ICS T/CLAST 团体标准 T/CLAST 001—2021 个人信息处理法律合规性评估指引 Guideline for Legal Compliance Assessment of Personal Information Processing 2021 - 04 - 28发布 2021 - 06- 06实施 中 国 科 学 技 术 法 学 会 发布 全国团体标准信息平台 ICS T/CLAST 团体 标准 T/CLAST 001.1—2021 个人信息 处理法律合规性评估指引 第1部分：概述和术语 Guideline for legal compliance assessment of personal information processing — Prat 1：Overview a nd vocabulary 2021 - 04 - 28发布 2021 - 06- 06实施 中国科学技 术 法 学 会 发布 全国团体标准信息平台 T/CLAST 001.1—2021 I 目 次 前 言 ................................ ................................ .............. II 引 言 ................................ ................................ ............. III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语 ................................ ................................ ............... 1 3.1 法律合规性评估相关术语 ................................ ......................... 1 3.2 个人信息处理的主体相关术语 ................................ ..................... 7 3.3 个人信息处理的对象相关术语 ................................ ..................... 8 3.4 个人信息处理相关术语 ................................ ........................... 8 3.5 个人信息处理设施相关术语 ................................ ...................... 13 3.6 管理体系相关 术语 ................................ .............................. 13 4 个人信息处理法律合规性评估概述 ................................ .................... 15 4.1 概述 ................................ ................................ .......... 15 4.2 法律合规性评估的目的与目标 ................................ .................... 15 4.3 法律合规性评估模式与评估组 ................................ .................... 16 4.4 法律合规性评估范围 ................................ ............................ 17 4.5 评估方法论 ................................ ................................ .... 20 附 录 A （资料性附录） 术语的概念关系图示 ................................ ......... 24 全国团体标准信息平台 T/CLAST 001.1—2021 II 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件 的结构和起草规则》给出的 规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由 中国科学技术法学会 提出并归口管理 。 本文件主要起草单位： 中国科学技术法学会、 深圳市北鹏前沿科技法律研究院 、中国法学交流基金 会、中国法律咨询中心 、北京大学 法学院/知识产权 学院、北京大学粤港澳大湾区知识产权发展研究院 、 平安科技（深圳）有限公司 、上海携程商务有限公司 、北京小桔科技有限公司 、阿里巴巴 (北京)软件服 务有限公司 、每日互动股份有限公司 、深圳市和讯华谷信息技术有限公司 、广东北源律师事务所、上海 市锦天城律师事务所 、北京市浩天信和律师事务所 、北京市金杜律师事务所 、中国信息通信研究院云计 算与大数据研究所、北京北大英华科技有限公司 、网易(杭州)网络有限公司 、腾讯科技 （深圳）有限公 司、荣耀终端有限公司 、华米科技 、OPPO 广东移动通信有限公司 、比亚迪股份有限公司 、广州小鹏汽 车科技有限公司 、深圳市大疆创新科技有限公司 、深圳市地铁集团有限公司 、上海游昆信息技术有限公 司、广州多益网络股份有限公司 、贝壳找房（北京）科技有限公司 、深圳市迷你玩科技有限公司 、百行 征信有限公司 、深圳依时货拉拉科技有限公司 、广东小天才科技有 限公司、安信证券股份有限公司 、深 圳市安证企业合规管理（集团）有限公司 、杭州安信检测技术有限公司 、杭州安恒信息技术股份有限公 司、深圳市网安计算机安全检测技术有限公司 。 本文件主要起草人： 张平、毕马宁、南红玉、黄亚英、肖声高、徐美玲、时建中、李玉香、周辉、 涂俊峰、谈 建、周涛、任晓明、李伟民 、崔亚冰、王心阳、赵怡 冰、辜凌云、徐子淼、姬祥、牟晋军、 周林、秦齐祺、张娜、徐彩曦 、张铮、陈津来、陈光炎、植吕梅、梁艳芬、吴卫明、丁峰、田劼、冯红、 吴涵、何为、李青、赵紫钰、包一明、石霖、何远琼、李川东、蒋仁熙、 梁淳栋、孙海鸣、武杨、张辉、 吴迪、王辉、彭星、高凤、杨小娟、林森才、许艳冰、林莹、彭伟、叶娟、白宝龙、陈远鸿、张朝、谢 晓勇、罗经华、覃江 林、白雷、周俊华、陈天伟、李维春、李旻瑞、李良 、龙军、黄伟杰 、江鑫、洪跃 腾、王水兵、何冠辉、杜文琦、倪荣、刘志乐、吴俊雄 。 本文件由 中国科学技术法学会、深圳市北鹏前沿科技法律研究院 负责解释 。 全国团体标准信息平台 T/CLAST 001.1—2021 III 引 言 01. 背景 大数据时代组织的个人信息处理合规被 赋予了多重意义： 个人信息与自然人的隐私、自由等权益密切相关，个人信息泄露、过度收集、超范围使用等安全事 件与违规行为，极有可 能威胁到自然人 的合法权益，并因此给组织带来民事和经济索赔以及行政和刑事 责任，这对组织实现其隐私承诺与目标、满足潜在顾客和消费者隐私期待的能力提出了更高的要求。同 时， 通过设计和默认实现保护的概念提示了在合规体系中充分考虑信息安全技术领域的规范和实践的要 求。 组织所处理的个人信息尤其是其数据形式与其他各类信息一同被视为组织的信息 资产， 是能够为组 织带来竞争优势和创造经济价值的新型生产要素。 过 去组织在信息安全领域的投入主要致力于保护信息 资产，在被用来满足 有关隐私和个人信息保护的合规目标时有必要予以调整以适应新的需求 ，并且需要 引入法律领域的视角来帮助组织确认其信息安全保障能力与合规要求和顾客隐私期待之间的符合性。 从网络空间主权到信息主权的发展，也将个人信息保护引入到了网络安全的语境之下。除了将组织 的网络安全（ cybersecurity ）视为整体网络体统中的一个单元考虑之外，个人信息出境或跨境转移还 可能涉及国家对在其管辖之下的个人信息、 重要数据的国家安全和信息主权利益的考量。 因此，组织的个人信息 处理合规意味着履行和 满足来自多领域多方面的合规要求和期待。 02. 个人信息处理法律合规性评估 合规是组织持续健康发展的 基石，意味着组 织在其活动中遵守了适用于组织的全部合规要求，包括 组织的合规义务与合 规承诺， 以及组织的运行环境和相关方所要求或期待的标准、 最佳实践或道德准则， 以避免因不合规所带来的法律责任、财产和声誉损失等潜在风险。 对组织个人信息处理活动的合规要求