基于《个人信息保护法》的企业个人信息保护合规风险控制验证框架1.0.pdfVIP

©2022云安全联盟大中华区版权所有1

@2022云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看

及打印，或者访问云安全联盟大中华区官网（）。须遵守以下：(a)本

文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商

标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文

内容，使用时请注明引用于云安全联盟大中华区。

©2022云安全联盟大中华区版权所有2

致谢

云安全联盟大中华区（简称：CSAGCR）隐私与个人信息保护法律工作组在

2021年4月成立。由原浩、方婷担任工作组联席组长，工作组专家来自竹辉律

师事务所、西北大学、恩智浦、中伦文德事务所、美柚、中国工商银行、绿盟

科技、美云智数、上海CA、上海网综所、埃森哲、亚萨合莱、360政企安全、

软通动力信息、艾贝链动等十多个单位。

本框架由CSA大中华区隐私与个人信息保护法律工作组专家撰写，感谢以

下专家的贡献：

联席组长：原浩、方婷

贡献者名单

原创作者：高健凯、胡恺健、赵晔、张元恺、曾令平、江澎、马宁、邢海

韬、黄鹏华、夏巍、魏晓刚

审核专家：郭鹏程、姚凯

研究协调员：高健凯

贡献单位：绿盟科技集团股份有限公司、广东美云智数科技有限公司、北

森云计算有限公司

（以上排名不分先后）

关于研究工作组的更多介绍，请在CSA大中华区官网（https://c-

/research/）上查看。

如本白皮书有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮

箱：research@；云安全联盟CSA公众号：

©2022云安全联盟大中华区版权所有3

目录

致谢3

1.框架的结构及考虑5

1.1原则和通用5

1.2知情同意和处理规则6

1.3对自动化决策的特别关注6

1.4敏感个人信息的特别关注6

1.5数据出境的统一考虑6

1.6个人权利和对个人权利的回应7

1.7在企业架构和制度中的体现7

1.8记录和证据7

1.9第三方和供应链7

2.框架的方法论8

2.1高度概括合规要求（D列）8

2.2将合规要求做解读后对应到企业规范文件或产品呈现（F/G列）8

2.3从最普遍的标准切入企业控制措施（H/I列）8

2.4对措施的增强介绍或解释（J列）9

2.5对触发合规的最低时限或阶段要求9

3.框架的维护更新与其他声明9

4.附件（框架）9

©2022云安全联盟大中华区版权所有4

基于《个人信息保护法》的企业个人信息保护合规

风险控制验证框架1.0

说明文档

1.框架的结构及考虑

控制框架从10个维度搭建，大部分的维度之间为独立关系，但部分维度具

有包括关系。这主要是考虑到《个人信息保护法》的架构，以及对于原则、规

则等本身既有概括性的必然。

目前围绕个人信息或隐私管理国内外有不同的框架工具，本框架可以作为：

（1）基于最为通用的ISO2700x细化的映射，实现对个人信息保护与管理的全

面覆盖；（2）对于已经使用欧盟GDPR或者网信、工信部门的既有规范进行合

规工作的符合性，提供额外的验证过程。

1.1原则和通用

目前个人信息保护的主要原则可以概括是为：合法正当必要性原则、合理

直接