近日，CCIA数据安全委员会发布了《数据安全和个人信息保护社会责任指南》（以下简称“《指南》”），自2023年2月1日起实施。

《指南》提出，组织宜指定具体的高管担任实施数据安全和个人信息保护社会责任工作的负责人并明确其职责，如任命高管担任数据保护官(DPO)或首席隐私官(CPO)等职位。同时，组织宜为履行数据安全和个人信息保护社会责任提供专门、充足的财务预算。

《个人信息保护法》中的“守门人”条款规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应当定期发布个人信息保护社会责任报告，接受社会监督。《数据安全法》亦规定，开展数据处理活动应当履行数据安全保护义务，承担社会责任。

就在上个月，南都个人信息保护课题组发布了《个人信息安全年度报告（2022）》。此报告显示，个人信息保护法施行一年多后，已陆续有多家头部互联网企业率先发布相关报告。然而，上述企业未有一家将报告命名为《个人信息保护社会责任报告》，也未提及报告与个人信息保护法中提及的“守门人”义务存在联系。

有企业的法务人员曾告诉南都个人信息保护课题组，由于目前缺乏关于个人信息保护社会责任报告的要求细则，企业即使为了合规及时发布报告，也不愿这样命名。原因是担心合规工作完成得不够充分，在该领域成为“典型”，引起监管部门的特别注意。

据悉，为落实《数据安全法》《个人信息保护法》等法律法规中所提出关于数据安全和个人信息保护社会责任的要求，放大数据处理和个人信息使用的社会价值，由中国网络安全产业联盟归口，CCIA数据安全委员会组织委员单位编制了《指南》，发布日期为2022年12月30日，实施日期为2023年2月1日。

《指南》为组织理解数据安全和个人信息保护社会责任以及实施相关活动提供指南。此文件适用于处理数据的组织，还适用于第三方机构评价组织履行数据安全和个人信息保护社会责任的水平。

《指南》将组织的数据安全和个人信息保护社会责任划分为五大主题与24个议题。

具体而言，五大主题包括组织治理和内部管理；合规性、创新性和价值体现；公平运行、竞争和合作；消费者权益保护；公益参与和社会发展。

在组织管理和内部管理方面，《指南》提出，组织宜指定具体的高管担任实施数据安全和个人信息保护社会责任工作的负责人并明确其职责，如任命高管担任数据保护官(DPO)或首席隐私官(CPO)等职位，并由其负责履行相关的社会责任。

同时，组织宜为履行数据安全和个人信息保护社会责任提供专门、充足的财务预算。

《指南》亦提出组织宜为用户提供保障其数据和个人信息权益的机制。 如，将数据安全和个人信息保护的功能设置为基础功能的一部分；提供必要的措施以保障用户对其数据的控制权，并优化用户行使权利的路径，包括对数据进行查询、复制、更正、删除、转移等。

对于近年来热议的“数字鸿沟”问题，《指南》建议组织开发无障碍产品/方案，为多元用户(例如不同地区、知识水平、语言环境、青少年、残障人士、老年人等)提供平等的数字产品或服务，消除数字鸿沟，重视并保护多元人群的数据和个人信息，为多元人群提供符合其应用场景的数据安全和个人信息保护机制。

在制定特殊人群个人信息保护方面的处理规则上，《指南》建议，组织宜为特殊人群提供专门的服务界面、服务渠道，以确保其能感知、获取个人信息保护方面的信息。

在公平竞争方面，《指南》提出，组织宜杜绝任何形式利用数据的不正当竞争及垄断行为。

例如，通过数据、算法、平台规则等方式达成垄断协议; 利用数据、算法、技术等方面的优势实施滥用市场支配地位的垄断行为; 通过非法或不正当手段获取其他平台数据(包括互联网平台用户的个人信息); 利用数据和用户个人信息建立的竞争优势，形成数据孤岛，阻碍竞争对手进入市场，损害用户的自主选择权等。

另外，《指南》在附录部分列出了“数据安全和个人信息保护社会责任评价方法”，此方法分为两级评价指标以及三个评价级别，对组织数据安全和个人信息保护社会责任绩效等级进行综合评价。同时，《指南》附录处也列举了“数据安全和个人信息保护社会责任实践案例”以及“数据安全和个人信息保护社会责任报告模板”。

附《数据安全和个人信息保护社会责任指南》全文：

http://www.chinacia.org.cn/AQLMWebManage/Resources/kindeditor/attached/file/20221230/20221230131850_2889.pdf

综合：南都记者 孙朝

编辑：蒋琳