个人信息保护检查评估办法

个人信息保护检查评估办法第一章总则第一条为规范本单位个人信息保护工作的检查与评估机制，确保个人信息处理活动的合规性、安全性与规范性，防范个人信息泄露、篡改、丢失等安全风险，依据《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、《中华人民共和国网络安全法》及相关国家标准与行业监管要求，结合本单位实际业务情况，制定本办法。第二条本办法适用于本单位各部门、各分支机构（以下统称“各部门”）以及所有涉及个人信息处理活动的业务环节。同时，为本单位提供服务的第三方合作伙伴、外包服务商在接受本单位委托处理个人信息时，其个人信息保护能力的评估与管理亦参照本办法执行。第三条个人信息保护检查评估（以下简称“检查评估”）坚持“客观公正、科学严谨、全面覆盖、问题导向、促进整改”的原则。通过定期与不定期相结合、自查与抽查相结合、技术检测与管理审计相结合的方式，全面掌握本单位个人信息保护现状，及时发现并消除安全隐患。第四条检查评估工作旨在落实个人信息保护主体责任，建立健全个人信息保护合规体系。通过量化评估指标，推动各部门持续提升个人信息保护管理水平，保障信息主体的合法权益，维护本单位声誉与数据资产安全。第二章组织架构与职责第五条本单位设立个人信息保护工作领导小组，作为检查评估工作的最高决策机构。其主要职责包括：（一）审批年度检查评估计划及预算；（二）审定检查评估结果及重大整改方案；（三）协调解决检查评估中遇到的跨部门重大疑难问题；（四）对检查评估中发现的重大违规事件进行决策处理。第六条信息安全与合规管理部门（或指定专职部门）是检查评估工作的牵头执行部门，负责具体组织实施。其主要职责包括：（一）制定并修订检查评估管理办法及相关实施细则；（二）编制年度检查评估工作方案，组建检查评估工作组；（三）统筹开展现场检查、技术检测、问卷调研等具体评估工作；（四）汇总分析检查评估数据，撰写评估报告，跟踪整改情况；（五）建立检查评估档案库，保存相关记录与报告。第七条各业务部门是个人信息保护的责任主体，其主要职责包括：（一）配合检查评估工作组开展工作，提供真实、完整、准确的业务资料、系统权限及技术环境；（二）对本部门个人信息处理活动进行常态化自查；（三）针对检查评估发现的问题，制定整改措施并按时完成整改；（四）将整改结果及相关证明材料报送至牵头部门复核。第八条人力资源部门、财务部门、法务部门等职能部门应在各自职责范围内协助检查评估工作，包括提供人员架构、经费保障、法律咨询等支持。第三章检查评估对象与周期第九条检查评估对象涵盖本单位所有个人信息处理系统、平台、业务流程及相关人员。重点包括但不限于：（一）客户关系管理系统（CRM）、核心业务系统、人力资源管理系统中存储个人信息的数据库；（二）面向公众提供服务的移动应用程序（APP）、小程序、网页等前端入口；（三）涉及个人信息收集、存储、使用、加工、传输、提供、公开、删除等全生命周期的业务流程；（四）接触个人信息的关键岗位人员及第三方合作接口。第十条检查评估工作分为定期评估和专项评估。（一）定期评估：每年至少组织一次全面检查评估，原则上安排在每年第四季度。对于处理敏感个人信息或达到一定数量级的系统，应每半年进行一次中期复核。（二）专项评估：在发生以下情形时，应当启动专项检查评估：1.上级监管部门发布新的法律法规或监管政策，要求开展合规检查的；2.发生个人信息泄露、篡改、丢失等安全事件的；3.业务系统发生重大变更、重构或迁移的；4.接入新的第三方合作伙伴或外包服务的；5.收到大量信息主体投诉、举报涉及个人信息安全的；6.其他认为需要立即启动评估的情形。第四章检查评估具体内容指标第十一条制度建设与管理合规性评估。重点检查本单位是否建立健全个人信息保护管理制度体系。（一）检查是否制定并发布了个人信息保护总体方针、安全策略及专项管理制度（如人员管理、访问控制、应急响应等）；（二）检查制度内容是否符合现行法律法规要求，是否具有可操作性，是否根据业务变化及时更新；（三）检查是否明确各部门及关键岗位的个人信息保护职责，是否签署了安全责任书；（四）检查是否建立了个人信息保护合规审查机制，对新产品、新业务上线前进行合规评估。第十二条个人信息收集环节评估。重点评估收集行为的合法性、正当性与必要性。（一）收集规则检查：核查隐私政策、用户协议等法律文件是否单独制定，内容是否清晰易懂，是否公开收集、使用个人信息的目的、方式、范围及类型；（二）同意机制检查：检查在收集个人信息前是否获得了信息主体的授权同意，同意是否由个人在充分知情的前提下自愿、明确作出；是否存在捆绑授权、强制同意等违规行为；（三）最小化原则检查：评估收集的个人信息类型是否与实现处理目的直接相关，是否存在过度收集非必要信息的情形；（四）敏感个人信息检查：对于收集敏感个人信息（如生物识别、金融账户、行踪轨迹等），是否履行了特定的告知义务并取得了个人的单独同意；是否采取了严格的保护措施；（五）公开收集场所检查：对于安装图像采集、身份识别设备等收集个人信息的公开场所，是否设置了显著的提示标识。第十三条个人信息存储与使用评估。重点评估数据存储安全与使用边界。（一）存储期限检查：核实个人信息存储期限是否为实现处理目的所必要的最短时间，超出存储期限的是否进行了删除或匿名化处理；（二）存储地点检查：检查存储个人信息的地理位置是否符合国家关于数据本地化存储的监管要求；（三）去标识化与匿名化检查：评估在数据存储、共享、分析等环节，是否根据需要采用了去标识化或匿名化技术，降低数据识别风险；（四）访问控制检查：检查是否实施了基于角色的访问控制（RBAC），是否遵循“最小权限”原则分配账号权限；是否存在多人共用账号、僵尸账号未及时清理等情况；（五）使用范围检查：核查个人信息的使用是否超出了收集时声明的范围，是否存在违规对外提供、公开披露等行为。第十四条个人信息传输与跨境流动评估。重点评估传输过程中的加密与跨境合规性。（一）传输加密检查：检查在个人信息传输过程中，是否采用通道加密（如HTTPS、VPN）或内容加密等安全措施，防止传输中被窃取；（二）第三方传输检查：向第三方提供个人信息时，是否签署了数据处理协议，明确了双方的权利义务；是否对第三方的数据安全能力进行了评估；（三）跨境传输评估：对于确需向境外提供个人信息的，是否通过了国家网信部门的安全评估、进行了标准合同备案或获得了专业机构认证；是否向个人告知了境外接收方的名称、联系方式、处理目的等事项。第十五条系统安全与技术防护评估。重点评估技术措施的有效性。（一）防入侵与防恶意代码检查：检查系统是否部署了防火墙、入侵检测/防御系统（IDS/IPS）、Web应用防火墙（WAF）等防护设备，是否及时更新病毒库和补丁；（二）日志审计检查：检查是否对个人信息的操作行为进行了全流程日志记录，日志内容是否包含操作人、时间、对象、结果等关键要素；日志保存时间是否满足不少于6个月的要求；（三）数据防泄露（DLP）检查：评估是否部署了数据防泄露系统，对敏感数据的导出、复制、打印等行为进行监控和阻断；（四）安全开发检查：检查业务系统上线前是否进行了代码安全审计和渗透测试，是否修复了高危漏洞。第十六条权利保障与投诉处理评估。重点评估对信息主体权利的响应机制。（一）行权渠道检查：核查是否提供了便捷的个人信息查询、更正、删除、撤回同意、注销账号等行权渠道；（二）响应时效检查：检查是否在承诺的时限内（通常不超过15个工作日）响应信息主体的请求，是否存在无故拒绝或拖延的情形；（三）投诉处理机制检查：是否建立了个人信息投诉举报渠道，是否建立了完善的投诉处理流程并形成闭环记录。第十七条应急响应与事件处置评估。重点评估应对安全事件的能力。（一）应急预案检查：是否制定了个人信息安全事件应急预案，预案内容是否完整且具有实操性；（二）应急演练检查：是否定期（至少每年一次）组织开展了应急演练，演练是否有记录和总结；（三）事件处置检查：模拟检查在发生安全事件时，是否能立即启动应急预案，采取补救措施，并按照规定向监管部门报告和通知受影响的信息主体。第五章检查评估实施流程第十八条计划准备阶段。（一）牵头部门根据年度计划或专项需求，制定详细的检查评估实施方案，明确评估范围、时间、人员、方法和具体要求；（二）组建检查评估工作组，成员应包括信息安全、法务、审计及相关业务骨干。必要时可聘请外部专业机构或专家参与；（三）召开启动会，向被评估部门传达评估目的、流程及配合要求，下发资料清单。第十九条现场检查与测试阶段。（一）资料审查：查阅被评估部门的个人信息保护制度文档、合同协议、审批记录、日志审计报告、人员培训记录等书面材料；（二）人员访谈：与部门负责人、系统管理员、数据操作员等进行面对面访谈，了解实际操作流程、制度落实情况及存在的问题；（三）技术检测：使用漏洞扫描工具、基线核查工具、配置检查工具等技术手段，对目标系统进行自动化检测与人工渗透测试；（四）流程穿行：选取关键业务流程（如用户注册、信息查询、权限变更），从端到端进行穿行测试，验证控制措施是否有效执行。第二十条分析与评分阶段。（一）工作组对收集到的证据和数据进行整理、汇总和分析，识别存在的风险点和不符合项；（二）依据本办法规定的评分标准，对各项指标进行打分，计算总得分并确定风险等级；（三）针对发现的问题，与被评估部门进行确认，确保事实清楚、证据确凿，听取被评估部门的陈述和申辩。第二十一条报告与通报阶段。（一）工作组撰写《个人信息保护检查评估报告》，报告内容应包括：评估概况、评估范围、评估方法、评估结果（得分与等级）、主要风险点、整改建议及结论；（二）报告经个人信息保护工作领导小组审批后，在全单位范围内进行通报，并按规定上报上级监管部门。第六章风险分级与评分标准第二十二条检查评估采用百分制评分法，根据得分情况将评估结果划分为四个等级：优秀、良好、一般、较差。第二十三条具体评分标准与风险分级如下表所示：评估等级分数区间风险等级描述与应对建议优秀90分（含）以上低风险个人信息保护制度健全，技术防护措施到位，流程规范。建议保持现有水平，持续关注最新合规动态。良好80分（含）-90分一般风险制度基本完善，存在少量非关键性薄弱环节。建议针对发现的问题进行轻微整改，加强日常监控。一般60分（含）-80分较高风险存在部分制度缺失或技术措施不足，可能导致一般安全事件。必须限期整改，完善管理制度。较差60分以下重大风险严重违反法律法规要求，存在重大安全隐患，极易发生泄露事件。需立即停止相关业务处理，责令限期整改，并追究责任。第二十四条关键指标实行“一票否决”制。在检查评估中，若发现存在以下严重违规情形之一的，直接判定为“较差”等级，并启动问责程序：（一）非法向他人出售或提供个人信息被证实的；（二）未明示收集、使用信息的目的、方式和范围，且拒不改正的；（三）发生个人信息泄露、篡改、丢失事件，未及时采取补救措施或未按规定上报的；（四）收集敏感个人信息未取得单独同意的；（五）违反国家规定，将在境内收集的个人信息存储在境外的。第二十五条扣分细则参考：（一）制度缺失：每缺一项必要的管理制度，扣5-10分；（二）同意违规：发现强制捆绑授权、默认勾选同意等情形，每处扣10分；（三）权限失控：发现账号权限过大、未定期审计，每处扣5分；（四）技术漏洞：存在高危安全漏洞未修复，每个扣10分；（五）日志缺失：关键操作无日志记录或日志保存不足6个月，扣10分；（六）响应超时：信息主体行权请求响应超时，每例扣2分。第七章问题整改与闭环管理第二十六条被评估部门在收到评估报告后，应针对发现的问题制定详细的整改计划。整改计划应包括：问题描述、整改措施、责任人员、预计完成时间、所需资源等。第二十七条整改时限要求：（一）判定为“重大风险”的问题，必须立即采取临时应急措施，并在3个工作日内启动实质性整改，原则上在15个工作日内完成；（二）判定为“较高风险”的问题，应在30个工作日内完成整改；（三）其他一般性问题，应在60个工作日内完成整改。第二十八条整改过程中，被评估部门应保留整改记录，包括系统配置变更截图、修订后的制度文档、测试报告等，作为整改完成的证明材料。第二十九条牵头部门负责对整改情况进行跟踪督办。整改期限届满后，牵头部门组织人员进行复查验收。（一）验收合格的，出具《整改验收通过单》，关闭问题台账；（二）验收不合格的，责令被评估部门重新制定整改方案，并视情况延长整改期限或通报批评。对于连续两次整改不合格的，直接上报领导小组追究相关领导责任。第三十条建立问题整改台账管理机制。对所有发现的问题实行编号管理，记录从发现、整改、验收到销号的全过程，确保问题可追溯。第八章结果应用与问责第三十一条检查评估结果作为各部门年度绩效考核、评优评先的重要依据。对于评估结果为“优秀”的部门，予以适当表彰或奖励。第三十二条检查评估结果与第三方合作管理挂钩。对于为本单位提供服务的第三方合作伙伴，若在评估中发现其存在严重个人信息保护风险且拒不整改的，应立即终止合作关系，并追究其违约责任。第三十三条问责机制。对于违反本办法及个人信息保护相关规定，造成不良后果或损失的，依据本单位奖惩规定及相关法律法规对责任人进行处罚；构成犯罪的，依法移送司法机关追究刑事责任。（一）未按规定开展自查或配合检查评估工作，弄虚作假、隐瞒不报的；