1.项目概括

1.1. 项目背景

当前已开展了数据安全、信息安全相关认证、等级保护测评以及信息安全、个人隐私保护、数据安全相关的专项和改善动作，但对于目前这些做法在满足国内个人隐私保护相关法律法规、监管要求、行业标准的符合程度上缺少独立、第三方的判断和评价， (略) 个人隐私保护合规性现状，对于相关资源投入重心缺少详细方向指导。

1.2. 项目建设意义和必要性

通过聘请外部第三方权威机构，基于对《网络安全法》、《数据安全法》和《个人信息保护法》、《 信息安全技术 个人信息安全规范 》《个人信息出境安全评估办法》 等国内法律法规、相关政策文件、规范标准的梳理，形成完整的个人隐私合规性评估检查表，对选定范围进行个人隐私合规性评估并给出整改意见，并完善制度体系。

基于选定范围的实施过程沉淀形成的个人隐私合规性评估方法论及评估表，对其他范围进行扩展评估。为后续开展个人隐私合规工作找出差距项，明确后续工作投入方向和重心。 (略) 在个人隐私合规性上达到国内相关要求，整体合规。

2.实施范围

美居app、中台、云服务平台、C4A、大数据、南海IDC、DB Link，以及美的社区、美的服务公众号、客户服务系统（CSS）、美云销（C-MCSP）、美的到家(C-CMS)相关涉及个人敏感信息的系统。

3.项目目标

1.2.3.整体评价美的集团在个人隐私合规角度的满足程度，重点关注国内监管合规情况，选取试点范围，聘请外部第三方权威机构，对试点范围的内业务、系统等从国内相关隐私合规法律、法规、监管要求、行业标准等出发，全面评价试点范围内的个人隐私合规性现状，并给出相应整改意见及制度修订完善服务。覆盖《网络安全法》、《数据安全法》和《个人信息保护法》、《 信息安全技术 个人信息安全规范 》《个人信息出境安全评估办法》等国内法律法规、相关政策文件、规范标准，对美居app、中台、云服务平台、C4A、大数据、南海IDC、DB Link，以及美的社区、美的服务公众号、客户服务系统（CSS）、美云销（C-MCSP）、美的到家(C-CMS)相关涉及个人敏感信息的系统进行个人隐私合规性评估并给出整改意见，并完善制度体系。

基于试点范围沉淀形成可复用的个人隐私合规性评估方法论及评估表，以便对其他业务范围进行扩展评估

3.方案应对建议书要求

4.评估标准包括但不限于：

中国《网络安全法》、《数据安全法》和《个人信息保护法》对于企业的要求，以及参考国内国家标准GBT 35273-2020 《信息安全技术个人信息安全规范》、GB_T 37964-2019 《信息安全技术 个人信息去标识化指南》、GB-T 39335-2020《信息安全技术 个人信息安全影响评估指南》、《信息安全技术 网络数据分类分级要求》、《网络数据安全管理条例》(征求意见稿)、《电信和互联网企业数据安全合规性评估要点》、《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)、YD/T 3802-2020《电信网和互联网数据安全通用要求》、YD/T 2693-2014《电信和互联网用户个人电子信息保护检测要求》与国际隐私管理体系 ISO27701等标准，整合确定个人隐私合规相关评价项，进行评价。

供应商的工作应至少包含：

4.1 准备阶段

确定合规依据、建立团队、制定计划、明确建设目标和范围、收集相关资料，确定项目总体工作方针。合规依据的确定，需要根据本次选定业务所在行业、所属地域等，分析相关个人隐私保护和数据安全法律法规、政策文件、标准规范等文件形成合规依据，建立所应遵守的“合规清单”并形成个人隐私合规评估要点。评估的范围和目标方面，需要根据美的的业务与系统特点，确定评估的对象、重点关注数据类型等内容。之后确定目标组织合规目标，制定出合规评估的要点和细项。

4.2调研阶段

个人隐私保护工作初评，明确当前选定范围内的个人隐私保护工作现状。

4.3 差距分析阶段

分析安全现状与目标之间的差距，列出不符合项。

分析所选范围的个人隐私保护现状，差距分析以通用安全、组织架构、数据处理活动安全、安全技术等方面开展。包括但不限于组织架构、制度文件、分类分级、第三方管理、接口管理、审批流程、数据处理活动、安全技术能力、交易培训、人员能力等方面进行评估评价。

4.4整改提升阶段

提出整改建议，并辅导范围内业务改进和完善组织架构、制度规范、技术等能力。

4.5 复评总结阶段

总结建设完成后的效果，输出评估报告，制定后续工作提升方案和工作计划。以业务为单位输出各业务的个人隐私合规性评估报告。

此阶段达到以下三个目标：一是综合评价范围内的个人隐私保护和数据安全合规总体水平和关键业务系统数据安全管控技术能力；二是呈现个人隐私保护和数据安全合规体系建设与提升过程；三是明确提出后续个人信息合规性保护工作方向和步骤。

5.交付物

应提交的交付物包括但不限于以下：

项目阶段

交付物

准备阶段： 项目推进任务分工表、项目工作计划、项目工作介绍PPT、资料收集清单

调研阶段： 系统情况调研问卷、个人隐私合格性评估清单、业务场景梳理表/图

差距分析阶段： 合规分析记录、差距分析及整改建议、

整改提升阶段： 个人隐私合规性改进计划、个人隐私合规技术改进方案、个人隐私合规性支撑制度、

复评总结阶段： 企业个人隐私合规性评估报告、业务系统个人隐私合规性评估报告、教育培训

完成阶段： 供应商于官方或是安全大会进行美的正面案例宣传

6.对供应商要求

1)需要是工业和信息化部认可的信息安全测评机构，同时承担过国家级行业级安全标准的研究编写工作。

2)具备数据安全产品、技术能力测试与评估能力和经验。

3)具有良好的技术支持力量、项目管理经验和原厂商的技术支持；

4)具有优质的售后服务。

5)要求提供工程师详细名单及资质，实施项目详细情况。

6)针对项目组需求建议书要求标准，中标供应商合同中将明确对人员、设备到场时间违反的处罚条款

7)应包含项目的主要阶段及其时间节点，阶段内工作内容和服务方式，列明美的需要配合的人员属性及大概周期预估，供应商负责人员的现场时间、远程时间、合计工作量及预估费用等详情；若针对每阶段有其他优势均可列出，如服务优势、地理优势、资质优势、企业背景等

8)涉及敏感信息，部分流程处理环节及信息需要签订正式合同后方可详细共享信息

7.服务人员要求

1）要求投标方至少指定2名专职服务人员，服务人员要保证24小时电话通畅，至少保证第一时间能够联系到一名服务人员；

2）安排专人负责本项目支持，并提供其联系手机、电话、传真、Email；如人员需要调整应及时通知采购方；

3）项目服务人员需具备5年以上个人隐私保护相关项目经验，且参与过至少3个制造业、互联网行业相关项目。

8.文档移交和培训

中标方在服务项目实施过程中，必须及时将服务过程中产生的各类技术文档、相关资料交付采购单位。

9.安全及保密要求

中标方及其安排为现场服务人员（专人）须与采购方签订保密协议，现场服务人员须遵循采购方的各项规章制度。所接触的交委专有信息仅限于本人在本项目中使用，不得向他人泄露，更不得用于演示或宣传。

10.知识产权

1) 中标方为执行本合同而使用的与本合同无关的单位或个人的技术资料、软件、工具等，如受第三方提出的侵犯其专利权、商标权或其它知识产权的起诉，由中标方承担一切责任。

2) 中标方在执行合同中向采购方提供服务所产生的所有技术资料、文档等的所有权和软件著作权归采购方所有。

11.售后服务要求

（1）售后服务内容

在本服务项目结束后的2个月售后服务期限内提供相关咨询和项目审查等支持。

（2）售后服务要求

1）投标人在投标文件中应提供详细的售后服务承诺书；

2）安排专人负责售后技术支持，并提供其联系手机、电话、传真、Email；如人员需要调整应及时通知采购人；

3）按采购人要求完成售后服务。

（3）售后服务期限

本项目最后成果提交采购人后即进入售后服务期，要求由中标单位提供三个月的技术支持。

12.其它要求

供应商自身具备本项目所需要的全部专业技能且须直接提供服务，不接受分包和转包。

供应商应与美的签署保密协议，充分确保项目内容的机密性。

供应商不可转包或分包本项目给任何第三方，不可转包或分包本项目给分支机构或下属单位。

供应商在服务实施方案中必须标注实施人员为现场服务人员还是后台支持人员。

供应商应该提供项目经理和项目组成员的简历，包括个人基本信息、学历、工作经验、参与同类服务项目案例情况。

投标人的项目经理和项目成员名单应注明项目参与方式（现场或远程），项目成员不少于4人，现场人员（含项目经理）不少于2人。

评估实施人员不得将评估中有关美的信息泄漏给第三方。

评估方应说明开展项目的详细工作流程和具体实施步骤。

评估方应说明开展项目所依照的相关评估标准。

1.项目概括

1.1. 项目背景

当前已开展了数据安全、信息安全相关认证、等级保护测评以及信息安全、个人隐私保护、数据安全相关的专项和改善动作，但对于目前这些做法在满足国内个人隐私保护相关法律法规、监管要求、行业标准的符合程度上缺少独立、第三方的判断和评价， (略) 个人隐私保护合规性现状，对于相关资源投入重心缺少详细方向指导。

1.2. 项目建设意义和必要性

通过聘请外部第三方权威机构，基于对《网络安全法》、《数据安全法》和《个人信息保护法》、《 信息安全技术 个人信息安全规范 》《个人信息出境安全评估办法》 等国内法律法规、相关政策文件、规范标准的梳理，形成完整的个人隐私合规性评估检查表，对选定范围进行个人隐私合规性评估并给出整改意见，并完善制度体系。

基于选定范围的实施过程沉淀形成的个人隐私合规性评估方法论及评估表，对其他范围进行扩展评估。为后续开展个人隐私合规工作找出差距项，明确后续工作投入方向和重心。 (略) 在个人隐私合规性上达到国内相关要求，整体合规。

2.实施范围

美居app、中台、云服务平台、C4A、大数据、南海IDC、DB Link，以及美的社区、美的服务公众号、客户服务系统（CSS）、美云销（C-MCSP）、美的到家(C-CMS)相关涉及个人敏感信息的系统。

3.项目目标

1.2.3.整体评价美的集团在个人隐私合规角度的满足程度，重点关注国内监管合规情况，选取试点范围，聘请外部第三方权威机构，对试点范围的内业务、系统等从国内相关隐私合规法律、法规、监管要求、行业标准等出发，全面评价试点范围内的个人隐私合规性现状，并给出相应整改意见及制度修订完善服务。覆盖《网络安全法》、《数据安全法》和《个人信息保护法》、《 信息安全技术 个人信息安全规范 》《个人信息出境安全评估办法》等国内法律法规、相关政策文件、规范标准，对美居app、中台、云服务平台、C4A、大数据、南海IDC、DB Link，以及美的社区、美的服务公众号、客户服务系统（CSS）、美云销（C-MCSP）、美的到家(C-CMS)相关涉及个人敏感信息的系统进行个人隐私合规性评估并给出整改意见，并完善制度体系。

基于试点范围沉淀形成可复用的个人隐私合规性评估方法论及评估表，以便对其他业务范围进行扩展评估

3.方案应对建议书要求

4.评估标准包括但不限于：

中国《网络安全法》、《数据安全法》和《个人信息保护法》对于企业的要求，以及参考国内国家标准GBT 35273-2020 《信息安全技术个人信息安全规范》、GB_T 37964-2019 《信息安全技术 个人信息去标识化指南》、GB-T 39335-2020《信息安全技术 个人信息安全影响评估指南》、《信息安全技术 网络数据分类分级要求》、《网络数据安全管理条例》(征求意见稿)、《电信和互联网企业数据安全合规性评估要点》、《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)、YD/T 3802-2020《电信网和互联网数据安全通用要求》、YD/T 2693-2014《电信和互联网用户个人电子信息保护检测要求》与国际隐私管理体系 ISO27701等标准，整合确定个人隐私合规相关评价项，进行评价。

供应商的工作应至少包含：

4.1 准备阶段

确定合规依据、建立团队、制定计划、明确建设目标和范围、收集相关资料，确定项目总体工作方针。合规依据的确定，需要根据本次选定业务所在行业、所属地域等，分析相关个人隐私保护和数据安全法律法规、政策文件、标准规范等文件形成合规依据，建立所应遵守的“合规清单”并形成个人隐私合规评估要点。评估的范围和目标方面，需要根据美的的业务与系统特点，确定评估的对象、重点关注数据类型等内容。之后确定目标组织合规目标，制定出合规评估的要点和细项。

4.2调研阶段

个人隐私保护工作初评，明确当前选定范围内的个人隐私保护工作现状。

4.3 差距分析阶段

分析安全现状与目标之间的差距，列出不符合项。

分析所选范围的个人隐私保护现状，差距分析以通用安全、组织架构、数据处理活动安全、安全技术等方面开展。包括但不限于组织架构、制度文件、分类分级、第三方管理、接口管理、审批流程、数据处理活动、安全技术能力、交易培训、人员能力等方面进行评估评价。

4.4整改提升阶段

提出整改建议，并辅导范围内业务改进和完善组织架构、制度规范、技术等能力。

4.5 复评总结阶段

总结建设完成后的效果，输出评估报告，制定后续工作提升方案和工作计划。以业务为单位输出各业务的个人隐私合规性评估报告。

此阶段达到以下三个目标：一是综合评价范围内的个人隐私保护和数据安全合规总体水平和关键业务系统数据安全管控技术能力；二是呈现个人隐私保护和数据安全合规体系建设与提升过程；三是明确提出后续个人信息合规性保护工作方向和步骤。

5.交付物

应提交的交付物包括但不限于以下：

项目阶段

交付物

准备阶段： 项目推进任务分工表、项目工作计划、项目工作介绍PPT、资料收集清单

调研阶段： 系统情况调研问卷、个人隐私合格性评估清单、业务场景梳理表/图

差距分析阶段： 合规分析记录、差距分析及整改建议、

整改提升阶段： 个人隐私合规性改进计划、个人隐私合规技术改进方案、个人隐私合规性支撑制度、

复评总结阶段： 企业个人隐私合规性评估报告、业务系统个人隐私合规性评估报告、教育培训

完成阶段： 供应商于官方或是安全大会进行美的正面案例宣传

6.对供应商要求

1)需要是工业和信息化部认可的信息安全测评机构，同时承担过国家级行业级安全标准的研究编写工作。

2)具备数据安全产品、技术能力测试与评估能力和经验。

3)具有良好的技术支持力量、项目管理经验和原厂商的技术支持；

4)具有优质的售后服务。

5)要求提供工程师详细名单及资质，实施项目详细情况。

6)针对项目组需求建议书要求标准，中标供应商合同中将明确对人员、设备到场时间违反的处罚条款

7)应包含项目的主要阶段及其时间节点，阶段内工作内容和服务方式，列明美的需要配合的人员属性及大概周期预估，供应商负责人员的现场时间、远程时间、合计工作量及预估费用等详情；若针对每阶段有其他优势均可列出，如服务优势、地理优势、资质优势、企业背景等

8)涉及敏感信息，部分流程处理环节及信息需要签订正式合同后方可详细共享信息

7.服务人员要求

1）要求投标方至少指定2名专职服务人员，服务人员要保证24小时电话通畅，至少保证第一时间能够联系到一名服务人员；

2）安排专人负责本项目支持，并提供其联系手机、电话、传真、Email；如人员需要调整应及时通知采购方；

3）项目服务人员需具备5年以上个人隐私保护相关项目经验，且参与过至少3个制造业、互联网行业相关项目。

8.文档移交和培训

中标方在服务项目实施过程中，必须及时将服务过程中产生的各类技术文档、相关资料交付采购单位。

9.安全及保密要求

中标方及其安排为现场服务人员（专人）须与采购方签订保密协议，现场服务人员须遵循采购方的各项规章制度。所接触的交委专有信息仅限于本人在本项目中使用，不得向他人泄露，更不得用于演示或宣传。

10.知识产权

1) 中标方为执行本合同而使用的与本合同无关的单位或个人的技术资料、软件、工具等，如受第三方提出的侵犯其专利权、商标权或其它知识产权的起诉，由中标方承担一切责任。

2) 中标方在执行合同中向采购方提供服务所产生的所有技术资料、文档等的所有权和软件著作权归采购方所有。

11.售后服务要求

（1）售后服务内容

在本服务项目结束后的2个月售后服务期限内提供相关咨询和项目审查等支持。

（2）售后服务要求

1）投标人在投标文件中应提供详细的售后服务承诺书；

2）安排专人负责售后技术支持，并提供其联系手机、电话、传真、Email；如人员需要调整应及时通知采购人；

3）按采购人要求完成售后服务。

（3）售后服务期限

本项目最后成果提交采购人后即进入售后服务期，要求由中标单位提供三个月的技术支持。

12.其它要求

供应商自身具备本项目所需要的全部专业技能且须直接提供服务，不接受分包和转包。

供应商应与美的签署保密协议，充分确保项目内容的机密性。

供应商不可转包或分包本项目给任何第三方，不可转包或分包本项目给分支机构或下属单位。

供应商在服务实施方案中必须标注实施人员为现场服务人员还是后台支持人员。

供应商应该提供项目经理和项目组成员的简历，包括个人基本信息、学历、工作经验、参与同类服务项目案例情况。

投标人的项目经理和项目成员名单应注明项目参与方式（现场或远程），项目成员不少于4人，现场人员（含项目经理）不少于2人。

评估实施人员不得将评估中有关美的信息泄漏给第三方。

评估方应说明开展项目的详细工作流程和具体实施步骤。

评估方应说明开展项目所依照的相关评估标准。