m o c . 5 b u h t i g © 2022 云安全联盟大中华区版权所有 1 m o c . 5 b u h t i g @2022 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、 查看及打印，或 者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下： (a)本文只可作个人、信息获取、非商业用途；(b) 本文内容不得篡改；(c)本文不得转发； (d)该商标、版权或其他声明不得删除。在遵循 中华人民共和国著作权法相关条款情况下 合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 © 2022 云安全联盟大中华区版权所有 2 致谢 云安全联盟大中华区（简称：CSA GCR）隐私与个人信息保护法律工作组在 2021 年 4 月成立。由原浩、方婷担任工作组联席组长，工作组专家来自竹辉律 师事务所、西北大学、恩智浦、中伦文德事务所、美柚、中国工商银行、绿盟 科技、美云智数、上海 CA、上海网综所、埃森哲、亚萨合莱、360 政企安全、 软通动力信息、艾贝链动等十多个单位。 本框架由 CSA 大中华区隐私与个人信息保护法律 工作组专家撰写，感谢以 下专家的贡献： m o c . 5 联席组长：原浩、方婷 贡献者名单 原创作者：高健凯、胡恺健、赵晔、张元恺、曾令平、江澎、马宁、邢海 韬、黄鹏华、夏巍、魏晓刚 b u 审核专家：郭鹏程、姚凯 h t i g 研究协调员：高健凯 贡献单位：绿盟科技集团股份有限公司、广东美云智数科技有限公司、北 森云计算有限公司 （以上排名不分先后） 关于研究工作组的更多介绍，请在 CSA 大中华区官网（https://ccsa.cn/research/） 上查看。 如本白皮书有不妥当之处，敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮 箱： info@c-csa.cn；云安全联盟 CSA 公众号： © 2022 云安全联盟大中华区版权所有 3 目录 致 谢............................................................................................................................................3 1.框架的结构及考虑.................................................................................................................5 1.1 原则和通用..................................................................................................................5 1.2 知情同意和处理规则..................................................................................................6 1.3 对自动化决策的特别关注..........................................................................................6 1.4 敏感个人信息的特别关注..........................................................................................6 1.5 数据出境的统一考虑..................................................................................................6 1.6 个人权利和对个人权利的回应..................................................................................7 m o c . 5 1.7 在企业架构和制度中的体现......................................................................................7 1.8 记录和证据..................................................................................................................7 1.9 第三方和供应链..........................................................................................................7 2.框架的方法论.........................................................................................................................8 b u 2.1 高度概括合规要求（D 列）.......................................................................................8 2.2 将合规要求做解读后对应到企业规范文件或产品呈现（F/G 列）.......................8 h t i g 2.3 从最普遍的标准切入企业控制措施（H/I 列）.......................................................8 2.4 对措施的增强介绍或解释（J 列）...........................................................................9 2.5 对触发合规的最低时限或阶段要求..........................................................................9 3.框架的维护更新与其他声明.................................................................................................9 4.附件（框架）.........................................................................................................................9 © 2022 云安全联盟大中华区版权所有 4 基于《个人信息保护法》的企业个人信息保护合规 风险控制验证框架 1.0 说明文档 1.框架的结构及考虑 m o c . 5 控制框架从 10 个维度搭建，大部分的维度之间为独立关系，但部分维度具 有包括关系。这主要是考虑到《个人信息保护法》的架构，以及对于原则、规 则等本身既有概括性的必然。 b u 目前围绕个人信息或隐私管理国内外有不同的框架工具，本框架可以作为： h t i g （1）基于最为通用的 ISO 2700x 细化的映射，实现对个人信息保护与管理的全 面覆盖；（2）对于已经使用欧盟 GDPR 或者网信、工信部门的既有规范进行合 规工作的符合性，提供额外的验证过程。 1.1 原则和通用 目前个人信息保护的主要原则可以概括是为：合法正当必要性原则、合理 直接目的性原则、最小影响和最小范围原则。将这些确定为原则，主要原因是 对必要性、合理性、最小化这些概念难以和缺少准确的衡量指标，且新技术、 新应用又不断的冲击既有的量化标准。 由于这些原则具有在产品、服务设计中的普遍适用性，且在进行是否合规 的“终极”判定时，或者在无其他明确法律依据支持佐证时，需要直接援引这 些原则判断。因此，就其中最为基础的必要性原则，也称之为个人信息保护合 规判定的“帝王原则”。 © 2022 云安全联盟大中华区版权所有 5 值得注意的是，这些原则判断的最终权，在监管机构（执法）和司法机关。 合规工作虽然可以减轻或降低风险后果，但不能完全免责1。 1.2 知情同意和处理规则 将知情同意作为处理规则的起点，而不再作为合规的原则，主要是考虑到 知情同意的各种实现是非常实务的运用，不像上述原则一样“抽象”，目前的 合规起步主要的都是通过个人信息处理规则“呈现”完成，同时《个人信息保 护法》对构筑知情同意列举了大量条款，需要相应的进行合规设计。 值得注意的是，知情同意构成了个人信息处理规则（无论是隐私政策、服务协 m o c . 5 议等等）贯穿始终的基准。 1.3 对自动化决策的特别关注 自动化决策是《个人信息保护法》中为数不多的涉及算法2、人工智能等相 b u 关的条款，其代表了未来监管所可能关注的增设、重要方面，因此本框架给与 特别关注。 h t i g 1.4 敏感个人信息的特别关注 一般个人信息和敏感个人信息是对个人信息的基本分类，也符合《数据安 全法》对数据分类分级的一般要求。将个人信息做敏感和一般的分类（《个人 信息保护法》做具体列举，是从分类而非分级的考虑），同时形成了个人信息 分级的初始目的。敏感个人信息需要附加额外的控制措施，因此应特别关注。 1.5 数据出境的统一考虑 数据出境安全评估办法明确了对个人信息和重要数据适用统一的出境评估 规则，对数据出境的合规尽管不是所有运营者、处理者都需要面对的问题，其 1 最高人民检察院在 2021 年发布《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》，对涉案企业合 规不起诉模式正在进行持续探索。 2 《互联网信息服务算法推荐管理规定》已经通过实施，其对行业可能产生的影响尚有待进一步观察。 © 2022 云安全联盟大中华区版权所有 6 规则的要求也具有不同于个人信息的一般处理的要求，但由于出境选择的多样 性和触发条件的不同，数据出境自身形成了相对独立的合规评价体系3。 1.6 个人权利和对个人权利的回应 虽然《个人信息保护法》将个人的权利作为专章规定，但从企业合规的角 度对应的是对这些权利的响应。虽然企业从