序号 |
文档类型 |
标准要求 |
文档内容 |
1. |
证明材料 |
5.4 f) 间接获取个人信息时,对个人信息控制者的要求 |
间接收集个人信息的合法性相关证明材料(通过第三方共享或转让获得个人信息、或通过其它技术越权所收集的个人信息情况发生时) |
2. |
7.4 a) 用户画像中对个人信息主体的特征描述要求 |
用户画像信息说明的相关材料 |
3. |
9.8在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应遵循国家相关规定和相关标准的要求 |
个人信息出境安全评估的相关说明 |
4. |
管理制度/流程 |
5.1 a)不应以欺诈、诱骗、误导的方式收集个人信息 |
个人信息保护的管理制度(明确要求App不以欺诈、诱骗、误导的方式收集个人信息) |
5. |
6.1 a)个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间,法律法规另有规定或者个人信息主体另行同意的除外 |
个人信息收集后的管理措施以及个人信息保存期限的相关制度 |
6. |
6.2 收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理 |
7. |
6.4对个人信息控制者停止运营其产品或服务时的要求 |
个人信息控制者停止运营后的管理制度和个人信息处理流程 |
8. |
7.1 b) 对个人信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操作 |
个人信息重要操作设置内部审批流程 |
9. |
7.1 d) 确因工作需要,需授权特定人员超权限处理个人信息的,应经个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册 |
超权限处理个人信息的工作流程 |
10. |
8.4 a)应向个人信息主体提供方法撤回收集、使用其个人信息的同意的方法。撤回授权同意后,个人信息控制者后续不应再处理相应的个人信息 |
关于个人信息授权撤回的流程规定 |
11. |
8.5 f) 个人信息主体注销账户后,应及时删除其个人信息或匿名化处理 |
关于账户注销后的删除或匿名化处理的管理制度 |
12. |
8.8个人信息控制者应建立投诉管理机制和投诉跟踪流程,并在合理的时间内对投诉进行响应 |
关于用户申诉管理的规定 |
13. |
9.1 个人信息控制者委托第三方处理个人信息时,应符合的要求 |
关于个人信息委托第三方处理的流程及管理规定 |
14. |
9.1 c)委托处理时,对受委托者的行为安全的规定要求 |
关于受委托者(个人信息处理)行为安全要求的规定 |
15. |
9.2 个人信息控制者共享、转让个人信息时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组、破产原因的,应事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施 |
关于共享、转让个人信息的管理和个人信息安全影响制度 |
16. |
9.2 c)共享、转让个人敏感信息前,除b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意 |
关于共享、转让个人敏感信息的管理规定 |
17. |
9.2 f) 个人信息控制者发现数据接收方违反法律法规要求或双方约定处理个人信息的,应立即要求数据接收方停止相关行为,且采取或要求数据接收方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险;必要时个人信息控制者应解除与数据接收方的义务关系,并要求数据接收方及时删除从个人信息控制者获得的个人信息 |
关于与数据接收方之间约定内容的个人信息管理制度 |
18. |
9.3当个人信息控制者发生收购、兼并、重组、破产等变更时,对个人信息控制者的要求 |
关于收购、兼并、重组、破产时进行个人信息转让的管理制度 |
19. |
9.4 个人信息原则上不得公开披露。确需公开披露时,对个人信息控制者的要求 |
关于公开披露个人信息的管理制度 |
20. |
9.4 g) 不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果 |
关于公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据分析结果的管理制度 |
21. |
9.6 a) 当个人信息控制者与第三方为共同个人信息控制者时,对个人信息控制者的要求 |
对第三方的行为安全要求的管理制度 |
22. |
9.7 当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不适用9.1和9.6的,对个人信息控制者的要求 |
关于第三方产品或服务接入的管理制度 |
23. |
9.7 g)应督促和监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入 |
关于第三方产品或服务的个人信息安全监督制度 |
24. |
|
10.1个人信息安全事件处置 |
个人信息安全事件管理制度内容至少包括:应急响应培训和应急演练的频率及要求、岗位职责、应急响应各内部及外部相关方、制定应急预案的要求等 |
25. |
|
10.1 a) 指定个人信息安全事件应急预案 |
应急预案内容至少包括:预案启动条件、事件记录要求、事件评估要求、事件上报要求、事件处置流程、事件告知要求、预案更新要求、岗位及应急响应各内部及外部相关方承担的具体任务等基本内容 |
26. |
|
11.1明确个人信息安全管理责任部门与人员 11.6 b)建立发生安全事件的处罚机制 |
个人信息安全管理制度,内容至少包括:明确法定代表人或主要负责人的责任、设立个人信息保护负责人和保护机构,明确个人信息保护负责人的资质要求、工作内容,设立岗位职责、发生安全事件的处罚 |
27. |
|
11.1 d)制定个人信息保护政策和规程 |
内容至少包括:个人信息授权访问策略、维护个人信息清单、、培训要求、上线检测要求、投诉举报渠道设置、安全审计、在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求、建立、维护和更新所收集、使用的个人信息处理活动记录的要求等 |
28. |
|
11.4 a)建立个人信息安全影响评估制度 |
个人信息安全影响评估制度,主要内容至少包括:明确何种情况下必须要进行评估,评估的实施流程、评估报告的要求。 |
29. |
|
11.5数据安全能力 |
明确数据安全能力中管理和技术措施 |
30. |
合同/协议 |
5.2 c)间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量 |
通过第三方获取个人信息的协议 |
31. |
8.3 b)个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方及时删除 |
与受委托者(个人信息处理)签订的合同 |
32. |
9.1 c)对受委托者的要求 |
33. |
9.2 d) 通过合同等方式规定数据接收方的责任和义务 |
共享、转让个人信息时,与数据接收方签订的合同 |
34. |
9.6 a) 当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知 |
与第三方(共同个人信息控制者)签订的合同 |
35. |
9.7 b)应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施 |
第三方产品或服务接入前,与第三方签订的合同 |
36. |
|
11.6 a)签署保密协议、对大量接触个人敏感信息的人员进行背景审查 |
保密协议,至少明确个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务 |
37. |
|
|
|
38. |
记录/日志 |
6.1 b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理 |
超期数据处理日志 |
39. |
7.1 a) 对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限 c) 对安全管理人员、数据操作人员、审计人员的角色进行分离设置 |
角色分离设置记录和访问个人信息的人员授权记录 |
40. |
7.1 b) 对个人信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操作 |
个人信息重要操作设置记录 |
41. |
7.1 d) 确因工作需要,需授权特定人员超权限处理个人信息的,应经个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册 |
超权限处理个人信息记录 |
42. |
7.1 e) 对个人敏感信息的访问、修改等操作行为,宜在对角色的权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到客户投诉,投诉处理人员才可访问该用户的相关信息 |
业务流程触发个人敏感信息操作的记录 |
43. |
8.4 a)应向个人信息主体提供方法撤回收集、使用其个人信息的同意的方法。撤回授权同意后,个人信息控制者后续不应再处理相应的个人信息 |
授权撤回记录 |
44. |
8.7 c)对合理的请求原则上不收取费用,但对一定时期内多次重复的请求,可视情收取一定成本费用。 |
响应主体请求(如频繁发生个人信息修改的请求)的收费记录 |
45. |
9.1个人信息控制者委托第三方处理个人信息时,不应超出已征得个人信息主体授权同意的范围或应遵守5.6所列情形9.1e)个人信息控制者应准确记录委托处理个人信息的情况 |
个人信息委托情况记录,包括委托处理的时间、方式、个人信息类型、数量、目的及完成时间,完成后的处理措施等 |
46. |
9.1 c)受委托者应: 1)严格按照个人信息控制者的要求处理个人信息。受委托者因特殊原因未按照个人信息控制者的要求处理个人信息,应及时向个人信息控制者反馈; 2)受委托者确需再次委托时,应事先征得个人信息控制者的授权; 3)协助个人信息控制者响应个人信息主体基于8.1~8.6提出的请求 4)受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件的,应及时向个人信息控制者反馈 5)在委托关系解除时不再存储相关个人信息 |
受委托者对个人信息的处理记录、受委托者未按照个人信息控制者的要求处理个人信息的原因,时间、涉及的个人信息类型 |
47. |
9.1 d)个人信息控制者应对受委托者进行监督 |
对受委托人行为的审计记录 |
48. |
9.2 e)准确记录和存储个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等 |
共享、转让个人信息的记录 |
49. |
9.3 当个人信息控制者发生收购、兼并、重组、破产等变更时,对个人信息控制者的要求 |
收购、兼并、重组、破产时的个人信息转让告知记录 |
50. |
9.4 个人信息原则上不得公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时,应事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施; |
公开披露个人信息和采取保护个人信息主体措施的记录 |
51. |
9.4e)向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意 |
公开披露个人信息的记录,包括披露的时间和期限、告知内容、 |
52. |
9.4 b)、d)准确记录和存储个人信息的公开披露情况 |
公开披露个人信息的授权同意记录,公开披露的日期、规模、目的、公开范围 |
53. |
9.5 以下情形中,个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意 |
未事先征得个人信息主体的授权同意共享、转让、公开披露个人信息的原因,个人信息类型、共享、转让方,公开披露范围等 |
54. |
9.7当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不适用9.1和9.6的,应建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件 |
第三方产品或服务的接入流程记录以及安全评估记录文档 |
55. |
9.7 d)应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅 |
56. |
9.7 g)应督促和监督第三方产品或服务提供者加强个人信息安全管理。 |
监督、督促整改、停止第三方产品或服务接入等记录 |
57. |
9.7 h)涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定行为的,及时切断接入 |
接入或嵌入的第三方自动化工具的审计记录 |
58. |
|
10.1 b)定期组织内部相关人员进行应急响应培训和应急演练 |
应急响应培训和演练的记录 |
59. |
|
10.1 c)发生个人信息安全事件后,记录事件内容 |
记录内容至少包括发现事件的人员、地点、时间,涉及的个人信息及人数,发生时间的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门、告知个人信息主体的方式和内容 |
60. |
|
10.1 d)及时更新应急预案 |
个人信息安全相关法律法规清单、更新预案的依据、更新的时间和版本 |
61. |
|
11.1 d)2)组织制定个人信息保护工作计划并督促落实 |
个人信息保护工作计划、计划实施的记录 |
62. |
|
11.1 d)6)组织开展个人信息安全培训 |
培训记录 |
63. |
|
11.1 d)7)在产品或服务上线发布前进行检测 |
上线检测记录 |
64. |
|
10. |
|
65. |
报告 |
7.6 b)应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施 |
涉及汇聚融合个人信息时的个人信息安全影响评估报告 |
66. |
7.7个人信息控制者业务运营所使用的信息系统,具备自动决策机制且能对个人信息主体权益造成显著影响的(例如自动决定个人征信及贷款额度,或用于面试人员的自动化筛选等),应在规划设计阶段或首次使用前开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施。 |
规划设计阶段或首次使用前的个人信息安全影响评估报告 |
67. |
7.7 b)在使用过程中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果改进保护个人信息主体的措施。 |
具备自动决策机制且对个人信息主体利益造成影响的信息系统开展的定期(至少每年一次)个人信息安全影响评估报告 |
68. |
9.1 b)个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者达到11.5的数据安全能力要求。 |
委托(第三方处理个人信息)行为的个人信息安全影响评估报告 |
69. |
9.2 个人信息控制者共享、转让个人信息时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组、破产原因的,应事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施。 |
共享、转让个人信息前的个人信息安全影响评估报告 |
70. |
9.4 个人信息原则上不得公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时,应事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施。 |
公开披露前的个人信息安全影响评估报告 |
71. |
9.7 h)涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜开展技术检测确保其个人信息收集、使用行为符合约定要求 |
对第三方接入或嵌入的自动化工具技术检测报告 |
72. |
|
10.1 c)3)发生个人信息安全事件后,按照《国家网络安全事件应急预案》等有关规定上报相关情况 |
报告内容至少包括涉及个人信息的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的措施,事件处置相关人员的联系方式 |
73. |
|
10.1 d)9)进行安全审计 |
信息安全审计报告 |
74. |
|
11.3个人信息处理活动记录 |
至少包括:所涉及个人信息的类型、数量、来源;根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;与个人信息处理活动各环节相关的信息系统、组织或人员 |
75. |
|
11.4开展个人信息安全影响评估 |
个人信息安全影响评估,参考《个人信息安全影响评估指南》 |
76. |
|
|
|
