数据安全技术 数据安全和个人信息保护社会责任指南

GB/T46071—2025 数据安全技术数据安全和个人信息保护社会责任指南 Datasecuritytechnology—Guidanceonsocialresponsibilityofdatasecurityandpersonalinformationprotection 国 家 市 场 监 督 管 理 总 局国 家 标 准 化 管 理 委 员 会发布 目次 前言Ⅲ…………………………………………………………………………………………………………1范围1………………………………………………………………………………………………………2规范性引用文件1…………………………………………………………………………………………3术语和定义1………………………………………………………………………………………………4缩略语2……………………………………………………………………………………………………5总则2………………………………………………………………………………………………………6组织治理2…………………………………………………………………………………………………7合规性、创新性和价值体现5………………………………………………………………………………8公平运行、竞争和合作7……………………………………………………………………………………9用户权益保护10……………………………………………………………………………………………10公益参与和社会发展12…………………………………………………………………………………11社会责任履行情况披露14………………………………………………………………………………附录A(资料性)数据安全和个人信息保护社会责任绩效评价方法16…………………………………附录B(资料性)数据安全和个人信息保护社会责任实践案例29………………………………………附录C(资料性)数据安全和个人信息保护社会责任报告模板34………………………………………参考文献36…………………………………………………………………………………………………… 前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:北京赛西科技发展有限责任公司、中国科学 院 信 息 工 程 研 究 所、中 国 电 子 技 术 标准化研究院、中国网络安全审查认证和市场监管大数据中心、北京百度 网 讯 科 技 有 限 公 司、北 京 快 手 科技有限公司、蚂蚁科技集团股份有限公司、国家信息技术安全研究中心、公安部第三研究所、深圳赛西信息技术有限公司、贝壳找房(北京)科技有限公司、上海合合信息科技股份 有 限 公 司、南 方 电 网 数 字 电 网集团信息通信科技有限公司、天翼云科技有限公司、荣耀终端股份有限 公 司、北 京 零 一 万 物 科 技 有 限 公司、旗天科技集团股份有限公司、北京抖音信息服务有限公司、阿里巴巴(北京)软件服务有限公司、广州竞远安全技术股份有限公司、北京腾云天下科技有限公司、上海杉涌律师事务所、西北工业大学、深圳市网安计算机安全检测技术 有 限 公 司、深 圳 国 家 金 融 科 技 测 评 中 心 有 限 公 司、广 州 虎 牙 科 技 有 限 公 司、上海飞书深诺数字科技集团股份有限公司、清华大学、北京企报产经 在 线 文 化 传 媒 有 限 公 司、广 州 赛 西标准检测研究院有限公司、国浩律师(北京)事务所、北京天融信网络安全 技 术 有 限 公 司、华 能 信 息 技 术有限公司。 本文件主要起草人:何延哲、高能、李敏、樊华、朱雪峰、范科峰、落红卫、许玉娜、李琳、杨韬、孟亚平、白晓媛、郭建领、张朝、黎水林、赵冉冉、宣琦、王海棠、王福彪、宋宏宇、李昳婧、何刚、陈彬、吴月升、陆冰、彭晋、王昕、薛颖、邹秋阳、刘艾婧、徐欢、谢蜜、王平、龙军、程彦昊、吴佳美、陈深梓、王传银、张有义、廖超豪、葛梦莹、王震、黄蓉、罗丰、徐京、黄榴勇、杜 浩 文、高 超、盛 夏、张 丁 爽、王 明 彦、张 明 英、赵 晓 娜、陈 心 怡、梁哲琛、黄胜华、李政葳、张辉、晋钢、苏旖旎、韩硕、胡静、邱建中、苏力。 数据安全技术数据安全和个人信息保护社会责任指南 1范围 本文件提供了组织实施数据安全 和 个 人 信 息 保 护 社 会 责 任 的 组 织 治 理、合 规 性、创 新 性 和 价 值 体现、公平运行、竞争和合作、用户权益保护、公益参与和社会发展,以及社会责任履行情况披露的指南。 本文件适用于组织开展数据安全和个人信息保护社会责任相关 活 动,也 适 用 于 第 三 方 机 构 评 价 组织履行数据安全和个人信息保护社会责任的情况。 2规范性引用文件 本文件没有规范性引用文件。 3术语和定义 下列术语和定义适用于本文件。 3.1 社会责任socialresponsibility 组织通过透明和合乎道德的行为为其决策和活动对社会和环境的影响而担当的责任。这些行为: ———致力于可持续发展,包括社会成员的健康和社会的福祉;———考虑了利益相关方的期望;———符合适用的法律,并与国际行为规范相一致;———被融入整个组织并在组织关系中实施。注1:活动包括产品、服务和过程。注2:组织关系是指组织在其影响范围内的活动。[来源:GB/T36000—2015,3.16] 3.2 利益相关方stakeholders 其利益可能会受到组织决策或活动影响的个人或团体。[来源:GB/T36000—2015,3.13] 3.3消费者consumer出于私人目的而购买或使用财产、产品或服务的个人。[来源:GB/T36000—2015,3.19] 3.4 员工employee与组织通过劳动合同建立起劳动关系或存在事实劳动关系的个人。[来源:GB/T36000—2015,3.20] GB/T46071—2025 3.5 弱势群体vulnerablegroup 因具有一个或多个共同特点而易遭受歧视或处于不利的社会、经济、文化、政治或健康状况,乃至缺乏手段以实现其权利或享有平等机会的个体所组成的群体。 [来源:GB/T36000—2015,3.15] 3.6 身体机能差异人群peoplewithphysicaldisabilities 由于身体的某些机能丧失或弱化,因 而 在 获 取 和 使 用 信 息 方 面 存 在 困 难 的 人 群,其 中 包 括 残 障 人群、老年人群、身体机能未发育成熟的幼年人群等。 3.7 大型网络平台largescalenetworkplatform 注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行和国计民生等具有重要影响的网络平台。 4缩略语 下列缩略语适用于本文件。APP:应用程序(Application) 5总则 数据安全和个人信息保护社会责任是《中华人民共和国数据安全法》《中 华 人 民 共 和 国 个 人 信 息 保护法》《网络数据安全管理条例》等法律法规中提出的组织应尽义务,履行数据安全和个人信息保护社会责任是指组织在遵守数据安全和个人信息保护法律法规以及基本道德规 范 的 基 础 上,最 大 限 度 地 致 力于促进基于数据要素经济活动可持续发展,提升数字社会的公众福祉,弥补数字鸿沟和推进社会进步。 组织在其数据处理活动履行适用法律法规义务的基础上,宜按担责、透明、合乎道德的行为、尊重利益相关方的利益、尊重法治、尊重国际行为规范和尊重人权等原则,从 组 织 治 理,合 规 性、创 新 性 和 价 值体现,公 平 运 行、竞 争 和 合 作,用 户 权 益 保 护,公 益 参 与 和 社 会 发 展 五 方 面 主 题,以 及 主 题 所 包 含 的 议题,履行数据安全和个人信息保护社会责任。 第6章~第10章中的主题和议题并不完全适用于所有组织,组 织 可 结 合 所 在 地 区 的 经 济、社 会 和环境发展水平、自身行业特征、规模、性质、发展阶段和利益相关方期 望,识 别 确 定 每 项 数 据 安 全 和 个 人信息保护社会责任主题和议题中适用的具体内容。 组织或第三方机构可通过开展数据安全和个人保护社会责任绩效评价的方式识别社会责任履行的薄弱环节,不断提升履行数据安全和个人信息保护社会责任的成熟度,评 价 方 法 见 附 录A。其 中,评 价得到的绩效等级并非代表社会责任工作是否到位,不同规模、发展阶段和行业特征的组织将可能分布在不同的绩效等级,参与评 价 可 为 同 等 规 模 和 同 样 发 展 阶 段 的 同 业 组 织 提 升 履 行 社 会 责 任 水 平 提 供 参考,帮助其制定数据安全和个人信息保护社会责任工作的方针、目标和工作计划。 组织在数据安全和个人信息保护社会责任方面的实践案例见附录B。 6组织治理 6.1发展理念和承诺声明 6.1.1议题描述 发展理念是组织基于长久秉持的基本价值取向,明确组织进行决策和活动的核心指导原则,以及所2 担负的愿景或使命、所追求的创立宗旨和所秉承的发展哲学等,从发展理念层面强调数据安全和个人信息保护的重要性对全面履行相关社会责任至关重要。组织通常通过管理层的承诺声明形式表明对发展理念的态度,管理层承诺 声 明 有 利 于 推 动 管 理 层 对 数 据 安 全 和 个 人 信 息 保 护 社 会 责 任 相 关 工 作 予 以重视。 6.1.2相关行动和期望 组织宜采取的行动和达到的期望包括但不限于以下方面: a)组织在已成文并广泛推广的发展理念中阐述关于 数 据 安 全 和 个 人 信 息 保 护 相 关 的 价 值 观、愿景、使命或宗旨等;注:例如,在产品或服务的设计理念中体现数据安全和个人信息保护为最优先考虑的要素。b)组织的管理层在正式和公开的场合阐述组织数据安全和个人信息保护的组织战略和发展理念等,并以承诺声明等形式予以强调;c)组织的管理层在内部宣贯和培训等场合向员工阐述组织数据安全和个人信息保护的组织战略和发展理念等,以促进相关价值理念和价值观等得以贯彻;d)设置对数据安全和个人信息保护社会责任发展理 念 和 管 理 层 承 诺 声 明 的 跟 踪 机 制,允 许 内 部和外部人员对其进行评价和监督。 6.2工作实施和资源支持 6.2.1议题描述 组织中具体负责数据安全和个人信息保护社会责任工作的部门 或 人 员,按 照 社 会 责 任 相 关 的 工 作方针和目标,制定工作计划并推动相关工作落实。同时,组织为推动数据安全和个人信息保护社会责任工作提供人力、财务和环境等资源。实施主体、工作计划和资源支持是数据安全和个人信息保护社会责任相关工作有效落实的前提,是数据安全和个人信息保护社会责任机制长期稳定运行的重要基础。 6.2.2相关行动和期望 组织宜采取的行动和达到的期望包括但不限于以下方面: a)将数据安全和个人信息保护等方面的内容纳入组 织 的 社 会 责 任 工 作 方 针 和 目 标 中,并 形 成 纲领性文件,在组织内向有关部门和人员进行下 发,使 其 能 充 分 地 沟 通 和 理 解,并 在 日 常 工 作 中得以贯彻执行;b)指定高层管理人员担任或兼任实施数据安全和个人信息保护社会责任工作的负责人并明确其职责,如任命高层管理人员担任个人信 息 保 护 合 规 官(PIPO)、首 席 隐 私 官(CPO)或 个 人 信 息保护负责人等职位,并由其负责履行相关社会责任的组织管理工作;注1:作为负责人的高层管理人员职务、姓名和联系方式至少在组织层面予以公开。c)指定负责数据安全和个人信息保护社会责任工作 的 部 门 或 人 员,明 确 其 履 行 社 会 责 任 的 工