ICS35.030 CCSL80 中华人民共和国国家标准 GB/T46071—2025 数据安全技术 数据安全和个人信息 保护社会责任指南 Datasecuritytechnology—Guidanceonsocialresponsibilityofdatasecurityand personalinformationprotection 2025-08-29发布 2026-03-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 总则 2 ……………………………………………………………………………………………………… 6 组织治理 2 ………………………………………………………………………………………………… 7 合规性、创新性和价值体现 5 ……………………………………………………………………………… 8 公平运行、竞争和合作 7 …………………………………………………………………………………… 9 用户权益保护 10 …………………………………………………………………………………………… 10 公益参与和社会发展 12 ………………………………………………………………………………… 11 社会责任履行情况披露 14 ……………………………………………………………………………… 附录A(资料性) 数据安全和个人信息保护社会责任绩效评价方法 16 ………………………………… 附录B(资料性) 数据安全和个人信息保护社会责任实践案例 29 ……………………………………… 附录C(资料性) 数据安全和个人信息保护社会责任报告模板 34 ……………………………………… 参考文献 36 …………………………………………………………………………………………………… ⅠGB/T46071—2025 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:北京赛西科技发展有限责任公司、中国科学院信息工程研究所、中国电子技术标 准化研究院、中国网络安全审查认证和市场监管大数据中心、北京百度网讯科技有限公司、北京快手科 技有限公司、蚂蚁科技集团股份有限公司、国家信息技术安全研究中心、公安部第三研究所、深圳赛西信 息技术有限公司、贝壳找房(北京)科技有限公司、上海合合信息科技股份有限公司、南方电网数字电网 集团信息通信科技有限公司、天翼云科技有限公司、荣耀终端股份有限公司、北京零一万物科技有限公 司、旗天科技集团股份有限公司、北京抖音信息服务有限公司、阿里巴巴(北京)软件服务有限公司、广州 竞远安全技术股份有限公司、北京腾云天下科技有限公司、上海杉涌律师事务所、西北工业大学、深圳市 网安计算机安全检测技术有限公司、深圳国家金融科技测评中心有限公司、广州虎牙科技有限公司、 上海飞书深诺数字科技集团股份有限公司、清华大学、北京企报产经在线文化传媒有限公司、广州赛西 标准检测研究院有限公司、国浩律师(北京)事务所、北京天融信网络安全技术有限公司、华能信息技术 有限公司。 本文件主要起草人:何延哲、高能、李敏、樊华、朱雪峰、范科峰、落红卫、许玉娜、李琳、杨韬、孟亚平、 白晓媛、郭建领、张朝、黎水林、赵冉冉、宣琦、王海棠、王福彪、宋宏宇、李昳婧、何刚、陈彬、吴月升、陆冰、 彭晋、王昕、薛颖、邹秋阳、刘艾婧、徐欢、谢蜜、王平、龙军、程彦昊、吴佳美、陈深梓、王传银、张有义、廖超豪、 葛梦莹、王震、黄蓉、罗丰、徐京、黄榴勇、杜浩文、高超、盛夏、张丁爽、王明彦、张明英、赵晓娜、陈心怡、 梁哲琛、黄胜华、李政葳、张辉、晋钢、苏旖旎、韩硕、胡静、邱建中、苏力。 ⅢGB/T46071—2025 数据安全技术 数据安全和个人信息 保护社会责任指南 1 范围 本文件提供了组织实施数据安全和个人信息保护社会责任的组织治理、合规性、创新性和价值体 现、公平运行、竞争和合作、用户权益保护、公益参与和社会发展,以及社会责任履行情况披露的指南。 本文件适用于组织开展数据安全和个人信息保护社会责任相关活动,也适用于第三方机构评价组 织履行数据安全和个人信息保护社会责任的情况。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 3.1 社会责任 socialresponsibility 组织通过透明和合乎道德的行为为其决策和活动对社会和环境的影响而担当的责任。这些行为: ———致力于可持续发展,包括社会成员的健康和社会的福祉; ———考虑了利益相关方的期望; ———符合适用的法律,并与国际行为规范相一致; ———被融入整个组织并在组织关系中实施。 注1:活动包括产品、服务和过程。 注2:组织关系是指组织在其影响范围内的活动。 [来源:GB/T36000—2015,3.16] 3.2 利益相关方 stakeholders 其利益可能会受到组织决策或活动影响的个人或团体。 [来源:GB/T36000—2015,3.13] 3.3 消费者 consumer 出于私人目的而购买或使用财产、产品或服务的个人。 [来源:GB/T36000—2015,3.19] 3.4 员工 employee 与组织通过劳动合同建立起劳动关系或存在事实劳动关系的个人。 [来源:GB/T36000—2015,3.20] 1GB/T46071—2025 3.5 弱势群体 vulnerablegroup 因具有一个或多个共同特点而易遭受歧视或处于不利的社会、经济、文化、政治或健康状况,乃至缺 乏手段以实现其权利或享有平等机会的个体所组成的群体。 [来源:GB/T36000—2015,3.15] 3.6 身体机能差异人群 peoplewithphysicaldisabilities 由于身体的某些机能丧失或弱化,因而在获取和使用信息方面存在困难的人群,其中包括残障人 群、老年人群、身体机能未发育成熟的幼年人群等。 3.7 大型网络平台 largescalenetworkplatform 注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安 全、经济运行和国计民生等具有重要影响的网络平台。 4 缩略语 下列缩略语适用于本文件。 APP:应用程序(Application) 5 总则 数据安全和个人信息保护社会责任是《中华人民共和国数据安全法》《中华人民共和国个人信息保 护法》《网络数据安全管理条例》等法律法规中提出的组织应尽义务,履行数据安全和个人信息保护社会 责任是指组织在遵守数据安全和个人信息保护法律法规以及基本道德规范的基础上,最大限度地致力 于促进基于数据要素经济活动可持续发展,提升数字社会的公众福祉,弥补数字鸿沟和推进社会进步。 组织在其数据处理活动履行适用法律法规义务的基础上,宜按担责、透明、合乎道德的行为、尊重利 益相关方的利益、尊重法治、尊重国际行为规范和尊重人权等原则,从组织治理,合规性、创新性和价值 体现,公平运行、竞争和合作,用户权益保护,公益参与和社会发展五方面主题,以及主题所包含的议 题,履行数据安全和个人信息保护社会责任。 第6章~第10章中的主题和议题并不完全适用于所有组织,组织可结合所在地区的经济、社会和 环境发展水平、自身行业特征、规模、性质、发展阶段和利益相关方期望,识别确定每项数据安全和个人 信息保护社会责任主题和议题中适用的具体内容。 组织或第三方机构可通过开展数据安全和个人保护社会责任绩效评价的方式识别社会责任履行的 薄弱环节,不断提升履行数据安全和个人信息保护社会责任的成熟度,评价方法见附录A。其中,评价 得到的绩效等级并非代表社会责任工作是否到位,不同规模、发展阶段和行业特征的组织将可能分布在 不同的绩效等级,参与评价可为同等规模和同样发展阶段的同业组织提升履行社会责任水平提供参 考,帮助其制定数据安全和个人信息保护社会责任工作的方针、目标和工作计划。 组织在数据安全和个人信息保护社会责任方面的实践案例见附录B。 6 组织治理 6.1 发展理念和承诺声明 6.1.1 议题描述 发展理念是组织基于长久秉持的基本价值取向,明确组织进行决策和活动的核心指导原则,以及所 2GB/T46071—2025