由中国科学技术法学会宣布提出并归口管理的《个人信息处理法律合规性评估指引》(T/CLAST 002—2021)团体标准,于2021年12月06日发布,并于2022年01月01日正式实施。
由中国科学技术法学会宣布提出并归口管理,中国科学技术法学会、深圳市北鹏前沿科技法律研究院、中国法学交流基金会、中国法律咨询中心、北京大学法学院/知识产权学院、北京大学粤港澳大湾区知识产权发展研究院、平安科技(深圳)有限公司、上海携程商务有限公司、北京小桔科技有限公司、阿里巴巴(北京)软件服务有限公司、每日互动股份有限公司、深圳市和讯华谷信息技术有限公司、广东北源律师事务所、上海市锦天城律师事务所、北京市浩天信和律师事务所、北京市金杜律师事务所、中国信息通信研究院云计算与大数据研究所、北京北大英华科技有限公司、网易(杭州)网络有限公司、腾讯科技(深圳)有限公司、荣耀终端有限公司、华米科技、OPPO 广东移动通信有限公司、比亚迪股份有限公司、广州小鹏汽车科技有限公司、深圳市大疆创新科技有限公司、深圳市地铁集团有限公司、上海游昆信息技术有限公司、贝壳找房(北京)科技有限公司、深圳市迷你玩科技有限公司、百行征信有限公司、深圳依时货拉拉科技有限公司、广东小天才科技有限公司、安信证券股份有限公司、深圳市安证企业合规管理(集团)有限公司、杭州安信检测技术有限公司、杭州安恒信息技术股份有限公司、深圳市网安计算机安全检测技术有限公司等多家单位共同参与起草的《个人信息处理法律合规性评估指引》(T/CLAST 002—2021)团体标准,于2021年12月06日发布,并于2022年01月01日正式实施。
1、范围
本文件给出了个人信息处理及其法律合规性评估的概述和术语,描述了个人信息处理法律合规性评估的评估目的、评估主体、评估对象、评估准则和评估方法论。
本文件适用于各种类型的组织对其个人信息处理的合规状态或合规能力进行第一方评估和管理,个人信息相关方为采购、监管等特定目的(诸如采购、监管)进行的第二方评估,以及独立的评估机构进行的第三方法律合规性评估和咨询。
2、主要技术内容
个人信息处理法律合规性评估指引的目的在于:支持组织证明和声明其个人信息处理的合规状态和合规能力,也包括支持顾客、监管者等对组织个人信息处理的合规性进行检查和监督,支持个人信息相关方之间建立理解和信任,以及支持独立的评估机构为具有上述需求的个人信息相关方提供法律合规性评估、咨询和认证服务。
个人信息处理法律合规性评估指引由以下三个部分组成:
——第1部分:概述和术语。本部分的目的在于为个人信息处理活动及其法律合规性评估活动建立一个共同认可的、易于沟通的语境和概念体系,提供个人信息处理法律合规性评估的概述,为个人信息处理法律合规性评估指引的其他部分和其他标准的开发奠定基础。
——第2部分:合规框架。本部分的目的在于为个人信息处理法律合规性评估准则的识别和确定建立一个体系化的框架,以便对富有综合性的合规要求进行清晰的分类和归纳,以支持个人信息处理法律合规性评估活动的启动、规划、实施、报告、评审、监控和再评估。
——第3部分:实施指南。本部分的目的在于为个人信息处理法律合规性评估活动的启动、规划、实施、报告、评审、监控和再评估建立一个统一但仍保留灵活性的流程和方法,以支持各类组织能够高效地、可比较地、可问责地和可持续地进行法律合规性评估活动。
个人信息处理法律合规性评估指引的任何一个部分或其整体,可以单独使用,也能与现行的网络安全与信息安全相关标准(如GB/T 22239—2019、GB/T 35273—2020),信息安全、隐私管理体系相关标准(如GB/T 22080—2016、GB/T 22081—2016、ISO/IEC 27701:2019)与合规管理体系相关标准(如GB/T 35770—2017)结合使用。
本版本根据《中国人民共和国个人信息保护法》对团体标准《个人信息处理法律合规性评估指引》(T/CLAST 001-2021)进行修订后形成。