个人信息保护合规准则中国篇

@2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2023国际云安全联盟大中华区版权所有1 ©2023云安全联盟大中华区版权所有2 致谢 《个人信息保护合规准则-中国篇》由CSA大中华区数据安全工作组内个人信息保护合规准则项目组专家撰写，感谢以下专家的贡献： 项目组组长： 高巍王玮 主要贡献者： 曾令平 陈丑亚 付艳艳 黄妍昕 李沈舟 廖振勇余其玄 罗进原浩 王彪张兵 王玮张淼 邢海韬 参与专家： 曾令平 陈丑亚 戴才良 丁哲轩 方伟 付艳艳 高巍 顾伟 黄妍昕 姜国春 黎伊帆 李安伦 李沈舟 廖振勇 陆建松 罗进 时培宇 王彪 王玮 王永霞 王泽 邢海韬 余其玄 袁荣婷 原浩 张兵 张淼 张元恺 赵帅 赵勇智 贡献单位： OPPO广东移动通信有限公司安信与诚科技开发有限公司北京谷安天下科技有限公司北京神州绿盟科技有限公司 北京微步在线科技有限公司北京天融信网络安全技术有限公司广州熠数信息技术有限公司杭州美创科技有限公司 杭州世平信息科技有限公司杭州天谷信息科技有限公司 华为技术有限公司奇安信网神信息技术（北京）股份有限公司上海淇毓信息科技有限公司深圳国家金融科技测评中心有限公司 天翼安全科技有限公司腾讯云计算（北京）有限责任公司浙江大华技术股份有限公司长春吉大正元信息技术股份有限公司 （以上排名不分先后） 关于研究工作组的更多介绍，请在CSA大中华区官网（https://c- csa.cn/research/）上查看。 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号 序言 当今社会，随着互联网技术的不断发展，个人信息保护问题越来越受到人们的关注。在这个信息化时代，个人信息已经成为了一种重要的资产，而其泄露和滥用也给个人带来了巨大的风险和损失。为了保护个人信息的安全和隐私，各国纷纷出台了相关法律法规和标准。 中国《个人信息保护法》于2021年11月1日正式实施。该法规定了个人信息处理者必须遵守一系列合规要求，包括合法、正当原则、目的明确、最小必要原则、公开透明原则、质量保障原则和确保安全原则等。这些要求对于所有处于《个人信息保护法》管辖范围内的个人信息处理者都是具有普适性的。 报告旨在为处于《个人信息保护法》管辖范围内的个人信息处理者提供系统性的实施指导。该报告包含了个人信息保护合规基本要求的相关内容，包括原则、方法论框架等方面。报告提供了一个结构化的“合规要求-控制措施及规程说明-其他考虑”的框架，以指导个人信息处理者在处理活动中应遵守的规范。具体而言，该框架包括以下四个部分：1.个人信息识别2.个人信息保护合规基本要求3.个人信息专项保护要求4.合规监测改进。每个部分都包含了一些具体的合规控制项和控制细项，共计12项合规控制项和106个控制细项。通过遵循该文件提供的指导和建议，个人信息处理者可以更好地履行其保护个人信息安全和隐私的责任。 我们希望这份《个人信息保护合规准则—中国篇》能够对广大读者有所帮助，并为促进我国个人信息保护事业做出贡献。 李雨航YaleLiCSA大中华区主席兼研究院 目录 致谢3 序言5 1总则7 1.1背景7 1.2目标7 1.3遵循原则7 1.4范围8 1.5方法论框架10 2个人信息识别11 3个人信息保护合规基本要求12 3.1组织机制12 3.2个人信息主体权力响应13 3.3个人信息处理活动中的安全合规要求15 4个人信息专项保护21 4.1敏感个人信息保护21 4.2未成年人个人信息保护22 4.3组织自身的变化下的合规要求23 4.4共同处理者与委托处理者的管理25 4.5自动化决策场景下的安全保护28 4.6个人信息跨境29 5合规监测改进41 5.1个人信息安全影响评估41 5.2个人信息安全合规审计43 附录1条款与法律法规映射45 附录2供应商服务类别及主要涉及服务对象51 附录3供应商提供/处理数据时对应的合规评审要求52 1总则 1.1背景 在大数据时代，日新月异的互联网技术带来更加快捷便利的生活，打破时间和空间的限制为用户提供更贴合现代化生活节奏的服务，与此同时也让个人信息面临更多的风险，如被泄漏、滥用等。为加强个人信息保护，在《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国民法典》等已有个人信息保护规定的基础之上，2021年8 月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》 （下文简称《个人信息保护法》），并于2021年11月1日起正式施行。 《个人信息保护法》正式实施后，在网信部门的统筹管理下，各行业监管部门也通过开展一系列的行动推进本行业、本领域开展个人信息保护工作，国家及行业相关配套标准相继发布，但大多数个人信息处理者在个人信息保护合法要求落地实践中仍处于探索阶段，本行为准则在这样的背景下产生。CSA个人信息工作组结合现行法律法规、国家标准及业界最佳实践，为个人信息处理者提供系统性的实施指导，帮助个人信息处理者承担保护用户个人信息的责任，降低合规风险。本行为准则包含大量来自实际场景的案例或举例，帮助个人信息处理者准确理解控制措施的含义。 1.2目标 基于《个人信息保护法》及其他相关法律法规制定第一版普适性的行为准则，旨在解决企业的合规挑战，面向所有处于个人信息保护法管辖范围内的个人信息处理者，没有针对行业、领域或规模的特定限制。 在达到全面合规的基础上，重点解决在事务工作中的难点问题，包括：个人信息处理活动中的落地合规要求、委托处理者的管理、个人信息跨界管理、个人信息安全影响评估实施等内容。 1.3遵循原则 1.3.1合法、正当原则 合法原则是指个人信息处理者应严格遵循法律、行政法规的规定，采取合法的方式，不得违法处理个人信息。 正当原则是指处理个人信息的行为必须是正当的，处理者不应当通过不公正的方法，如通过欺骗或者在信息主体完全不知情的情况下来处理其个人信息。 1.3.2目的明确、最小必要原则 目的限制原则要求必须是为了特定、明确、合法的目的而收集个人数据，否则不得收集或进行其他的处理活动。 1.3.3公开透明原则 公开透明原则是指个人信息处理者在处理个人信息时应当采取公开、透明的方式，公开个人信息处理的规则，向信息主体明示个人信息处理的目的、处理的方式和处理的范围。 1.3.4质量保障原则 质量保障原则是指个人信息处理者应当保证其所处理的个人信息的质量，避免因为个人信息的不准确、不完整对个人权益造成不利影响。 1.3.5确保安全原则 确保安全原则是指个人信息处理者应当采取必要措施保障所处理的个人信息的安全，防止出现个人信息的泄露或者被窃取、篡改、删除。 1.4范围 行为准则旨在为处于《个人信息保护法》管辖范围内的个人信息处理者提供系统性的实施指导，并参考了10余项我国个人信息保护相关的法律、行政法规及国家标准，并提供了最佳实践可以作为遵守《个人信息保护法》的指南及合规工具使用。任何行业和规模的个人信息处理者都可以使用本行为准则作为实践指导，遵守和实施相关的控制措施将在一定程度上降低合规风险。 行为准则通过结构化的“合规要求-控制措施及规程说明-其他考虑”展现个人信息处理者在处理活动中应遵守的规范，准则内容主要包括个人信息识别、个人信息保护合规基本要求、个人信息专项保护要求、合规情况监测改进四大部分内容，12项合规控制项，106个控制细项： 个人信息识别（共1项）： 包括一般个人信息和敏感个人信息识别方法及示例。个人信息保护基本要求（共3项）： 1)组织机制：包含组织内部个人信息保护架构设计和人员的设置。 2)个人主体权利的响应：包含识别个人信息主体基本权利，同时帮助处理者响应个人主体基于合法权利的请求。 3)个人信息处理活动中的安全合规要求：从个人信息处理活动各阶段的维度梳理个人信息保护的要求，从技术落地方面提供支持性控制措施的建议。 个人信息专项保护要求（共6项）： 1)敏感个人信息保护：包含处理敏感个人信息的加强要求。 2)未成年人个人信息保护：针对处理个人信息中的高风险场景提出额外的措施和说明，包含敏感个人信息的处理、未成年（不满14周岁）个人信息的处理 3)组织自身的变化下的合规要求：主要包括合并、重组、分立、解散、破产情形下，个人信息如何处理的问题。 4)共同处理者与委托处理者的管理：共同处理者与委托处理者的判别及管理过程的各阶段。 5)自动化决策场景下安全合规要求：自动化决策下的个人信息处理原则及基本要求。 6)个人信息跨境：针对数据跨境流程中各个环节提出了控制措施，包含跨境前需进行的评估活动，跨境中提供的保护措施以及和监管机构沟通的要求。 合规监测改进（共2项）： 1）个人信息安全影响评估：个人信息安全影响评估的适用情形及其方法流程。 2）个人信息安全合规审计：个人信息安全合规审计的基本要求。 注：个人信息作为一类特殊且敏感程度高的数据在企业内部需严格保护，满足数据安全保护工作的所有要求，行为准则将不再复述这一类要求。 类别 对应关系 本文章节号及名称 3.3.1收集安全 3.3.2 传输安全 3.3.3 存储安全 3.3.4 使用安全 3.3.5共享安全 3.3.6 删除安全 个人信息处理活动（《个人信息保护法》中列举） 收集 传输 存储 使用、加工 提供、公开 删除 1.5方法论框架 注：为确保覆盖《个人信息保护法》中的个人信息处理活动的各阶段，将个人信息处理活动与本章节的处理活动各阶段做了映射： 2个人信息识别 序号 合规要求 控制措施及规程说明 其他考虑 2-1 对个人信息 制定一个信息分类策略，对个人信息实 在实践场景下，通常使用自动化的分类分级工具来 实行分类管 行分类管理，对识别出的个人信息和敏 进行自动化的数据识别和分类分级 理； 感个人信息打上标签。 2-2 个人信息识 将以电子或者其他方式记录的与已识别 包括：“直接标识个人信息”；“准标识个人信息” 别 或者可识别的自然人有关的各种信息识 指对通过信息结合、聚合等方式可以实现识别个人 别为个人信息并打上标签。可参考《信 的准标识信息；“关联个人信息”并标签化： 息安全技术个人信息安全规范》附录A。 基于已知个人信息，所产生或发现的与之身份关联的信息 2-3 敏感个人信 将一旦泄露或者非法使用，容易导致自 其中生物特征识别数据是指脸部特征、指纹、虹膜、 息识别 然人的人格尊严受到侵害或者人身、财 声音、基因、步态、笔迹等可识别自然人的生理特 产安全受到危害的个人信息，包括生物 性与行为特征的信息。由于人生物识别信息要更改 识别、宗教信仰、特定身份、医疗健康、 非常困难，如指纹、掌纹、虹膜、基因信息等生物 金融账户、行踪轨迹等信息，以及不满 识别信息，一旦被泄露，就会对自然人的人身财产 十四周岁未成年人的个人信息识别为敏 安全产生不可逆转的损害。个人信息控制者通过个 感个人信息。可参考GB/T35273-2020 人信息或其他信息加工处理后形成的信息，如一旦 《信息安全技术个人信息安全规范》附 泄露、非法提供或滥用可能危害人身和财产安全， 录B、GB/T41807-2022《信息安全技术 极易导致个人名誉、身心健康受到损害或歧视性待 声纹识别数据安全要求》、GB/T 遇等的，属于个人敏感信息。 41819-2022《信息安全技术人脸识别数据安全要求》 2-4 对“匿名化个 匿名化后的个人信息不再认定为个人信