《个人信息保护合规准则中国篇》.docx

《《个人信息保护合规准则中国篇》.docx》由会员分享，可在线阅读，更多相关《《个人信息保护合规准则中国篇》.docx（48页珍藏版）》请在第一文库网上搜索。

1、目录致谢3序言51总则71.1 背景71.2 目标71.3 遵循原则71.4 范围81.5 方法论框架102个人信息识别H3个人信息保护合规基本要求123. 1组织机制123.2 个人信息主体权力响应133.3 个人信息处理活动中的安全合规要求154个人信息专项保护214.1 敏感个人信息保护214.2 未成年人个人信息保护224.3 组织自身的变化下的合规要求234.4 4共同处理者与委托处理者的管理254.5 自动化决策场景下的安全保护284.6 个人信息跨境295合规监测改进415.1 个人信息安全影响评估415.2 个人信息安全合规审计43附录1条款与法律法规映射45附录2供应商服务类

2、别及主要涉及服务对象51附录3供应商提供/处理数据时对应的合规评审要求521总则11背景在大数据时代，日新月异的互联网技术带来更加快捷便利的生活，打破时间和空间的限制为用户提供更贴合现代化生活节奏的服务，与此同时也让个人信息面临更多的风险，如被泄漏、滥用等。为加强个人信息保护，在中华人民共和国网络安全法中华人民共和国数据安全法和中华人民共和国民法典等已有个人信息保护规定的基础之上，2023年8月20日，十三届全国人大常委会第三十次会议表决通过中华人民共和国个人信息保护法（下文简称个人信息保护法），并于2023年11月1日起正式施行。个人信息保护法正式实施后，在网信部门的统筹管理下，各行业监管部

3、门也通过开展一系列的行动推进本行业、本领域开展个人信息保护工作，国家及行业相关配套标准相继发布，但大多数个人信息处理者在个人信息保护合法要求落地实践中仍处于探索阶段，本行为准则在这样的背景下产生。CSA个人信息工作组结合现行法律法规、国家标准及业界最佳实践，为个人信息处理者提供系统性的实施指导，帮助个人信息处理者承担保护用户个人信息的责任，降低合规风险。本行为准则包含大量来自实际场景的案例或举例，帮助个人信息处理者准确理解控制措施的含义。1.2 目标基于个人信息保护法及其他相关法律法规制定第一版普适性的行为准则，旨在解决企业的合规挑战，面向所有处于个人信息保护法管辖范围内的个人信息处理者，没有

4、针对行业、领域或规模的特定限制。在达到全面合规的基础上，重点解决在事务工作中的难点问题，包括：个人信息处理活动中的落地合规要求、委托处理者的管理、个人信息跨界管理、个人信息安全影响评估实施等内容。1.3 遵循原则1.3.1 合法、正当原则合法原则是指个人信息处理者应严格遵循法律、行政法规的规定，采取合法的方式，不得违法处理个人信息。正当原则是指处理个人信息的行为必须是正当的，处理者不应当通过不公正的方法，如通过欺骗或者在信息主体完全不知情的情况下来处理其个人信息。1.3.2 目的明确、最小必要原则目的限制原则要求必须是为了特定、明确、合法的目的而收集个人数据，否则不得收集或进行其他的处理活动。

5、1.3.3 公开透明原则公开透明原则是指个人信息处理者在处理个人信息时应当采取公开、透明的方式，公开个人信息处理的规则，向信息主体明示个人信息处理的目的、处理的方式和处理的范围。1.3.4 质量保障原则质量保障原则是指个人信息处理者应当保证其所处理的个人信息的质量，避免因为个人信息的不准确、不完整对个人权益造成不利影响。1.3 .5确保安全原则确保安全原则是指个人信息处理者应当采取必要措施保障所处理的个人信息的安全，防止出现个人信息的泄露或者被窃取、篡改、删除。1.4 范围行为准则旨在为处于个人信息保护法管辖范围内的个人信息处理者提供系统性的实施指导，并参考了10余项我国个人信息保护相关的法律

6、、行政法规及国家标准，并提供了最佳实践可以作为遵守个人信息保护法的指南及合规工具使用。任何行业和规模的个人信息处理者都可以使用本行为准则作为实践指导，遵守和实施相关的控制措施将在一定程度上降低合规风险。行为准则通过结构化的“合规要求-控制措施及规程说明-其他考虑”展现个人信息处理者在处理活动中应遵守的规范，准则内容主要包括个人信息识别、个人信息保护合规基本要求、个人信息专项保护要求、合规情况监测改进四大部分内容，12项合规控制项，106个控制细项：个人信息识别（共1项）*包括一般个人信息和敏感个人信息识别方法及示例。个人信息保护基本要求（共3项）：1）组织机制：包含组织内部个人信息保护架构设计

7、和人员的设置。2）个人主体权利的响应：包含识别个人信息主体基本权利，同时帮助处理者响应个人主体基于合法权利的请求。3）个人信息处理活动中的安全合规要求：从个人信息处理活动各阶段的维度梳理个人信息保护的要求，从技术落地方面提供支持性控制措施的建议。个人信息专项保护要求（共6项），1）敏感个人信息保护：包含处理敏感个人信息的加强要求。2）未成年人个人信息保护：针对处理个人信息中的高风险场景提出额外的措施和说明，包含敏感个人信息的处理、未成年（不满14周岁）个人信息的处理3）组织自身的变化下的合规要求：主要包括合并、重组、分立、解散、破产情形下，个人信息如何处理的问题。4）共同处理者与委托处理者的管

8、理：共同处理者与委托处理者的判别及管理过程的各阶段。5）自动化决策场景下安全合规要求：自动化决策下的个人信息处理原则及基本要求。6）个人信息跨境：针对数据跨境流程中各个环节提出了控制措施，包含跨境前需进行的评估活动，跨境中提供的保护措施以及和监管机构沟通的要求。合规监测改进（共2项）：1）个人信息安全影响评估：个人信息安全影响评估的适用情形及其方法流程。2）个人信息安全合规审计：个人信息安全合规审计的基本要求。注：个人信息作为一类特殊且敏感程度高的数据在企业内部需严格保护，满足数据安全保护工作的所有要求，行为准则将不再复述这一类要求。1.5方法论框架原则合法正当.小够用.目的明确.公开透明.质

9、保窿.确保安全个人信息识别口组纲机制抬：人信0识别Sr持续监利活动一个组织.两层线度.六项专项保护.s个人借靠前别!-aaa1M1M1MM注：为确保覆盖个人信息保护法中的个人信息处理活动的各阶段，将个人信息处理活动与本章节的处理活动各阶段做了映射:类别对应关系本文章节号及名称3.3.1收集安全3.3.2传输安全3.3.3存储安全3.3.4使用安全3.3.5共享安全3.3.6删除安全个人信息处理活动（个人信息保护法中列举）收集传输存储使用、加工提供、公开删除2个人信息识别序号合规要求控制措施及规程说明其他考虑2-1对个人信息制定一个信息分类策略，对个人信息实在实践场景下，通常使用自动化的分类分级

10、工具来实行分类管行分类管理，对识别出的个人信息和敏进行自动化的数据识别和分类分级理：感个人信息打上标签。2-2个人信息识将以电子或者其他方式记录的与已识别包括：”直接标识个人信息”；“准标识个人信息”别或者可识别的自然人有关的各种信息识指对通过信息结合、聚合等方式可以实现识别个人别为个人信息并打上标签。可参考信的准标识信息；“关联个人信息”并标签化：息安全技术个人信息安全规范附录Ao基于已知个人信息，所产生或发现的与之身份关联的仁息2-3敏感个人信将一旦泄露或者非法使用，容易导致自其中生物特征识别数据是指脸部特征、指纹、虹膜、息识别然人的人格尊严受到侵害或者人身、财声音、基因、步态、笔迹等可识

11、别自然人的生理特产安全受到危害的个人信息，包括生物性与行为特征的信息。由于人生物识别信息要更改识别、宗教信仰、特定身份、医疗健康、非常困难，如指纹、掌纹、虹膜、基因信息等生物金融张户、行踪轨迹等信息，以及不满识别信息，一旦被泄露，就会对自然人的人身财产十四周岁未成年人的个人信息识别为敏安全产生不可逆转的损害。个人信息控制者通过个感个人信息。可参考GB/T35273-2023人信息或其他信息加工处理后形成的信息，如一旦信息安全技术个人信息安全规范附泄露、非法提供或滥用可能危害人身和财产安全，录B、GB/T41807-2023（信息安全技术极易导致个人名誉、身心健康受到损害或歧视性待声纹识别数据安

12、全要求、M遇等的，属于个人敏感信息。41819-2023信息安全技术人脸识别数据安全要求2-4对“匿名化个匿名化后的个人信息不再认定为个人信一般认为，严格和绝对的匿名化措施并不存在，只人信息”进行息，但需结合GB/T35273-2023信息安能在特定场合与现有技术水平下对其效果进行评验证和标注：全技术个人信息安全规范、GB/T价。37964-2019信息安全技术个人信息去组织需注意：去标识化和匿名化具有法律意义上的标识化指南等确认匿名化措施的有效本质区别，不应通过已去标识化就确认实现了对个性。人信息的匿名化。3个人信息保护合规基本要求3.1 组织机制序号合规要求控制措施及规程说明其他考虑3.1

13、-1管理层应在公司治理的整体层面考虑个人信息保护管理层应在组织的整体治理框架中写入个人信息保护相关内容，并体现在章程或组织其他基本纲领文件中。应将个人信息保护作为对管理层和其他职能部门考核、评价的组成部分。3.1-2组织应在个人信息保护官或其他角色下设立专门的个人信息保护部门机构应建立专门的个人信息保护部门，或在既有的部门机构中增加对个人信息保护的描述，例如内部控制部门、信息安全支持部门等，该等部门接受个人信息保护官或其他角色的领导。个人信息保护部门机构需要其他机构的协助，例如法务部门。3.1-3组织应设立专职或兼职的个人信息保护官，负贲个人信息保护相关事宜应通过组织董事会等程序，在组织日常经

14、营负责人（总经理）的职责中增加个人信息保护内容，或由日常经营负责人委派其他专门人员担任。负责全面统筹个人信息保护工作。一般建议不低于公司副总经理的层级。组织应考虑配套相应人员、财力等支持个人信息保护。3.1-4处理个人信息达到国家网信部门规定数量的个人信息处理者人员设置应指定个人信息保护负责人，负贡对个人信息处理活动以及采取的保护措施等进行监督。公开个人信息保护负责人的联系方式，并将个人信息保护负费人的姓名、联系方式等报送履行个人信息保护职责的部门。建议满足以下条件之一的组织考虑设置：1）主要业务涉及个人信息处理，且从业人员规模大于200人；2）处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息：3）处理超过10万人的个人敏感信息的。3.1-5提供重要互联网平台服务、用户数量巨大、成立主要由外部成员组成的独立机构对个人信息保护情况进行监督，并履行以下义务：业务类型复杂的个人信息处理者1）按照国家规定建立健全个人信息保护合规制度体系；2）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务：3）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务