數(shù)據(jù)合規(guī)清單數(shù)據(jù)戰(zhàn)略的規(guī)劃與制定1.是否對業(yè)務(wù)和現(xiàn)有資源中涉及的數(shù)據(jù)進行調(diào)查，是否明確數(shù)據(jù)合規(guī)所涉及的法律法規(guī)？□是□否2.公司是否有上市需求，是否涉及數(shù)據(jù)交易？□是□否3.是否對業(yè)務(wù)和現(xiàn)有資源等情況進行評估，充分了解自身數(shù)據(jù)需求、數(shù)據(jù)類型、數(shù)據(jù)主體、數(shù)據(jù)的生命周期，以及企業(yè)在數(shù)據(jù)處理各個環(huán)節(jié)中的不同風險？□是□否4.企業(yè)數(shù)據(jù)戰(zhàn)略所涉及的業(yè)務(wù)領(lǐng)域，是否屬于大數(shù)據(jù)、云計算、互聯(lián)網(wǎng)金融、電子商務(wù)、自動駕駛、人工智能、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)？□是□否5.是否結(jié)合業(yè)務(wù)需求、監(jiān)管要求、自身能力，確定企業(yè)數(shù)據(jù)安全目標，制定數(shù)據(jù)安全戰(zhàn)略，并定期進行審查修訂？□是□否6.是否建立或指定負責企業(yè)內(nèi)部數(shù)據(jù)處理各環(huán)節(jié)安全工作的部門、崗位或人員？□是□否7.是否根據(jù)崗位職責設(shè)置各級數(shù)據(jù)處理權(quán)限，按照最小必要、職權(quán)分離等原則，授予不同賬戶為完成各自承擔任務(wù)所需的最小權(quán)限，在各賬號間形成相互制約的關(guān)系？□是□否8.是否存在過往數(shù)據(jù)合規(guī)相關(guān)的訴訟、仲裁、行政處罰、投訴、安全事件等情況？□是□否9.是否有對網(wǎng)絡(luò)安全和數(shù)據(jù)保護相關(guān)的刑事風險的診斷及合規(guī)指引？□是□否10.是否面臨監(jiān)管部門網(wǎng)絡(luò)安全執(zhí)法調(diào)查、約談等事件？□是□否11.若企業(yè)為重要數(shù)據(jù)處理者，是否明確數(shù)據(jù)安全負責人和管理機構(gòu)？□是□否基礎(chǔ)制度的制定與完善1.是否需要制定《數(shù)據(jù)安全管理辦法》、《數(shù)據(jù)合規(guī)風險自查清單》、《數(shù)據(jù)合規(guī)操作指引手冊》、《數(shù)據(jù)安全事件處理制度及應(yīng)急預(yù)案》、《隱私政策》等制度？□是□否2.是否開展數(shù)據(jù)分類分級工作？□是□否3.是否建立風險監(jiān)測制度，采取措施監(jiān)控內(nèi)部數(shù)據(jù)處理活動和外部訪問活動，防范不正當?shù)臄?shù)據(jù)訪問和處理行為？□是□否4.是否把對高敏感數(shù)據(jù)的處理以及特權(quán)賬戶對數(shù)據(jù)的訪問和操作都納入重點監(jiān)控范圍？□是□否5.是否建立數(shù)據(jù)安全事件應(yīng)急制度？是否建立數(shù)據(jù)泄露通知機制？□是□否6.是否制定數(shù)據(jù)安全事件應(yīng)急預(yù)案并定期進行演練？□是□否7.是否設(shè)立數(shù)據(jù)管理機構(gòu)及責任部門？是否建立數(shù)據(jù)問責制度？□是□否8.是否定期對員工進行數(shù)據(jù)培訓(xùn)，并考察員工能力與崗位職責的匹配程度？□是□否9.是否建立數(shù)據(jù)安全審計制度，定期引入第三方機構(gòu)對內(nèi)部數(shù)據(jù)處理活動進行審計？□是□否10.若企業(yè)為重要數(shù)據(jù)處理者，是否定期對其數(shù)據(jù)處理活動定期開展風險評估，并向有關(guān)主管部門報送風險評估報告？□是□否數(shù)據(jù)的收集1.數(shù)據(jù)收集是否合法、正當、最小必要？□是□否2.數(shù)據(jù)收集是否為數(shù)據(jù)主體提供了查詢、更正、刪除、撤回授權(quán)同意、注銷賬戶、獲取個人信息副本、響應(yīng)數(shù)據(jù)主體的請求、投訴管理的渠道，是否保障數(shù)據(jù)主體的權(quán)利？□是□否3.是否在數(shù)據(jù)收集前對用戶進行充分告知？是否以清晰明確、易于理解的方式，向用戶告知有關(guān)數(shù)據(jù)收集和處理的相關(guān)信息？□是□否4.是否獲取了數(shù)據(jù)主體的同意？是否保證數(shù)據(jù)主體可以撤回其處理數(shù)據(jù)的同意？□是□否5.是否涉及收集未成年人的數(shù)據(jù)？□是□否6.是否在數(shù)據(jù)分類分級基礎(chǔ)上明確收集數(shù)據(jù)目的和用途，數(shù)據(jù)收集流程及數(shù)據(jù)收集安全管理要求等制度并及時更新？□是□否7.是否規(guī)定數(shù)據(jù)收集的渠道及外部數(shù)據(jù)源鑒定方式，并對收集來源方式、數(shù)據(jù)范圍和類型進行記錄，確保數(shù)據(jù)來源的合法性？□是□否8.是否提供滿足數(shù)據(jù)收集安全要求的安全管理技術(shù)方案？□是□否9.是否定期對數(shù)據(jù)收集工具進行安全測試并持續(xù)優(yōu)化？□是□否10.數(shù)據(jù)收集人員是否能充分理解數(shù)據(jù)收集的法律要求、安全和業(yè)務(wù)需求，并能根據(jù)業(yè)務(wù)需求和具體清況選擇合理的數(shù)據(jù)收集方式？□是□否數(shù)據(jù)的處理1.是否保證對數(shù)據(jù)的糾正、刪除、訪問、限制處理、移植？□是□否2.是否存在數(shù)據(jù)爬蟲、數(shù)據(jù)畫像等使用？是否存在限制數(shù)據(jù)使用的不正當競爭行為？□是□否3.是否涉及數(shù)據(jù)的公開披露？□是□否4.數(shù)據(jù)公開披露是否事先征得了授權(quán)同意以及授權(quán)同意的例外？□是□否5.是否保存數(shù)據(jù)處理的副本？□是□否6.是否保存數(shù)據(jù)處理的記錄？□是□否7.是否保證數(shù)據(jù)處理的權(quán)限是最小必要性？是否保證沒有權(quán)限的員工無法處理數(shù)據(jù)？□是□否8.是否保證數(shù)據(jù)使用時的加密處理？□是□否9.是否在數(shù)據(jù)分類分級基礎(chǔ)上，明確各業(yè)務(wù)場景數(shù)據(jù)使用范圍和權(quán)限、合規(guī)要求、使用安全防護要求和數(shù)據(jù)使用限制等各項制度并及時更新？□是□否10.是否明確數(shù)據(jù)使用權(quán)限審批流程，對數(shù)據(jù)源、數(shù)據(jù)使用場景、數(shù)據(jù)使用范圍、數(shù)據(jù)使用邏輯進行審核以開放相應(yīng)權(quán)限？□是□否11.是否對使用數(shù)據(jù)輸出的業(yè)務(wù)結(jié)果進行安全審查，避免業(yè)務(wù)結(jié)果包含不必要的敏感數(shù)據(jù)？□是□否12.是否提供滿足數(shù)據(jù)使用安全要求的安全管理技術(shù)方案？是否保證數(shù)據(jù)使用的硬件安全、物理安全、技術(shù)安全？□是□否13.是否定期對支撐數(shù)據(jù)使用安全的技術(shù)工具進行安全測試并持續(xù)優(yōu)化？□是□否14.使用數(shù)據(jù)的人員是否能基于業(yè)務(wù)場景和合規(guī)要求對數(shù)據(jù)使用過程中所可能引發(fā)的安全風險進行有效的評估，并能夠針對各業(yè)務(wù)場景提出有效的解決方案？□是□否數(shù)據(jù)的存儲1.是否按照法定要求留存相應(yīng)數(shù)據(jù)？數(shù)據(jù)存儲是否滿足時間的最小化要求？□是□否2.是否在數(shù)據(jù)分類分級基礎(chǔ)上建立數(shù)據(jù)存儲安全制度，包括存儲介質(zhì)及邏輯存儲管理、存儲系統(tǒng)結(jié)構(gòu)設(shè)計、介質(zhì)保存環(huán)境、數(shù)據(jù)加密存儲、數(shù)據(jù)備份與恢復(fù)等各項制度，制定差異化的數(shù)據(jù)存儲方案并及時更新？□是□否3.是否對存儲的數(shù)據(jù)進行去標識化處理？是否對數(shù)據(jù)分類分級存儲？□是□否4.是否提供滿足數(shù)據(jù)存儲安全要求的安全管理技術(shù)方案？是否保證數(shù)據(jù)存儲的硬件安全、物理安全、技術(shù)安全？□是□否5.是否定期對支撐數(shù)據(jù)存儲安全的技術(shù)工具進行安全測試并持續(xù)優(yōu)化？□是□否6.負責數(shù)據(jù)存儲管理的人員是否熟悉數(shù)據(jù)存儲結(jié)構(gòu)，具備根據(jù)技術(shù)發(fā)展、實踐案例、合規(guī)要求變化調(diào)整數(shù)據(jù)存儲方案的能力？□是□否數(shù)據(jù)的傳輸1.是否涉及數(shù)據(jù)的跨境傳輸？是否存在不可出境的數(shù)據(jù)、限制出境的數(shù)據(jù)、無跨境流通限制的數(shù)據(jù)？□是□否2.是否履行了數(shù)據(jù)跨境傳輸相關(guān)法律法規(guī)規(guī)定的程序要求？□是□否3.是否需要出具數(shù)據(jù)傳輸?shù)陌踩u估報告？□是□否4.是否涉及域外法律的適用？□是□否第三方數(shù)據(jù)處理1.是否在數(shù)據(jù)分類分級基礎(chǔ)上，明確各業(yè)務(wù)場景中數(shù)據(jù)對外提供的范圍、目的、方式、安全管理措施等各項制度并及時更新？□是□否2.是否明確向境外提供數(shù)據(jù)的安全管理規(guī)范？□是□否3.是否涉及數(shù)據(jù)的委托處理、共享、轉(zhuǎn)讓？收購、兼并、重組、破產(chǎn)時的數(shù)據(jù)轉(zhuǎn)讓的合法合規(guī)性？□是□否4.第三方使用數(shù)據(jù)是否符合協(xié)議約定和法律規(guī)定？□是□否5.是否對外部數(shù)據(jù)接收者進行評估，以確保其具備足夠的數(shù)據(jù)保護能力？□是□否6.是否與外部數(shù)據(jù)接收者簽訂協(xié)議，明確數(shù)據(jù)使用方式、數(shù)據(jù)留存時間、數(shù)據(jù)安全保護責任及保密義務(wù)？□是□否7.在數(shù)據(jù)對外提供后，是否對外部數(shù)據(jù)接收者的數(shù)據(jù)處理行為進行監(jiān)督？□是□否8.是否提供滿足數(shù)據(jù)對外提供安全要求的安全管理技術(shù)方案？□是□否9.是否定期對支撐數(shù)據(jù)對外提供安全的技術(shù)工具進行安全測試并持續(xù)優(yōu)化？□是□否10.負責數(shù)據(jù)對外提供的人員是否充分了解數(shù)據(jù)對外提供制度，能夠?qū)?shù)據(jù)接收者的安全保護能力進行評估，以采取合理的數(shù)據(jù)對外提供方案？□是□否數(shù)據(jù)的刪除1.是否在數(shù)據(jù)分類分級的基礎(chǔ)上，建立數(shù)據(jù)刪除、存儲介質(zhì)銷毀、對外提供數(shù)據(jù)刪除及介質(zhì)銷毀等各項制度并及時更新？□是□否2.是否建立數(shù)據(jù)刪除、存儲介質(zhì)銷毀流程和審批機制，對審批和銷毀過程進行完整記錄？□是□否3.是否提供滿足數(shù)據(jù)刪除要求的安全管理技術(shù)方案？□是□否4.是否定期對支撐數(shù)據(jù)刪除的技術(shù)工具進行安全測試并持續(xù)優(yōu)化？□是□否5.負責數(shù)據(jù)刪除的人員是否熟悉數(shù)據(jù)刪除的相關(guān)合規(guī)要點，能夠根據(jù)需求使用相應(yīng)的數(shù)據(jù)刪除工具、介質(zhì)銷毀工具？□是□否數(shù)據(jù)的物理、技術(shù)安全1.是否使用假名化、加密等措施？□是□否2.是否有保障數(shù)據(jù)處