DI管理

什么是DI

DI，全称Data Inventory（数据清单），是一份个人数据记录，详细记录了业务获取了“谁”的数据，数据类型是什么，存储位置在哪里，共享给了哪些对象，以及数据留存的时间等，全面反映个人数据的流转信息。

创建DI

创建个人数据清单：每新增一个应用，就需要来创建一个DI。一个DI对应一个S码。

1. 登录隐私合规管理中心。
2. 在左侧菜单栏，选择“DI管理”进入“DI管理”界面。
3. 左上角单击“创建DI”，进入“创建”弹框。
4. 按照如表1所示参数配置“业务信息”。

   表1 业务信息参数配置

   参数	说明
   S码	输入精确完整S码如S10004搜索对应的应用，如应用负责人负责多个S码，则每一个S码都需要填一个DI。
   国家	选择该管理组织注册所在国。
   法人实体	通过关键字模糊搜索该应用所归属的法人实体名称，用于后续合规记录。
   适用范围	判断该应用使用群体，如非仅内部使用，则后续会生成隐私声明的待办。
   描述	简要描述该应用的基本信息。
   是否收集个人信息	判断该应用是否有对外收集个人数据信息，如从其他应用接收个人数据也属于收集个人信息。

5. 单击“下一步”，进入“处理目的”页面，单击“添加处理目的”参考如表2所示配置相关参数，可添加多条处理目的。

   表2 处理目的参数配置

   参数	说明
   处理目的	收集和使用个人数据的特定原因和目标，选择对应的“处理目的”。
   个人数据类型	单击查看该S码对应绑定的所有个人信息数据项，有建议数据项、以及全部数据项，选择识别特定个人身份信息的内容，例如姓名、电话、生日等。
   数据主体位置	指用户在接受产品或服务发生的所在地，如在多个国家，则可多选。
   数据处理角色	数据控制者：决定了一个或多个目的或者方式处理个人数据的角色，并承担责任。 联合控制者：共同决定数据处理目的与方式的多个控制者。 处理者：代表并仅按控制者指示处理数据的服务商，无决策权。 子处理者：由处理者委派执行具体处理任务的下游服务商。 其他：接触数据但无关任何处理决策。
   个人数据收集	收集类型： “直接收集”指数据直接从源头获得。 “间接收集”指通过供应商或者第三方获取源头数据。 收集方式： 如果是“直接收集”则需要选择“收集方式”，如“系统自动收集”“用户主动填写”等。 如果是“间接收集”，需要填写“非直接从数据主体收集时的来源”。 存储/访问位置： 是指个人数据存储的位置所在国家，通常为系统和数据库服务器所在国家，部分资产由于架构设计的原因需考虑多地存储的情况，请填写全部存储位置。
   个人数据使用与存留	是否使用自动化决策： 自动化决策是指在没有任何人工参与的情况下，通过自动化手段做出决策的过程。如自动推荐喜欢的视频。 是否用于用户画像： 用户画像是指用于分析用户的个性、行为、兴趣和习惯等，以便对这些方面做出预测或决策。如分析喜欢什么类型的视频。 留存期限： 根据该应用实际情况选择对应的留存期限。 销毁方式： 是指个人数据留存期限到期后，如何销毁个人数据。例如手动删除、自动删除。
   个人数据披露	“是否向第三方（外部）披露个人数据”： 如果选“是”则需要填写如下参数： 披露类型（可选） C2P：控制者 To 处理者 C2C：控制者 To 控制者 P2C：处理者 To 控制者 P2P：处理者 To 处理者 接收方类型：共享数据的法人实体类型，如供应商、合作伙伴、子公司等。 接收方实体名称（可选）：接收方法人实体名称。 接收方传输方式：接收方传输的方式如邮件，远程访问等。 如果选“否”，继续下面的步骤即可。
   跨境转移	“是否涉及个人数据跨境传输”：是指将个人数据从一个司法管辖区传输到另一个司法管辖区。许多司法管辖区，最明显的是欧盟对这种转移做出了较多限制。 如果选“是”则需要填写如下参数： 跨境数据接收国：向哪个国家传输个人数据。 跨境转移的传输方式：如应用程序接口、远程访问、设备等方式。 跨境转移机制：是指在数据接收方所在国家或地区满足一定的安全保障要求时，才被允许进行个人数据跨境转移。如欧盟GDPR通过标准合同、充分性决定等方式进行个人数据跨境安全管理。 如果选“否”，继续下面的步骤即可。

6. 单击“下一步”，进入“配置清单确认”页面。检查内容是否有问题，如果没问题单击“提交审批”。

审批流程

创建DI的单据需要进行如下的审批流程，请在个人中心查看审批流程：