个人信息保护合规准则-中国篇.pdfVIP

目录

序言

1总贝U7

1.1背景7

1.2目标7

1.3遵循原贝ij7

1.4范围8

1.5方法论框架10

2个人信息识别11

3个人信息保护合规基要求12

3.1组织机制12

3.2个人信息主体权力响应13

3.3个人信息处理活动中的安全合规要求15

4个人信息专项保护21

4.1敏感个人信息保121

4.2未成年人个人信息保护22

4.3组织自身的变化下的合规要求23

4.4共同处理者与委托处理者的管理25

4.5自动化决策场景下的安全保护28

4.6个人信息跨境29

5合规监测改进41

5.1个人信息安全影响评估41

5.2个人信息安全合规审计43

附录1条款与法律法规映射45

附录2供应商服务类别及主要涉及服务对象51

附录3供应商提供/处理数据时对应的合规评审要求52

1总则

1.1背景

在大数据时代，日新月异的互联网技术带来更加快捷便利的生活，打破时间和空叵的限

制为用户提供更贴合现代化生活节奏的服务，与此同时乜让个人信息面临更多的风险，如被

池漏、滥用等。为加强个人信息保护，在《中华人民共和国网络安全法》《中华人民共和国

数据安全法》和《中华人民共和国民法典》等已有个人信息保护规定的基础之上，2021年8

月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》

（下文简称《个人信息保护法》），并于2021年11月I日起正式施行。

《个人信息保护法》正式实施后，在网信部门的统筹管理下，各行业监管部门也通过开

展一系列的行动推进行业、领域开展个人信息保护二作，国家及行业相关配套标准相继

发布，但大多数个人信息处理者在个人信息保护合法要求落地实践中仍处于探索阶段，行

为准则在这样的背景下产生。CSA个人信息工作组结合现行法律法规、国家标准及业界最佳

实践，为个人信息处理者提供系统性的实施指导，帮助个人信息处理者承担保护用户个人信

息的责任，降低合规风险。行为准则包含大量来自实际场景的案例或举例，帮助个人信息

处理者准确理解控制措施的含义。

1.2目标

基于《个人信息保护》及其他相关律规制定第一版普适性的行为准则，旨在解决

企业的合规挑战，面向所有处于个人信息保护管辖范围内的个人信息处理者，没有针对行

业、领域或规模的特定限制。

在达到全面合规的基础上，重点解决在事务工作中的难点问题，包括：个人信息处

理活动中的落地合规要求、委托处理者的管理、个人信息跨界管理、个人信息安全影响评估

实施等内容。

1.3遵循原则

L3.1合法、正当原则

合原则是指个人信息处理者应严格遵循律、行政规的规定，采取合的方式，不

得违处理个人信息。

正当原则是指处理个人信息的行为必须是正当的，处理者不应当通过不公正的方，如

通过欺骗或者在信息主体完全不知情的情况下来处理其个人信息。

1.3.2目的明确、最小必要原则

目的限制原则要求必须是为了特定、明确、合的目的而收集个人数据，否则不得收集

或进行其他的处理活动。

L3.3公开透明原则

公开透明原则是指个人信息处理者在处理个人信息时应当采取公开、透明的方式，公开

个人信息处理的规则，向信息主体明示个人信息处理的目的、处理的方式和处理的范围。

L3.4质量保障原则

质量保障原则是指个人信息处理者应当保证其所处理的个人信息的质量,避免因为个人

信息的不准确、不完整对个人权益造成