基于《个人信息保护法》的企业个人信息保护合规风险控制验证框架1.0.pdfVIP

  • 0
  • 0
  • 约5.16万字
  • 约 15页
  • 2026-02-12 发布于浙江
  • 举报

基于《个人信息保护法》的企业个人信息保护合规风险控制验证框架1.0.pdf

©2022云安全联盟大中华区版权所有1

@2022云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看

及打印,或者访问云安全联盟大中华区官网()。须遵守以下:(a)本

文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)该商

标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文

内容,使用时请注明引用于云安全联盟大中华区。

©2022云安全联盟大中华区版权所有2

致谢

云安全联盟大中华区(简称:CSAGCR)隐私与个人信息保护法律工作组在

2021年4月成立。由原浩、方婷担任工作组联席组长,工作组专家来自竹辉律

师事务所、西北大学、恩智浦、中伦文德事务所、美柚、中国工商银行、绿盟

科技、美云智数、上海CA、上海网综所、埃森哲、亚萨合莱、360政企安全、

软通动力信息、艾贝链动等十多个单位。

本框架由CSA大中华区隐私与个人信息保护法律工作组专家撰写,感谢以

下专家的贡献:

联席组长:原浩、方婷

贡献者名单

原创作者:高健凯、胡恺健、赵晔、张元恺、曾令平、江澎、马宁、邢海

韬、黄鹏华、夏巍、魏晓刚

审核专家:郭鹏程、姚凯

研究协调员:高健凯

贡献单位:绿盟科技集团股份有限公司、广东美云智数科技有限公司、北

森云计算有限公司

(以上排名不分先后)

关于研究工作组的更多介绍,请在CSA大中华区官网(https://c-

/research/)上查看。

如本白皮书有不妥当之处,敬请读者联系CSAGCR秘书处给与雅正!联系邮

箱:research@;云安全联盟CSA公众号:

©2022云安全联盟大中华区版权所有3

目录

致谢3

1.框架的结构及考虑5

1.1原则和通用5

1.2知情同意和处理规则6

1.3对自动化决策的特别关注6

1.4敏感个人信息的特别关注6

1.5数据出境的统一考虑6

1.6个人权利和对个人权利的回应7

1.7在企业架构和制度中的体现7

1.8记录和证据7

1.9第三方和供应链7

2.框架的方法论8

2.1高度概括合规要求(D列)8

2.2将合规要求做解读后对应到企业规范文件或产品呈现(F/G列)8

2.3从最普遍的标准切入企业控制措施(H/I列)8

2.4对措施的增强介绍或解释(J列)9

2.5对触发合规的最低时限或阶段要求9

3.框架的维护更新与其他声明9

4.附件(框架)9

©2022云安全联盟大中华区版权所有4

基于《个人信息保护法》的企业个人信息保护合规

风险控制验证框架1.0

说明文档

1.框架的结构及考虑

控制框架从10个维度搭建,大部分的维度之间为独立关系,但部分维度具

有包括关系。这主要是考虑到《个人信息保护法》的架构,以及对于原则、规

则等本身既有概括性的必然。

目前围绕个人信息或隐私管理国内外有不同的框架工具,本框架可以作为:

(1)基于最为通用的ISO2700x细化的映射,实现对个人信息保护与管理的全

面覆盖;(2)对于已经使用欧盟GDPR或者网信、工信部门的既有规范进行合

规工作的符合性,提供额外的验证过程。

1.1原则和通用

目前个人信息保护的主要原则可以概括是为:合法正当必要性原则、合理

直接

文档评论(0)

1亿VIP精品文档

相关文档