全流程網(wǎng)絡(luò)數(shù)據(jù)處理安全合規(guī)清單

1、全流程網(wǎng)絡(luò)數(shù)據(jù)處理安全合規(guī)清單合規(guī)要點一、對數(shù)據(jù)來源合法性的關(guān)注網(wǎng)絡(luò)數(shù)據(jù)處理安全要求強調(diào)網(wǎng)絡(luò)運營者應(yīng)關(guān)注從個人信息主體以外收集的個人信息的來源合法性，應(yīng)謹(jǐn)慎甄別并核實個人信息提供方的授權(quán)真實性及個人信息處理授權(quán)同意范圍，避免因提供方侵犯個人信息主體合法權(quán)益而承擔(dān)連帶責(zé)任。二、對其他法律規(guī)范的結(jié)合運用在制定個人信息保護(hù)政策、履行個人信息安全保護(hù)義務(wù)、存儲個人生物特征識別信息及跨境傳輸數(shù)據(jù)方面，網(wǎng)絡(luò)數(shù)據(jù)處理安全要求明確要求應(yīng)遵守 HYPERLINK /legislation/detail/MTAxMDAxNDU2MDI=?amp;fromType=qrcode&module=cyber-secur

2、ity t /focus/detail/_blank 個人信息保護(hù)法 HYPERLINK /legislation/detail/MTAwMTMwNzkzODM=?amp;fromType=qrcode&module=cyber-security t /focus/detail/_blank 信息安全技術(shù) 個人信息安全規(guī)范為代表的法律規(guī)范。建議企業(yè)持續(xù)關(guān)注相應(yīng)法律法規(guī)及標(biāo)準(zhǔn)的發(fā)布和修訂，及時更新網(wǎng)絡(luò)數(shù)據(jù)處理安全合規(guī)方案。三、對算法推薦內(nèi)容的告知根據(jù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求，網(wǎng)絡(luò)運營者在利用個人信息和算法為用戶提供推送信息的過程中，應(yīng)給予用戶是否接受這項服務(wù)的選擇權(quán)；同時，網(wǎng)絡(luò)運營者應(yīng)明確告知用戶其

3、接受的信息服務(wù)是否系算法自動合成內(nèi)容。四、對投訴舉報受理處置時間的限制網(wǎng)絡(luò)數(shù)據(jù)處理安全要求明確規(guī)定，網(wǎng)絡(luò)運營者應(yīng)建立投訴、舉報受理處置制度，并在接受投訴舉報起3天內(nèi)受理。在建立健全相應(yīng)處置制度外，亦建議企業(yè)加強對相關(guān)客服人員的培訓(xùn)，增強客服人員的數(shù)據(jù)安全保護(hù)意識和問題處理能力以滿足合規(guī)要求。合規(guī)清單評估項目評估內(nèi)容合規(guī)評價總體要求數(shù)據(jù)識別網(wǎng)絡(luò)運營者是否已在運營過程中識別數(shù)據(jù)處理涉及的數(shù)據(jù)（含個人信息、重要數(shù)據(jù)和其他數(shù)據(jù)），形成了數(shù)據(jù)保護(hù)目錄并及時更新？是否分類分級網(wǎng)絡(luò)運營者是否按照相關(guān)國家標(biāo)準(zhǔn)與合同、運營的需要，對所識別的數(shù)據(jù)進(jìn)行了分類分級管理？是否風(fēng)險防控網(wǎng)絡(luò)運營者是否建立了數(shù)據(jù)安全管理責(zé)任

4、和評價考核制度？是否網(wǎng)絡(luò)運營者是否制定了數(shù)據(jù)安全保護(hù)計劃，并定期開展安全風(fēng)險評估及教育培訓(xùn)？是否審計追溯網(wǎng)絡(luò)運營者是否對數(shù)據(jù)處理的全生存周期進(jìn)行了記錄？是否安全技術(shù)要求收集是否制定和公開個人信息保護(hù)政策并嚴(yán)格遵守？是否在收集個人信息前，是否向個人信息主體明示個人信息保護(hù)政策并獲得其同意？是否個人信息保護(hù)政策中是否明示了提供的產(chǎn)品或服務(wù)的類型及所必需的個人信息？是否當(dāng)處理個人信息的目的、類型、范圍或用途等發(fā)生改變時，是否及時修改個人信息保護(hù)政策？是否修改個人信息保護(hù)政策后，是否重新征得了個人信息主體的同意？是否是否因用戶不同意或撤回同意提供該產(chǎn)品或服務(wù)所必需的個人信息以外的信息而拒絕向用戶提供該

5、產(chǎn)品或服務(wù)？是否是否采取措施防止僅以“改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品”等目的，強烈要求、誤導(dǎo)用戶同意收集個人信息？是否在收集敏感個人信息前，是否取得了個人信息主體的單獨同意？該同意是否是在完全知情的基礎(chǔ)上自主給出的、具體的、清晰明確的意愿表示？是否收集不滿十四周歲的未成年人個人信息前，是否取得了未成年人的父母或者其他監(jiān)護(hù)人的單獨同意？是否如從個人信息主體以外的其他途徑獲得個人信息的，是否知曉個人信息來源及個人信息提供方已獲得的個人信息處理授權(quán)同意范圍，并按照個人信息保護(hù)法信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求（GB/T 41479-2022）等法律規(guī)范的要求履行安全保護(hù)義務(wù)？是

6、否存儲網(wǎng)絡(luò)運營者是否對數(shù)據(jù)存儲活動采取了如下安全措施：1針對重要數(shù)據(jù)和個人信息等敏感數(shù)據(jù)，采用加密、安全存儲、訪問控制、安全審計等安全措施；是否2是否按照重要數(shù)據(jù)和個人信息主體約定的存儲期限或個人信息主體授權(quán)同意的有效期存儲重要數(shù)據(jù)和個人信息；是否3存儲個人生物特征識別信息的，是否遵守GB/T 35273-2020中6.3b)和c)的要求及生物特征識別信息保護(hù)相關(guān)國家標(biāo)準(zhǔn)要求？是否數(shù)據(jù)接收方存儲數(shù)據(jù)時，是否按照要求采取安全措施并以合同進(jìn)行約定？是否使用網(wǎng)絡(luò)運營者在為用戶提供定向推送或信息合成服務(wù)時，是否遵守了如下要求：1利用個人信息和算法為用戶提供定向推送信息服務(wù)的，同時提供了非定向推送信息的

7、服務(wù)選項；是否2在提供定向推送服務(wù)時，顯著區(qū)分定向推送和非定向推送的內(nèi)容（如標(biāo)明“定推”等字樣）；是否3在提供定向推送服務(wù)時，是否向用戶提供選擇或者刪除用于該服務(wù)的針對其個人特征的用戶標(biāo)簽的功能；是否4在向個人信息主體提供新聞、博客類信息服務(wù)的過程中，如果利用算法自動合成文字、圖片、音視頻等信息，是否明確告知用戶該情況？是否網(wǎng)絡(luò)運營者所提供的產(chǎn)品或服務(wù)中如果接入或者嵌入了第三方應(yīng)用的，是否遵守了如下要求：1通過合同等形式明確雙方的數(shù)據(jù)安全保護(hù)責(zé)任和義務(wù)；是否2監(jiān)督第三方應(yīng)用運營者加強數(shù)據(jù)安全管理，如發(fā)現(xiàn)第三方應(yīng)用沒有落實安全管理責(zé)任的，及時督促其整改，并在必要時停止接入；是否3是否對接入或嵌入

8、的第三方應(yīng)用開展技術(shù)檢測，以確保其數(shù)據(jù)處理行為符合雙方約定要求？如在審計過程中發(fā)現(xiàn)超出雙方約定的行為時是否及時停止接入？是否網(wǎng)絡(luò)運營者在開展數(shù)據(jù)加工活動的過程中，如知道或者應(yīng)知道可能危害國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定的，是否立即停止加工活動？是否網(wǎng)絡(luò)運營者在數(shù)據(jù)傳輸活動中是否采取如下安全措施：1在傳輸重要數(shù)據(jù)和個人敏感信息時，采取加密、脫敏等安全措施；是否2向數(shù)據(jù)接收方傳輸數(shù)據(jù)時，按照法律要求采取安全措施并以合同進(jìn)行約定？是否向他人提供網(wǎng)絡(luò)運營者向他人提供數(shù)據(jù)前，是否遵守如下要求：1向個人信息主體告知接受方的名稱、聯(lián)系方式、處理目的、處理方式、個人信息的種類、存儲期限，并取得個人信息主

9、體的同意；是否2共享、轉(zhuǎn)讓重要數(shù)據(jù)時，與數(shù)據(jù)接受方通過合同等形式明確雙方的數(shù)據(jù)安全保護(hù)責(zé)任和義務(wù)，并采取加密、脫敏等措施保障重要數(shù)據(jù)安全；是否3委托第三方開展數(shù)據(jù)處理活動時，通過合同等形式明確約定委托處理的目的、期限、處理方式等雙方的權(quán)利義務(wù)？是否數(shù)據(jù)出境網(wǎng)絡(luò)運營者向境外提供個人信息或者重要數(shù)據(jù)的，是否遵守網(wǎng)絡(luò)安全法數(shù)據(jù)安全法及個人信息保護(hù)法等國家相關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)的要求？是否網(wǎng)絡(luò)運營者的境內(nèi)用戶在境內(nèi)訪問境內(nèi)網(wǎng)絡(luò)的，是否采取措施防止該流量路由至境外？是否數(shù)據(jù)公開網(wǎng)絡(luò)運營者在利用所掌握的數(shù)據(jù)資源進(jìn)行公開市場預(yù)測、統(tǒng)計信息時，是否存在危害國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定的可能性？是否私人信

10、息和可轉(zhuǎn)發(fā)信息即時通信等社交平臺運營者是否向用戶提供私人信息和可轉(zhuǎn)發(fā)信息的選項？是否社交平臺運營者對私人選項發(fā)送的信息是否給予嚴(yán)格保護(hù)，且不提供轉(zhuǎn)發(fā)功能？是否對于以可轉(zhuǎn)發(fā)選項發(fā)送的信息，或在轉(zhuǎn)發(fā)此類信息時，社交平臺運營者是否同時發(fā)送信息始發(fā)者在該平臺上的賬號名稱，同時確保該賬號名稱唯一且不可更改？是否個人信息查、更正、刪除及用戶賬號注銷是否建立能夠及時響應(yīng)個人信息主體查閱、復(fù)制、更正、刪除其個人信息及注銷賬號請求的渠道和機制？是否如決定不響應(yīng)個人信息主體的請求，是否向個人信息主體告知該決定的理由，并向個人信息主體提供投訴的途徑?是否投訴、舉報受理處置網(wǎng)絡(luò)運營者是否建立投訴、舉報受理處置制度？是

11、否網(wǎng)絡(luò)運營者是否能在接受投訴舉報起3天內(nèi)受理？是否網(wǎng)絡(luò)運營者對于查實的投訴舉報，是否能依法采取停止傳輸、消除等處理措施？是否訪問控制與審計網(wǎng)絡(luò)運營者開展數(shù)據(jù)處理活動時，是否遵守如下要求：是否1基于數(shù)據(jù)分類登記，明確相關(guān)人員的訪問權(quán)限，以防止非授權(quán)訪問；是否2是否針對重要數(shù)據(jù)、個人信息的關(guān)鍵操作（如批量修改、拷貝、刪除、下載）設(shè)置內(nèi)部審批和審計流程并嚴(yán)格執(zhí)行？是否數(shù)據(jù)刪除和匿名化處理網(wǎng)絡(luò)運營者是否在下述情況中對個人信息進(jìn)行刪除或匿名化處理：1個人信息超出雙方約定的存儲期限時；是否2網(wǎng)絡(luò)產(chǎn)品和服務(wù)停止運營時；是否3個人信息主體注銷賬號，或者用戶撤回同意時？是否網(wǎng)絡(luò)運營者在對存儲重要數(shù)據(jù)和個人信息的介質(zhì)進(jìn)行報廢處理時，是否采用物理損毀等方式銷毀介質(zhì)，以確保重要數(shù)據(jù)和個人信息不能被恢復(fù)？是否安全管理要求數(shù)據(jù)安全負(fù)責(zé)人如果網(wǎng)絡(luò)運營者在開展經(jīng)營和服務(wù)活動過程中，需處理重要數(shù)據(jù)和敏感信息的，是否指定數(shù)據(jù)安全責(zé)任人？是否是否要求數(shù)據(jù)安全責(zé)任人履行以下職責(zé)：1組織確定數(shù)據(jù)保護(hù)目錄，制定數(shù)據(jù)安全保護(hù)計劃并督促落實；是否2組織開展數(shù)據(jù)安全影響分析和風(fēng)險評估，督促整改安全隱患；是否3依法向有關(guān)部門報告數(shù)據(jù)安全保護(hù)和事件處置情況；是否4組織受理和處置數(shù)據(jù)安全投訴、舉報？是否人力資源保障與考核網(wǎng)絡(luò)運營者是否明確數(shù)據(jù)安全保護(hù)