中华人民共和国国家标准
GB/T 46903-2025
Data security technology-Personal information protection plianceaudit requirements
国家市场监督管理总局 国家标准化管理委员会 发布
目次
前言1范围2规范性引用文件3术语和定义4个人信息保护合规审计原则和总体要求4.1合规审计原则4.2合规审计工作开展要求5个人信息保护合规审计实施流程 4.3合规审计人员要求5.1述5.2审计准备阶段5.3审计实施阶段 105.4审计报告阶段5.5问题整改阶段 125.6归档管理阶段 126个人信息保护合规审计内容和方法 126.1个人信息处理活动的合法性6.2个人信息处理规则规范性 146.3个人信息处理者履行告知个人信息处理规则义务 156.4与其他个人信息处理者共同处理个人信息 6.5委托处理个人信息6.6因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息6.7向其他个人信息处理者提供其处理的个人信息“ 186.8利用自动化决策处理个人信息 616.9基于个人同意公开个人信息6.10在公共场所安装图像收集、个人身份识别设备 226.11 处理已公开的个人信息6.12 处理敏感个人信息6.13不满十四周岁未成年人个人信息 266.14向境外提供个人信息6.15个人信息删除权保障情况6.16保障个人在个人信息处理活动中的权利 6.17响应个人并对其个人信息处理规则进行解释说明
6.18个人信息保护内部管理制度和操作规程6.19安全技术措施.6.20教育培训计划的制定和实施6.21个人信息保护负责人6.22个人信息保护影响评估6.23个人信息安全事件应急预案 886.24个人信息安全事件应急响应处置 386.25大型互联网平台规则 686.26个人信息保护社会责任报告附录A(资料性)个人信息保护合规审计证据 42A.1审计证据类型 42附录B(资料性)个人信息保护合规审计底稿模板 A.2审计证据有效性 42附录C(资料性)个人信息保护合规审计报告模板 44 45参考文献
前言
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口.
本文件起草单位:中国电子技术标准化研究院、中央网信办(国家网信办)数据与技术保障中心、中国电子信息产业发展研究院、中国信息通信研究院、国家计算机网络应急技术处理协调中心、国家信息技术安全研究中心、公安部第三研究所、清华大学、南京审计大学、北京快手科技有限公司、蚂蚁科技集团股份有限公司、北京抖音信总服务有限公司、深圳市腾讯计算机系统有限公司、联想(北京)有限公 司、淘天有限公司、北京小桔科技有限公司、北京时代新威信息技术有限公司、华为技术有限公司、北京火山引擎科技有限公司、广西电网有限责任公司、阿里云计算有限公司、荣罐终端股份有限公司、马上消费金融股份有限公司、广州南沙智慧城市大数据有限公司.
本文件主要起草人:姚相振、胡影、刘行、高超、郝春亮、王志成、国震寰、赵丽、闫晓丽、李安伦、高月、闵栋、杨玲玲、陈杨、易立、杨韬、刘曦泽、李卓峻、王俊、邹翔、陈兵、刘云、余小兵、落红卫、王昕、白晓媛、 石玉珍、田申、李肤婧、张亚男、毛安娜、张忻、贾雨萌、顾伟、鲁艳、孙铁、许锐、王新杰、衣强、马硕、周羽杰、刘莹、朱时阳、梁哲喆、石雅榕、赵晓娜、尹丹娜、李洪刚.
