T/CLAST 团体标准 T/CLAST 002—2021 个人信息处理法律合规性评估指引 Guideline For Legal Compliance Assessment of Personal Information Processing 2021 - 12 - 06发布 2022 - 01- 01实施 中 国 科 学 技 术 法 学 会 发布 全国团体标准信息平台 T/CLAST 团体 标准 T/CLAST 002.1—2021 个人信息 处理法律合规性评估指引 第1部分：概述和术语 Guideline For Legal Compliance Assessment of Personal Information Processing — Prat 1：Overview a nd Vocabulary 2021 - 12 - 06发布 2022 - 01- 01实施 中国科学技 术 法 学 会 发布 全国团体标准信息平台 T/CLAST 002.1—2021 I 目次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语 ................................ ................................ ............... 1 3.1 法律合规性评估相关术语 ................................ ......................... 1 3.2 个人信息处理的主体相关术语 ................................ ..................... 7 3.3 个人信息处理的对象相关术语 ................................ ..................... 8 3.4 个人信息处理相关术语 ................................ ........................... 8 3.5 个人信息处理设施相关术语） ................................ ..................... 12 3.6 管理体系相关术语 ................................ .............................. 13 4 个人信息处理法律合规性评估概述 ................................ .................... 15 4.1 概述 ................................ ................................ .......... 15 4.2 评估目的与目标 ................................ ................................ 15 4.3 评估模式与评估组 ................................ .............................. 16 4.4 评估范围 ................................ ................................ ...... 17 4.5 评估方法论 ................................ ................................ .... 20 附录A （资料性附录） 术语的概念关系图示 ................................ .............. 1 全国团体标准信息平台 T/CLAST 002.1—2021 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件 的结构和起草规则》给出的 规则起草。 请注意本文件的 某些内容可能 涉及专利。本 文件的发布机构不承担识别专利的责任。 本文件由 中国科学技术法学会 提出并归口管理 。 本文件主要起草单位： 中国科学技术法学会、 深圳市北鹏前沿科技法律研究院 、中国法学交流基金 会、中国法律咨询中心 、北京大学 法学院/知识产权 学院、北京大学粤港澳大湾区知识产权发展研究院 、 平安科技（深圳）有限公司 、上海携程商务有限公司 、北京小桔科技有限公司 、阿里巴巴 (北京)软件服 务有限公司 、每日互动股份有限公司 、深圳市和讯华谷信息技术有限公司 、广东北源律师事务所、上海 市锦天城律师事务所 、北京市浩天信和律师事务所、北京市金杜 律师事务所 、中国信息通信研究院云计 算与大数据研究所、北京北大英华科技有限公司 、网易(杭州)网络有限公司 、腾讯科技 （深圳）有限公 司、荣耀终端有限公司 、华米科技 、OPPO 广东移动通信有限公司 、比亚迪股份有限公司 、广州小鹏汽 车科技有限公司 、深圳市大疆创新科技有限公司 、深圳市地铁集团有限公司 、上海游昆信息技术有限公 司、贝壳找房（北京）科技有限公司 、深圳市迷你玩科技有限公司 、百行征信有限公司 、深圳依时货拉 拉科技有限公司 、广东小天才科技有 限公司、安信证券股份有限公司 、深圳市安证企业合规管理 （ 集团） 有限公司 、杭州安信检 测技术有限 公司、杭州安恒信息技术股份有限公司 、深圳市网安计算机安全检测 技术有限公司 。 本文件主要起草人： 张平、毕马宁、南红玉、黄亚英、肖声高、徐美玲、时建中、李玉香、周辉、 涂俊峰、谈 建、周涛、任晓明、李伟民 、崔亚冰、王心阳、赵怡 冰、辜凌云、徐子淼、姬祥、牟晋军、 周林、秦齐祺、张娜、徐彩曦 、张铮、陈津来、陈光炎、植吕梅、梁艳芬、吴卫明、丁峰、田劼、冯红、 吴涵、何为、李青、赵紫钰、包一明、石霖、何远琼、李川东、蒋仁熙、 梁淳栋、孙海鸣、武杨、张辉、 吴迪、王辉、彭星、高 凤、杨小娟、林森才、 许艳冰、林莹、彭伟、 叶娟、白宝龙、张朝、谢晓勇、罗 经华、覃江 林、白雷、周俊华、陈天伟、李维春、李旻瑞、李良 、龙军、黄伟杰 、江鑫、洪跃腾、 王水 兵、何冠辉、杜文琦、倪荣、刘志乐、吴俊雄 。 本文件由 中国科学技术法学会、深圳市北鹏前沿科技法律研究院 负责解释 。 全国团体标准信息平台 T/CLAST 002.1—2021 III 引言 01. 背景 大数据时代 ，组织的个人信息处理合规被 赋予了多重意义： 个人信息与自然人的隐私、自由等权益密切相关，个人信息 的泄露、过度收集、超范围使用等安全 事件与违规行为，极有可 能威胁到自然人 的合法权益，并因此给组织带来民 事和经济索赔以及 行政和刑 事责任。这对组织实现其 合规承诺与目标、满足潜在顾客和消费者隐私期待的能力提出了更高的要求。 同时，通过设计和默认 设置实现保护的概念 ，提示了在合规体系中充分考虑信息安全技术 规范和实践的 要求。 组织所处理的个人信息 （尤其是其数据形式 ）与其他各类信息一同被视为组织的信息 资产，是能够 为组织带来竞争优势和创造经济价值的新型生产要素。 过 去组织在信息安全领域的投入主要致力于保护 信息资产 。这些措施 在被用来满足 有关个人信息保护的合规目标时 ，有必要予以调整以适应新的需求 ， 并且需要引入法律领域的视角，帮助组织确认其 现有的信息安全 能力与《个人信息保护法 》等可适用的 法施加的合规义务、组织的合规承诺和顾客隐私期待之间的符合性。 从网络空间主权到信息主权的发展，也将个人信息保护引入到了网络安全的语境之下。除了将组织 的网络安全（ cybersecurity ）视为整体网络 系统中的一个单元考虑之外，个人信息出境或跨境转移还 可能涉及国家对在其管辖之下的个人信息、 重要数据的国家安全和信息主权利益的考量。 因此，组织的个人信息 处理合规 ，意味着履行和 满足来自多领域多方面的合规要求和期待。 02. 个人信息处理法律合规性评估 合规是组织持续健康发展的 基石，要求组织在其活动中遵守适用于组织的全部合规要求，包括组织 的合规义务与合 规承诺，以及组织的运行环境和相关方所要求或期待的标准、最佳实践或道德准则，以 避免因不合规所带来的法