ICS 33.050 CCS M 30 团体标 准 T/TAF 148—2023 电信和互联网个人信息保护 保障能力评估 规范 Telecommunications and internet evaluation specification of personal information protection and guarantee ability 2023-02-08发布 2023-02-08实施 电信终端产业协会 发布 T/TAF 148—2023 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 缩略语 ................................ ................................ ............. 2 5 个人信息保护保障能力评估基本要求 ................................ ................... 2 5.1 评估原则 ................................ ................................ ....... 2 5.2 评估架构 ................................ ................................ ....... 2 6 个人信息保护保障能力评估指 标 ................................ ....................... 3 6.1 个人信息处理活动 ................................ ............................... 3 6.2 个人信息处理者的义务 ................................ ........................... 5 7 个人信息保护保障能力评估方法 ................................ ....................... 8 7.1 评估框架 ................................ ................................ ....... 9 7.2 自评估流程 ................................ ................................ ..... 9 7.3 自评估方法 ................................ ................................ .... 10 7.4 检查评估 ................................ ................................ ...... 12 附录A（资料性）个人信息保护保障能力认证要求 ................................ ......... 13 A.1 总则 ................................ ................................ .......... 13 A.2 规范性引用 ................................ ................................ .... 13 A.3 术语和定义 ................................ ................................ .... 13 A.4 组织环境 ................................ ................................ ...... 13 A.5 领导 ................................ ................................ .......... 14 A.6 策划 ................................ ................................ .......... 14 A.7 支持 ................................ ................................ .......... 14 A.8 运行 ................................ ................................ .......... 15 A.9 评价 ................................ ................................ .......... 15 A.10 改进 ................................ ................................ ......... 16 T/TAF 148—2023 II 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位：中国信息通信研究院、 OPPO广东移动通信有限公司 、泰尔认证中心有限公司、 维 沃移动通信有限公司、北京快手科技有限公 司、南昌黑鲨科技有限公司、荣耀终端有限公司、小米通讯 技术有限公司、北京奇虎科技有限公司、蚂蚁科技集团股份有限公司、阿里巴巴（中国）有限公司、北 京三星通信技术研究有限公司、华为技术有限公司、上海兆言网络科技有限公司、北京抖音信息服务有 限公司、广州视源电子科技股份有限公司、联想（北京）有限公司、北京微梦创科网络技术有限公司 、 北京三快在线科技有限公司 、珠海市魅族科技有限公司。 本文件主要起草人： 魏凡星、 王嘉义、 傅山、李可心、陈鑫爱、李京典、姜慧格、王浩仟、刘陶、 王艳红、杜云、王宇晓、李腾、付艳艳、宁华、凌大兵、常 琳、贾科、赵盈洁、落红卫、王昕、沈彭军、 赵之成、赵晓娜、顾泽宇、杜文博、姚一楠、彭晋、林冠辰、黄天宁、吴越、衣强、李实、严涵、钱雷、 杨骁涵、肖洋、李洁、李汝鑫、刘俊、邹庆、任资政、刘瑾、祖岩岩、沈玲、毕烽。 T/TAF 148—2023 III 引 言 随着《网络安全法》、《个人信息保护法》的落地和实施，个人信息保护已经成为广大人民群众最 关心最直接最现实的利益问题之一，对个人信息处理者的个人信息保障能力要求也日益凸显。如何保障 个人在个人信息处理活动中的权利，如何约束个人信息处理者的义务成为当前急需解决的问题之一。 本 文件将落实法律法规的要 求，提出电信和互联网行业对个人信息保护能力的评估规范，指导行业进行系 统性的评估人员建设、能力建设、规程建设，落实个人信息保护工作。 T/TAF 148—2023 1 电信和互联网个人信息保护保障能力评估规范 1 范围 本文规定电信和互联网行业个人信息处理者在处理个人信息时应具备的相关保障能力， 包含个人信 息处理活动，个人信息处理者的义务等内容。 本文件适用于个人信息处理者自评估 及第三方评估机构开展评估工作 。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 35273 -2020 信息安全技术 个人信息安全规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 个人信息 personal information 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息， 不包括匿名化处理后的 信息。 [来源：个人信息保护法 ] 3.2 敏感个人信息 personal