1、 2022 云安全联盟大中华区版权所有1 2022 云安全联盟大中华区版权所有22022 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或 者访问云安全联盟大中华区官网（https:/www.c-）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。2022 云安全联盟大中华区版权所有3致致 谢谢云安全联盟大中华区（简称：CSA GCR）隐私与个人信息保护法律工作组在2021

2、 年 4 月成立。由原浩、方婷担任工作组联席组长，工作组专家来自竹辉律师事务所、西北大学、恩智浦、中伦文德事务所、美柚、中国工商银行、绿盟科技、美云智数、上海 CA、上海网综所、埃森哲、亚萨合莱、360 政企安全、软通动力信息、艾贝链动等十多个单位。本框架由 CSA 大中华区隐私与个人信息保护法律 工作组专家撰写，感谢以下专家的贡献：联席组长：原浩、方婷贡献者名单原创作者：高健凯、胡恺健、赵晔、张元恺、曾令平、江澎、马宁、邢海韬、黄鹏华、夏巍、魏晓刚审核专家：郭鹏程、姚凯研究协调员：高健凯贡献单位：绿盟科技集团股份有限公司、广东美云智数科技有限公司、北森云计算有限公司（以上排名不分先后）关于研

3、究工作组的更多介绍，请在 CSA 大中华区官网（https:/c- CSA GCR 秘书处给与雅正!联系邮箱：researchc-；云安全联盟 CSA 公众号：2022 云安全联盟大中华区版权所有4目录致 谢.31.框架的结构及考虑.51.1 原则和通用.51.2 知情同意和处理规则.61.3 对自动化决策的特别关注.61.4 敏感个人信息的特别关注.61.5 数据出境的统一考虑.61.6 个人权利和对个人权利的回应.71.7 在企业架构和制度中的体现.71.8 记录和证据.71.9 第三方和供应链.72.框架的方法论.82.1 高度概括合规要求（D 列）.82.2 将合规要求做解读后对应到企

4、业规范文件或产品呈现（F/G 列）.82.3 从最普遍的标准切入企业控制措施（H/I 列）.82.4 对措施的增强介绍或解释（J 列）.92.5 对触发合规的最低时限或阶段要求.93.框架的维护更新与其他声明.94.附件（框架）.9 2022 云安全联盟大中华区版权所有5基基于于个个人人信信息息保保护护法法的的企企业业个个人人信信息息保保护护合合规规风风险险控控制制验验证证框框架架 1 1.0 0说说明明文文档档1 1.框框架架的的结结构构及及考考虑虑控制框架从 10 个维度搭建，大部分的维度之间为独立关系，但部分维度具有包括关系。这主要是考虑到个人信息保护法的架构，以及对于原则、规则等本身既

5、有概括性的必然。目前围绕个人信息或隐私管理国内外有不同的框架工具，本框架可以作为：（1）基于最为通用的 ISO 2700 x 细化的映射，实现对个人信息保护与管理的全面覆盖；（2）对于已经使用欧盟 GDPR 或者网信、工信部门的既有规范进行合规工作的符合性，提供额外的验证过程。1 1.1 1 原原则则和和通通用用目前个人信息保护的主要原则可以概括是为：合法正当必要性原则、合理直接目的性原则、最小影响和最小范围原则。将这些确定为原则，主要原因是对必要性、合理性、最小化这些概念难以和缺少准确的衡量指标，且新技术、新应用又不断的冲击既有的量化标准。由于这些原则具有在产品、服务设计中的普遍适用性，且在

6、进行是否合规的“终极”判定时，或者在无其他明确法律依据支持佐证时，需要直接援引这些原则判断。因此，就其中最为基础的必要性原则，也称之为个人信息保护合规判定的“帝王原则”。2022 云安全联盟大中华区版权所有6值得注意的是，这些原则判断的最终权，在监管机构（执法）和司法机关。合规工作虽然可以减轻或降低风险后果，但不能完全免责1。1 1.2 2 知知情情同同意意和和处处理理规规则则将知情同意作为处理规则的起点，而不再作为合规的原则，主要是考虑到知情同意的各种实现是非常实务的运用，不像上述原则一样“抽象”，目前的合规起步主要的都是通过个人信息处理规则“呈现”完成，同时个人信息保护法对构筑知情同意列举