云安全聯盟：基于個人信息保護法的合規控制驗證框架（13頁）.pdf

《云安全聯盟：基于個人信息保護法的合規控制驗證框架（13頁）.pdf》由會員分享，可在線閱讀，更多相關《云安全聯盟：基于個人信息保護法的合規控制驗證框架（13頁）.pdf（13頁珍藏版）》請在三個皮匠報告上搜索。

1、 2022 云安全聯盟大中華區版權所有1 2022 云安全聯盟大中華區版權所有4目錄致 謝.31.框架的結構及考慮.51.1 原則和通用.51.2 知情同意和處理規則.61.3 對自動化決策的特別關注.61.4 敏感個人信息的特別關注.61.5 數據出境的統一考慮.61.6 個人權利和對個人權利的回應.71.7 在企業架構和制度中的體現.71.8 記錄和證據.71.9 第三方和供應鏈.72.框架的方法論.82.1 高度概括合規要求（D 列）.82.2 將合規要求做解讀后對應到企業規范文件或產品呈現（F/G 列）.82.3 從最普遍的標準切入企業控制措施（H/I 列）.82.4 對措施的增強介紹

2、或解釋（J 列）.92.5 對觸發合規的最低時限或階段要求.93.框架的維護更新與其他聲明.94.附件（框架）.9 2022 云安全聯盟大中華區版權所有5基于個人信息保護法的企業個人信息保護合規基于個人信息保護法的企業個人信息保護合規風險控制驗證框架風險控制驗證框架 1.01.0說明文檔說明文檔1.1.框架的結構及考慮框架的結構及考慮控制框架從 10 個維度搭建，大部分的維度之間為獨立關系，但部分維度具有包括關系。這主要是考慮到個人信息保護法的架構，以及對于原則、規則等本身既有概括性的必然。目前圍繞個人信息或隱私管理國內外有不同的框架工具，本框架可以作為：（1）基于最為通用的 ISO 2700

3、 x 細化的映射，實現對個人信息保護與管理的全面覆蓋；（2）對于已經使用歐盟 GDPR 或者網信、工信部門的既有規范進行合規工作的符合性，提供額外的驗證過程。1.11.1 原則和通用原則和通用目前個人信息保護的主要原則可以概括是為：合法正當必要性原則、合理直接目的性原則、最小影響和最小范圍原則。將這些確定為原則，主要原因是對必要性、合理性、最小化這些概念難以和缺少準確的衡量指標，且新技術、新應用又不斷的沖擊既有的量化標準。由于這些原則具有在產品、服務設計中的普遍適用性，且在進行是否合規的“終極”判定時，或者在無其他明確法律依據支持佐證時，需要直接援引這些原則判斷。因此，就其中最為基礎的必要性原

4、則，也稱之為個人信息保護合規判定的“帝王原則”。 2022 云安全聯盟大中華區版權所有6值得注意的是，這些原則判斷的最終權，在監管機構（執法）和司法機關。合規工作雖然可以減輕或降低風險后果，但不能完全免責1。1.21.2 知情同意和處理規則知情同意和處理規則將知情同意作為處理規則的起點，而不再作為合規的原則，主要是考慮到知情同意的各種實現是非常實務的運用，不像上述原則一樣“抽象”，目前的合規起步主要的都是通過個人信息處理規則“呈現”完成，同時個人信息保護法對構筑知情同意列舉了大量條款，需要相應的進行合規設計。值得注意的是，知情同意構成了個人信息處理規則（無論是隱私政策、服務協議等等）貫穿始終的

5、基準。1.31.3 對自動化決策的特別關注對自動化決策的特別關注自動化決策是個人信息保護法中為數不多的涉及算法2、人工智能等相關的條款，其代表了未來監管所可能關注的增設、重要方面，因此本框架給與特別關注。1.41.4 敏感個人信息的特別關注敏感個人信息的特別關注一般個人信息和敏感個人信息是對個人信息的基本分類，也符合數據安全法對數據分類分級的一般要求。將個人信息做敏感和一般的分類（個人信息保護法做具體列舉，是從分類而非分級的考慮），同時形成了個人信息分級的初始目的。敏感個人信息需要附加額外的控制措施，因此應特別關注。1.51.5 數據出境的統一考慮數據出境的統一考慮數據出境安全評估辦法明確了對

6、個人信息和重要數據適用統一的出境評估規則，對數據出境的合規盡管不是所有運營者、處理者都需要面對的問題，其1最高人民檢察院在2021 年發布關于建立涉案企業合規第三方監督評估機制的指導意見（試行），對涉案企業合規不起訴模式正在進行持續探索。2互聯網信息服務算法推薦管理規定已經通過實施，其對行業可能產生的影響尚有待進一步觀察。 2022 云安全聯盟大中華區版權所有7規則的要求也具有不同于個人信息的一般處理的要求，但由于出境選擇的多樣性和觸發條件的不同，數據出境自身形成了相對獨立的合規評價體系3。1.61.6 個人權利和對個人權利的回應個人權利和對個人權利的回應雖然個人信息保護法將個人的權利作為專章

7、規定，但從企業合規的角度對應的是對這些權利的響應。雖然企業從業務流程和個人信息生命周期已經涉及對個人權利的響應，但將其單獨作為一個維度，有助于體系化的驗證對個人信息響應和保護的程度。1.71.7 在企業架構和制度中的體現在企業架構和制度中的體現從組織架構和風險控制制度出發規范個人信息保護與合規，符合傳統風險控制和管理的思路，也是本框架與既有的標準建立關聯和匹配的基礎，最終也是合規的形式化成果和驗證依據。1.81.8 記錄和證據記錄和證據本框架也突出了記錄和證據的重要性。一方面是從網絡安全法以來對記錄、日志等已經提出了越來越多的要求，另一方面，從法律的角度考慮這些記錄和證據，體現出本框架作為法律

8、合規框架，而非其他框架的獨有特點。畢竟，所有的日志、記錄等等只有符合法律規定的形式和內容要求，才能成為企業合規和免責的依據4。1.91.9 第三方和供應鏈第三方和供應鏈對第三方合作伙伴和從供應鏈角度考慮個人信息保護，為企業提供了外部性的多重視角，盡管供應鏈安全的最重要問題并非個人信息保護，但個人信息保護的重要方面涉及對與外部的合同、協議評價和在信息傳遞、轉移中的大量處理行為的合規評價。特別是在數字經濟的宏觀背景和平臺模式直接面對最終3公開信息顯示，數據出境安全評估辦法（征求意見稿）嘗試進行統一的數據出境安排，但未來仍有可能就個人信息與重要數據出境分別設置不同的規則，因此征求意見稿的施行仍有不確

9、定性。4對電子數據證據，應充分結合關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定關于民事訴訟證據的若干規定。任何合規框架不應代替對電子證據的過程化考慮，且企業應注意，對行政和刑事案件中，證據的收集、提取、固定、審查應主要屬于偵察、檢察機關的活動。 2022 云安全聯盟大中華區版權所有8用戶的微觀場景下，傳統信息安全標準的企業“內控”已經不能完全滿足企業業務活動的需要，這就是為何供應鏈安全、BYOD、零信任等概念愈發受到重視的部分非技術原因。2.2.框架的方法論框架的方法論框架主要從法律規定出發，而非從單一的權利主體個人視角或者從監管角度、技術角度，嘗試建立一個可自洽并周延的體系。為此

10、主要使用了以下方法和邏輯：2.12.1 高度概括合規要求（高度概括合規要求（D D 列）列）將個人信息保護法的合規要求先做高度凝練，便于全文化和隨機的檢索。其優點是能夠快速檢索到關注的合規要求，缺點是可能因概括而導致信息缺失。2.22.2 將合規要求做解讀后對應到企業規范文件或產品呈現將合規要求做解讀后對應到企業規范文件或產品呈現（F/GF/G 列）列）將合規要求適當展開，并落實到企業的產品、服務中，便于確認這些合規要求在企業層面的體現形式，例如哪些需要體現在個人信息處理規則（隱私政策展示、確認等）、哪些屬于企業內部規章制度（訪問控制規則、流程等）。2.32.3 從最普遍的標準切入企業控制措施

11、（從最普遍的標準切入企業控制措施（H/IH/I 列）列）本框架選取了業界認可度最高，并遵循技術中立性的 ISO 27001（及 27018）對企業合規的控制措施。一方面這符合目前主流的合規框架的方法論，例如NIST 的關鍵基礎設施框架也已窮盡對應更多的標準方法，另一方面 ISO 的上述標準不尋求特定技術，能夠符合企業不同程度的匹配要求，并且 27018 等對個人信息保護進行了擴展控制建議，也符合本框架尋求可擴展的彈性要求。當然受限于表格形式，企業需要對應 ISO 的具體文本。 2022 云安全聯盟大中華區版權所有92.42.4 對措施的增強介紹或解釋（對措施的增強介紹或解釋（J J 列）列）除

12、了對一般合規管理的標準描述，框架也嘗試對可用的拓展的措施，包括安全技術措施做適當引介，這樣企業可以快速的找到必要的措施以快速符合合規法律的技術要求，以應對技術發展變化的需求，因此此部分內容也將保持持續更新。2.52.5 對觸發合規的最低時限或階段要求對觸發合規的最低時限或階段要求對于不同的合規要求，企業實踐中存在一個適用性、優先性，以及何時觸發的判斷。對應優先性，框架基于一般企業給出了排序的參考建議，這主要是結合了監管在一定時期內的關注、熱點，因此也存在動態調整，并不同規模的企業其優先性考慮也有差異；對于觸發問題，最典型的如數據出境，可能非普遍性義務，需要達到觸發條件，且由于數據出境安全評估辦

13、法規定了一個累計、動態的衡量標準，需要企業持續對個人信息進行“監測”，以便在適當的時點啟動合規。為此框架在后續版本中將考慮設定了一個觸發合規的時點要求，將最遲、不晚于某個時點需要做相應合規動作進行原則性的設定。3.3.框架的維護更新與其他聲明框架的維護更新與其他聲明本框架由云安全聯盟大中華區“隱私與個人信息保護法律工作組”制定并維護。對本框架的使用受限于云安全聯盟大中華區及其網站的規則。請登錄 CSAGCR 網站 https:/www.c- 2022 云安全聯盟大中華區版權所有10（以下為附件）基于個人信息保護法的企業個人信息保護風險控制合規驗證框架合規要求（D）法律依據（E）條款解讀/典型場

14、景描述（F）管理控制措施（G）ISO 27001（H）管理控制的描述（I）增強的控制場景或措施（J）備注（K）/優先性CSA GCR 隱私與個人信息保護法律工作組維護，隱私與個人信息保護法律工作組維護，2021.12區分不同的合規種類，便于識別企業行為提煉合規要點，粒度在條款級別此部分對應到個人信息保護法的具體條款，但不再援引全文；考慮到配套制度，也會就主要的配套法規、標準的條款做提示解讀法律規定的要旨，并盡可能列舉法律風險（行為）；注意不同的風險行為可能對應于對同一合規要求的違反列舉主要的制度、技術措施，可用于判斷現有措施的符合性；亦包括可用的整改機制對應到ISO 27001（含27018，

15、紅色標識）的具體控制措施項下（需要特別說明的是，27系列并非僅為個人信息保護設計，且其主要從企業風險角度出發，而非用戶利益角度）對標準應用的進一步描述和其他參考，整體上將個人的權利作為產品、服務設計和實現的功能部分，因此此部分主要的歸入A14增加或補充描述一些可能實現的場景就相關合規要求的風險程度、特別是已經普及的程度、監管關注程度、法律后果的嚴重性進行優先排序（更細粒度的量化應結合風險評估），但組織應考慮監管不同階段的關注亦有變化；零就框架合規要求之間的關聯進行識別和標注；其他備注1原則/通用1合法正當必要誠信5正向判定的基本依據是知情同意；反向還需判定是否通過誤導、欺詐、脅迫等方式處理個人

16、信息個人信息處理規則；產品服務功能展示A.5.1.1應在信息安全策略和承諾中植入個人信息保護的基本原則通過隱私政策和專門頁面等組合方式呈現；其中，必要性與最小化屬于動態可量化機制高2明確合理直接關聯目的6處理應與業務目的直接相關，應與產品服務類型直接相關產品服務功能解釋說明A.14.1.1；A.14.2.1；A.14.2.8；A.14.2.9；A.6.1.5；A.3.1是否符合目的性，作為系統（產品、服務）驗收的依據之一應在信息系統的開發需求階段、開發過程階段、測試驗收階段確認符合目的性原則高3個人權益影響最小的方式6這里的權益是民法典界定的各項經濟權益與人格權益的統稱個人信息保護影響評估報告

17、A.12.1.1；A.14應從對個人的（1）限制個人自主決定權；（2）不合理的差別待遇；（3）人身財產損失；（4）名譽權等人格損失或精神損失多角度評價影響中4實現產品服務目的最小范圍6與產品服務的基本功能對應；必要功能對應必要收集（和處理）產品服務功能解釋說明A.6.1.5；A.14.1；A.12.1.1 ；A.5是否符合目的性和必要性原則，作為系統（產品、服務）驗收的依據之一；應在產品、服務設計時考慮個人信息安全，并進行分析和規范化。最小化存儲和刪除數據文件，屬于最小范圍的考慮，并涉及用戶刪除權的行使（和驗證）產品服務的內容、范圍變化，可能導致必要性和最小化原則的擴張、縮小或喪失高 2022

18、 云安全聯盟大中華區版權所有115產品服務必需功能16；常見類型移動互聯網應用程序必要個人信息范圍規定與產品服務的基本功能對應；必要功能對應必要收集產品服務功能解釋說明；實名制注冊是所有產品、服務的必需功能A.14.1；A.14.2.1；A.14.2.8；A.14.2.9；A.12.1.1是否符合目的性和必要性原則，作為系統（產品、服務）驗收的依據之一應在信息系統的開發需求階段、開發過程階段、測試驗收階段確認收集的信息都為功能所必須高6公開透明7個人信息處理規則公開；處理過程（目的、方式與范圍）透明；算法可解釋個人信息處理規則A.5.1.1應在信息安全策略中明確個人信息處理規則透明度與算法等知

19、識產權有關，應綜合監管機構的具體要求，確定透明度。部分年度透明度報告可參考低7數據質量8；數據安全法避免因個人信息不準確、不完整對個人權益造成不利影響；但并不意味著企業可以強制要求個人補充和完善（對應產品功能非必要的）個人信息A.12.3；A.14備份是常規控制機制之一；完整性考慮應在產品、服務設計中考慮和增加實現、驗證機制在某些合同場景下，可對個人提供的數據質量提出要求和義務，但前提還應包括適當的對價低8明示處理的目的方式和范圍7個人信息處理規則公開；處理過程（目的、方式與范圍）透明；算法可解釋個人信息處理規則A.6.1.5；A.14.1.1；A.14.2.1；A.14.2.8；A.14.2

20、.9應在信息系統的開發需求階段、開發過程階段、測試驗收階段確保系統有明確功能實現明示處理目的應在產品、服務設計過程中，加入個人信息收集的明示中2知情同意和處理規則9知情同意（起點）13.1；14自愿和明確做出，且提供和撤回同意的方式。格式條款和默認選定可能會認為非自愿、不明確。個人信息處理規則和對規則的選擇、記錄過程（例如點擊、勾選）A.9.2；A.9.3；A.14.1；A.14.2.1；A.14.2.8；A.14.2.9；A.12.1.1將個人信息安全植入開發過程；知情同意為注冊和對企業產品、服務的訪問的前提條件應在產品、服務設計過程中，加入數據收集點的相關同意記錄，并由用戶通過逐項勾選個人

21、信息、彈窗確認等方式完成每項個人信息的同意確認中10個人信息處理規則的設計和告知17名稱、聯系方式、處理目的、方式、個人信息種類、保存期限、個人權利。個人對處理規則的同意，為開啟使用的前提個人信息處理規則A.5.1.1；A.14.1.1；A.14.2.1；A.14.2.8；A.14.2.9；A.18.1應在產品、服務設計過程中，加入數據收集點的相關同意記錄，并由用戶通過逐項勾選個人信息、彈窗確認等方式完成每項個人信息的同意確認可考慮采用層次化的隱私政策展現個人信息處理的相關規則。采用 1個靜態隱私政策文本+1個首頁橫幅+N個單獨同意的精簡彈窗告知中11無需同意的告知13.2應區分事先和事后告知

22、的具體場景，例如履行監督職能和公共安全的，告知時點不同告知并不一定意味著需要同意，例如基于公共利益的考慮低12重新同意14處理目的、種類、方式變更，意味著原有同意失效，需重新同意；不同系統下的同一應用，應視為需重新同意個人信息處理規則和對規則的選擇、記錄過程（例如點擊、勾選）A.9.2.1；A.9.2.2；A.9.2.6；A.12.1.2；A.14.1.1；A.14.2.1；A.14.2.8；A.14.2.9；重新同意可能意味著連續使用（以前的數據有效），也可能為從零開始使用應在產品、服務設計過程中，提供因個人信息處理活動變更時的站內信、彈框等重新告知和取得同意的功能中13撤回同意15自愿和明

23、確做出，且提供和撤回同意的方式個人信息處理規則和對規則的選擇、記錄過程（例如點擊、勾選）A.9.2.1；A.9.2.5；A.9.2.6；A.9.3；A.14.1.1；A.14.2.1；A.14.2.8；A.14.2.9在提供撤回選擇時，個人也應當了解撤回的后果企業應評估如何處理撤回范圍之外的個人信息分別針對 APP 功能、SDK、Cookie等提供中14撤銷同意參照刪除處理A.9.2.1；A.9.2.6中15個人信息處理規則版本更新的告知17版本更新應告知，并公開；對涉及用戶權益的規則，應重新取得同意個人信息處理規則A.12.1.1；A.12.1.2；A.14.2.2；A.18.1在變更管理中

24、考慮規則變更、個人信息主體同意拒絕的變更等。規則版本的任何變動，應體現法律和政策的變化中 2022 云安全聯盟大中華區版權所有1216實現處理目的所必要的最短保存期限19以交易完成作為保存期限的基礎；如延長保存期限，需要有相應的處理目的支持。匿名化為從個人信息轉化為企業信息的前提個人信息處理規則的目的描述；存儲期限的比對A.14.1.1；A.14.2.1；A.14.2.8；A.12.3應在信息系統的開發需求階段、開發過程階段、測試驗收階段確保系統中收集的信息保存期限合規，到期刪除。同時控制生產數據中個人信息在測試環境中的使用。應通過時間戳、過期提醒等方式建立觸發期限的機制高17轉移、共享、提供

25、的告知22；23應在個人信息處理規則（隱私政策、用戶指南等）中告知個人信息向特定方轉移、提供、共享，并取得同意個人信息處理規則A.5.1.1；A.13.2；A.18.1；A.8.1高18單獨同意：轉讓個人信息23由于處理者主體變化，應取得個人單獨同意轉讓協議A.13.2；A.18.1應在隱私政策中明確轉讓的第三方信息，概括轉讓不視為符合高3自動化決策19自動化決策的透明度24進行算法機制、機理審核：定期審核、評估、驗證算法機制機理、模型、數據和應用結果個人信息處理規則（專章）A.5.1.1公開透明原則在自動化決策中的體現高20用于推送和營銷的自動化決策的選項填充24通過“內容去重、打散干預”等

26、方式，提供不針對其個人特征的選項，或者提供便捷的拒絕方式個人信息處理規則（專章）A.14.1.1；A.14.2.1；A.14.2.9；A.3.2營銷目的的使用，應經用戶明確同意，并可隨時拒絕同意APP開發者應考慮操作系統對營銷、廣告等活動的技術限制高21自動化決策的解釋說明24公示算法推薦服務的基本原理、目的意圖、運行機制等個人信息處理規則（專章）A.14.1.1；A.14.2.1；A.14.2.9；A.18.1中22算法規范互聯網信息服務算法推薦管理規定對算法增加考慮分類分級、日志留存、安全評估個人信息處理規則（專章）；算法機制A.5.1.1；A.14.1.1；A.14.2.1；A.14.2

27、.9；A.18.1應首先在互聯網信息服務算法推薦管理規定下確定企業所涉及算法的歸類，以及是否備案等基本問題應區分自動化決策的解釋性，與算法的可解釋性。前者是過程描述并非所有的算法都歸入互聯網信息服務算法推薦管理規定所界定的“算法”中4個人信息的公開及可能的公共數據23單獨同意：公開個人信息25；26；最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定公開個人信息，或公共安全目的獲取的個人信息用于其他用途，應取得個人單獨同意單獨的書面（電子化）通知請求A.13.2；A.18.1中24已公開信息的處理27個人有后續拒絕權A.13.2；A.18.1例如：考慮通過企業信

28、息公示系統、裁判文書、媒體公開報道等形式公開后的個人信息使用范圍低5敏感個人信息25特定的目的和充分必要性28個人信息分類分級，應就敏感個人信息（第 28條）單獨收集；已收集的單獨識別；已識別的單獨處理個人信息處理規則（專章）在一般個人信息基礎上的附加考慮不可分的應按照就高不就低原則處理高26單獨同意：敏感個人信息29基于告知（單獨）同意規則個人信息處理規則（專章）A.13.2；A.18.1高6出境27單獨同意：出境個人信息39基于告知（單獨）同意規則企業業務合同；個人信息處理規則A.13.2；A.18.1；A.12.3.1中28自評估高 2022 云安全聯盟大中華區版權所有1329安全評估數

29、據出境安全評估辦法（征求意見稿）CII和達標數量的企業，應進行安全評估安全評估報告A.18.1；A.11.11主要涉及觸發安全評估的條件判斷數據出境安全評估辦法（征求意見稿）擴大了安全評估的使用范圍高30保護認證38細則待定認證過程和結果（證書）擇一適用；認證的有效期應考慮中31標準合同38細則待定（GDPR）版本的法律沖突和優先適用問題應考慮企業業務合同；個人信息處理規則A.18.1；A.11.11擇一適用；標準合同條款的部分引用，不適為采用了標準合同模式中7對個人權利請求的回應32知情權44知情體現在個人信息收集、使用，直至刪除的全生命周期個人信息處理規則A.9.2.2；A.9.2.3；A

30、.9.2.5；A.9.2.6；A.9.3A.2.1將用戶設置或配置賬戶信息和保護口令信息的義務部分轉移至用戶個人；并應系統的描述用戶自身的義務和責任（不局限于9.3對員工的用戶責任描述）。整體上而言，對個人用戶權利的回應應在協議、規則中做出，并相關技術措施也需在 協議中進行明確。應區分個人信息的性質，分別采用結構化查詢和非結構化查詢的方式分別符合中33決定權44有權提供、限制或者拒絕他人對其個人信息進行處理個人信息處理規則A.9.2；A.14.1.1；A.14.2.1；A.14.2.9用戶決定權取決于對其訪問控制的配置與控制應在產品、服務設計中加入隱私偏好中心，為用戶提供拒絕個人信息處理的能力

31、中34拒絕權45拒絕權包括未收集的拒絕，已收集的刪除個人信息處理規則A.14.1.1；A.14.2.1；A.14.2.9應符合監管機構處理時限的要求（15工作日）中35查閱權45已可辨識、可讀（結構化）的方式；可按照個人請求查閱的范圍精確提供，但如個人要求全部查閱的，則應全部呈現個人信息處理規則A.13.2中36復制權45對查閱信息的復制和獲取個人信息處理規則A.13.2查閱與復制的區別，以及重復查閱、復制所可能產生的費用列明中37可攜帶權45權利的提出應符合法定條件（網信待定）和可攜帶性（如類似應用）個人信息處理規則A.13.2符合下列條件的個人信息轉移請求，數據處理者應當為個人指定的其他數

32、據處理者訪問、獲取其個人信息提供轉移服務：（1）請求轉移的個人信息是基于同意或者訂立、履行合同所必需而收集的個人信息；（2）請求轉移的個人信息是本人信息或者請求人合法獲得且不違背他人意愿的他人信息；（3）能夠驗證請求人的合法身份?？蓴y帶權將導致企業產生額外成本，應進行費用列明低38更正權46為個人權利；如果企業為數據質量的，則應請求個人更正和補充個人信息處理規則A.9.2.5；A.9.2.6企業對發生的個人信息錯誤，不應主動更正，但影響業務運行的，應以通知方式告知錯誤信息導致業務無法運行的，結合數據質量和“刪除權”中39刪除權47處理目的、留存期限等個人信息處理規則A.9.2.6；A.11.2

33、.5；A.11.2.7；A.12.3；A.11.3對備份信息的刪除應在協議中考慮，例如自動化備份，以及為爭議解決的備份。對已刪除數據的恢復，應考慮對刪除權的影響。刪除與賬戶注銷應關聯考慮高40解釋權48有權要求企業對個人信息處理規則進行解釋說明個人信息處理規則A.13.2；A.18.1自動化決策、算法中 2022 云安全聯盟大中華區版權所有1441繼承權49涉及近親屬利益的可繼承性，企業需對其身份（近親屬）和其利益（正當性）進行判定個人信息處理規則A.13.2；A.18.1中42救濟權50建立便捷的個人行使權利的申請受理和處理機制，包括聯系方式、智能和人工應答等；訴訟應用交互頁面；外部鏈接A.

34、13.2；A.18.1低8管理制度和合規架構43規章制度51應在等級保護制度、資產管理、訪問控制、業務流程、員工手冊等具體規章制度中體現個人信息保護網絡安全管理制度（人力、資源、訪問）A.5.1；A.6.1；A.13.2；A.11.11應在信息安全策略文件和承諾中增加體現個人信息保護。應考慮協議于規章制度的契合度。高44操作規程51針對個人信息處理過程的操作規程，應與企業業務流程的操作相匹配業務流程文件A.6.1.5；A.9.2；A.10.1.2；A.13.2；A.12.4.1；A.8.1.3；A.8.1.4；A.8.2.3；A.8.3.3；A.8.3.2；A.12.1.1；A.12.1.2授

35、權過程中體現對個人信息的訪問權限；應能識別外部第三方對企業資產、數據的訪問，并符合企業的網絡安全要求；將個人信息，及企業在去標識化、匿名化后形成的數據，分別識別和建立資產清單和管理制度高45分類分級51數據分類分級在個人信息保護領域中的體現，敏感和一般為典型的分級，第 28條提供了敏感個人信息的分類示范資產管理制度A.8.2應在信息資產的分類分級中考慮個人信息；以及個人信息在何種情況下可能成為重要數據例如金融數據安全數據安全分級指南給出了行業分類的參照高46加密51包括對存儲和傳輸的個人信息加密傳統的加密機制和策略A.9.4.1；A.9.4.2；A.10.1；A.11.5；A.11.6不使用無

36、加密的移動介質，以及HTTPS默認加密國密系列算法，以及同態加密、安全多方計算等提供了加密在特定場景中的部分方案高47去標識化51以降低個人信息的敏感程度典型的去標識化工具，及隱私計算工具A.18.2.3主流的隱私計算技術提供了實現去標識化的部分功能，但去標識化與匿名化不應等同高48物理訪問控制A.6.2；A.11特別的，應對設備進出和轉移進行控制和授權中49系統與網絡訪問控制A.9；A.11.2；A.11.7;A.11.8訪問控制應該是所有用戶創建和使用產品、服務的基礎，ID 管理和用戶權限是訪問控制的基礎動作高50從業人員管理51人員角色、職責和責任的宣貫培訓、訪問策略配置配置策略、訪問控

37、制策略、員工手冊A.6.1.2；A6.2；A.7有關人員自帶設備（BYOD）同時涉及的物理、邏輯和人員控制，可進一步參考BYOD 指南或其他文件高51應急預案51在網絡安全應急預案中體現個人信息保護網絡安全應急預案A.16將個人信息安全事件管理納入應急預案并給與響應中52個人信息保護負責人52在管理層設定個人信息保護的角色章程、董事會決議、（總）經理任命職責A.6.1.1應在信息安全責任劃分中增加和突出負責人角色高53保護負責機構52在內部控制等既有機構中，或單獨設置個人信息保護的負責機構；頭部企業應履行備案義務公司治理的管理層、組織架構A.6.1.1一般涉及兩個層面，包括管理層（董事會）內設

38、機構，以及組織架構的特定角色機構與人員高54審計54主動發起審計（在IT審計中包括個人信息審計）IT審計等A.18.2.1；A.12.7應以獨立性為前提進行必要的個人信息安全審計中55接受審計接受網信部門審計N/A中 2022 云安全聯盟大中華區版權所有1556個人信息保護影響評估55；GBT39335-2020評估報告和處理情況記錄的保存應符合民法典訴訟時效的規定評估報告A.18.2.1；A.18.2.2GBT 39335-2020高57通知57向網信部門和受影響的個人通知符合內容和形式要求的電子化（書面）通知A.13.2；A.14.1；A.6.1；A.10.1通知應符合時效性和形式要求；應

39、考慮時間戳、回執等以確定和保存通知的送達高58外部監督機構58對大型平臺的“守門人”義務要求低59平臺規則58對大型平臺的“守門人”義務要求低60通知停止規則58對大型平臺的“守門人”義務要求應注意與傳統的避風港原則的異同低61社會責任報告58對大型平臺的“守門人”義務要求低62接受測評61.3測評對象是企業的產品、服務測評報告A.6.1.3應與網信部門、公安部門、工信部門、市監部門等建立適當聯系中63接受檢查63檢查對象是企業自身（的生產運營）檢查結論、整改記錄A.6.1.3；A.14；A.17極端情況下，個人信息保護的違規，可能導致停業整頓等業務業務連續性的風險高64執法協助網絡安全法第2

40、8條協助提供數據、記錄，權限及必要的設施設備保留協助記錄系統文件的必要保護作為合規遵從的依據之一中9記錄與證據65日志的時限網絡日志及留存應符合網絡安全法時限要求留存期限和可審計A.12.4；A.18.1.3；A.18.2應部署自動化日志工具，并考慮審計必要性高66日志的時效網絡日志及留存應符合訴訟時效的時限要求留存期限和可審計A.12.4；A.18.1.3；A.18.2考慮法定與約定留存時限發生沖突時的處理高67記錄記錄應符合網絡數據的三性要求，并在驗證是否符合網絡安全保護義務、個人信息保護義務時以“電子數據證據”的形式提供A.18.1.3；A.18.2；A.16.1.7；A.6.2應區分日

41、志、記錄和數據、事件高68電子數據證據關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定A.18.1應從證據的生命周期考慮可靠的證據鏈實現高10第三方與供應鏈69管理供應商與供應鏈安全與供應商的協議協議審查；權限配置；過程檢查A.6.1.4；A 6.1.5；A.14.2.7；A.15；A.11.12應通過盡職調查等對外包方進行必要的識別和審查；并在開發外包中關注個人信息保護高70向客戶提供產品服務中的個人信息保護與客戶方的協議協議審查；權限配置；過程檢查A.6.1.4；A 6.1.5；A.14.2.7；A.15對獲取的客戶信息、最終用戶信息，應考慮協議明確各方權利義務的邊界委托協議在個人信息保護法下具有合同相對性的基本功能，應考慮在協議中體現委托關系（如適用）；GDPR的數據控制者與數據處理者區分具有參考意義，但不完全適用于境內高71保密協議A.13.2.4包括員工保密協議和對第三方的保密義務，以及要求第三方保密的義務中72第三方開放工具接口等（SDK）協議中披露SDK主體和功能在隱私政策中列明，并結合個人撤回同意的考慮高