返回列表
北源律所参与起草的《个人信息处理法律合规性评估指引》(第一次修订版)于元旦正式施行
2022-01-01

​由北源律所深度参与撰写的《个人信息处理法律合规性评估指引》(以下简称“《指引》”),自2021年6月6日正式施行以来,受到社会各界广泛关注。《指引》的内容广泛吸收并融合了国内外主流数据安全和个人信息保护法律、法规、标准。随着《中华人民共和国个人信息保护法》(以下简称“《个保法》”)于2021年8月20日通过,并于同年11月1日正式生效施行,为了更好的与《个保法》进行融合,符合其有关规定,中国科学技术法学会大数据治理专业委员会组织对《指引》开展了修订工作。北源律所作为起草单位之一为《指引》修订提供了诸多建议并被采纳。最终形成的《指引》第一次修订版将于2022年1月1日起正式施行。

《指引》由概述和术语、合规框架与实施指南三个部分组成,修订的主要集中在概述和术语、合规框架部分,其中概述和术语主要进行数据概念的调整与替换,合规框架部分在体例上进行了细微调整,并根据《个保法》对内容进行新增、细化或者变更的调整,具体修改情况如下:

(一)概述和术语

概述和术语部分主要规定了个人信息相关的概念体系与个人信息处理法律合规性评估的概述。在概念体系部分,主要针对《个保法》相关概念的变化做出调整。如《个保法》抛弃了欧盟《一般数据保护条例》中数据控制者与数据处理者的区分,并用个人信息处理者代替了数据控制者的概念,因此《指引》采用个人信息处理者与个人信息处理受托人代替原有定义。此外,“敏感个人信息”、“转移”、“个人信息保护影响评估”和“自动化决策”也进行相应修订以保持与《个保法》一致。

在个人信息处理法律合规性评估的概述部分,主要对评估目的与目标、评估模式与评估组的部分内容采取了表格方式展示,以呈现更好的框架性与可读性,并对内容进行了部分修改优化,将原来“个人信息保护能力”“合规保障能力”和“合规能力”合并为“合规能力”,不再做细分。此外,这一部分还替换了“合规能力评价模型”概念图,与《第 2 部分:合规框架》中的维度保持一致(12 个维度变成 10 个维度),并替换了附录中的两张概念关系图示,以体现本次概念修改的结果。

(二)合规框架

合规框架部分对个人信息处理法律合规性评估准则的识别和确定建立一个体系化的框架。此次修订,将《指引》十二个维度改为十个,原有的“合法性基础维度”与“手段合法维度”合并为“合法维度”,以及“权责一致维度”内容并入“可问责性维度”,并规定在没有采取共同处理、委托处理、平台/第三方接入等方式时,个人信息处理者满足可问责性维度的其他指标即可视为尽到了与其权利与权力相适应的责任,而不必考虑权责一致指标下的相关要求。修改后的《指引》框架更加科学合理,便于实际落地操作。

在具体内容修改上,合规框架部分修订主要围绕《个保法》相关条款进行相应修订,主要修改要点如下表所示:

(三)实施指南

实施指南部分内容主要是个人信息处理法律合规性评估活动的启动、规划、实施、报告、评审、监控和再评估建立一个统一的流程和方法。该部分并无实质性的修订,主要对概念术语进行替换,确保与《个保法》保持一致。

在参与《指引》撰写与修订工作的过程中,北源律所同时积攒了个人信息相关标准撰写的宝贵经验。2022年,北源律所将借助“法律+技术”服务模式优势,理论与实操双管齐下的丰富经验,持续为企业积极赋能,助力企业释放大数据时代的数据价值与企业稳固合规发展。

附:点击下方“下载文章”获取《个人信息处理法律合规性评估指引》(第一次修订版)PDF完整版

 

下载文章
返回列表
北源律所参与起草的《个人信息处理法律合规性评估指引》(第一次修订版)于元旦正式施行
2022-01-01

​由北源律所深度参与撰写的《个人信息处理法律合规性评估指引》(以下简称“《指引》”),自2021年6月6日正式施行以来,受到社会各界广泛关注。《指引》的内容广泛吸收并融合了国内外主流数据安全和个人信息保护法律、法规、标准。随着《中华人民共和国个人信息保护法》(以下简称“《个保法》”)于2021年8月20日通过,并于同年11月1日正式生效施行,为了更好的与《个保法》进行融合,符合其有关规定,中国科学技术法学会大数据治理专业委员会组织对《指引》开展了修订工作。北源律所作为起草单位之一为《指引》修订提供了诸多建议并被采纳。最终形成的《指引》第一次修订版将于2022年1月1日起正式施行。

《指引》由概述和术语、合规框架与实施指南三个部分组成,修订的主要集中在概述和术语、合规框架部分,其中概述和术语主要进行数据概念的调整与替换,合规框架部分在体例上进行了细微调整,并根据《个保法》对内容进行新增、细化或者变更的调整,具体修改情况如下:

(一)概述和术语

概述和术语部分主要规定了个人信息相关的概念体系与个人信息处理法律合规性评估的概述。在概念体系部分,主要针对《个保法》相关概念的变化做出调整。如《个保法》抛弃了欧盟《一般数据保护条例》中数据控制者与数据处理者的区分,并用个人信息处理者代替了数据控制者的概念,因此《指引》采用个人信息处理者与个人信息处理受托人代替原有定义。此外,“敏感个人信息”、“转移”、“个人信息保护影响评估”和“自动化决策”也进行相应修订以保持与《个保法》一致。

在个人信息处理法律合规性评估的概述部分,主要对评估目的与目标、评估模式与评估组的部分内容采取了表格方式展示,以呈现更好的框架性与可读性,并对内容进行了部分修改优化,将原来“个人信息保护能力”“合规保障能力”和“合规能力”合并为“合规能力”,不再做细分。此外,这一部分还替换了“合规能力评价模型”概念图,与《第 2 部分:合规框架》中的维度保持一致(12 个维度变成 10 个维度),并替换了附录中的两张概念关系图示,以体现本次概念修改的结果。

(二)合规框架

合规框架部分对个人信息处理法律合规性评估准则的识别和确定建立一个体系化的框架。此次修订,将《指引》十二个维度改为十个,原有的“合法性基础维度”与“手段合法维度”合并为“合法维度”,以及“权责一致维度”内容并入“可问责性维度”,并规定在没有采取共同处理、委托处理、平台/第三方接入等方式时,个人信息处理者满足可问责性维度的其他指标即可视为尽到了与其权利与权力相适应的责任,而不必考虑权责一致指标下的相关要求。修改后的《指引》框架更加科学合理,便于实际落地操作。

在具体内容修改上,合规框架部分修订主要围绕《个保法》相关条款进行相应修订,主要修改要点如下表所示:

(三)实施指南

实施指南部分内容主要是个人信息处理法律合规性评估活动的启动、规划、实施、报告、评审、监控和再评估建立一个统一的流程和方法。该部分并无实质性的修订,主要对概念术语进行替换,确保与《个保法》保持一致。

在参与《指引》撰写与修订工作的过程中,北源律所同时积攒了个人信息相关标准撰写的宝贵经验。2022年,北源律所将借助“法律+技术”服务模式优势,理论与实操双管齐下的丰富经验,持续为企业积极赋能,助力企业释放大数据时代的数据价值与企业稳固合规发展。

附:点击下方“下载文章”获取《个人信息处理法律合规性评估指引》(第一次修订版)PDF完整版