《数据安全和个人保护社会责任评价方法、信息保护社会责任实践案例、报告模板.docx》由会员分享,可在线阅读,更多相关《数据安全和个人保护社会责任评价方法、信息保护社会责任实践案例、报告模板.docx(21页珍藏版)》请在三一办公上搜索。
1、附录A(资料性)数据安全和个人信息保炉社会责任评价方法A.1评价指标和评价等级播定通过指标评价方式,可促进组织确定社会责任管理的优先事项,对社会责任绩效进行分娘评价,有助于组织策划和实施提升社会货便的绩效“表A.1给出了数据安全和个人估息保护社会责任评价指玩和绩效评价等级.结合本文件第5章至第9章内容,将社会贡任评价指标设计为5项一级指标,一级指标下设24项:级指标。针时fH项:级指标,分为四个评价级别一星级、二星级、三星级、四星级),每项二级指标分值区间为2-3分,即:一星级:12分,二星级:3-5分,三星级I6-8分,四星级:9T0分.不满足指标描述事项不番分.根掘指标描述事项的落实情况在
2、分值区间中进行评价.根据每项二级指标得分情况,对组织数规安全和个人侑息保护社会员任绩效等级进行综台评价,评价依据S1.下:一星级(基础段:组织遵守法律法规要求,履行了数据安全和个人信息保护社会费任的基本义务.所有二级指标总分大于等干20分(百分制):二星级(计划级1.在达到一星级指标要求的基础上,珞社会说任相关工作纳入了年度工作计划.并进行了考核,要求24项指标(存在不适用指标的,从总数中扣除中至少60%以上达到指标要求,即班以上的二级指标项至少得3分:三星级(系统级):在达到二星级指标要求的基础匕建立良好的社会责任管理体系.并取得更高的社会责任绩效.要求24项指标(存在不适用指标的,从总数中
3、扣除)中至少70%以上达到指标要求.即70%以上的.级指标项至少得6分其中项为必选指标(不适用的情况除外),该项至少得6分:四星级(成熟级):在达到了三星级指标要求的基础上,挣续改进社会贲任管理绩效,主动承担史多社会责任,在多项指标上不断实现更鬲的社会员任缢效.要求24项指标(存在不适用指标的,从总数中扣除至少80%以上达到指标要求,即80%以上的:级指标项至少得9分.数据安全和个人信息保护社会责任绩效总分的计总方式为:社会贲任绩效总分-(所有适用项得分之和/(适用项数*10)*100.注1:鼎分通过四舍五入方式取小数点后f.如因组织规模、业务领域、发展阶段等因素,24个:级指标中适用指标数做
4、不足则(15个的,考虑到评价本身的全面性、公正性等要素,不宜进行评级。如存在不适用指标,则应当充分说明不适用的理由.示例1:1企业当前业务的服务对以不涉及个人消货存的(业务领域原因*可认为汲指标中的,8川户校诟及争议处理”为不幽用.示例2:如企业没有以任何形式答与数据安全和个人信息保护活动或科普宣传工作与i1.1.枳燥模、业务额桢.发展阶段等无关),不宜认为:级折标中的“22活动举办和科笛宣传”为不适用.-指标二AUt标-Wf1.D=A(tM1.)HUKjMMD组双治理1掇心济位观&发展理念1双的骏心价值观及发展整念符合法律法域和Ia策中数粥安全及个人小见相关的保护理念.在成文的核心价也现及发
5、展理念中强调了效据安全和个人信电保护的第要性及相关的曝景、目标.组以配置相应的资源,以持续满足法心价的观及发代理念的忏理要求,并推广其中关于数据安全及个人信息保护相关的理景、U1).能彩持蝮改进和史默核心价仰观及发展理念.组织的检C价值观及发K理念包含了带动并引领与自身过背有实旗性关联的领域在数据安全和个人归患保护方面工作的内容.并对同业伙伴、供应跳匕下游、投货方、客户等产生了实际的枳极委响.2昔理层承诺或泮明跄想的管理层对数据安全和个人伪息保护社会责任有关内看书做出过承诺或声明,I1.相关内容特合相关法律法规、规京IM度、标准等的婆求.组期的管理层通过发布极.刎度文件等文字形式对数据安全和个
6、人年息保护杜仑资任锹出承诺成声明.并Si制制度性文件落实相关内容.组织针对管理层在数据安全和个人信息保护社会责任方面的承诺或点明的实施建立了内部机制,并通过内部培训场合向全体员工传达等.组织设灯对W理层关于敖施安全和个人伯以保护社会费任承诺或声明的跟跪机制,允许内部、外何人员对其进行坪价、Stt.保进管理以能功*粗忏承诺并用责.3社会责任工作方针与目标S1.投了解数据安全和个人信息保护社会费任的主题和相u在制定社会责任工作方针与目标时会为电敷据安全和个人信息保拉相关主限和仪账盘投的数据安全和个人信患保护社会责任工作方计与目标符合相关法招法规、规章制度、除准等的要求,井已纳入到整体的社会市任工作
7、方针与目标中.加税将社会员任工作方针与H标等形成的纲领性文件和内部制度加55.功过向有关部门及人员F发、定期培训等方式,使其能充分的沟通和理解,并在Fi常工作中将以货彻执行.坦投接受相关方的监体,以持城改进社会责任工作方计与目标中有关故据安全和个人伯息保护相关内容.并结介讥织的发展见款优先力攻,逐步充实完善社会而任事项,-a指标二AUt标-ft(Mtf1.D=A(tM)HUKjMMDS1.织治理I实海主体及费源支持蛆织在业务开展过林中.fi的外人力、财力等贵湖的情况下,践行部分社会贵任ba姐双为数据安全和个人信也保护社会员任工作指定了负贵人并明硝其职责.组织为耳履行敬振安至和个人怡总保护社会员
8、任提供必要的对务、人力支持.州织指定/N体的而管担任数则安全和个人信息保护社会资任工作筑施的负汽人并明骗共取贵I配缶了相应的责任部门或人员予以支持.怨枳明确了需定期向社会籁落社会责任履行情况的职费:提供了专门的人力、财务、环境等费源攵持.娘织建立了不断了解利益If1.美方在数据安全和个人信息保护社会,任ras的期里和诉求的机Wt通过增扣预圾人力等方式不断充实社会责任履行的力Sb与利战利关方出问.介井多方资源,扩大社会而任工作的咫响力、步响面.5内部宣梃和培训Jf1.iW在内部管理制度中体现了罚彻落寞数据安全和个人信息保护社会责任的要求.并将IW度下发至相应海门、人员.组双内部定期(每年至少一次
9、)开展数幅安全和个人信息保护社会责任理念、m.知识、案例等的宣传增训工作.SnfRiS立相应平台或人员对实被内部at传和培训的姐双活动进行管理,珞训的专业收、用施面应当有所保证.俎尔建立了数第安全与个人怡息保护社会汽任知识和技能的培养体系.并对泼体系持域或进:同时还能为同业伙伴、供应融、投贸、客户等与自身匿酉讨实质性关联的领域提供协助.6内部IftR和员工激励组织建立了内部的仰机1.接收内部人员反馈的监督意见.并及时处理由见.为相关人员松极学习软据安全和个人佰息保护相关的知识和拉德槌供便利条件果织建立了可考核的内部监机制,明碉歌督意见的处理S11,海程措施;通过融收考核等方式推动员工积例同行数
10、据安全和个人信忍保护社会谢住职费和义务.州织为相关人员参与数据安全和个人信息保护的社会公益活动或机关实践活动、考取数幅安全和个人信息保护相关证书等处供费金、JKiI1.时间等方御的保陵.组圾持线优化和改逗内联监件机刖.以健淘依许机W的效率、效果:H立外部监督机w.在具体有独,川的专业机构僮仰下开展重大数据安全和个人信则保护活动I持牍优化和改进员工酗机M对取得极极社会反响的社会改任相关活动予以奖励.充分调动员工在数粼安全和个人信息保护方面的枳慑性.-a指标二AUt标-ft(Mtf1.D=A(IHMI)HUKjMMD合规性、创新性和价55体现7产丛或眼务的介规性阻投仃数据安仝和个人侵息保护方面的法
11、惊法规、规章、If1.关产品或服务强制性标准等要求的知识储省,并按照其妻求开联业务活动.1现已有数据安全和个人侑思保护方面的合双整改计组织己通过对其产品喊椒务在攻处安仝和个人倡思保护方面的介册性进行评估等形式.确保其满足法律法娱、&章*相共产补或收务强Mtt标准等也:求.俎双自评估时,参考了推荐性的国寡标准、行业标灌、团体标准等.以及业界广泛认可的技术规蕊.加次引入了独立第三方送行浑怙.己取将产&或服务在数据安金和个人信患保护方面的合规认ffi.并接受持条胺督.织汉定期发布散第安全和个人信息保护方面的合规白皮书。组织建立了旦体的数岖安全和个人伯思保护的合规制慢并有深细的介规整改程序,对俎锲层面
12、敷据安全和个人信息保护进行掂续性的认证与监督,参与了同行业/对产Ia及IR务合规性的相关领域也设及介作.俎次能及时发现、响应对数据安全和个人侑息保护相关的安全事件,并已成立身利益相关力、猿许部门的沏通梁道及程序.8技术的创轴性ff1.先进性筑现已在创款方面制定较详细的计划,明确了技术创Jf的理念、先进性、发收方向及可行的方法.组织的声品或服务累取的技术在数据安全和个人信息保拉方而有一定的创新性和先进性.并以专科、专业机构认证等方式都到认可.俎双枳微参加同行业内关F数据安全卬个人信1保护创新性和先进性技术的研讨、交液.机税已构覆并积极买插数JK安全和个人佰息保护创新性和先进性评价标准和指导方针,
13、已建立技术QU斜的长期激励机制.凯汉参与或承担过省邮没散据安生和个人信息保护科班项目.州织参与数掂安仝和个人伯息保护相关技术的创析及先进性的评比、奖项申报等活动,并取得了优异的成绩.加省部级科技奖项等.怨双已采取必察的机制IB视和保护技术的创性和先进性证明成果.姐炽搭建了向行业交泣机制或平台.为技术创新提供学术研究、国际交流等方面的有利条件.加织警与或承担过国双被数第安全和个人佶息保护科Sf项目.组织在致据安全和个人信.也保妒一、涧创新方囱有突出成就.获而了国东战科学技术奖项.生织已具疗自主如以产权、在创新性和先进性上有显在优势的技木.已创在行业知名的品牌在提升行业里体水、提高产业全球竞争力上
14、有显宕贡款.-a指标二AUt标-ft(Mtf1.D=A(IHMI)HUKjMMD介规性新性和价侦休现9用户使用的价Sft体现用户使用相应功能仅需提供提供透功能实现所必要的数鼎.配限的产品或服务格数据安全和个人信息保罗的功能设改为总咄功能的一部分.组投提供必要的价能以保障用户对其数第的控制权.姐织不断优化数据处理的海界、Jii.以M少收集妆据的种美和保留时间.提供必要的措施以保障用户对其数据的控1W权,并优化用户行使权利的路径.包括对数据进行或许、兔制、更正、划除、转移等.机税对Ik据处理活动进忏市it.以支持用户在合理范强内对机识是否超出的定处理攻粼进行过验、核实等。机组通过定期评估投诉、举报
15、的妆V、处理等、处理评价情况.以提升产品或服务的功能和投诉、举报的处理机制.组织通过优化作法等方式进一步挖掘数据价(ft为用户提供更优质的It1.务。组纲通过定期评估投诉、举报的故Iih处理率、处理评价情况.以提升产品或服务的动能和投诉、举报的处理机制J。组织枳极采取推翻引存、推动同业伙伴、供应链、投庚、M户55与自身0化在实质性关联的藻域能够形成注JR用户使阳价值的良好生态.IO社会治理的饰就体现蛆织参与.支撑了有关主管蚁管部门、社会组限等开收的和强致据安全和个人信必保护相关的活动,Si织向社会公众发布过数泰安全和个人伯息保护相关的第见问尽、知双技能科甘等相关的内容.坦织的产品设展务可支撑行
16、关主泞监管部门,社会细细等开展的兹森安全和个人倒息保护If1.关的评议、治理、监管、执法等活动,或对相关活动提供了技术支撑、资源保M1.组织向社会公众发布过数据安全和个人信息保护突发事件便警.优为经94案例等有叁考价值的佰息、内容.巾锹的产从或眩务所提供的功能等旋主动引导用户加强欲施安仝和个人价息保护.大苑用提升故然安全和个人信息保护的水平.祖段为社会公众提供了与与预防.举报.想冷数据安全和个人Ift总保护相关侵权行为的制反.亲道,完兽了用户多与社会治理的机制.组投构it了技木平台,行业合作枢架等,对软繁发生、密响恐劣的危杏用户Bt第安全和个人借总保护相关权益的行为、信息等便快速识别、响应,并
17、及时处置.组投遹过多组投出作、与监管部门联动等形式及时响应数据安全和个人信息保护相关的事件应急处贾等活动.-a指标二AUt标-ft(Mtf1.D=A(IHMI)HUKjMMD11数字包容与构称保护坦织有为多元用户提供平等的数字产品或服务的案例.超双的产品或服务制定了面向朴媛人群个人信息保拧方面的处理域则.组织电机并保护多元人箫的效韬和个人信息,为篓元人群提供价令其应用场景的数据安金和个人信息保护机w.组织在使用IM向特姝人群的产品或股务时,其能提供个人信息的措强保护机制、为特殊人提供的服务界面、服务渠道,可确保其能煦知、孩取个人信1保护方面的治息.绢织蓼与了特殊人群Ik据安个和个人传息保护相关
18、标布制定.Jn入相关例馍、i1.划等活动,以促进行业协同.姐双投入了资薄开发、推广抬姝人群使用的产品或版务(SMU关段式),并用导其关注使用产,或服务时保护个ffi.组织对数字包容和特炼保护方面的涉及数据安全和个人信息保护的能力、技术资源进行开放,为行业提供参机支报.公平运行比争和介作12数期处理规则的透明性坦投依榭法律法规、规章制度、标准等的要求.完壑.在实、准船地按萧了数据处理的规则.明示信切处理的目的.方式和苑用.组纲隹立和实施数据处理规则披5S的海理别慢,提供与利成相关方(加税、个人问询、答证等的柒道.便于进步沟通协商.殂织建立完备的数据处理规则技塞机制,并对敷IS处理规则进行影响岸估
19、,针对可能影响到利航相关力由大权益的敢施处理视则,采取多种方式进行重点设明.以增加利技相美方的理财、组织建立与利益相关方对数以处理规则进行事前沟通的机制如理来意见呼),使其据处理税则在同业伙俘、供应储、投资、客户等电自身经营行实防性关联的物域产生枳极影响.-a指标二AUt标-ft(Mtf1.D=A(tM)HUKjMMD13识田术果护亍学知祖技成像I共地织的如MfI1.技术成果保护符合经酉所在地法律法庭和政谊要求.承认数据安全和个人信息保护相关财产性权Ht过数据安全和个人信息保护相关知识和技术成Jft的分享活动.组织造立和实施了知识和技术成果保中的管理制度井根据IS首所在地法冲法规和政策要求的变
20、动及时更新相应的管理M收:建立和实谑鼓励知识和技术成果共享的制咬.组织鼓励开展攻粼安全和个人馅息保护相关知识和技术成果的价故彼创著,坦炽定期主动发起多种彩式的知识和技术成果共享活动.并纳入抽效电核机:W.组织建立了知识W技术成果的交易及价侬创造机制.以价位共享的形式推动知识和技术成果在更大SnN共享.组织以多种移式推动数施安全和门人伯息保护先进技术的推广及应用.14构建4效的平台规财也发按照法撑法规、规章制度、标准等的要求.制定可促进数据安全和个人信息保护的平台运就规则.组纵严格实被可促进数据安全和个人信息保护的平台运首赛则.并建立和实能平台MMM执行效果评怙的管理刎收.州织将平台规则执行效果
21、评估的入甲H等肽仰环节,以推动平台戏则能切实有效执行.织定期开展平台规则整体执行效果评估优化规则.组织训入了专业机构对平台规则整体执行效果评估,吸幽其建议.飙妲将平台双则执行效果避行公Jf.接殳利益相关方的监督、评议.三公平运行比A和介作15供应商规则共建及协助Si织按照法律法跳、址学制度、标准等的要求.制定了可促进数据安全和个人信息保护的供应戡的管理制度,坦纲以合同、办议等方式与供版商约定数据安仝和个人值总保护相关贵任、义务组织建立了供应商的介作、监备机制,制定了供桎商资格、做应过程携范性娈求,对供应同的数据安全和个人信地保护徒力水平提出明确耍求及并审杳其相关资格.组织建立r完善的供衣商的合
22、作、监督机制,定期评Ifi和中核供应商资格、供应过程双泡性,对供应商数据安全和个人信慰保炉倭力进行评估审快推动供应商忧化数5安全和个人值且保护水平.组以些丁自豺技术、人员等我源优势,为供应商提供技术支持、血急协助.如织注玳与供应曲的K1.H合作与na.出助供应商业提升致据安全和个人信息保护水平.-a指标二AUt标-ft(Mtf1.D=A(IHMI)HUKjMMD16公平竞争环境构11!组投在数蛤处理相关的生产是营活动和参与巾场竞争中,埋18自愿、平等、公平、诚信的原则,将公平竞争作为辄织治理、生产经片和育业活动的行为准则.组织建立了有关识别、Ki拄、防止和报为不正当竞争的管理制废.建立反腐败内
23、部管理制%组纲枳极开展和与公平比争的相关培训与活动.坦织建立了完善的在关识别、15枝.防止和报告不正当竞争的管理制度,采取r严格的反窝欣内部管理冽度并定期落实具体举措,对情节产81的汇报至有关靓门.If1.期定期开展和参与公平竞争的相关格训与活动并建立与有X-SJfK生态仪件的沟通来道.组投在同业伙伴、供应於、投费、,客户等与自身姓营有实质性关联的领城税极电响或合作,协助封关制门开展反垄惭,反不当究争的行动.在建护行业M域公平竞争中发挥M等作用.四17人身、财产利益保护边投根据法律法坦、疑章卜(度、标准的要求.在产品或服务的设计、开发Wthis营等过程中,乘取了降低用户人身、财产损咨的描施.S
24、i投在处理与人身、财产安全密切相关的数掷和个人伯SM.对处理活动进行影响、WJa等评估,并采取了与风险相适应的保护排施.组织在用户使用产丛或米务的,采用生动、简明、靠南的我述方式,指导用户安全、正确使用产品或奴务.笄说明与使用有关的战险及预期括施.告知用八遭受或可能遭受人身、财产镯有时的反馈梁道及处A方式.级织建立了用户权益保护的技术保能力和具体工作机制.如IH别用户风险行为的特征库、赫融吉知和B1.新机制、快速反愦如道等.组果隹立了保杏用户权益的违法正视行为将在源.并持续监洌、带现造法违规行为俎次通过用户人身、财产保护相关的经验、机制进疗共警方丈,引导利益相关方共同强化用户人弁、财产保护措施
25、.为同业伙伴、供应髓、投资、客户齐与自身姓营自实鲂性关联的领域提供相关的指导1例助.-a指标二AUt标-ft(Mtf1.D=A(IHMI)HUKjMMD四IN用户投诉及争议处理以决根第法愫法规、城Si制度、标准等的要求建立有收的投诉、争议处置机制.以清晰、必著的方式公示投诉及争议处理的架道、处理方式及反馈时限.俎机逑立弁提供了充分和在效的人工客服支持,并在合理的时间内对投诉进行响应.粗机建立了投诉处理流程和投诉曾理机制,形成从投诉到反饿的闹坏,避免用户投诉无人处理、无人反愦等情况.组织建立和提供用户处理投诉港息庭的反馈途径,记饮投诉处理的时间.取因、处理播况等,井定期公开发布投诉处理情况.组织
26、主动关注合作方,供应商用户满意收相关情况.计对影响较大的投诉何国进行追25.并作为下步谓壑合作的限要等虑要求.19受和将按外蓝迎双依氟法撑法规、规章制度、标准等的要求,向社会公开数据安全和个人信息保护相关的规则,接受社会枝怦.如织土动披麻数据安全和个人信息保护相关侑息,主动接爻外部监督.健供互联网平台服务、Kfi一定规模用户、成都业务流程的E蛔,设立对接外部监督意见的岗位.对其效期和个人信息处理活动进行监仰并指定专人负姐泉来沟过数据安全和个人信瓜保护相关的认证.州织通过定期发布数据安仝和个人侑息保护社会责任报告等形式,设置W门接受外部监H的入口.提供K要互联网平日服务、用户数R巨大、业务类更更
27、杂的怨想.成立主要由外部成员成的外部独立机构.对其故据和个人上息处理活动进行脱仰-组织在援得数据安全和个人信1保护的认证后,持续接受专业机构监15.乩无认证核撤销的忸况.组织己设立或己指定专人对接外娘向独立机构St予对姐锹在数据安全和个人佶Ii保护指施进行核实和质疑的权利.通过向独立机构如实提怏数拼安全和个人倡息保护的相关管理和技术描艇等方式接受其KMK-a指标二AUt标-ft(Mtf1.D=A(IHMI)HUKjMMD四20源费者较Ff利培海蛆织举办.参与过消费存数据安仝和个人信用保护知识收行和立识培养的活劝.组织明的涧责皆敢Ff和意识培养目标和计划.通过自运首的产品或IH务中设置贝面等形式
28、开展活动.处税定期开展涧费拧敦育和总以珞祚活动,形成fQ定的消猎并救育和意识培脩体系并通过提供奖励、社Ir激励等方式妓咐消费表宓极寮与敕市和窟以培外加关活动.俎织构建了消费育知双教在及诋M培训体系.对该体系进行定期评市和改善.组双联合同业伙伴、社会或行业组双等,共同开展收行和速M培柒活动,以推动行业,领域整体影成教”和意M培养合力.粗盥坡附员工警加面向社会SI织在年度工作目标和财组织开展、卷与了一系列公公众科铃的怎IiJ石活动。生以设立扶助基金或摘蜡,帮助狎裁奔务侦算中列明参与效掂安全和4A慈祥活动并发挥了实疾性作组纵向t据安全卬个人信思势祥体在数据安全和个人信息保护方91排助和公益个人信总保
29、护公益慈善项目的M1.研究的酬宾机构、雒权平台、科停向学习、深造.工作等.阻织对慈善协计划.娟汉对数据安全和个人信中心笄公蕊机构进行辆赠.、超机物助和公益学业项目的效果进行讨估,优事业Sf1.织叁与过线据安全和个息保护优为人才、Ii1.体、ISHiS数据安全和个人信息保护相关的化、阳祭工作的SiHh方式等以提升社f1.人信息保护公益慈善活动.立专门奖项.公益瑟善事业作为机织长期文化建设和俄略规划F以明确.会费任履行效果.22活动举办和科什宣传出织参与、支持使推动教第安全和个人怡息保护产业发展、技术创新等方面的活动.支特过敏寿安仝和个人信恩保护相关科普宣传话动,组织以主办方或承办方的身份举办过数
30、鼎安仝和个人传保护产业发展、技术创新等方而的活动.组织以主办方或承办力的身份举办过数第安仝和个人倡保护相关科普直传活动。织织通过通请社会公众人物参与、与媒体合作等方式扩大影响面、at传效果,得到了魏沐和社会的关注,蛆织勰够不断优化和平富活动内容利在传意式提岛参与JS.扩大影晌范W组织将定期举办数第安全和个人怡恩保护相关的活动的人日常工作计划.组织对数据安全卬个人情,&保护的相关活动进if息站并对活动效果进行评估.不断优化活动的举办形式.-a指标二AUt标-ft(Mtf1.D=A(tM1.)HUKjMMD五23行业白治和工作联动也於参与了包含数据安全和个人信息保护相关职击的社会行业汛织.并参加了
31、其维织的各类$舌动.抵沉积5三踪国京、堆方、行业发布的数据安全和个人信必保护相关政策性文件,了解相关部门组决的各类活动进暇。俎双参与领域内社会、行业组狼牵头开展的相关工作或活动,并在其中承IU部分工作职饯.枳极推动活动开版.俎统主动跟进出关法冲法她及政次性文件的发布和更新.相B虻主动配合相关部门开收各类主虺活动.对外宣传,提扃公众通识.m织与相关领域内的凯汉,达成数据安全和个人信且保护相关的工作备忘、合作物议等.组把枳极参与、称助主管监管部门开展数奥安全和个人信息保护杷关的法律法规立司、标准箱制修订,实践推广、日常监督检理、违法见靠打击等工作组织作为例而华位春与国宝、行业数据安全和个人信。保护
32、相关如准的播制性讨工作.俎设在社会、行业抗投中担任相关负责人角色,引导同要伙伴自律自的.共同推护数据安全和个人信.(?.保炉ft好生冷环嵯.21就业假造U1.产业投资边投在力所能及的情况下.设置数蝌安全和个人情总保护相关的工作岗位.Jf1.iM为数据安全和个人信息保护相关学员提供实习机坦投为数据安仝和个人,h保护HJ关产品、服务提供应用和实践的机会.组织本身设附完善的数据安全和个人信息保护相关工作岗位及肌能,并能好主动定期开展相关工作,履行数步安全和个人花恩保护义务.如织定用开K数据安全和个人信息保妒相关培训,积极促使企业彷工参,学习认证等.组织在致势安全和个人倡息保妒相关产1股分等方面,能够
33、与初创企业、中小企业进行联动合作,形成艮好的公众在传效果.织纵持埃提供畋弼安全和个人伯恩保中相关岗位.机双建立和运行数据安全和个人信息保护相关的人才培养计划或平台.州织在供应商筛选时.从制慢、执行等方面芍考虑为中小企曼、初创企曼供应炉创造机会.蝌势!的妆据安全卬个人信息保炉相关岗位前求、人才培养机制呈现规模化特点.S1.织枳极为R符优秀能力或潜力的人才与企业提供创业机遇成6作机会.与政府行业组织等共同推选产业创新发展.A.2至点关注事项本文件将数据安全和个人信息保护社会田任主题和议魄中可能存在较高风险的任我确定为重点关注事项,见表A.2.注1:经注用或询U处似行为不存在、W件情;不M实,未对利
34、褴相关方、M户等权费产生实侦性影阴的.可饿复(S有评价等级.一一苏殂织在31点关注项中出现疑似行为或不道饯”件,如被媒体或其他公开渠道跟Jt、被用户举报等,则在原本所拥有W级的基础上,降低一个等缎,若原等级为一星级,则撤销评级结论.并停止评价活动.一一若组织在重点关注顶上出现严更违法事件,受到政府相应行政处罚,造成恶劣社会影响,则撤销评徼结论,并停止评价活动,年内不再对该组织进行评级,注2:讨价Jf1.fH方认定为需停止押价活动的,应注明原因.对其帽实与被押价饥次过疗除丈病武表A.2重点关注事项方号相关主J1.点关注B1.1介规性、创新性和价值体现a)产品或服务数据安全和个人信息保护方面不仑规
35、被监管部门通报、处罚;b)发生网络安全事件导致数楙泄理、款改毁损等.2公平运行、竟争与合作a)侵犯数据安全和个人信息保护相关知识产权行为:b)发生数据安全和个人信息保护相关不IE当竞争行为:c)存在腐败、购赂以及其他违法违规行为.3用户杈拉保妒a)损害用户个人信息权益;b)泄露用户个人信息。A公拄参与和社会发收a)妨踞社区的安全与柩定(如公共安全、网络安全等方面)。A.3”社会责任最佳实践”评价方法“社会贲住最佳实践评价不同于附录A.1的社会责任评级.不是对组织社会贲任等级的综合评价,而是在某个或某些指标上的专项评价.比如.无论组织是否达到附录A.1的绩效等级,只要表A1.的部分:级指标达到四
36、星级,或一级指标中的所有:线指标均达到三星级或四星级,则可以将指标对应的工作评价为最佳实践,”社仝贵仔最佳实践”避免了中小企业在绩效评价环节不适用项过多、社会责任履行范用不广等不利因索有助于鼓励中小型企业更好履行数据安全和个人信息保护社会费任.社会责任呆佳实践”的具体评价依据、评价方法可根据评价需要设定。以下示例给出了某行业组织进行“个人信息保护优秀案例”评价的案例.供参考.(-*)参照个人信息保护法等法律法规要求,依据GWTXXXXX-XXXX信息安全技术数据安全和个人信息保护社会贡任指南3开展“个人信息保护社会成任履行优秀案例”评价。二)押价方式报名参与“个人信息保护社会员任履行优秀案例”
37、评价的组织,根据评价工作小殂提供的文件模板提交参评材料由评价工作小批通过材料审查及专家评审纲W审的方式进行评价.三)评价流程D材料上报:XX月XX日前,如织需按照报名要求,提交报名表、参评材料,以及评价所需的佐证材料.包括但不限于组织介绍材料、合规性证明、创新实践案例、用户反馈、社会贡任报告等,2)初步审在:评价工作小殂对收集的材料进行初步审任,确保满足评价耻本条件。3)工作组评价:评价工作小组对收集的材料进行详细审查,组织提供的实践案例表示,涉及GB/IXXXXX-XXXXq数据安全技术数据安全和个人信息保护社会货任指南24个议题中,至少个议题评价为1星级的或至少3个议时评价为3星级的,认为
38、通过工作殂优秀案例评价.4)专家评审:组织行业专家组成“个人信息保护社会贵任限行优秀案例”专家评审组(专家组成员不少于10A),对工作组评价后选择送的优秀案例进行专家评审,评审认为案例具有代表性、先进性、创新性,专家投票同意的比例不低于7/的,进入优秀案例很终名单.5结果公示:XX月XX日前,对优秀案例最终名单进行公示.(IS)注意事项若组织在近一年内(XXXX年XX月后).存在GB/TXXXXXXXXX数据安全技术数据安全和个人信息保护社会责任指曲附录A友A.2中的翦点关注里攻的,本次评价活动不予受理,评价期间,组织出现上述重点关注犷项的,将立即停止评价活动,一年内不再对该加织进行评价,附录
39、B烈料性)数据安全和个人信息保护社会责任实践案例根据第5章至第9址内容,就组织履行数据安全和个人信息保护社会责任主题,议庭,常见的实践案例如下表,供参考:8.1社会责任履行实I1.案例章节相关行动和期示范案例5姐炽治理5.1核心价位观及发展理念示制h某公司在对内的公开估中提出公司的攻据逃私保护理念、坂则和核心示制备某公司在其公开发布的宣传班、“网E页面等粲遒以显方方式展示其Ia私保护的核心理念5.2管理层承诺或*明示例h某公司在社会责任报看的荷W长以繇中阑明钟理层对攻妍安企和个人怡息保护社会货任的承诺或要求示制备在-一-行业生态大会上,某公司的CB)在JB演饼时专门对公司在个人信总保护方面的理
40、念避行照述,5.3社会货任工作方针与目标示Mh某上市公司在制定的纲领性文件中,用专门的依节州述了数据安全和个人俏息保护的总体方计和安仝策略.示12义科研机构答考有关部门发布的五年.规划文件,剂定了内邮的五年规J,其中对数据安全相关的社会责任11标予啜明确。5.4实的主体及宽糠支持示俐It某大用互联网公司建立了一私保护委员会.负责决策公司故推管理啦耍够现.并山公司常务副总俄担任首席电和盲.示例2.某公司从现中的法务、安全用队中,指定2人从事数据安全和个人倍息保护社会由任履行的工作内存.其中包括由真主也授笃本年Ifi社公在任报告.示53某公司在招定年理预0时,规划100万专门用崔行数据安全和个人信
41、患保护社会员任的财务预就,其中30万将用于个人仿患保扭科件汽传的相关活动.5.5内部直罚和培i1.U示例1,某公司根据(据安全相关法冲法规要求,根据各业务跷及职能部门分工不同,修订公司现有刑度,明确各部门的数据安全具体职费和社会击任目标,并在全公司於IH内集中宣C1.示例2某互联网公H暂年定期用办Sa科保护安4,月话动.活动包括对法律法规的学习、合规实践的R贯容.同时提供在线深出,全体员工学习时间不少于2个学时.部分4点岗健学习时间不少干8个学时.并通过统的考试.章节相关行动和期示低案例5.6内部歌珞和员TM示h某公司制定发布了敷据安全管理制度,制度中要求,-U发生数据安金比规事件,会在公司内
42、部进行全员能件通报并对造行安全策略和现定的员工做出相应处罚,构成犯罪的,将向公安部门报案,依法追允刑卑而任.秦,新某互联网公司针对不同的业务线,根据用户举报情况,定期公布数据立金和个人信见保护红SI榜,并将犬与绩效药植拄网.B.1社会责任行实践案例(续)章节相关行动和期示范案例6合规性、创新性与价值体现6.1产丛或服务的传埋性示11:某互联网公司Iff1.过专业机构对公司业务开展了技术合规性评估,并在网站或App中的显*页面向用户展示了小公诃在数据安全和个人R礼保护方面的合块资质或i明.示御2某M络安全公司加入数楙安金、个人信息保护相关的嵌盟.在联!内发次促进t据安全.个人信明保护介炫性方面的
43、白皮书.供同行业参考.示,3.某7i联料公司组建了数揶安全和个人倒息保护专职团队,何年依据IH家标准对公司的用户槌供的服务进行/介规性内审和自评估.在每批评的过程中计对标强条文逐一进行经距分析,对于存在差距的标准条收,在3个月内进行联改,并形成了婺改报告.示例4:某数据安全公司按照法律法戏,国定标准*行业标准方要求开发了数据安全网及紫冽的产品,并完成了2个客户的都和应用,客户机出使用产拈的情也形戊了应用报告.对产品像先满足合规性要求给H1.it议.该公司根榭客户的反馈,对产H进行了优化改进.&2技术的创新性和先进性示御1:某科研院所卷。数据安全*个人信息保护相关的法律法枇.政诚文件的制定和研付
44、,提出了必咐技术创新相关的多条建议.其中5条俄采纳。豕2:某初创效据安全公司参与了由某行业组织举办的技术创新评比活动.该数据安企公司通过分享其产品和解决方案在数据安全方削的创新举措.狭称评审委员至肖定.获得r某投资公司的Tf味.示#13:某事业冷位中报工业互联网IHB安全谩磔,把本生位在工业互联网帙域的创款实践应用到课Ia中,援得r?JjS创款大赛的奖项.示M4:某瑞校实验案对个人信息保护成立了科研小组.将相关技术开展研尢,形成了2G兼具可行性、创新性、先进性的核心期刊论文,获得了1项发明专利.6.3用户使用的价值体现1.某互联网平台通过APP为用户提供仃餐服务,用户通过ApP进行仃If时,R
45、pp提供了收集个人才好提供精准推费的功能,用户扪纳该功能,即P可维续提供基本的订餐Ifi务.SM2:某互联网平台通过App向小学生提供教学根务.但小学生的腌护人发现一些教学功健展示小学生的完郎联系方式.监护人在前互联网平台反馈后,该平日采取解破SJ分字段方式优化/收示的内容.并在3天内完成App升级.示倒3:某邮件服务供应商的用户提供蜒鞘服务,用户选界注销邮箱时,该佻除商在反馍绐用户的界面中说“用户是否保用内籍名等信息以任后敛!R新使用,如果不保田可以沏底切除.用户确认的倏IH除信息后,供应窗对存储在库中的邺笥名进行了M除处理6.4社.会治理的价值体现示例1:柴数据安全公司的校会上具被某监管机
46、构用于对管轼K内的10iR网公司开厩数据安全松企.经工具打描发现,45交互联网公司存在数据泄露的风受.工旦输出了相关的检It报告.并由数州安全公司的咨询专*给出了加固意见.累,某互联网公司拥有上匕的用户径海面,公山山”1V合监*部门,开发了用户举报个人仿总刊极行为的巢道.并在共产丛的显著页面予以上线.方便用户及时向独管部门反馈豺J86合规性、创新性与价值体现6.5数字包容与特殊保护示11.APP在收集个人信则时.提供了K按钮,转换到老年人怏式.在老年入校式下,文字字体更大.同时把需要特别注念的文字加相.借助老年人快速的理舞收集个人信患的用途和JS1.fc1.示12,某p1在收集个人伯息时对个人信处理的说明文字.提供
