T-ISC 0050-2024 企業(yè)個人信息保護合規(guī)管理體系 指南

中國互聯(lián)網(wǎng)協(xié)會發(fā)布T/ISC0050—2024企業(yè)個人信息保護合規(guī)管理體系指南Guidelinesforcompliancemanagementsystemofpersonalinformationprotectiononenterprises2024-6-12發(fā)布2024-7-12實施I 所、北京雷騰律師事務(wù)所、北京市中聞律師事務(wù)所、北京中銀（深圳）律效的企業(yè)合規(guī)管理體系能夠表明企業(yè)在經(jīng)營管理過程中遵守相關(guān)法律法規(guī)、政府和政策要求，提升個人信息保護水平，助力企業(yè)高質(zhì)量全面發(fā)展，根據(jù)《個人信《合規(guī)管理體系要求及使用指南》及相關(guān)法律法規(guī)、標(biāo)準(zhǔn)，12規(guī)范性引用文件GB/T35770-2022/ISO37301:2021合規(guī)管理體系要GB/T35273-2020信息安全技術(shù)個人信息安GB/T42574-2023信息安全技術(shù)個人信息處理中告知和同意的實T/ISC0023-2023信息通信及互聯(lián)網(wǎng)行業(yè)企業(yè)合規(guī)管理體系指南合規(guī)義務(wù)complianceobli合規(guī)管理complianceman2個人信息保護影響評估personalinformationprotectionimpac個人信息保護法定特別機構(gòu)specializedstatutoryagenciesforprotectionofpersonal4.1有效性原則4.2全面性原則確保所有與個人信息保護相關(guān)的業(yè)務(wù)、部門和人員均已納入合規(guī)4.3獨立性原則4.4動態(tài)性原則34.5可追溯原則5.1合規(guī)管理體系5.2合規(guī)義務(wù)識別5.2.1合規(guī)義務(wù)5.2.2合規(guī)義務(wù)分析4企業(yè)宜識別新增及變更的個人信息保護合規(guī)義務(wù)企業(yè)個人信息保護合規(guī)義務(wù)清單應(yīng)符合附錄A的規(guī)定，企業(yè)個人信息保護合規(guī)義務(wù)履行5.3合規(guī)風(fēng)險評價5.3.1合規(guī)風(fēng)險企業(yè)宜定期或在企業(yè)環(huán)境發(fā)生重大變化時進行個人信息保5.3.2合規(guī)風(fēng)險提示5.3.3應(yīng)急管理5企業(yè)開展個人信息處理活動宜建立健全個人信息保護合規(guī)管理組織機構(gòu)和常態(tài)化溝通b)確保建立舉報個人信息保護違規(guī)的c)確保戰(zhàn)略和運營目標(biāo)與履行個人信息保e)確保將個人信息保護合規(guī)落實情況和效果納入企d)指導(dǎo)各業(yè)務(wù)單位做好個人信息保護合規(guī)、為6信息保護合規(guī)管理部門通報風(fēng)險事項，妥善應(yīng)對合7企業(yè)宜對舉報人、投訴人的相關(guān)信息予以保密，保障舉8保障機制8規(guī)理念，踐行合規(guī)經(jīng)營的價值觀，不斷增強員工的個人信息保易讀和易檢索的方式保存，并采取必要措施防止泄密、不當(dāng)使用9評價機制9.1績效評價9.2合規(guī)審計正措施，確定產(chǎn)生不符合、不合規(guī)的原因，評9表A.1規(guī)定了企業(yè)個人信息保護合規(guī)義務(wù)清單，企業(yè)宜根據(jù)所處行業(yè)、產(chǎn)品及服務(wù)類序號合規(guī)義務(wù)（一級）合規(guī)義務(wù)（二級）是否適用備注123456789證估估息息估息發(fā)生或者可能發(fā)生個人信息保護泄方式告知個人；難以逐一告知個人信息主體的，采取合理、有效的方式發(fā)布與公眾b)以專章或?qū)ｉT規(guī)則方式告知個人信息處理規(guī)則中d)將對個人產(chǎn)生重要影響的、易于引起異a)在分項選擇同意的交互式界面內(nèi)，采取單獨勾選、單獨點擊、單獨點亮等方式的；c)在紙質(zhì)或電子的書面文件中有形地載明需要取得單獨同意的處理活動并由自然人或以音頻方式播放，自然人通過刷卡、刷指紋、刷臉B.1.4個人不同意處理其個人信息或b)外部第三方或關(guān)聯(lián)公司提供的業(yè)務(wù)功能（基本）；B.2.1為訂立、履行個人作為一方當(dāng)事d)排除處理行為是否將導(dǎo)致合同無法訂立、履行或B.2.4緊急情況下為保護自然人財產(chǎn)a)電信業(yè)務(wù)經(jīng)營者監(jiān)測并核驗涉詐異a)客觀行為特征，合理使用對應(yīng)的行為b)主觀目的特征，合理使用對應(yīng)的主觀目的B.2.6在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公信息合法性基礎(chǔ)的，企業(yè)宜綜合下列因素評估適用該合法性基礎(chǔ)評估。企業(yè)不宜向已公開個人信息實施下列a)向已公開個人信息中的電子郵箱、手機號等發(fā)送與其公開d)未取得個人同意處理已公開的個人d)未取得個人同意處理已公開的個人b)監(jiān)督接收方是否繼續(xù)履行個人信息處理者的企業(yè)利用自動化決策方式進行個人信息處理活動，不宜實施下列不性差別的個人，采取不同的交易價格、交易方式或其他b)關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的企業(yè)向境外提供個人信PG-20222A《個人信息跨境處理活動安全認(rèn)證規(guī)范》、GB/T35273《信息安全技術(shù)個人信息企業(yè)通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個人信息