《政企数据对接合规抽查要点及风险判定（试行）》.docxVIP

《政企数据对接合规抽查要点及风险判定（试行）》

首先核查政务侧提供数据的主体是否具备对应数据的法定管理权责，是否存在跨层级、跨部门违规调取其他政务单位数据用于对外对接的情形，涉及国家秘密、工作秘密的政务数据是否纳入禁止对接清单，确需对接的敏感政务数据是否已完成脱密处理并经本级保密行政管理部门审批。核查企业侧主体资质是否符合对接要求，涉及核心政务数据对接的企业是否取得网络安全等级保护三级以上认证，涉及重要数据、敏感个人信息处理的是否通过商用密码应用安全性评估，企业实控人、股权结构是否存在境外背景，是否符合数据出境管理相关前置要求。核查双方对接的审批及授权文件完整性，是否已纳入本级政务数据共享开放目录范畴，是否取得政务数据主管部门（大数据管理机构）的正式备案，是否经政务数据提供方的上级主管部门审批同意，双方签订的数据处理协议是否明确约定数据对接的范围、用途、期限、数据安全责任、衍生数据权属及销毁要求，涉及处理不满十四周岁未成年人个人信息、生物识别、医疗健康、金融账户等敏感个人信息的，是否具备对应场景下的法定合规依据，确需获取个人信息的是否已按照最小必要原则取得信息主体的单独同意，不存在一揽子授权、强制授权等情形。

核查接口权限配置是否符合最小粒度原则，是否存在超出企业申请需求开放多余数据字段、全量数据查询权限的情形，是否针对不同企业账号设置分级调用权限，不存在超职级、超角色权限调用的漏