6.2 PA02 數據采集告知同意

6.2 PA02 數據采集告知同意

6.2.1　過程域描述

在采集外部客戶、合作伙伴等相關方的數據的過程中，需明確采集數據的目的和用途，確保數據源的真實性、有效性和最少夠用等原則要求，并規范數據采集的渠道、數據的格式以及相關的流程和方式，從而保證數據采集的合規性、正當性和執行上的一致性，符合相關法律法規要求。

6.2.2　等級描述

6.2.2.1　等級1: 非正式執行

? 制度流程：未建立對數據采集進行規范管理的流程，僅有部分業務系統中根據數據采集過程中涉及的法律法規需求執行合規風險審查。(BP.02.01)

6.2.2.2　等級 2: 計劃跟蹤

? 組織建設：在核心業務中，指定了相關團隊或人員開展數據采集的合規管理。(BP.02.02)

6.2.2.3　等級 3: 充分定義

? 組織建設：
1） 成立數據采集保護的實體/虛擬團隊，團隊由法律人員、安全人員、業務人員共同組成。該團隊負責制定相關的數據保護制度規范，并推動相關要求、流程的落地。(BP.02.04)
2） 涉及數據采集的業務團隊設立數據采集風險評估小組，對具體業務場景下的數據采集進行風險評估并制定改進方案，組織機構負責數據安全合規的團隊提供對各業務團隊風險評估小組工作的咨詢和支持。(BP.02.05)
? 制度流程：
1） 明確數據采集的目的、用途和范圍，規范數據采集的流程和方法。(BP.02.06)
2） 明確數據采集的渠道及外部數據源，要求外部數據提供方說明數據來源，并對信息來源的合法性進行確認，確保數據采集渠道的合法性和正當性。(BP.02.07)
3） 按照國內法律法規相關要求，明示采集個人信息的目的、方式和范圍，并經被采集者同意，不得采集與其提供的服務無關的個人信息。(BP.02.08)
4） 組織機構內部建立數據采集的風險評估流程，針對采集的數據源、采集頻度、采集渠道、采集方式、數據范圍和類型進行風險評估；涉及采集個人信息和重要數據的業務場景進一步依據相應的合規要求進行合規風險的評估，并防范采集過程中可能存在的數據泄漏風險。(BP.02.09)
5） 明確數據采集過程中個人信息和重要數據的知悉范圍和安全控制措施，確保采集過程中的個人信息和重要數據不被泄露。(BP.02.10)
? 技術工具：
1） 在涉及數據采集的業務系統中建立統一的數據采集流程，以保證組織機構數據采集流程實現的一致性，以及授權過程的有效記錄。(BP.02.11)
2） 采取必要的技術手段保證數據采集過程中個人信息和重要數據不被泄露。(BP.02.12)
? 人員能力：
1） 負責該項工作的人員保證充分理解數據采集的法律要求、安全和業務需求，并能夠根據組織機構內的業務場景提出針對性的解決方案。(BP.02.13)

6.2.2.4　等級 4: 量化控制

? 制度流程：建立數據采集安全合規管理效果的度量機制，如數據采集安全合規管理在業務的覆蓋率、制度流程執行效果、數據采集授權率等。(BP.02.15)
? 技術工具：
1） 采取必要的技術手段對采集的數據進行校驗，以保證其完整性和一致性。(BP.02.16)

6.2.2.5　等級 5: 持續優化

? 制度流程：數據采集安全合規管理可持續優化，持續跟蹤數據采集安全合規管理執行效果、新業務場景產生的需求、行業新技術和最佳實踐、合規新要求新變化等。(BP.02.18)