少于维保期.至少保留半年内投诉处理情况）.记录投诉处理的时间、原因、处理情况等,并通过定期评估投诉、举报的数盘、处埋率、处理评价情况等，不断完善投诉处理机制，一一处理投诉时原则上不向用户收取费用，根据用户要求处W相关事宜时涉及成本费用的除外.-定期公开发布投诉处理汇总情况.如在社会责任报告等可公开发布的文件中予以体现.8.3接受外部监督8.3.1议逊描述接受外部监督，一是指通过主动披露等方式使外部社会组织或个人了解组织在数据安全利个人信息保护方面的措施和成果，计对外部组织提出的疑问和改诳建议进行及时反馈和诙进：二是指如织成立由独立性的外部成员组成的独立机构对某项活动的具体实施情况进行指存和监督，发现殂织管理的重大问遨,井督促改进.8.3.2相关行动和期望组织宜采取的行动和达到的期里包括但不限于以下方面.一一向社会公开数据安全和个人信息保护相关的规则，披露数据安全和个人信息保护社会设任履行情况，主动接受社会雅督。注：技战数据安全和个人信息保护社会揖任的机创见本攵件第IOfS.一一提供景要互联网平台服务、用户数值巨大、业务类型复杂的组织，可成立主要由外部成员组成的独立机构，对其个人信息处理活动进行监督，一一指定组织内负责数据安全和个人信息保护的具体人0，使其承担与外部组织或个人沟通、时接的职责.一一建立外部监督委员会等同类组织，由与自身利益无关联的法务、技术、业务等领域的外部专家组成的监督委员，监督指导武大数据安全和个人信品保护活动的执行和变更，撰写蓝惇报告并面向社会公布。-可向独立机构赋予对组织在数据安全和个人信息保护措脩进行核实和质疑的权利,通过向独立机构如实提供数据安全和个人信息保护的相关管理和技术措施等方式接受我监fif如果质疑得到证实，组织应及时予以纠正。8.4消费者教育和意识培养8.4.1议迤描述消费者教育和意识培养是指通过一系列活动宣传等，促使消也者法于所得到的信息充分认识到数据安全和个人信息保护方面自身的权利、员任和义务，做出更有利于保护自身权益以及更加负所任的活动。8.4.2相关行动和期望机织宜采取的行动和达到的期里包括但不取于以下方面.在运注的产品或服务的显若界面、位?7.、步骤设跟消费者教向和意识培养相关的宣传活动.在特定日期（如消责者保护日等）设置消费者教育和意识培养相关的宣传活动。消费者教育和意识培养活动的内容包括： 数据安全和个人信息保护的适用法律法规、政策制度等： 常用的投诉举报途径、消费者权益保护机构岷系方式等； 常见的数据安全和个人信息保护知识和技能； 产品或服务相关的数据安全和个人信息保护功能： 与使用产肽或服务有关的风险信息以及所有必要的警示信息： 数据和个人信息泄露导致的风险和案例： 使用产品或服务过程中注重保护他人的数据、个人信刖的意识。-以提供奖励等方式鼓励消费者枳极参叼教育和意识培养相关活动.9公益参与和社会发展9.1 慈善捐助和公益事业9.1.1 议题描述组汉通过慈善捐助和参与公益活动