CSA GCR：个人信息保护合规准则-中国篇（2023）（50页）.pdf

1、 2023 云安全联盟大中华区版权所有5序言序言当今社会，随着互联网技术的不断发展，个人信息保护问题越来越受到人们的关注。在这个信息化时代，个人信息已经成为了一种重要的资产，而其泄露和滥用也给个人带来了巨大的风险和损失。为了保护个人信息的安全和隐私，各国纷纷出台了相关法律法规和标准。中国个人信息保护法于 2021 年 11 月 1 日正式实施。该法规定了个人信息处理者必须遵守一系列合规要求，包括合法、正当原则、目的明确、最小必要原则、公开透明原则、质量保障原则和确保安全原则等。这些要求对于所有处于个人信息保护法管辖范围内的个人信息处理者都是具有普适性的。报告旨在为处于 个人信息保护法 管辖范围

2、内的个人信息处理者提供系统性的实施指导。该报告包含了个人信息保护合规基本要求的相关内容，包括原则、方法论框架等方面。报告提供了一个结构化的“合规要求-控制措施及规程说明-其他考虑”的框架，以指导个人信息处理者在处理活动中应遵守的规范。具体而言，该框架包括以下四个部分：1.个人信息识别 2.个人信息保护合规基本要求 3.个人信息专项保护要求 4.合规监测改进。每个部分都包含了一些具体的合规控制项和控制细项，共计 12 项合规控制项和 106 个控制细项。通过遵循该文件提供的指导和建议，个人信息处理者可以更好地履行其保护个人信息安全和隐私的责任。我们希望这份个人信息保护合规准则中国篇能够对广大读者

3、有所帮助，并为促进我国个人信息保护事业做出贡献。李雨航 Yale LiCSA 大中华区主席兼研究院 2023 云安全联盟大中华区版权所有6目录目录致谢致谢.3序言序言.51 总则总则.71.1 背景.71.2 目标.71.3 遵循原则.71.4 范围.81.5 方法论框架.102 个人信息识2 个人信息识别别.113 个人信息保护合规基本要求3 个人信息保护合规基本要求.123.1 组织机制.123.2 个人信息主体权力响应.133.3 个人信息处理活动中的安全合规要求.154 个人信息专项保护4 个人信息专项保护.214.1 敏感个人信息保护.214.2 未成年人个人信息保护.224.3 组

4、织自身的变化下的合规要求.234.4 共同处理者与委托处理者的管理.254.5 自动化决策场景下的安全保护.284.6 个人信息跨境.295 合规监测改进5 合规监测改进.415.1 个人信息安全影响评估.415.2 个人信息安全合规审计.43附录 1 条款与法律法规映射附录 1 条款与法律法规映射.45附录 2 供应商服务类别及主要涉及服务对象附录 2 供应商服务类别及主要涉及服务对象.51附录 3 供应商提供/处理数据时对应的合规评审要求附录 3 供应商提供/处理数据时对应的合规评审要求.52 2023 云安全联盟大中华区版权所有71 1 总则1.11.1 背景在大数据时代，日新月异的互联

5、网技术带来更加快捷便利的生活，打破时间和空间的限制为用户提供更贴合现代化生活节奏的服务，与此同时也让个人信息面临更多的风险，如被泄漏、滥用等。为加强个人信息保护，在中华人民共和国网络安全法中华人民共和国数据安全法和中华人民共和国民法典等已有个人信息保护规定的基础之上，2021 年 8月 20 日，十三届全国人大常委会第三十次会议表决通过 中华人民共和国个人信息保护法（下文简称个人信息保护法），并于 2021 年 11 月 1 日起正式施行。个人信息保护法正式实施后，在网信部门的统筹管理下，各行业监管部门也通过开展一系列的行动推进本行业、本领域开展个人信息保护工作，国家及行业相关配套标准相继发布

6、，但大多数个人信息处理者在个人信息保护合法要求落地实践中仍处于探索阶段，本行为准则在这样的背景下产生。CSA 个人信息工作组结合现行法律法规、国家标准及业界最佳实践，为个人信息处理者提供系统性的实施指导，帮助个人信息处理者承担保护用户个人信息的责任，降低合规风险。本行为准则包含大量来自实际场景的案例或举例，帮助个人信息处理者准确理解控制措施的含义。1.21.2 目标基于个人信息保护法及其他相关法律法规制定第一版普适性的行为准则，旨在解决企业的合规挑战，面向所有处于个人信息保护法管辖范围内的个人信息处理者，没有针对行业、领域或规模的特定限制。在达到全面合规的基础上，重点解决在事务工作中的难点问题