总体要求

数据识别

网络运营者是否已在运营过程中识别数据处理涉及的数据（含个人信息、重要数据和其他数据），形成了数据保护目录并及时更新？

□是

□否

分类分级

网络运营者是否按照相关国家标准与合同、运营的需要，对所识别的数据进行了分类分级管理？

□是

□否

风险防控

网络运营者是否建立了数据安全管理责任和评价考核制度？

□是

□否

网络运营者是否制定了数据安全保护计划，并定期开展安全风险评估及教育培训？

□是

□否

审计追溯

网络运营者是否对数据处理的全生存周期进行了记录？

□是

□否

安全技术要求

收集

是否制定和公开个人信息保护政策并严格遵守？

□是

□否

在收集个人信息前，是否向个人信息主体明示个人信息保护政策并获得其同意？

□是

□否

个人信息保护政策中是否明示了提供的产品或服务的类型及所必需的个人信息？

□是

□否

当处理个人信息的目的、类型、范围或用途等发生改变时，是否及时修改个人信息保护政策？

□是

□否

修改个人信息保护政策后，是否重新征得了个人信息主体的同意？

□是

□否

是否因用户不同意或撤回同意提供该产品或服务所必需的个人信息以外的信息而拒绝向用户提供该产品或服务？

□是

□否

是否采取措施防止仅以“改善服务质量、提升用户体验、定向推送信息、研发新产品”等目的，强烈要求、误导用户同意收集个人信息？

□是

□否

在收集敏感个人信息前，是否取得了个人信息主体的单独同意？该同意是否是在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示？

□是

□否

收集不满十四周岁的未成年人个人信息前，是否取得了未成年人的父母或者其他监护人的单独同意？

□是

□否

如从个人信息主体以外的其他途径获得个人信息的，是否知晓个人信息来源及个人信息提供方已获得的个人信息处理授权同意范围，并按照《个人信息保护法》《信息安全技术 网络数据处理安全要求》（GB/T 41479-2022）等法律规范的要求履行安全保护义务？

□是

□否

存储

网络运营者是否对数据存储活动采取了如下安全措施：

1

针对重要数据和个人信息等敏感数据，采用加密、安全存储、访问控制、安全审计等安全措施；

□是

□否

2

是否按照重要数据和个人信息主体约定的存储期限或个人信息主体授权同意的有效期存储重要数据和个人信息；

□是

□否

3

存储个人生物特征识别信息的，是否遵守GB/T 35273-2020中 6.3 b)和c)的要求及生物特征识别信息保护相关国家标准要求？

□是

□否

数据接收方存储数据时，是否按照要求采取安全措施并以合同进行约定？

□是

□否

使用

网络运营者在为用户提供定向推送或信息合成服务时，是否遵守了如下要求：

1

利用个人信息和算法为用户提供定向推送信息服务的，同时提供了非定向推送信息的服务选项；

□是

□否

2

在提供定向推送服务时，显著区分定向推送和非定向推送的内容（如标明“定推”等字样）；

□是

□否

3

在提供定向推送服务时，是否向用户提供选择或者删除用于该服务的针对其个人特征的用户标签的功能；

□是

□否

4

在向个人信息主体提供新闻、博客类信息服务的过程中，如果利用算法自动合成文字、图片、音视频等信息，是否明确告知用户该情况？

□是

□否

网络运营者所提供的产品或服务中如果接入或者嵌入了第三方应用的，是否遵守了如下要求：

1

通过合同等形式明确双方的数据安全保护责任和义务；

□是

□否

2

监督第三方应用运营者加强数据安全管理，如发现第三方应用没有落实安全管理责任的，及时督促其整改，并在必要时停止接入；

□是

□否

3

是否对接入或嵌入的第三方应用开展技术检测，以确保其数据处理行为符合双方约定要求？如在审计过程中发现超出双方约定的行为时是否及时停止接入？

□是

□否

网络运营者在开展数据加工活动的过程中，如知道或者应知道可能危害国家安全、公共安全、经济安全和社会稳定的，是否立即停止加工活动？

□是

□否

网络运营者在数据传输活动中是否采取如下安全措施：

1

在传输重要数据和个人敏感信息时，采取加密、脱敏等安全措施；

□是

□否

2

向数据接收方传输数据时，按照法律要求采取安全措施并以合同进行约定？

□是

□否

向他人提供

网络运营者向他人提供数据前，是否遵守如下要求：

1

向个人信息主体告知接受方的名称、联系方式、处理目的、处理方式、个人信息的种类、存储期限，并取得个人信息主体的同意；

□是

□否

2

共享、转让重要数据时，与数据接受方通过合同等形式明确双方的数据安全保护责任和义务，并采取加密、脱敏等措施保障重要数据安全；

□是

□否

3

委托第三方开展数据处理活动时，通过合同等形式明确约定委托处理的目的、期限、处理方式等双方的权利义务？

□是

□否

数据出境

网络运营者向境外提供个人信息或者重要数据的，是否遵守《网络安全法》《数据安全法》及《个人信息保护法》等国家相关规定和相关标准的要求？

□是

□否

网络运营者的境内用户在境内访问境内网络的，是否采取措施防止该流量路由至境外？

□是

□否

数据公开

网络运营者在利用所掌握的数据资源进行公开市场预测、统计信息时，是否存在危害国家安全、公共安全、经济安全和社会稳定的可能性？

□是

□否

私人信息和可转发信息

即时通信等社交平台运营者是否向用户提供私人信息和可转发信息的选项？

□是

□否

社交平台运营者对私人选项发送的信息是否给予严格保护，且不提供转发功能？

□是

□否

对于以可转发选项发送的信息，或在转发此类信息时，社交平台运营者是否同时发送信息始发者在该平台上的账号名称，同时确保该账号名称唯一且不可更改？

□是

□否

个人信息查、更正、删除及用户账号注销

是否建立能够及时响应个人信息主体查阅、复制、更正、删除其个人信息及注销账号请求的渠道和机制？

□是

□否

如决定不响应个人信息主体的请求，是否向个人信息主体告知该决定的理由，并向个人信息主体提供投诉的途径?

□是

□否

投诉、举报受理处置

网络运营者是否建立投诉、举报受理处置制度？

□是

□否

网络运营者是否能在接受投诉举报起3天内受理？

□是

□否

网络运营者对于查实的投诉举报，是否能依法采取停止传输、消除等处理措施？

□是

□否

访问控制与审计

网络运营者开展数据处理活动时，是否遵守如下要求：

□是

□否

1

基于数据分类登记，明确相关人员的访问权限，以防止非授权访问；

□是

□否

2

是否针对重要数据、个人信息的关键操作（如批量修改、拷贝、删除、下载）设置内部审批和审计流程并严格执行？

□是

□否

数据删除和匿名化处理

网络运营者是否在下述情况中对个人信息进行删除或匿名化处理：

1

个人信息超出双方约定的存储期限时；

□是

□否

2

网络产品和服务停止运营时；

□是

□否

3

个人信息主体注销账号，或者用户撤回同意时？

□是

□否

网络运营者在对存储重要数据和个人信息的介质进行报废处理时，是否采用物理损毁等方式销毁介质，以确保重要数据和个人信息不能被恢复？

□是

□否

安全管理要求

数据安全负责人

如果网络运营者在开展经营和服务活动过程中，需处理重要数据和敏感信息的，是否指定数据安全责任人？

□是

□否

是否要求数据安全责任人履行以下职责：

1

组织确定数据保护目录，制定数据安全保护计划并督促落实；

□是

□否

2

组织开展数据安全影响分析和风险评估，督促整改安全隐患；

□是

□否

3

依法向有关部门报告数据安全保护和事件处置情况；

□是

□否

4

组织受理和处置数据安全投诉、举报？

□是

□否

人力资源保障与考核

网络运营者是否明确数据安全保护岗位及职责，并提供人力资源保障？

□是

□否

是否建立人力资源考核制度及数据安全管理考核指标和问责机制？

□是

□否

事件应急处置

应急响应机制是否包含如下模块：

1

数据安全事件分级；

□是

□否

2

启动条件；

□是

□否

3

启动所需的资源（人员、设备、场所、工具、资金等）；

□是

□否

4

流程、人员安排和操作手册？

□是

□否

是否已经配齐应急响应所需的资源以确保应急响应机制能够有效实施？

□是

□否

是否已经制定应急演练计划并开展演练？

□是

□否