个人信息保护合规准则中国篇

©2023国际云安全联盟大中华区版权所有1@2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有2 ©2023云安全联盟大中华区版权所有3致谢《个人信息保护合规准则-中国篇》由CSA大中华区数据安全工作组内个人信息保护合规准则项目组专家撰写，感谢以下专家的贡献：项目组组长：高巍王玮主要贡献者：曾令平陈丑亚付艳艳黄妍昕李沈舟廖振勇罗进王彪王玮邢海韬余其玄原浩张兵张淼参与专家：曾令平陈丑亚戴才良丁哲轩方伟付艳艳高巍顾伟黄妍昕姜国春黎伊帆李安伦李沈舟廖振勇陆建松罗进时培宇王彪王玮王永霞王泽邢海韬余其玄袁荣婷原浩张兵张淼张元恺赵帅赵勇智 ©2023云安全联盟大中华区版权所有4贡献单位：OPPO广东移动通信有限公司安信与诚科技开发有限公司北京谷安天下科技有限公司北京神州绿盟科技有限公司北京微步在线科技有限公司北京天融信网络安全技术有限公司广州熠数信息技术有限公司杭州美创科技有限公司杭州世平信息科技有限公司杭州天谷信息科技有限公司华为技术有限公司奇安信网神信息技术（北京）股份有限公司上海淇毓信息科技有限公司深圳国家金融科技测评中心有限公司天翼安全科技有限公司腾讯云计算（北京）有限责任公司浙江大华技术股份有限公司长春吉大正元信息技术股份有限公司（以上排名不分先后）关于研究工作组的更多介绍，请在CSA大中华区官网（https://c-csa.cn/research/）上查看。在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号 ©2023云安全联盟大中华区版权所有5序言当今社会，随着互联网技术的不断发展，个人信息保护问题越来越受到人们的关注。在这个信息化时代，个人信息已经成为了一种重要的资产，而其泄露和滥用也给个人带来了巨大的风险和损失。为了保护个人信息的安全和隐私，各国纷纷出台了相关法律法规和标准。中国《个人信息保护法》于2021年11月1日正式实施。该法规定了个人信息处理者必须遵守一系列合规要求，包括合法、正当原则、目的明确、最小必要原则、公开透明原则、质量保障原则和确保安全原则等。这些要求对于所有处于《个人信息保护法》管辖范围内的个人信息处理者都是具有普适性的。报告旨在为处于《个人信息保护法》管辖范围内的个人信息处理者提供系统性的实施指导。该报告包含了个人信息保护合规基本要求的相关内容，包括原则、方法论框架等方面。报告提供了一个结构化的“合规要求-控制措施及规程说明-其他考虑”的框架，以指导个人信息处理者在处理活动中应遵守的规范。具体而言，该框架包括以下四个部分：1.个人信息识别2.个人信息保护合规基本要求3.个人信息专项保护要求4.合规监测改进。每个部分都包含了一些具体的合规控制项和控制细项，共计12项合规控制项和106个控制细项。通过遵循该文件提供的指导和建议，个人信息处理者可以更好地履行其保护个人信息安全和隐私的责任。我们希望这份《个人信息保护合规准则—中国篇》能够对广大读者有所帮助，并为促进我国个人信息保护事业做出贡献。李雨航YaleLiCSA大中华区主席兼研究院 ©2023云安全联盟大中华区版权所有6目录致谢...........................................................................................................................................................3序言...........................................................................................................................................................51总则.......................................................................................................................................................71.1背景..........................................................................................................................................71.2目标..........................................................................................................................................71.3遵循原则..................................................................................................................................71.4范围.........................................................................................................................................81.5方法论框架...........................................................................................................................102个人信息识别.................................................................................................................................113个人信息保护合规基本要求..............................................................................................................123.1组织机制.............................................................................................................................123.2个人信息主体权力响应.......................................................................................................133.3个人信息处理活动中的安全合规要求...............................................................................154个人信息专项保护..............................................................................................................................214.1敏感个人信息保护...............................................................................................................214.2未成年人个人信息保护.......................................................................................................224.3组织自身的变化下的合规要求.........................................................................................234.4共同处理者与委托处理者的管理.......................................................................................254.5自动化决策场景下的安全保护...........................................................................................284.6个人信息跨境.......................................................................................................................295合规监测改进......................................................................................................................................415.1个人信息安全影响评估.......................................................................................................415.2个人信息安全合规审计.......................................................................................................43附录1条款与法律法规映射.................................................................................................................45附录2供应商服务类别及主要涉及服务对象.....................................................................................51附录3供应商提供/处理数据时对应的合规评审要求.......................................................................52 ©2023云安全联盟大中华区版权所有71总则1.1背景在大数据时代，日新月异的互联网技术带来更加快捷便利的生活，打破时间和空间的限制为用户提供更贴合现代化生活节奏的服务，与此同时也让个人信息面临更多的风险，如被泄漏、滥用等。为加强个人信息保护，在《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中