返回列表
个人信息处理法律合规性评估指引(T/CLAST 002-2021)

《个人信息处理合规评估指引》(以下简称《指引》)的目的在于支持组织证明和声明其个人信息处理的合规状态和合规能力水平,也包括顾客、监管者等对个人信息处理的合规进行检查和监督,个人信息相关方之间建立理解和信任,以及独立的评估机构为具有上述需求的个人信息相关方提供合规评估、咨询和认证服务。 

《指引》由以下三个部分组成: 

第一部分:概述和术语

本部分的目的在于为个人信息处理活动及其合规评估活动建立一个共同认可的、易于沟通的语境和概念体系,提供个人信息处理合规评估的概述,为合规评估活动的开展、《指引》的其他部分的开发奠定基础。

为此,本部分界定和汇集了个人信息处理及其合规评估中可能涉及的术语,并通过术语编排和交叉引用建立了整体性的概念体系。尤其是其中个人信息处理相关术语,编制这些术语和定义的目的不仅仅是在合规评估语境下的标准化,也旨在为政策制定者提供参考。 

除术语及其概念体系之外,本部分对个人信息处理合规评估活动给出了总体概述,包括合规评估的目的与目标、评估主体(合规评估模式与评估组)、评估对象(范围和边界)、评估准则(识别与确定)以及评估方法论(评估流程、方法与评估结论)的整体描述。本文件作为概述和术语类标准不提出具体要求。

第二部分:合规框架

本部分的目的在于为个人信息处理合规评估准则的识别与确定建立一个体系化的框架,以便对富有综合性的合规要求进行清晰的分类和归纳。

本部分可以适用于两种场景,一是当组织自愿作出符合性声明时,本部分给出的个人信息处理合规要求构成了组织在进行个人信息处理活动时应遵循的“要求”;二是对该组织进行个人信息处理合规评估的场景中,本部分的合规要求构成了据以与组织的个人信息处理活动进行比较并确定其符合性的“准则”。针对合规评估场景中的应用,本部分给出了评估要求和指引,即评估员在合规评估活动中适用特定的“合规要求”时应遵守的评估要求和可以参考的指引。

作为适用于各种类型组织的通用型标准,在合规要求的内容构成方面,本部分的起草过程中汇总和分析了现有的国内相关法律、法规、部门规章、其他规范性文件和典型案例,以及国内外相关立法、标准文件,通过分类和归纳建立了合规框架,该框架采用了“维度—指标”或“维度—指标—特性”的层级结构。

本部分的第5章给出了12个通用合规评估维度,每个合规评估维度下设若干合规评估指标,必要时,指标下含有特性要求以阐明该合规评估指标中需考虑的特性。这些通用合规评估维度原则上适用于所有个人信息处理,或者是并非特定于哪一个个人信息处理环节的要求。考虑到通用合规评估维度和指标在适用于特定个人信息处理环节时有必要予以具体化或有所变通,第6章给出了“特定处理环节的扩展要求”,涵盖收集、使用、存储、公开披露、共享、转让等个人信息处理环节。但对于向境外提供、传输、终止等个人信息处理环节,第5章给出的通用合规评估维度并非全部适用,其合规仅涵盖有限的几个维度,因此第7章给出了“特殊的个人信息处理类别”的要求。

总体而言,本部分的合规框架可以理解为一个网状结构。在纵向上,是从国内外立法、案例、标准当中总结出个人信息处理合规要求的“公因式”,并将这些“公因式”按照“维度—指标”或“维度—指标—特性”的层级结构进行纵向编排(第5章);在横向上,是将这些通用指标适用于不同的个人信息处理环节,并给出扩展要求(第6章)和特殊环节的适应性要求(第7章)。

第三部分:实施指南

本部分的目的在于为个人信息处理合规评估活动的启动、规划、实施、报告、评审、监控和再评估建立一个统一但仍保留灵活性的流程和方法。 

本部分给出了合规评估的基本原则(第5章)和合规评估过程的概述(第6章)。整个合规评估过程按照时间序列可以划分为四个阶段:项目启动阶段、计划准备阶段、现场实施阶段、评估报告阶段。第7-11章分别对上述四个阶段所要实现的总体目标、所包含的主要活动、该活动所需的主要输入和输出等给出了实施指引。通常,每个阶段均可以进一步拆分为若干活动,该活动所需的主要输入通常是前一个活动的输出,而该活动的主要输出又可能成为下一个活动的输入。

通过将合规评估活动拆分为不同阶段,将不同阶段进一步拆分为不同活动,并将每项活动拆分为输入、实施、输出环节,分别给出每项活动的实施指引,本部分旨在实现多重目标:一是确保合规评估活动的高效性;二是使不同评估主体进行的合规评估活动具有可比较性;三是借助整个合规评估活动的不同环节所得出的阶段性输出,使合规评估活动具有可问责性;四是保障合规评估活动能够可持续地进行。

 

下载指引
返回列表
个人信息处理法律合规性评估指引(T/CLAST 002-2021)

《个人信息处理合规评估指引》(以下简称《指引》)的目的在于支持组织证明和声明其个人信息处理的合规状态和合规能力水平,也包括顾客、监管者等对个人信息处理的合规进行检查和监督,个人信息相关方之间建立理解和信任,以及独立的评估机构为具有上述需求的个人信息相关方提供合规评估、咨询和认证服务。 

《指引》由以下三个部分组成: 

第一部分:概述和术语

本部分的目的在于为个人信息处理活动及其合规评估活动建立一个共同认可的、易于沟通的语境和概念体系,提供个人信息处理合规评估的概述,为合规评估活动的开展、《指引》的其他部分的开发奠定基础。

为此,本部分界定和汇集了个人信息处理及其合规评估中可能涉及的术语,并通过术语编排和交叉引用建立了整体性的概念体系。尤其是其中个人信息处理相关术语,编制这些术语和定义的目的不仅仅是在合规评估语境下的标准化,也旨在为政策制定者提供参考。 

除术语及其概念体系之外,本部分对个人信息处理合规评估活动给出了总体概述,包括合规评估的目的与目标、评估主体(合规评估模式与评估组)、评估对象(范围和边界)、评估准则(识别与确定)以及评估方法论(评估流程、方法与评估结论)的整体描述。本文件作为概述和术语类标准不提出具体要求。

第二部分:合规框架

本部分的目的在于为个人信息处理合规评估准则的识别与确定建立一个体系化的框架,以便对富有综合性的合规要求进行清晰的分类和归纳。

本部分可以适用于两种场景,一是当组织自愿作出符合性声明时,本部分给出的个人信息处理合规要求构成了组织在进行个人信息处理活动时应遵循的“要求”;二是对该组织进行个人信息处理合规评估的场景中,本部分的合规要求构成了据以与组织的个人信息处理活动进行比较并确定其符合性的“准则”。针对合规评估场景中的应用,本部分给出了评估要求和指引,即评估员在合规评估活动中适用特定的“合规要求”时应遵守的评估要求和可以参考的指引。

作为适用于各种类型组织的通用型标准,在合规要求的内容构成方面,本部分的起草过程中汇总和分析了现有的国内相关法律、法规、部门规章、其他规范性文件和典型案例,以及国内外相关立法、标准文件,通过分类和归纳建立了合规框架,该框架采用了“维度—指标”或“维度—指标—特性”的层级结构。

本部分的第5章给出了12个通用合规评估维度,每个合规评估维度下设若干合规评估指标,必要时,指标下含有特性要求以阐明该合规评估指标中需考虑的特性。这些通用合规评估维度原则上适用于所有个人信息处理,或者是并非特定于哪一个个人信息处理环节的要求。考虑到通用合规评估维度和指标在适用于特定个人信息处理环节时有必要予以具体化或有所变通,第6章给出了“特定处理环节的扩展要求”,涵盖收集、使用、存储、公开披露、共享、转让等个人信息处理环节。但对于向境外提供、传输、终止等个人信息处理环节,第5章给出的通用合规评估维度并非全部适用,其合规仅涵盖有限的几个维度,因此第7章给出了“特殊的个人信息处理类别”的要求。

总体而言,本部分的合规框架可以理解为一个网状结构。在纵向上,是从国内外立法、案例、标准当中总结出个人信息处理合规要求的“公因式”,并将这些“公因式”按照“维度—指标”或“维度—指标—特性”的层级结构进行纵向编排(第5章);在横向上,是将这些通用指标适用于不同的个人信息处理环节,并给出扩展要求(第6章)和特殊环节的适应性要求(第7章)。

第三部分:实施指南

本部分的目的在于为个人信息处理合规评估活动的启动、规划、实施、报告、评审、监控和再评估建立一个统一但仍保留灵活性的流程和方法。 

本部分给出了合规评估的基本原则(第5章)和合规评估过程的概述(第6章)。整个合规评估过程按照时间序列可以划分为四个阶段:项目启动阶段、计划准备阶段、现场实施阶段、评估报告阶段。第7-11章分别对上述四个阶段所要实现的总体目标、所包含的主要活动、该活动所需的主要输入和输出等给出了实施指引。通常,每个阶段均可以进一步拆分为若干活动,该活动所需的主要输入通常是前一个活动的输出,而该活动的主要输出又可能成为下一个活动的输入。

通过将合规评估活动拆分为不同阶段,将不同阶段进一步拆分为不同活动,并将每项活动拆分为输入、实施、输出环节,分别给出每项活动的实施指引,本部分旨在实现多重目标:一是确保合规评估活动的高效性;二是使不同评估主体进行的合规评估活动具有可比较性;三是借助整个合规评估活动的不同环节所得出的阶段性输出,使合规评估活动具有可问责性;四是保障合规评估活动能够可持续地进行。

 

下载指引