行业研究公司研究宏观策略财报招股书会议纪要 seedance2.0 低空经济 DeepSeek AIGC 大模型

数据安全技术数据安全和个人信息保护社会责任指南

信息技术 2026-04-17 国标委极度近视

数据安全技术数据安全和个人信息保护社会责任指南

范围

本指南提供了组织实施数据安全和个人信息保护社会责任的指导，涵盖组织治理、合规性、创新性和价值体现、公平运行、竞争和合作、用户权益保护、公益参与和社会发展，以及社会责任履行情况披露等方面。适用于组织开展相关活动及第三方机构评价组织履行社会责任的情况。

术语和定义

社会责任：组织通过透明和合乎道德的行为为其决策和活动对社会和环境的影响而担当的责任。
利益相关方：其利益可能会受到组织决策或活动影响的个人或团体。
消费者：出于私人目的而购买或使用财产、产品或服务的个人。
员工：与组织通过劳动合同建立起劳动关系或存在事实劳动关系的个人。
弱势群体：因具有一个或多个共同特点而易遭受歧视或处于不利的社会、经济、文化、政治或健康状况的个体所组成的群体。
身体机能差异人群：由于身体的某些机能丧失或弱化，因而在获取和使用信息方面存在困难的人群。
大型网络平台：注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行和国计民生等具有重要影响的网络平台。

总则

数据安全和个人信息保护社会责任是法律法规中提出的组织应尽义务。组织在遵守相关法律法规及基本道德规范的基础上，应致力于促进基于数据要素经济活动可持续发展，提升数字社会的公众福祉，弥补数字鸿沟和推进社会进步。组织应从组织治理、合规性、创新性和价值体现、公平运行、竞争和合作、用户权益保护、公益参与和社会发展五方面主题，以及主题所包含的议题，履行数据安全和个人信息保护社会责任。

组织治理

发展理念和承诺声明：组织应在发展理念中阐述数据安全和个人信息保护的重要性，管理层应公开阐述组织战略和发展理念，并做出承诺声明。
工作实施和资源支持：将数据安全和个人信息保护纳入组织社会责任工作方针和目标，指定负责人和部门，提供财务预算，建立内审机制，获取社会反馈。
制度宣贯和人员培训：在管理制度中明确相关内容，定期开展宣贯和培训，鼓励员工学习相关知识和技能，聘请专家进行重点培训。
内部监督和员工激励：建立内部监督机制，将社会责任履行情况纳入内部合规审计，建立激励机制，将履行社会责任纳入绩效考核。

合规性、创新性和价值体现

产品或服务的合规性：进行合规评估或审计，取得合规认证，发布合规说明，建立监督机制，建立合规风险管理体系。
技术的创新性和先进性：构建评价标准，建立激励机制，参与科研项目，获得外部认可，扩大影响面和应用面。
产品或服务的使用价值：仅处理必要数据，将安全功能设为基础功能，主动引导用户加强保护，优化数据处理流程，挖掘数据价值，支撑治理活动。
数字包容和特殊保护：设置无障碍功能，评估处理个人信息对其权益的影响，提供增强保护机制，制定处理规则，参与标准制定，推广产品或服务，开放技术能力。

公平运行、竞争和合作

数据处理规则的透明性：公开披露数据处理规则，建立沟通机制，重点说明影响重大权益的规则，向专家征询意见。
公平竞争和成果保护：遵守竞争和知识产权保护相关法律法规，建立反腐败反舞弊制度，保护创新成果，提高员工意识。
平台规则和供应商管理：制定平台规则和供应商管理制度，明确安全基线和淘汰指标，实施规则，评估规则效果，公开执行效果，建立供应商管理制度，维护公平竞争，约定数据使用，记录数据交换日志，建立应急响应机制，注重长期合作。
行业共治和知识共享：加入行业组织，参与标准研制，分享知识成果，参与推动产业发展和技术创新活动，促进先进技术推广应用。

用户权益保护

人身财产利益保护：降低用户人身和财产损害风险，采取显著措施，建立识别机制，指导用户使用，说明风险和预防措施，提供反馈渠道，及时处置，采取紧急措施，中止服务。
用户权利行使保障：披露投诉渠道和处理方式，提供人工客服支持，建立投诉处理流程，建立投诉分级处理制度，建立反馈途径，建立投诉处理库，不收取费用，定期公开汇总情况。
主动接受外部监督：公开联系方式，披露策略和规则，征集改进建议，成立独立监督机构，指定沟通对接人员，建立沟通机制，赋予监督机构核实和质疑权利。
自我保护素养提升：设置宣传活动，举办主题宣传活动，开展教育和意识培养活动，提供奖励。