云安全联盟：基于个人信息保护法的合规控制验证框架（13页）.pdf

《云安全联盟：基于个人信息保护法的合规控制验证框架（13页）.pdf》由会员分享，可在线阅读，更多相关《云安全联盟：基于个人信息保护法的合规控制验证框架（13页）.pdf（13页珍藏版）》请在三个皮匠报告上搜索。

1、 2022 云安全联盟大中华区版权所有1 2022 云安全联盟大中华区版权所有4目录致 谢.31.框架的结构及考虑.51.1 原则和通用.51.2 知情同意和处理规则.61.3 对自动化决策的特别关注.61.4 敏感个人信息的特别关注.61.5 数据出境的统一考虑.61.6 个人权利和对个人权利的回应.71.7 在企业架构和制度中的体现.71.8 记录和证据.71.9 第三方和供应链.72.框架的方法论.82.1 高度概括合规要求（D 列）.82.2 将合规要求做解读后对应到企业规范文件或产品呈现（F/G 列）.82.3 从最普遍的标准切入企业控制措施（H/I 列）.82.4 对措施的增强介绍

2、或解释（J 列）.92.5 对触发合规的最低时限或阶段要求.93.框架的维护更新与其他声明.94.附件（框架）.9 2022 云安全联盟大中华区版权所有5基于个人信息保护法的企业个人信息保护合规基于个人信息保护法的企业个人信息保护合规风险控制验证框架风险控制验证框架 1.01.0说明文档说明文档1.1.框架的结构及考虑框架的结构及考虑控制框架从 10 个维度搭建，大部分的维度之间为独立关系，但部分维度具有包括关系。这主要是考虑到个人信息保护法的架构，以及对于原则、规则等本身既有概括性的必然。目前围绕个人信息或隐私管理国内外有不同的框架工具，本框架可以作为：（1）基于最为通用的 ISO 2700

3、 x 细化的映射，实现对个人信息保护与管理的全面覆盖；（2）对于已经使用欧盟 GDPR 或者网信、工信部门的既有规范进行合规工作的符合性，提供额外的验证过程。1.11.1 原则和通用原则和通用目前个人信息保护的主要原则可以概括是为：合法正当必要性原则、合理直接目的性原则、最小影响和最小范围原则。将这些确定为原则，主要原因是对必要性、合理性、最小化这些概念难以和缺少准确的衡量指标，且新技术、新应用又不断的冲击既有的量化标准。由于这些原则具有在产品、服务设计中的普遍适用性，且在进行是否合规的“终极”判定时，或者在无其他明确法律依据支持佐证时，需要直接援引这些原则判断。因此，就其中最为基础的必要性原

4、则，也称之为个人信息保护合规判定的“帝王原则”。 2022 云安全联盟大中华区版权所有6值得注意的是，这些原则判断的最终权，在监管机构（执法）和司法机关。合规工作虽然可以减轻或降低风险后果，但不能完全免责1。1.21.2 知情同意和处理规则知情同意和处理规则将知情同意作为处理规则的起点，而不再作为合规的原则，主要是考虑到知情同意的各种实现是非常实务的运用，不像上述原则一样“抽象”，目前的合规起步主要的都是通过个人信息处理规则“呈现”完成，同时个人信息保护法对构筑知情同意列举了大量条款，需要相应的进行合规设计。值得注意的是，知情同意构成了个人信息处理规则（无论是隐私政策、服务协议等等）贯穿始终的

5、基准。1.31.3 对自动化决策的特别关注对自动化决策的特别关注自动化决策是个人信息保护法中为数不多的涉及算法2、人工智能等相关的条款，其代表了未来监管所可能关注的增设、重要方面，因此本框架给与特别关注。1.41.4 敏感个人信息的特别关注敏感个人信息的特别关注一般个人信息和敏感个人信息是对个人信息的基本分类，也符合数据安全法对数据分类分级的一般要求。将个人信息做敏感和一般的分类（个人信息保护法做具体列举，是从分类而非分级的考虑），同时形成了个人信息分级的初始目的。敏感个人信息需要附加额外的控制措施，因此应特别关注。1.51.5 数据出境的统一考虑数据出境的统一考虑数据出境安全评估办法明确了对

6、个人信息和重要数据适用统一的出境评估规则，对数据出境的合规尽管不是所有运营者、处理者都需要面对的问题，其1最高人民检察院在2021 年发布关于建立涉案企业合规第三方监督评估机制的指导意见（试行），对涉案企业合规不起诉模式正在进行持续探索。2互联网信息服务算法推荐管理规定已经通过实施，其对行业可能产生的影响尚有待进一步观察。 2022 云安全联盟大中华区版权所有7规则的要求也具有不同于个人信息的一般处理的要求，但由于出境选择的多样性和触发条件的不同，数据出境自身形成了相对独立的合规评价体系3。1.61.6 个人权利和对个人权利的回应个人权利和对个人权利的回应虽然个人信息保护法将个人的权利作为专章