2024個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告編寫(xiě)指南

I個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告編寫(xiě)指南目??次17423前言 II19217引言 III128451范圍 193622規(guī)范性引用文件 1325343術(shù)語(yǔ)和定義 146954縮略語(yǔ) 278295基本原則 2194525.1合規(guī)性 244935.2全面性 2191935.3可及性 2261256報(bào)告內(nèi)容 2198996.1總則 2325436.2報(bào)告基本情況 2143586.3組織治理 2301106.4組織管理 3165716.5消費(fèi)者權(quán)益保護(hù)及服務(wù)提升 4208586.6生態(tài)圈及供應(yīng)鏈發(fā)展 468816.7促進(jìn)產(chǎn)業(yè)提升 5165457編制及發(fā)布流程 5101057.1總則 5215797.2組建報(bào)告編制小組 5299457.3策劃報(bào)告及內(nèi)容 6119827.4報(bào)告信息采集、篩選及審核 690087.5撰寫(xiě)報(bào)告并設(shè)計(jì)排版 6277567.6報(bào)告批準(zhǔn) 6250027.7報(bào)告發(fā)布 7209437.8報(bào)告影響評(píng)估跟蹤及反饋 7個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告編寫(xiě)指南范圍本文件提供了個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告編寫(xiě)指南，包括基本原則、報(bào)告內(nèi)容、編制及發(fā)布流程。本文件適用于指導(dǎo)個(gè)人信息處理者編寫(xiě)個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告。個(gè)人信息處理者可根據(jù)自身合規(guī)要求、業(yè)務(wù)范圍、經(jīng)營(yíng)狀況及市場(chǎng)環(huán)境，對(duì)標(biāo)準(zhǔn)所提及的具體內(nèi)容做適當(dāng)調(diào)整及刪減。規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T36001-2015社會(huì)責(zé)任報(bào)告編寫(xiě)指南GB/T19000-2016質(zhì)量管理體系基礎(chǔ)和術(shù)語(yǔ)GB/T24001-2016環(huán)境管理體系要求及使用指南術(shù)語(yǔ)和定義GB/T36001界定的以及下列術(shù)語(yǔ)和定義適用于本文件。個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告socialresponsibilityreportofpersonalinformationprotection基于與利益相關(guān)方進(jìn)行個(gè)人信息保護(hù)社會(huì)責(zé)任溝通的需要，個(gè)人信息處理者定期或不定期對(duì)外公開(kāi)發(fā)布的一種展示其個(gè)人信息保護(hù)社會(huì)責(zé)任理念和認(rèn)識(shí)，并系統(tǒng)披露其社會(huì)責(zé)任活動(dòng)及績(jī)效信息的特定報(bào)告或特定章節(jié)。[修訂：GB/T36001-2015，3.1]績(jī)效performance可度量的結(jié)果。績(jī)效可能與定量或定性的發(fā)現(xiàn)有關(guān)?？?jī)效可能與活動(dòng)、過(guò)程、產(chǎn)品（包括服務(wù)）、體系或企業(yè)的管理有關(guān)。[來(lái)源：GB/T19000-2016，3.7.8]合規(guī)compliance個(gè)人信息處理者必須遵守的法律法規(guī)要求，以及個(gè)人信息處理者必須遵守或選擇遵守的其他要求。[修訂：GB/T24001-2016，3.2.9]縮略語(yǔ)ESG：環(huán)境、社會(huì)和治理（Environmental,Social,Governance）基本原則合規(guī)性個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告需要遵守相關(guān)法律法規(guī)要求，法律法規(guī)要求披露的信息可按要求在報(bào)告中體現(xiàn)，報(bào)告不披露現(xiàn)法律法規(guī)禁止披露的信息，并保護(hù)信息所涉及利益相關(guān)方受法律法規(guī)保護(hù)的隱私和權(quán)益。全面性個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告需要完整、客觀、并盡可能全面體現(xiàn)個(gè)人信息保護(hù)方面的正面和負(fù)面表現(xiàn)，以及相關(guān)績(jī)效信息，以便于利益相關(guān)方全面認(rèn)知個(gè)人信息保護(hù)方面情況。可及性個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告可采用紙質(zhì)文件、電子文件等多種形式，個(gè)人信息處理者至少在一種渠道進(jìn)行發(fā)布，例如：官方網(wǎng)站、應(yīng)用程序、公眾號(hào)等，確保所披露的個(gè)人信息保護(hù)信息易于被利益相關(guān)方獲取和理解。報(bào)告內(nèi)容總則個(gè)人信息處理者考慮自身活動(dòng)及與其活動(dòng)有緊密聯(lián)系的其他實(shí)體或個(gè)人的行動(dòng)所導(dǎo)致的針對(duì)個(gè)人信息保護(hù)方面的潛在和實(shí)際影響，充分了解如下情況：自身的經(jīng)營(yíng)環(huán)境；所處的內(nèi)外部環(huán)境；法律法規(guī)及監(jiān)管要求；主要社會(huì)責(zé)任標(biāo)準(zhǔn)；行業(yè)內(nèi)的個(gè)人保護(hù)保護(hù)相關(guān)事件及熱點(diǎn)議題；與個(gè)人信息處理者發(fā)展密切相關(guān)的利益相關(guān)方的需求和期待。了解方式包括：訪談、問(wèn)卷、座談、研討、調(diào)研等。個(gè)人信息處理者可根據(jù)所了解到的上述情況，結(jié)合自身合規(guī)要求、業(yè)務(wù)范圍、經(jīng)營(yíng)狀況及市場(chǎng)環(huán)境，對(duì)本章內(nèi)容補(bǔ)充或刪減，策劃并撰寫(xiě)自身個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告具體內(nèi)容。報(bào)告基本情況報(bào)告所涉及的個(gè)人信息處理者基本情況信息，包括：企業(yè)概況、主要業(yè)務(wù)、價(jià)值觀與發(fā)展理念、主要利益相關(guān)方等。報(bào)告所涉及的時(shí)間范圍和業(yè)務(wù)范圍。組織治理6.3.1使命理念個(gè)人信息處理者所制定的、用于指導(dǎo)個(gè)人信息保護(hù)工作相關(guān)的戰(zhàn)略、規(guī)劃、方針、愿景、使命、理念等。6.3.2履責(zé)聲明/承諾個(gè)人信息處理者及其高級(jí)管理層所宣稱的個(gè)人信息保護(hù)聲明、承諾、工作方針等，以體現(xiàn)其對(duì)個(gè)人信息保護(hù)的重視和關(guān)注。6.3.3管理職責(zé)及組織架構(gòu)個(gè)人信息處理者所建立的涵蓋董事會(huì)（適用時(shí)）、管理層、執(zhí)行層、獨(dú)立監(jiān)督機(jī)構(gòu)等個(gè)人信息保護(hù)相關(guān)的組織架構(gòu)、管理職責(zé)、崗位分工以及具體的相關(guān)履職情況。組織管理6.4.1個(gè)人信息管理情況6.4.1.1收集階段個(gè)人信息處理者在合法合規(guī)性的基礎(chǔ)上，所建立的個(gè)人信息收集方面的管理制度，以及具體實(shí)施效果，例如：最小必要原則、個(gè)人信息主體自主意愿、明示告知、獲取個(gè)人信息主體授權(quán)同意等。6.4.1.2存儲(chǔ)階段個(gè)人信息處理者所建立的個(gè)人信息數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)備份、數(shù)據(jù)恢復(fù)等方面的管理制度，以及具體實(shí)施效果，例如：最小化存儲(chǔ)時(shí)間原則、去標(biāo)識(shí)化、敏感個(gè)人信息加密存儲(chǔ)等。6.4.1.3使用階段個(gè)人信息處理者所建立的個(gè)人信息訪問(wèn)控制、個(gè)人信息使用/用戶畫(huà)像目的限制等使用方面的管理制度，以及具體實(shí)施效果。所披露的個(gè)人信息使用管理制度及實(shí)施效果宜涉及利益相關(guān)方關(guān)注的個(gè)人信息使用場(chǎng)景，例如：個(gè)性化展示、自動(dòng)化決策等。6.4.1.4加工階段個(gè)人信息處理者所建立的個(gè)人信息加工方面的管理制度，以及具體實(shí)施效果，例如：保證個(gè)人信息不被無(wú)關(guān)的相關(guān)方獲知、加工過(guò)程系統(tǒng)持續(xù)穩(wěn)定、如實(shí)告知個(gè)人信息主體對(duì)其個(gè)人信息的查詢等。6.4.1.5傳輸、提供和公開(kāi)階段個(gè)人信息處理者所建立的個(gè)人信息傳輸、提供和公開(kāi)方面的管理制度，以及具體實(shí)施效果，例如：個(gè)人信息影響評(píng)估、明示告知、傳輸前后對(duì)個(gè)人信息保護(hù)機(jī)制等。6.4.1.6刪除階段個(gè)人信息處理者所建立的個(gè)人信息刪除及個(gè)人信息留存方面的管理制度，以及具體實(shí)施效果，例如個(gè)人信息留存時(shí)間、刪除方式等。6.4.2合規(guī)要求識(shí)別及落實(shí)個(gè)人信息處理者所建立的周期性對(duì)個(gè)人信息保護(hù)相關(guān)的合規(guī)及監(jiān)管要求持續(xù)跟進(jìn)的機(jī)制，并根據(jù)所跟進(jìn)的要求而不斷完善內(nèi)部制度及流程，積極整改問(wèn)題（若涉及），有效響應(yīng)落實(shí)，以及具體的完善落實(shí)情況及效果。6.4.3事件處置、應(yīng)急響應(yīng)及預(yù)警演練個(gè)人信息處理者所建立的面對(duì)個(gè)人信息數(shù)據(jù)泄露（丟失）、濫用、被篡改、數(shù)據(jù)被損毀、數(shù)據(jù)違規(guī)使用等安全事件的應(yīng)急預(yù)案、應(yīng)急處置等相關(guān)內(nèi)容，以及應(yīng)急演練實(shí)施效果。個(gè)人信息處理者處理重大個(gè)人信息安全事件的情況及效果（若涉及）。6.4.4內(nèi)審/自評(píng)估及第三方評(píng)估/認(rèn)證/審計(jì)個(gè)人信息處理者對(duì)所使用和處理個(gè)人信息的相關(guān)管理制度、實(shí)施效果、場(chǎng)景等進(jìn)行的個(gè)人信息保護(hù)相關(guān)內(nèi)審/審計(jì)及第三方評(píng)估/認(rèn)證/審計(jì)工作的相關(guān)制度及具體情況，宜披露具體績(jī)效數(shù)據(jù)，例如：第三方評(píng)估/認(rèn)證/審計(jì)結(jié)果。6.4.5內(nèi)部意識(shí)提升及教育培訓(xùn)個(gè)人信息處理者面向全體員工、有權(quán)查看和處理個(gè)人信息的員工、相關(guān)業(yè)務(wù)人員、新入職員工等，所開(kāi)展的、多層次、多維度的個(gè)人信息保護(hù)相關(guān)的意識(shí)提升、教育培訓(xùn)、崗位考試、案例分享等多樣活動(dòng)的具體情況，宜披露具體績(jī)效數(shù)據(jù)，例如：覆蓋人次、累計(jì)時(shí)長(zhǎng)、課程數(shù)量等。消費(fèi)者權(quán)益保護(hù)及服務(wù)提升6.5.1用戶個(gè)人信息保護(hù)個(gè)人信息處理者在處理用戶個(gè)人信息時(shí)所遵循的處置原則、功能設(shè)置、實(shí)施情況及效果，例如：保障用戶對(duì)其數(shù)據(jù)控制權(quán)（如查詢、復(fù)制、更正、刪除、轉(zhuǎn)移等）的具體方式；用戶提供必要數(shù)據(jù)即可獲得與所處理數(shù)據(jù)相關(guān)功能等。個(gè)人信息處理者對(duì)特定群體（如：未成年人用戶、老年用戶、殘障用戶等）及多元用戶（如：身處不同地區(qū)、處于不同知識(shí)水平、處于不同語(yǔ)言環(huán)境等相關(guān)用戶）權(quán)益保護(hù)相關(guān)的特定管理規(guī)定、功能設(shè)置、實(shí)施情況及效果。個(gè)人信息處理者積極擴(kuò)展相關(guān)技術(shù)及潛能，保障用戶信息方面的良好實(shí)踐，例如：用戶號(hào)碼隱私保護(hù)、“雙清單”展示、匿名化數(shù)據(jù)處理等。6.5.2用戶溝通交流管理針對(duì)個(gè)人信息保護(hù)方面，個(gè)人信息處理者所建立的體驗(yàn)評(píng)價(jià)、申訴投訴、政策查詢、意見(jiàn)征集等用戶溝通交流渠道，以及對(duì)所溝通交流事項(xiàng)的收集、統(tǒng)計(jì)、分析、處置等過(guò)程所對(duì)應(yīng)的管理規(guī)定、實(shí)施情況及效果，宜披露具體績(jī)效數(shù)據(jù)，例如：溝通交流的頻次及數(shù)量、辦結(jié)率/處置率等。6.5.3信息披露及提升公眾意識(shí)針對(duì)個(gè)人信息保護(hù)方面，個(gè)人信息處理者在官方網(wǎng)站、應(yīng)用程序、行業(yè)組織會(huì)議等渠道，通過(guò)規(guī)則/算法展示、科普文章或視頻、社會(huì)責(zé)任報(bào)告、會(huì)議發(fā)言等，面向公眾所開(kāi)展的信息披露、知識(shí)普及、意識(shí)宣傳、警示案例教育等。生態(tài)圈及供應(yīng)鏈發(fā)展6.6.1生態(tài)圈及供應(yīng)商篩選個(gè)人信息處理者進(jìn)行生態(tài)伙伴/供應(yīng)商篩選時(shí)，考慮個(gè)人信息保護(hù)相關(guān)的基線要求；在不影響合法合規(guī)和服務(wù)質(zhì)量的前提下，優(yōu)先考慮個(gè)人信息保護(hù)表現(xiàn)優(yōu)良、尤其是具有代表性和多元化的生態(tài)伙伴/供應(yīng)商。6.6.2向第三方提供用戶個(gè)人信息的管理規(guī)定個(gè)人信息處理者與生態(tài)伙伴/供應(yīng)商約定個(gè)人信息及數(shù)據(jù)的使用目的、使用范圍、保密約定、安全責(zé)任等內(nèi)容，約定方式可通過(guò)合同、協(xié)議等形式。個(gè)人信息處理者向第三方提供個(gè)人信息的管理規(guī)定，例如：用戶知情同意并獲取授權(quán)、匿名及去標(biāo)識(shí)化等。6.6.3生態(tài)圈及供應(yīng)商監(jiān)督管理措施根據(jù)生態(tài)伙伴/供應(yīng)商個(gè)人信息保護(hù)的實(shí)際情況，基于責(zé)任共擔(dān)、生態(tài)共建、互信共贏的理念，個(gè)人信息處理者所制定的生態(tài)圈及供應(yīng)鏈監(jiān)督管理措施，例如：普查抽查、評(píng)級(jí)定級(jí)、罰款限流、下架等，宜披露具體績(jī)效數(shù)據(jù)和實(shí)踐案例，例如：監(jiān)督措施實(shí)施的次數(shù)、對(duì)象、效果、典型案例等。6.6.4生態(tài)圈及供應(yīng)商履責(zé)支持措施根據(jù)生態(tài)伙伴/供應(yīng)商個(gè)人信息保護(hù)的實(shí)際情況，基于責(zé)任共擔(dān)、生態(tài)共建、互信共贏的理念，個(gè)人信息處理者所制定的生態(tài)圈及供應(yīng)鏈履責(zé)支持及鼓勵(lì)措施，例如：投入技術(shù)/人力/資金支持、提供培訓(xùn)/指導(dǎo)/咨詢/流量支持/項(xiàng)目扶持、總結(jié)表彰良好實(shí)踐等，宜披露具體績(jī)效數(shù)據(jù)和實(shí)踐案例，例如：支持鼓勵(lì)措施的提供次數(shù)、措施覆蓋率、生態(tài)伙伴/供應(yīng)商參與情況、生態(tài)伙伴/供應(yīng)商履責(zé)效果等。促進(jìn)產(chǎn)業(yè)提升6.7.1技術(shù)研發(fā)及應(yīng)用針對(duì)個(gè)人信息保護(hù)方面，個(gè)人信息處理者所建立的支持鼓勵(lì)前沿技術(shù)積累、研發(fā)創(chuàng)新、技術(shù)應(yīng)用、知識(shí)產(chǎn)權(quán)保護(hù)、成果轉(zhuǎn)化方面的相關(guān)管理辦法、激勵(lì)政策及實(shí)施效果，例如：軟件著作權(quán)、發(fā)明專利、國(guó)家或行業(yè)獎(jiǎng)項(xiàng)、試點(diǎn)示范、第三方認(rèn)證等。6.7.2產(chǎn)業(yè)發(fā)展針對(duì)個(gè)人信息保護(hù)方面，個(gè)人信息處理者利用技術(shù)優(yōu)勢(shì)及業(yè)務(wù)積累，積極參與的相關(guān)產(chǎn)業(yè)政策、法律法規(guī)、標(biāo)準(zhǔn)編制、公共事務(wù)管理、行業(yè)自律及治理活動(dòng)、技術(shù)生態(tài)建設(shè)、產(chǎn)業(yè)人才培養(yǎng)、產(chǎn)業(yè)孵化基地等方面的相關(guān)工作及成果。編制及發(fā)布流程總則個(gè)人信息處理者編制及發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告的流程通常包括如下步驟：組建報(bào)告編制小組；策劃報(bào)告內(nèi)容；報(bào)告信息采集、篩選及審核；撰寫(xiě)報(bào)告并設(shè)計(jì)排版；報(bào)告批準(zhǔn)；報(bào)告發(fā)布；報(bào)告影響評(píng)估的跟蹤及反饋。組建報(bào)告編制小組個(gè)人信息處理者根據(jù)個(gè)人信息保護(hù)相關(guān)的管治架構(gòu)，聯(lián)合內(nèi)部相關(guān)部門，宜組建個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告編制小組，小組負(fù)責(zé)人宜由高級(jí)管理層人員擔(dān)任，例如：首席數(shù)據(jù)官等。個(gè)人信息處理者可視情況，委托外部專業(yè)機(jī)構(gòu)承擔(dān)部分工作，或組建專家團(tuán)隊(duì)提供專業(yè)意見(jiàn)。報(bào)告編制小組宜制定工作計(jì)劃，包括職責(zé)分工、工作進(jìn)度、里程碑節(jié)點(diǎn)等。策劃報(bào)告及內(nèi)容7.3.1報(bào)告的時(shí)間范圍和發(fā)布頻次個(gè)人信息處理者宜充分考慮報(bào)告內(nèi)容的連續(xù)性，自行選定個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告所覆蓋的時(shí)間范圍和發(fā)布批次，例如：可每一年或兩年發(fā)布報(bào)告，報(bào)告的時(shí)間范圍可以自然年度，也可與企業(yè)財(cái)年保持一致。若發(fā)生引起社會(huì)廣泛關(guān)注的個(gè)人信息保護(hù)方面的重大事件或重大變化時(shí)，個(gè)人信息處理者可不定期發(fā)布相關(guān)報(bào)告。7.3.2報(bào)告范圍個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告的內(nèi)容宜盡可能覆蓋個(gè)人信息保護(hù)相關(guān)的個(gè)人信息處理者所涉及的運(yùn)營(yíng)業(yè)務(wù)，范圍需要作為報(bào)告的具體內(nèi)容之一而如實(shí)體現(xiàn)。7.3.3報(bào)告具體內(nèi)容個(gè)人信息處理者策劃個(gè)人信息保護(hù)相關(guān)的具體內(nèi)容（參考本標(biāo)準(zhǔn)第6章）。報(bào)告信息采集、篩選及審核7.4.1報(bào)告信息采集個(gè)人信息處理者根據(jù)所策劃的報(bào)告內(nèi)容，開(kāi)展信息采集，信息來(lái)源包括但不限于：應(yīng)用程序、業(yè)務(wù)系統(tǒng)、內(nèi)部數(shù)據(jù)庫(kù)，對(duì)利益相關(guān)方調(diào)研問(wèn)卷、座談訪談、客戶及消費(fèi)者反饋以及其他合法及公開(kāi)的途徑。7.4.2報(bào)告信息篩選及信息審核個(gè)人信息處理者可建立機(jī)制，針對(duì)所采集的信息進(jìn)行篩選及審核，篩選原則包括但不限于：法律法規(guī)等合規(guī)要求；該信息披露后對(duì)個(gè)人信息處理者的影響。審核維度包括但不限于：信息的真實(shí)性；信息的有效期；信息的顆粒度；信息的全面性；信息統(tǒng)計(jì)方法及口徑的適用性和一致性。對(duì)于擬在報(bào)告中首次披露的信息，個(gè)人信息處理者宜嚴(yán)格按照個(gè)人信息處理者內(nèi)部信息的篩選及審核程序?qū)嵤┫鄳?yīng)流程，確保信息的適宜性；對(duì)于在報(bào)告中持續(xù)性披露的信息，個(gè)人信息處理者宜關(guān)注信息統(tǒng)計(jì)方法及口徑的一致性，以確保持續(xù)性披露信息的連貫性和可比性。撰寫(xiě)報(bào)告并設(shè)計(jì)排版?zhèn)€人信息處理者根據(jù)審核通過(guò)的信息，對(duì)報(bào)告進(jìn)行文字撰寫(xiě)。為增強(qiáng)報(bào)告的可讀性，可綜合實(shí)用性和美觀性，對(duì)報(bào)告進(jìn)行設(shè)計(jì)排版。報(bào)告批準(zhǔn)個(gè)人信息處理者宜經(jīng)由高級(jí)管理層正式批準(zhǔn)報(bào)告整體內(nèi)容