2023數(shù)據(jù)產(chǎn)品登記業(yè)務(wù)流程規(guī)范

數(shù)據(jù)產(chǎn)品登記業(yè)務(wù)流程規(guī)范II目 次前言 II范圍 3規(guī)范性引用文件 3術(shù)語(yǔ)和定義 3登記業(yè)務(wù)過(guò)程 4業(yè)務(wù)環(huán)節(jié) 5審核原則 7附錄A（資料性）數(shù)據(jù)產(chǎn)品登記證書示例 10參考文獻(xiàn) 11PAGEPAGE10數(shù)據(jù)產(chǎn)品登記業(yè)務(wù)流程規(guī)范范圍本文件規(guī)定了進(jìn)行數(shù)據(jù)產(chǎn)品登記時(shí)的登記業(yè)務(wù)過(guò)程、業(yè)務(wù)環(huán)節(jié)、審核原則等內(nèi)容。本文件適用于開展數(shù)據(jù)產(chǎn)品登記業(yè)務(wù)的各單位。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T35273—2017信息安全技術(shù)個(gè)人信息安全規(guī)范T/數(shù)據(jù)產(chǎn)品登記信息描述規(guī)范術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1數(shù)據(jù)產(chǎn)品dataproduct有價(jià)值的數(shù)據(jù)，或基于數(shù)據(jù)提供的有價(jià)值的內(nèi)容或服務(wù)。3.2個(gè)人信息personalinformation電子或其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。[來(lái)源：GB/T35273—2017信息安全技術(shù)個(gè)人信息安全規(guī)范定義3.1]注：/QQE-mail（3）；（4）婚姻（5）3.3個(gè)人信息主體personalinformationcontroller個(gè)人信息所標(biāo)識(shí)的自然人。[來(lái)源：GB/T35273—2017信息安全技術(shù)個(gè)人信息安全規(guī)范定義3.3]3.4personalinformationcontroller有權(quán)決定個(gè)人信息處理目的、方式等的組織或個(gè)人。[來(lái)源：GB/T35273—2017信息安全技術(shù)個(gè)人信息安全規(guī)范定義3.4]3.5敏感信息sensitiveinformation不適合公布的數(shù)據(jù)信息，一旦泄露、非法提供或者濫用，可能導(dǎo)致數(shù)據(jù)產(chǎn)品登記申請(qǐng)方受到損害或其財(cái)產(chǎn)安全等方面遭受嚴(yán)重危害。注：敏感數(shù)據(jù)的定義包括但不限于：（1）財(cái)務(wù)數(shù)據(jù)；（2）產(chǎn)銷數(shù)據(jù)；（3）貨源數(shù)據(jù)；（4）工藝配方；（5）技術(shù)方法；（6）計(jì)算機(jī)程序；（7）企業(yè)的客戶數(shù)據(jù)。3.6公開披露publicdisclosure向社會(huì)或不特定人群發(fā)布信息的行為。[來(lái)源：GB/T35273—2017信息安全技術(shù)個(gè)人信息安全規(guī)范定義3.10]3.7轉(zhuǎn)讓transference將數(shù)據(jù)由一個(gè)控制者向另一個(gè)控制者轉(zhuǎn)移的過(guò)程。[來(lái)源：GB/T35273—2017信息安全技術(shù)個(gè)人信息安全規(guī)范定義3.11]3.8共享sharing數(shù)據(jù)的控制者向其他控制者提供數(shù)據(jù)，且雙方分別對(duì)各自數(shù)據(jù)享有獨(dú)立控制權(quán)的過(guò)程。[來(lái)源：GB/T35273—20173.12]3.9去標(biāo)識(shí)化De-identification通過(guò)對(duì)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無(wú)法識(shí)別個(gè)人信息主體的過(guò)程。[來(lái)源：GB/T35273—20173.14]登記業(yè)務(wù)過(guò)程登記業(yè)務(wù)過(guò)程包括：企業(yè)審核；申請(qǐng)；初審；復(fù)審；公示；異議處理；證書發(fā)放；信息公開；撤回申請(qǐng)；歸檔；年審。1圖1數(shù)據(jù)產(chǎn)品登記業(yè)務(wù)協(xié)作流程圖業(yè)務(wù)環(huán)節(jié)企業(yè)審核申請(qǐng)申請(qǐng)數(shù)據(jù)產(chǎn)品登記的企業(yè)填寫并提交數(shù)據(jù)產(chǎn)品的登記信息，要求如下：——數(shù)據(jù)產(chǎn)品登記信息應(yīng)遵循T/XXX數(shù)據(jù)產(chǎn)品登記信息規(guī)范的要求；——申請(qǐng)方應(yīng)對(duì)數(shù)據(jù)產(chǎn)品登記信息的真實(shí)性、有效性、準(zhǔn)確性以承諾書的形式做出保證。初審應(yīng)對(duì)數(shù)據(jù)產(chǎn)品登記信息的完整性、有效性、準(zhǔn)確性等方面進(jìn)行審核，并應(yīng)基于登記信息對(duì)數(shù)據(jù)產(chǎn)品的合法合規(guī)性進(jìn)行審核；6.36.46.5未通過(guò)初審的，退到申請(qǐng)環(huán)節(jié)由申請(qǐng)方重新申請(qǐng)；申請(qǐng)方可根據(jù)未通過(guò)審核的原因修改、補(bǔ)充信息后，再次提交申請(qǐng)；若通過(guò)初審，則進(jìn)入復(fù)審環(huán)節(jié)。復(fù)審復(fù)審人員再次審核數(shù)據(jù)產(chǎn)品的登記信息，流程如下：復(fù)審人員再次審核時(shí)的審核內(nèi)容、審核標(biāo)準(zhǔn)與初審環(huán)節(jié)一致；未通過(guò)復(fù)審的，退到申請(qǐng)環(huán)節(jié)由申請(qǐng)方重新申請(qǐng)；申請(qǐng)方可根據(jù)未通過(guò)審核的原因修改、補(bǔ)充信息后，再次提交申請(qǐng)；若通過(guò)復(fù)審，則進(jìn)入公示環(huán)節(jié)。注：初審人員與復(fù)審人員不應(yīng)是同一人，以保證審核結(jié)果的可靠性。公示對(duì)通過(guò)復(fù)審的數(shù)據(jù)產(chǎn)品的登記信息對(duì)全社會(huì)進(jìn)行公示，并收集對(duì)該數(shù)據(jù)產(chǎn)品的異議，要求如下：——公示內(nèi)容為數(shù)據(jù)產(chǎn)品可公開的登記信息；——不少于7個(gè)自然日；——在公示期間，任何人均可對(duì)數(shù)據(jù)產(chǎn)品提出異議；——若公示期間有異議，則應(yīng)對(duì)異議進(jìn)行處理；——若公示期間無(wú)異議，則進(jìn)入證書發(fā)放環(huán)節(jié)。異議處理對(duì)于公示期間收集到的異議，應(yīng)判斷其有效性。無(wú)法根據(jù)現(xiàn)有材料判斷的異議，應(yīng)告知申請(qǐng)方，由其補(bǔ)充材料以證明異議的無(wú)效性；不能提供充分證明材料的，則視為異議有效。應(yīng)將異議處理結(jié)果反饋給異議提出人。對(duì)于存在有效異議的數(shù)據(jù)產(chǎn)品不應(yīng)發(fā)放登記證書，終止其登記申請(qǐng)。證書發(fā)放為無(wú)異議或所有異議均無(wú)效的數(shù)據(jù)產(chǎn)品發(fā)放數(shù)據(jù)產(chǎn)品登記證書。證書上應(yīng)包含數(shù)據(jù)產(chǎn)品名稱、登記號(hào)、申請(qǐng)人、產(chǎn)品類型等信息。A。信息公開發(fā)放數(shù)據(jù)產(chǎn)品登記證書后，應(yīng)向全社會(huì)公開數(shù)據(jù)產(chǎn)品可公開的登記信息及證書信息。撤回申請(qǐng)歸檔年審宜每年對(duì)數(shù)據(jù)產(chǎn)品登記信息進(jìn)行審查，以保證登記信息跟實(shí)際數(shù)據(jù)產(chǎn)品的一致性，要求如下：申請(qǐng)人應(yīng)補(bǔ)充、修正登記信息中與實(shí)際不符的內(nèi)容；應(yīng)按照初審標(biāo)準(zhǔn)對(duì)修改后的登記信息進(jìn)行審核；對(duì)于已通過(guò)或未通過(guò)年審的數(shù)據(jù)產(chǎn)品，都應(yīng)以適當(dāng)形式進(jìn)行呈現(xiàn)。審核原則承諾審核在數(shù)據(jù)產(chǎn)品登記業(yè)務(wù)中，申請(qǐng)方應(yīng)對(duì)以下方面做承諾：數(shù)據(jù)產(chǎn)品登記信息真實(shí)、有效、準(zhǔn)確；企業(yè)無(wú)違法犯罪記錄；申請(qǐng)方在為登記的數(shù)據(jù)產(chǎn)品獲取源數(shù)據(jù)時(shí)未侵犯第三方利益；涉及個(gè)人信息的數(shù)據(jù)產(chǎn)品，若申請(qǐng)方不能提供收集個(gè)人信息時(shí)與個(gè)人信息主體簽訂的協(xié)議，6.3；涉及互聯(lián)網(wǎng)抓取數(shù)據(jù)的數(shù)據(jù)產(chǎn)品，若申請(qǐng)方不能提供其與被抓取數(shù)據(jù)平臺(tái)企業(yè)簽訂的協(xié)議或授權(quán)書，則應(yīng)做出符合互聯(lián)網(wǎng)抓取數(shù)據(jù)審核原則的承諾，互聯(lián)網(wǎng)抓取數(shù)據(jù)審核原則見本文件6.5。企業(yè)審核資質(zhì)信息真實(shí)、有效企業(yè)的營(yíng)業(yè)執(zhí)照、組織機(jī)構(gòu)代碼證等信息可查詢、可證實(shí)，是合法有效的。良好的業(yè)務(wù)信譽(yù)企業(yè)應(yīng)具有良好的業(yè)務(wù)信譽(yù)，包括但不限于以下內(nèi)容：——不應(yīng)是失信懲戒對(duì)象；——不應(yīng)在政府采購(gòu)嚴(yán)重違法失信行為記錄名單中。無(wú)違法犯罪記錄企業(yè)不應(yīng)有違法犯罪記錄，提供相應(yīng)承諾，包括但不限于以下內(nèi)容：——不曾因數(shù)據(jù)安全而受到行政處罰；——不應(yīng)是重大稅收違法案件當(dāng)事人；——無(wú)行賄犯罪記錄。產(chǎn)品審核未侵犯第三方利益登記申請(qǐng)方在為登記的數(shù)據(jù)產(chǎn)品獲取源數(shù)據(jù)時(shí)不應(yīng)侵犯第三方利益。無(wú)禁止流通的內(nèi)容登記申請(qǐng)方申請(qǐng)登記的數(shù)據(jù)產(chǎn)品中不應(yīng)包含禁止流通的內(nèi)容。其中，禁止流通的內(nèi)容是指：反對(duì)憲法所確定的基本原則的；危害國(guó)家安全，泄露國(guó)家秘密，顛覆國(guó)家政權(quán)，破壞國(guó)家統(tǒng)一的；損害國(guó)家榮譽(yù)和利益的；煽動(dòng)民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的；破壞國(guó)家宗教政策，宣揚(yáng)邪教和封建迷信的；散布謠言，擾亂社會(huì)秩序，破壞社會(huì)穩(wěn)定的；散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的；涉及槍支彈藥、爆炸物品、劇毒化學(xué)品、易制爆危險(xiǎn)化學(xué)品和其他危險(xiǎn)化學(xué)品、放射性物品、核材料、管制器具等能夠危及人身安全和財(cái)產(chǎn)安全的危險(xiǎn)物品的；宣揚(yáng)吸毒、銷售毒品以及傳播毒品制造配方的；涉及傳銷、非法集資和非法經(jīng)營(yíng)等活動(dòng)的；含有法律、行政法規(guī)禁止的其他內(nèi)容的；侮辱或者誹謗他人的；涉及他人知識(shí)產(chǎn)權(quán)和商業(yè)秘密等權(quán)利的數(shù)據(jù)，除非取得權(quán)利人明確許可；從非法或違規(guī)渠道獲取的數(shù)據(jù)；與源數(shù)據(jù)提供方所簽訂的合約要求禁止轉(zhuǎn)售或公開的數(shù)據(jù)；捏造損害他人名譽(yù)的。源數(shù)據(jù)來(lái)源應(yīng)有說(shuō)明文檔及證明材料——取得方式為交易取得的，應(yīng)提供登記申請(qǐng)方與源數(shù)據(jù)提供方之間的交易證明材料。個(gè)人信息審核概述最小化要求收集個(gè)人信息應(yīng)遵循最小化要求：協(xié)議或承諾書中應(yīng)表明收集的個(gè)人信息內(nèi)容是與實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)的。直接關(guān)聯(lián)是指沒(méi)有該信息的參與，產(chǎn)品或服務(wù)的功能無(wú)法實(shí)現(xiàn)；自動(dòng)采集個(gè)人信息的頻率應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率；間接獲取個(gè)人信息的數(shù)量應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量，例如從個(gè)人信息控制者手中購(gòu)買即為間接獲取。授權(quán)同意獲取個(gè)人信息主體的授權(quán)同意，應(yīng)包括以下原則：收集個(gè)人信息前，申請(qǐng)方通過(guò)協(xié)議取得個(gè)人信息主體的明示同意。明示同意是個(gè)人信息主體在完全知情的基礎(chǔ)上自愿給出的、具體的、清晰明確的愿望表示；收集個(gè)人信息前，申請(qǐng)方明確告知個(gè)人信息主體所提供產(chǎn)品或服務(wù)的業(yè)務(wù)功能以及分別收集的個(gè)人信息類型和收集、使用個(gè)人信息的規(guī)則，并明確告知個(gè)人信息主體拒絕提供或拒絕同意將帶來(lái)的影響，其可自行選擇是否提供或同意采集；確保個(gè)人信息提供方已獲得的個(gè)人信息處理的授權(quán)同意范圍，包括使用目的和個(gè)人信息主體是否授權(quán)同意轉(zhuǎn)讓、共享、公開披露等，數(shù)據(jù)產(chǎn)品的使用不能超出與收集個(gè)人信息時(shí)所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍；如果申請(qǐng)方是個(gè)人信息的間接獲取者，則應(yīng)提供個(gè)人信息提供方對(duì)數(shù)據(jù)來(lái)源的說(shuō)明，并按本6.3特殊情況以下情形中，可不經(jīng)過(guò)個(gè)人信息主體的授權(quán)同意：所收集的個(gè)人信息是個(gè)人信息主體自行向社會(huì)公眾公開的；從合法的公開披露的信息中收集個(gè)人信息的；個(gè)人信息控制者為學(xué)術(shù)研究機(jī)構(gòu)，出于公共利益開展統(tǒng)計(jì)或?qū)W術(shù)研究所必要，且對(duì)外提供學(xué)術(shù)研究或描述的結(jié)果時(shí)，對(duì)結(jié)果中所包含的個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理的；法律法規(guī)規(guī)定的其他情形。企業(yè)敏感信息審核對(duì)于涉及企業(yè)敏感數(shù)據(jù)的數(shù)據(jù)產(chǎn)品，應(yīng)遵循以下原則：具有由申請(qǐng)方與源數(shù)據(jù)提供方簽訂的協(xié)議或授權(quán)書，并且源數(shù)據(jù)提供方應(yīng)在收集數(shù)據(jù)時(shí)已獲得企業(yè)授權(quán)，其對(duì)收集數(shù)據(jù)的處理沒(méi)有超出企業(yè)主體的授權(quán)同意范圍，包括使用目的，企業(yè)是否授權(quán)同意轉(zhuǎn)讓、共享、公開披露等；數(shù)據(jù)產(chǎn)