DB21-T 3892-2023 工業(yè)數(shù)據(jù)流通 合規(guī)性檢查規(guī)范

ICS25.040.40CCSL7021遼寧省市場監(jiān)督管理局發(fā)布IDB21/T3892—2023前言 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5檢查內(nèi)容 5.1數(shù)據(jù)供方合規(guī)檢查 5.2數(shù)據(jù)來源合規(guī)檢查 5.3交易數(shù)據(jù)合規(guī)檢查 5.4數(shù)據(jù)處理過程合規(guī)檢查 5.5可追溯檢查 5.6數(shù)據(jù)出境合規(guī)評估及檢查 5.7征信場景下數(shù)據(jù)合規(guī)檢查的特殊要求 6檢查過程 6.1檢查準(zhǔn)備 6.2檢查實施 6.3問題分析 6.4合規(guī)性判定 參考文獻 DB21/T3892—2023本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由遼寧省工業(yè)和信息化廳提出并歸口。本文件起草單位：沈陽華睿博信息技術(shù)有限公司、上海數(shù)據(jù)交易所、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心遼寧分中心、遼寧艾特斯智能交通技術(shù)有限公司、東北大學(xué)、遼寧職業(yè)學(xué)院、遼寧省大數(shù)據(jù)管理中心、北京賽迪時代信息產(chǎn)業(yè)股份有限公司、交通運輸部公路科學(xué)研究所、遼寧省先進裝備制造業(yè)基地建設(shè)工程中心。本文件主要起草人：邵華、申翔宇、李凱、黃書鵬、王宇飛、宋憲輝、譚振華、王義剛、楊成實、張翔宇、魏國偉、周艷芳、齊志峰、歐梓涵、孫昕、劉洋。本文件發(fā)布實施后，任何單位和個人如有問題和意見建議，均可以通過來電和來函等方式進行反饋，我們將及時答復(fù)并認真處理，根據(jù)實際情況依法進行評估及復(fù)審。歸口管理部門通信地址：沈陽市遼寧省沈陽市皇姑區(qū)北陵大街45-2號。歸口管理部門聯(lián)系電話文件起草單位通訊地址：遼寧省沈陽市和平區(qū)青年大街386號華陽國際大廈2396。文件起草單位聯(lián)系電話1DB21/TXXXX—XXXX工業(yè)數(shù)據(jù)流通合規(guī)性檢查規(guī)范本文件規(guī)定了數(shù)據(jù)供方合規(guī)檢查、數(shù)據(jù)來源合規(guī)檢查、交易數(shù)據(jù)合規(guī)檢查、數(shù)據(jù)處理過程合規(guī)檢查、可追溯檢查、數(shù)據(jù)出境合規(guī)、征信場景下數(shù)據(jù)合規(guī)檢查和檢查過程等方面的內(nèi)容。本文件適用于工業(yè)數(shù)據(jù)流通中的數(shù)據(jù)合規(guī)性檢查。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T5271.1-2000信息技術(shù)詞匯第1部分：基本術(shù)語GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范GB/T35274-2023信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求GB/T37932-2019信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求GB/T39204-2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求GB/T39335-2020信息安全技術(shù)個人信息安全影響評估指南GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1數(shù)據(jù)data信息的可再解釋的形式化表示，以適用于通信、解釋或處理。[來源：GB/T5271.1-2000,01.01.02]3.2數(shù)據(jù)供方datasupplier數(shù)據(jù)交易中提供數(shù)據(jù)的組織機構(gòu)。[來源:GB/T37932-2019，3.2]3.3數(shù)據(jù)需方dataacquirer數(shù)據(jù)交易中購買和使用數(shù)據(jù)的組織機構(gòu)。[來源:GB/T37932-2019，3.3]3.42DB21/TXXXXX—2020數(shù)據(jù)交易datatransaction數(shù)據(jù)供方和需方之間以數(shù)據(jù)商品作為交易對象，進行的以貨幣或貨幣等價物交換數(shù)據(jù)商品的行為。注1：數(shù)據(jù)商品包括用于交易的原始數(shù)據(jù)或加注2：數(shù)據(jù)交易包括以大數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易，也包括以傳統(tǒng)數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)[來源:GB/T37932-2019，3.1]3.5數(shù)據(jù)交易服務(wù)機構(gòu)datatransactionservice為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務(wù)的組織機構(gòu)。[來源:GB/T37932-2019，3.4]3.6匿名化anonymization個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程。[來源:GB/T41479-2022，3.13]3.7個人信息personalinformation以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。注1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康注2：個人信息控制者通過個人信息或其他信息加工處理后形成的信息，例如,用戶畫像或特征標(biāo)簽,能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的,[來源:GB/T35273-2020，3.1，有修改]3.8關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。[來源:GB/T39204-2022，3.1]3.9數(shù)據(jù)流通datacirculation數(shù)據(jù)及數(shù)據(jù)產(chǎn)品在不同實體間流轉(zhuǎn)的行為。4縮略語下列縮略語適用于本文件：API：應(yīng)用程序接口（ApplicationProgrammingInterface）SDK：軟件開發(fā)工具包（SoftwareDevelopmentKit）3DB21/TXXXX—XXXX5檢查內(nèi)容5.1數(shù)據(jù)供方合規(guī)檢查5.1.1業(yè)務(wù)資質(zhì)檢查應(yīng)根據(jù)數(shù)據(jù)供方的經(jīng)營范圍、具體業(yè)務(wù)模式和數(shù)據(jù)產(chǎn)品類別等，對數(shù)據(jù)供方取得的行政許可及相關(guān)證照的完備性、運營主體的一致性、授權(quán)范圍與實際數(shù)據(jù)處理相關(guān)活動的匹配性以及質(zhì)量管理體系的健全性進行檢查。5.1.2數(shù)據(jù)安全檢查應(yīng)對數(shù)據(jù)供方提供的數(shù)據(jù)安全情況進行檢查，檢查要求如下：a）按照GB/T28448-2019中的測評要求對網(wǎng)絡(luò)信息系統(tǒng)進行檢查。必要時，對網(wǎng)絡(luò)信息系統(tǒng)安全保護措施和測評整改符合要求的情況進行核查；b）按照GB/T22240-2020的要求對數(shù)據(jù)提供者的網(wǎng)絡(luò)安全保護等級定級結(jié)果進行復(fù)核；c）如涉及關(guān)鍵信息基礎(chǔ)設(shè)施，應(yīng)按GB/T39204-2022的相關(guān)要求進行檢查；d）按照GB/T35274-2023的要求對數(shù)據(jù)提供方是否滿足最低安全防護要求或技術(shù)保護措施進行檢查及在數(shù)據(jù)流通過程中是否遵循有關(guān)法律法規(guī)及部門規(guī)定要求采取數(shù)據(jù)脫敏、數(shù)據(jù)加密、安全通道等措施進行檢查；e）如采用特定變換的方法對不屬于國家秘密的信息等進行加密保護、安全認證，應(yīng)檢查其所采用的技術(shù)、產(chǎn)品和服務(wù)是否符合商用密碼管理的相關(guān)要求。5.1.3委托處理數(shù)據(jù)的檢查數(shù)據(jù)供方委托外部機構(gòu)進行數(shù)據(jù)處理時，應(yīng)檢查以下內(nèi)容：a）建立數(shù)據(jù)安全風(fēng)險評估、個人信息安全影響評估以及內(nèi)外部數(shù)據(jù)安全、網(wǎng)絡(luò)安全檢查與評估制度的情況；b）對外部機構(gòu)業(yè)務(wù)資質(zhì)檢查的相關(guān)記錄，外部機構(gòu)業(yè)務(wù)資質(zhì)檢查內(nèi)容包括行政許可及相關(guān)證照的完備性、運營主體的一致性、授權(quán)范圍與實際數(shù)據(jù)處理相關(guān)活動的匹配性以及質(zhì)量管理體系的健全性；c）與外部機構(gòu)簽訂的數(shù)據(jù)處理合同或協(xié)議的效力及內(nèi)容，包括合同約定的履行數(shù)據(jù)安全要求、數(shù)據(jù)處理目的、處理期限、處理方式、信息種類、保護措施、處理地點、銷毀、轉(zhuǎn)委托處理、分享以及雙方的權(quán)利和義務(wù)等；d）對外部機構(gòu)數(shù)據(jù)處理過程的監(jiān)督記錄，包括履行數(shù)據(jù)安全保護義務(wù)情況、處理方式及處理地點的正確性、是否進行超出目的處理、處理后數(shù)據(jù)的刪除和銷毀情況等；e）如涉及處理個人信息，應(yīng)檢查委托前進行個人信息安全影響評估的實施記錄和記錄保存情況，個人信息安全影響評估活動應(yīng)依據(jù)GB/T39335-2020開展。5.2數(shù)據(jù)來源合規(guī)檢查數(shù)據(jù)來源包括自有數(shù)據(jù)和外部獲取數(shù)據(jù)，各類型的數(shù)據(jù)來源合規(guī)檢查內(nèi)容應(yīng)包括：a）自有數(shù)據(jù)：檢查數(shù)據(jù)分類分級制度及落實情況，檢查不同數(shù)據(jù)等級的安全機制；b）外部獲取數(shù)據(jù)：企業(yè)從外部渠道獲取的數(shù)據(jù)，包括直接獲取和間接獲取：4DB21/TXXXXX—20201）直接獲取。針對公開數(shù)據(jù)采集，從采集數(shù)據(jù)是否會侵犯其他主體的合法權(quán)益、采集方法和使用目的等方面進行檢查；針對數(shù)據(jù)主體自主輸入上傳或同意采集的數(shù)據(jù)，除應(yīng)重點審查授權(quán)情況外，還應(yīng)檢查數(shù)據(jù)源是否涉密；針對以第三方組件方式采集數(shù)據(jù)的，除檢查授權(quán)外，還需審查采集方是否對第三方組件具有完整的內(nèi)控制度；針對采集水文、氣候及地理測繪等客觀世界數(shù)據(jù)，則應(yīng)綜合國家利益、所涉行業(yè)、采集方性質(zhì)等多方因素綜合檢查來源合規(guī)；2）間接獲?。簷z查采購協(xié)議或授權(quán)許可協(xié)議的真實性、合理性。5.3交易數(shù)據(jù)合規(guī)檢查交易數(shù)據(jù)合規(guī)檢查內(nèi)容應(yīng)包括：a）應(yīng)檢查交易數(shù)據(jù)是否包含GB/T37932-2019中6.1列出的禁止交易數(shù)據(jù)；b）應(yīng)檢查交易數(shù)據(jù)的安全風(fēng)險評估報告的全面性、真實性；c）應(yīng)檢查交易數(shù)據(jù)描述和樣本的準(zhǔn)確性、真實性；d）應(yīng)檢查交易數(shù)據(jù)的分類結(jié)果是否正確；e）根據(jù)不同類別數(shù)據(jù)遭篡改、破壞、泄露或非法利用后，可能對國家安全、國民經(jīng)濟、行業(yè)發(fā)展、公眾利益、社會秩序及企業(yè)等帶來的潛在影響，將數(shù)據(jù)分為一級（一般數(shù)據(jù)）、二級（重要數(shù)據(jù)）、三級（核心數(shù)據(jù)）3個級別。交易數(shù)據(jù)為重要數(shù)據(jù)的，應(yīng)檢查是否已取得相關(guān)部門對于數(shù)據(jù)交易的同意或許可，應(yīng)檢查重要數(shù)據(jù)傳輸過程中是否采取校驗技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施。5.4數(shù)據(jù)處理過程合規(guī)檢查5.4.1數(shù)據(jù)收集數(shù)據(jù)收集情況的檢查內(nèi)容應(yīng)包括：a）收集信息的合法性基礎(chǔ)，包括相關(guān)資質(zhì)、行政許可、授權(quán)等；b）個人信息的收集是否符合GB/T35273-2020中第5章的要求和最小化原則；c）數(shù)據(jù)收集授權(quán)的展示時機、形式（明顯、非默認同意）和內(nèi)容的規(guī)范性；d）實際收集數(shù)據(jù)與隱私政策、用戶協(xié)議等內(nèi)容是否一致。5.4.2數(shù)據(jù)存儲數(shù)據(jù)存儲情況的檢查內(nèi)容應(yīng)包括：a）存儲時間是否超過與重要數(shù)據(jù)和個人信息主體約定的存儲期限或個人信息主體授權(quán)同意有效期；b）存儲個人生物特征識別信息的,是否符合GB/T35273-2020中6.3b)和c)的要求及生物特征識別信息保護相關(guān)國家標(biāo)準(zhǔn)要求；c）數(shù)據(jù)及其副本的存儲地點是否符合數(shù)據(jù)本地化存儲和數(shù)據(jù)跨境相關(guān)要求。5.4.3數(shù)據(jù)使用與加工數(shù)據(jù)使用與加工的檢查內(nèi)容應(yīng)包括：a）數(shù)據(jù)的使用和加工是否獲得相關(guān)方的授權(quán)；b）數(shù)據(jù)實際使用、加工的方式和范圍符合約定；c）是否涉及相關(guān)規(guī)定禁止的數(shù)據(jù)使用和加工，如未獲得用戶授權(quán)、用戶已撤回同意、歧視性的營銷策略、違反道德倫理等情況。5.4.4數(shù)據(jù)傳輸與提供5DB21/TXXXX—XXXX數(shù)據(jù)傳輸與提供的檢查內(nèi)容包括但不限于：a）數(shù)據(jù)傳輸是否符合GB/T41479-2022中5.6的要求；b）數(shù)據(jù)提供是否符合GB/T41479-2022中5.7的要求；c）涉及第三方SDK組件或API接口的，檢查是否對SDK組件或API接口進行安全檢測，是否存在已知的安全漏洞和可能引起數(shù)據(jù)泄露或未授權(quán)的數(shù)據(jù)出境行為。5.4.5數(shù)據(jù)公開數(shù)據(jù)公開的檢查內(nèi)容應(yīng)包括：a）數(shù)據(jù)公開是否會危害國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定；b）數(shù)據(jù)公開行為和內(nèi)容是否取得了相關(guān)單位的許可和授權(quán)；c）公開對個人權(quán)益有重大影響的個人信息，是否已取得個人同意；d）公開的數(shù)據(jù)應(yīng)具備一定的質(zhì)量，包括完整性、準(zhǔn)確性、可信性和可用性等方面。對于一些敏感或機密的數(shù)據(jù)，應(yīng)設(shè)置訪問權(quán)限，只有特定用戶可以訪問和獲取數(shù)據(jù)。5.4.6數(shù)據(jù)刪除數(shù)據(jù)刪除的檢查內(nèi)容應(yīng)包括：a）數(shù)據(jù)刪除的范圍是否包括數(shù)據(jù)本身及其所有副本；b）檢查數(shù)據(jù)刪除是否符合GB/T41479-2022中5.13、GB/T35273-2020中8.3和8.5的要求。5.4.7數(shù)據(jù)匿名化數(shù)據(jù)匿名化處理的檢查內(nèi)容應(yīng)包括：a）數(shù)據(jù)匿名化處理范圍是否包括數(shù)據(jù)本身及其所有副本；b）檢查數(shù)據(jù)匿名化處理是否符合GB/T41479-2022中5.13、GB/T35273-2020中8.5的要求。5.5可追溯檢查5.5.1文件檢查應(yīng)檢查數(shù)據(jù)交易服務(wù)機構(gòu)是否建立并留存以下文件：a）交易數(shù)據(jù)的來源介紹和證明文件；b）交易數(shù)據(jù)的處理記錄、使用記錄和審查記錄；c）數(shù)據(jù)供方和數(shù)據(jù)需方的基本信息；d）交易過程的記錄。5.5.2技術(shù)措施檢查應(yīng)檢查是否采用商用密碼等技術(shù)，將數(shù)據(jù)供方、數(shù)據(jù)需方身份信息，交易合同或協(xié)議，交易數(shù)據(jù)和交易過程等信息進行登記、備案。應(yīng)檢查數(shù)據(jù)交易服務(wù)平臺是否具備交易過程信息，數(shù)據(jù)供方、數(shù)據(jù)需方身份信息及交易數(shù)據(jù)等信息的交易溯源功能。5.5.3數(shù)據(jù)登記5.5.3.1基本原則為保證數(shù)據(jù)交易可追溯，數(shù)據(jù)交易服務(wù)機構(gòu)宜建立數(shù)據(jù)確權(quán)登記、數(shù)據(jù)權(quán)利對抗登記和數(shù)據(jù)交易存證登記等數(shù)據(jù)登記制度，但建立并落實登記制度不是數(shù)據(jù)交易的必要條件。6DB21/TXXXXX—20205.5.3.2數(shù)據(jù)確權(quán)登記數(shù)據(jù)確權(quán)登記是針對權(quán)利歸屬情況清晰、產(chǎn)權(quán)主體單一的數(shù)據(jù)進行的登記，如在不涉及數(shù)據(jù)安全問題的情況下，應(yīng)對企業(yè)自行收集的實驗數(shù)據(jù)、測繪數(shù)據(jù)進行的初始權(quán)利登記，其目的在于通過嚴(yán)格審查程序明確數(shù)據(jù)初始產(chǎn)權(quán)。5.5.3.3數(shù)據(jù)權(quán)利對抗登記數(shù)據(jù)權(quán)利對抗登記是對數(shù)據(jù)整體轉(zhuǎn)讓和排他許可使用進行的登記，登記產(chǎn)生對抗第三方的法律效力。數(shù)據(jù)權(quán)利對抗登記的目的在于通過對數(shù)據(jù)權(quán)利主體、使用權(quán)限和轉(zhuǎn)讓過程的記載，明確數(shù)據(jù)供方處理數(shù)據(jù)權(quán)限、數(shù)據(jù)需方使用數(shù)據(jù)的范圍。5.5.3.4數(shù)據(jù)交易存證登記數(shù)據(jù)交易存證登記是針對涉及普通許可使用或者數(shù)據(jù)服務(wù)場景下，數(shù)據(jù)交易歷程的登記，登記對象為數(shù)據(jù)產(chǎn)品的普通許可使用和數(shù)據(jù)開發(fā)服務(wù)，其目的在于通過對歷次交易核心內(nèi)容的記錄與公示，為交易溯源提供依據(jù)和證明。5.6數(shù)據(jù)出境合規(guī)評估及檢查5.6.1出境安全評估要求重要數(shù)據(jù)和個人信息在出境前，應(yīng)由數(shù)據(jù)交易服務(wù)機構(gòu)向數(shù)據(jù)出境安全相關(guān)主管部門提交數(shù)據(jù)出境安全評估申報，提出申報前，還需自行進行出境風(fēng)險自評估或委托具有工業(yè)數(shù)據(jù)流通服務(wù)機構(gòu)授權(quán)或許可的第三方機構(gòu)進行評估。委托處理可參考T/SZBA001-2023中7.2.2中的要求。出境風(fēng)險自評估應(yīng)從以下角度進行：a）出境數(shù)據(jù)，包括規(guī)模、范圍、種類、敏感程度和潛在風(fēng)險；涉及個人數(shù)據(jù)的，向個人告知境外數(shù)據(jù)接收方的名稱、聯(lián)系方式、出境目的、出境方式、個人信息種類及個人向境外數(shù)據(jù)接收方行使權(quán)利的方式和程序等，并取得個人明示同意；b）數(shù)據(jù)出境行為可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風(fēng)險；數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性，是否符合最小必要原則；關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲；c）境外接收方承諾承擔(dān)的責(zé)任義務(wù)，以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全；當(dāng)?shù)氐谋Ｗo政策及保護水平是否滿足我國相關(guān)政策、法規(guī)及標(biāo)準(zhǔn)化文件的要求；d）數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險，使用境外的數(shù)據(jù)服務(wù)商和SDK組件可能引起的潛在的數(shù)據(jù)出境風(fēng)險情況，以及個人信息權(quán)益維護的渠道是否通暢等；e）與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件等是否充分約定了數(shù)據(jù)安全保護責(zé)任義務(wù)，且合同中應(yīng)至少約定數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍，境外接收方處理數(shù)據(jù)的用途、方式等；f）數(shù)據(jù)在境外保存地點、期限，以及達到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施；g）對于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個人的約束性要求；h）境外接收方在實際控制權(quán)或者經(jīng)營范圍發(fā)生實質(zhì)性變化，或者所在國家、地區(qū)數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化，以及發(fā)生其他不可抗力情形導(dǎo)致難以保障數(shù)據(jù)安全時，應(yīng)當(dāng)采取的安全措施；i）違反法律文件約定的數(shù)據(jù)安全保護義務(wù)的補救措施、違約責(zé)任和爭議解決方式；出境數(shù)據(jù)遭到篡7DB21/TXXXX—XXXX改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險時，妥善開展應(yīng)急處置的要求和保障個人維護其個人信息權(quán)益的途徑和方式。5.6.2數(shù)據(jù)出境評估人員要求數(shù)據(jù)出境評估人員需要具備一定的專業(yè)知識和技能，以確保對數(shù)據(jù)出境過程的全面評估和監(jiān)控。以下是對數(shù)據(jù)出境評估人員的基本要求：a）法律和合規(guī)知識：熟悉涉及數(shù)據(jù)出境的法律、法規(guī)和標(biāo)準(zhǔn)，包括數(shù)據(jù)保護法、隱私法和相關(guān)行業(yè)規(guī)范。了解不同國家和地區(qū)的法律要求，并能準(zhǔn)確評估數(shù)據(jù)出境的合規(guī)性；b）數(shù)據(jù)管理和分類技能：理解數(shù)據(jù)的分類和敏感性評估方法，能夠確定數(shù)據(jù)類型和級別，并確定適當(dāng)?shù)陌踩Ｗo措施；c）風(fēng)險評估與管理能力：能夠識別和評估數(shù)據(jù)出境過程中的安全和隱私風(fēng)險，并提供相應(yīng)的風(fēng)險控制和管理建議；d）信息安全知識：具備信息安全的基本知識，包括密碼學(xué)、訪問控制和身份認證等。了解數(shù)據(jù)加密、數(shù)據(jù)傳輸安全等技術(shù)控制措施，并能評估其在數(shù)據(jù)出境過程中的應(yīng)用情況；e）隱私保護和倫理意識：具備關(guān)于個人隱私保護和倫理的專業(yè)知識和意識，能夠確保對個人數(shù)據(jù)的合理使用和保護，并遵守相關(guān)道德準(zhǔn)則；f）項目管理技能：能夠有效組織和管理數(shù)據(jù)出境評估項目，包括制定項目計劃、協(xié)調(diào)相關(guān)人員、跟蹤進展等。5.6.3數(shù)據(jù)出境合規(guī)檢查數(shù)據(jù)出境合規(guī)檢查內(nèi)容包括但不限于：a）涉及個人信息的，是否向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、出境目的、出境方式、個人信息的種類以及個人向境外接收方行使本文件規(guī)定權(quán)利的方式和程序等事項，并取得個人的明示同意；b）是否具有個人信息安全影響評估的責(zé)任部門或責(zé)任人員，是否自行開展或聘請外部獨立第三方機構(gòu)進行個人信息保護影響評估，個人信息保護影響評估報告和處理情況記錄是否妥善保存；注：個人信息安全影響評估活動應(yīng)依據(jù)GB/T3c）是否與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)。合同中是否約定數(shù)據(jù)出境的目的及方式、境外數(shù)據(jù)保存情況、境外數(shù)據(jù)再轉(zhuǎn)移、不可抗力以及其他違約或侵權(quán)事宜及其解決途徑與方式；d）數(shù)據(jù)出境處理活動是否需要向相關(guān)管理機構(gòu)申報數(shù)據(jù)出境安全評估，如需要申報，應(yīng)開展數(shù)據(jù)出境風(fēng)險第三方評估或自評估，并向相關(guān)管理機構(gòu)申報數(shù)據(jù)出境安全評估；e）關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)是否在中國境內(nèi)存儲；f）出境數(shù)據(jù)是否包含相關(guān)管理機構(gòu)認定的不得出境的數(shù)據(jù)；g）是否存在使用境外的服務(wù)供應(yīng)商和第三方SDK組件可能引起的潛在的數(shù)據(jù)出境風(fēng)險情況；h）是否建立并保存跨境傳輸相關(guān)的管理記錄，包括傳輸發(fā)送方、接收方及所在區(qū)域、傳輸機制、信息類型、處理目的、合同條款、數(shù)據(jù)主體同意的相關(guān)記錄。5.7征信場景下數(shù)據(jù)合規(guī)檢查的特殊要求5.7.1征信機構(gòu)采集數(shù)據(jù)合規(guī)檢查征信機構(gòu)采集數(shù)據(jù)合規(guī)情況，應(yīng)檢查以下內(nèi)容：a）征信機構(gòu)是否對數(shù)據(jù)來源、數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全措施和數(shù)據(jù)主體授權(quán)等進行必要檢查；b）采集的數(shù)據(jù)是否包含個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)8DB21/TXXXXX—2020規(guī)定禁止采集的其他個人信息；c）采集的數(shù)據(jù)是否包含個人的收入、存款、有價證券、商業(yè)保險,不動產(chǎn)的信息和納稅數(shù)額信息，如包含上述信息，是否明確告知信息主體提供該信息可能產(chǎn)生的不利后果，并取得其書面同意；d）征信機構(gòu)是否與數(shù)據(jù)供方通過協(xié)議等形式明確信息采集的原則以及各自在獲得數(shù)據(jù)主體同意、數(shù)據(jù)采集、加工處理、數(shù)據(jù)更正、異議處理和數(shù)據(jù)安全等方面的權(quán)利義務(wù)和責(zé)任。5.7.2征信機構(gòu)提供數(shù)據(jù)合規(guī)檢查征信機構(gòu)提供數(shù)據(jù)合規(guī)情況，應(yīng)檢查以下內(nèi)容：a）征信機構(gòu)是否取得相關(guān)行政許可、是否已依法辦理相關(guān)備案；b）征信機構(gòu)采集個人信用信息的方式、方法，是否遵循最小必要的原則，是否存在過度采集情況；c）征信機構(gòu)是否提供相應(yīng)的證據(jù)或承諾表明已采取合理措施，保障提供數(shù)據(jù)的準(zhǔn)確性，數(shù)據(jù)采集、存儲和加工等過程中不存在篡改原始信息的情形。6檢查過程6.1檢查準(zhǔn)備6.1.1主要工作內(nèi)容檢查準(zhǔn)備階段主要工作內(nèi)容包括制訂檢查方案、調(diào)研、資料收集。6.1.2檢查方案檢查方案應(yīng)包括以下內(nèi)容：a）檢查團隊的人員數(shù)量、專業(yè)組成以及溝通機制；注1：團隊人員應(yīng)具備可支撐檢查開展的法律、技術(shù)、安全管理、業(yè)務(wù)規(guī)則b）根據(jù)檢查對象和檢查目的確定的檢查范圍；注2：檢查范圍可包括組織范圍、物理地域范圍、項目范圍、業(yè)務(wù)流程和業(yè)務(wù)活動范圍、信息系統(tǒng)和技術(shù)工具范圍、人c）應(yīng)明確相關(guān)的法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準(zhǔn)則、國際條約及行業(yè)標(biāo)準(zhǔn)化文件等檢查依據(jù)；d）應(yīng)明確可能使用的檢查工具，包括但不限于檢查表、基線檢查工具、安全掃描及測試工具、安全審計工具等；e）對檢查進度進行預(yù)期規(guī)劃，包括檢查準(zhǔn)備、檢查實施、分析、判定階段的周期及時間點安排；f）對檢查活動可能存在的風(fēng)險及造成的影響進行分析，如檢查活動可能造成信息泄密的風(fēng)險、測試掃描活動對業(yè)務(wù)運行和數(shù)據(jù)正確性的影響、檢查工作自身的局限性及約束等，檢查實施應(yīng)采取最小影響原則。6.1.3調(diào)研6.1.3.1應(yīng)對檢查對象的業(yè)務(wù)運營模式、數(shù)據(jù)處理活動、安全管理制度構(gòu)建及落實、處罰及整改相關(guān)情況進行調(diào)研。6.1.3.2業(yè)務(wù)運營模式調(diào)研包括業(yè)務(wù)范圍、內(nèi)容、模式以及與外部機構(gòu)合作的情況。6.1.3.3數(shù)據(jù)處理活動調(diào)研涉及處理數(shù)據(jù)的類型、流程、規(guī)模及數(shù)據(jù)收集、存儲、使用、加工、傳輸、流通、刪除等全生命周期的活動。6.1.3.4安全管理制度構(gòu)建及落實調(diào)研包括安全管理組織架構(gòu)、管理制度、技術(shù)措施、網(wǎng)絡(luò)安全等級保護落實情況、培訓(xùn)教育制度的構(gòu)建及落實。9DB21/TXXXX—XXXX6.1.3.5處罰及整改調(diào)研是否存在數(shù)據(jù)合規(guī)的投訴、行政處罰、訴訟、仲裁，如存在，還應(yīng)調(diào)研以往的信息安全相關(guān)測評和數(shù)據(jù)合規(guī)檢查的整改措施。6.1.4資料收集應(yīng)收集的數(shù)據(jù)合規(guī)相關(guān)資料包括但不限于：a）數(shù)據(jù)交易主體的營業(yè)執(zhí)照以及相關(guān)行業(yè)的經(jīng)營許可；b）相關(guān)的協(xié)議、合同以及審查文件；c）數(shù)據(jù)交易主體的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、數(shù)據(jù)分級分類、個人信息保護等事項的管理文件，包括制度文件、程序文件、行業(yè)準(zhǔn)則和承諾、指引文件、培訓(xùn)考核和監(jiān)督要求以及近三年執(zhí)行相關(guān)活動形成的技術(shù)和質(zhì)量記錄等；d）近年（例如三年內(nèi)）與信息安全或數(shù)據(jù)安全相關(guān)的訴訟、仲裁和被執(zhí)法機關(guān)調(diào)查和處罰的相關(guān)文件，包括約談、調(diào)查通知、處罰通知、判決書等；e）近年（例如三年內(nèi)）涉及的網(wǎng)絡(luò)安全審查報告、等級保護的備案證明以及相關(guān)信息系統(tǒng)的等級保護測評報告、網(wǎng)絡(luò)信息安全及數(shù)據(jù)安全風(fēng)險評估報告等；f）已發(fā)生過的網(wǎng)絡(luò)安全攻擊、系統(tǒng)中斷、信息泄露等事件的情況分析及應(yīng)急響應(yīng)報告?？筛鶕?jù)檢查需求，通過對公開信息進行查詢的方式獲取評估對象的相關(guān)信息，以對收到的資料進行印證和補充，查詢渠道包括：國家企業(yè)信用信息公示系統(tǒng)、信息產(chǎn)業(yè)主管部門網(wǎng)站