电信和互联网个人信息保护保障能力评估规范.docx

ICS33.050CCSM30

团体标准

T/TAF148—2023

电信和互联网个人信息保护保障能力评估规范

Telecommunicationsandinternetevaluationspecificationofpersonalinformationprotectionandguaranteeability

2023-02-08发布2023-02-08实施

电信终端产业协会发布

T/TAF148—2023

I

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5个人信息保护保障能力评估基本要求 2

5.1评估原则 2

5.2评估架构 2

6个人信息保护保障能力评估指标 3

6.1个人信息处理活动 3

6.2个人信息处理者的义务 5

7个人信息保护保障能力评估方法 8

7.1评估框架 9

7.2自评估流程 9

7.3自评估方法 10

7.4检查评估 12

附录A（资料性）个人信息保护保障能力认证要求 13

A.1总则 13

A.2规范性引用 13

A.3术语和定义 13

A.4组织环境 13

A.5领导 14

A.6策划 14

A.7支持 14

A.8运行 15

A.9评价 15

A.10改进 16

T/TAF148—2023

II

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。

本文件起草单位：中国信息通信研究院、OPPO广东移动通信有限公司、泰尔认证中心有限公司、维沃移动通信有限公司、北京快手科技有限公司、南昌黑鲨科技有限公司、荣耀终端有限公司、小米通讯技术有限公司、北京奇虎科技有限公司、蚂蚁科技集团股份有限公司、阿里巴巴（中国）有限公司、北京三星通信技术研究有限公司、华为技术有限公司、上海兆言网络科技有限公司、北京抖音信息服务有限公司、广州视源电子科技股份有限公司、联想（北京）有限公司、北京微梦创科网络技术有限公司、北京三快在线科技有限公司、珠海市魅族科技有限公司。

本文件主要起草人：魏凡星、王嘉义、傅山、李可心、陈鑫爱、李京典、姜慧格、王浩仟、刘陶、王艳红、杜云、王宇晓、李腾、付艳艳、宁华、凌大兵、常琳、贾科、赵盈洁、落红卫、王昕、沈彭军、赵之成、赵晓娜、顾泽宇、杜文博、姚一楠、彭晋、林冠辰、黄天宁、吴越、衣强、李实、严涵、钱雷、杨骁涵、肖洋、李洁、李汝鑫、刘俊、邹庆、任资政、刘瑾、祖岩岩、沈玲、毕烽。

T/TAF148—2023

III

引言

随着《网络安全法》、《个人信息保护法》的落地和实施，个人信息保护已经成为广大人民群众最关心最直接最现实的利益问题之一，对个人信息处理者的个人信息保障能力要求也日益凸显。如何保障个人在个人信息处理活动中的权利，如何约束个人信息处理者的义务成为当前急需解决的问题之一。本文件将落实法律法规的要求，提出电信和互联网行业对个人信息保护能力的评估规范，指导行业进行系统性的评估人员建设、能力建设、规程建设，落实个人信息保护工作。

T/TAF148—2023

1

电信和互联网个人信息保护保障能力评估规范

1范围

本文规定电信和互联网行业个人信息处理者在处理个人信息时应具备的相关保障能力，包含个人信息处理活动，个人信息处理者的义务等内容。

本文件适用于个人信息处理者自评估及第三方评估机构开展评估工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T35273-2020信息安全技术个人信息安全规范

3术语和定义

下列术语和定义适用于本文件。3.1

个人信息personalinformation

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

[来源：个人信息保护法]3.2

敏感个人信息personalsensitiveinformation

一旦泄露、