个人信息处理法律合规性评估指引
第3部分:实施指南
Guidelines for legal compliance assessment of personal information processing
— Part 3:Implementation guidance
2021-04-28发布2021-06-06实施
中国科学技术法学会发布
目次
前言
1范围
2规范性引用文件
3术语与定义
4概述
5基本原则
5.1概述
5.2独立
5.3客观
5.4保密
5.5专业
6法律合规性评估过程概述
7项目启动阶段
7.1概述
7.2法律合规性评估项目决策
7.3签订项目协议
7.4组建评估团队
7.5准备问卷和文件清单
7.6项目启动会议
8计划准备阶段
8.1概述
8.2界定评估对象范围和边界
8.3确定评估准则
8.4确定评估内容和方法
8.5制定法律合规性评估方案
8.6现场实施准备
9现场实施阶段
9.1概述
9.2实施阶段启动会议
9.3获取客观证据
9.4评估发现
9.5准备评估结论
9.6实施阶段总结会议
10评估法律意见书阶段
10.1概述
10.2评估法律意见书前工作
10.3编制和签发评估法律意见书
10.4处理法律合规性评估项目文件
前言
本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国科学技术法学会提出并组织专门机构归口管理。
本文件主要起草单位:中国科学技术法学会、深圳市北鹏前沿科技法律研究院、中国法学交流基金会、中国法律咨询中心、北京大学法学院/知识产权学院、北京大学粤港澳大湾区知识产权发展研究院、平安科技(深圳)有限公司、上海携程商务有限公司、北京小桔科技有限公司、阿里巴巴(北京)软件服务有限公司、每日互动股份有限公司、深圳市和讯华谷信息技术有限公司、广东北源律师事务所、上海市锦天城律师事务所、北京市浩天信和律师事务所、北京市金杜律师事务所、中国信息通信研究院云计算与大数据研究所、北京北大英华科技有限公司、网易(杭州)网络有限公司、腾讯科技(深圳)有限公司、荣耀终端有限公司、华米科技、OPPO广东移动通信有限公司、比亚迪股份有限公司、广州小鹏汽车科技有限公司、深圳市大疆创新科技有限公司、深圳市地铁集团有限公司、上海游昆信息技术有限公司、广州多益网络股份有限公司、贝壳找房(北京)科技有限公司、深圳市迷你玩科技有限公司、百行征信有限公司、深圳依时货拉拉科技有限公司、广东小天才科技有限公司、安信证券股份有限公司、深圳市安证企业合规管理(集团)有限公司、杭州安信检测技术有限公司、杭州安恒信息技术股份有限公司、深圳市网安计算机安全检测技术有限公司。
本文件主要起草人:张平、毕马宁、南红玉、黄亚英、肖声高、徐美玲、时建中、李玉香、周辉、涂俊峰、谈建、周涛、任晓明、李伟民、崔亚冰、王心阳、赵怡冰、辜凌云、徐子淼、姬祥、牟晋军、周林、秦齐祺、张娜、徐彩曦、张铮、陈津来、陈光炎、植吕梅、梁艳芬、吴卫明、丁峰、田劼、冯红、吴涵、何为、李青、赵紫钰、包一明、石霖、何远琼、李川东、蒋仁熙、梁淳栋、孙海鸣、武杨、张辉、吴迪、王辉、彭星、高凤、杨小娟、林森才、许艳冰、林莹、彭伟、叶娟、白宝龙、陈远鸿、张朝、谢晓勇、罗经华、覃江林、白雷、周俊华、陈天伟、李维春、李旻瑞、李良、龙军、黄伟杰、江鑫、洪跃腾、王水兵、何冠辉、杜文琦、倪荣、刘志乐、吴俊雄。
本文件由中国科学技术法学会、深圳市北鹏前沿科技法律研究院负责解释。
个人信息处理法律合规性评估指引
第3部分:实施指南
1范围
本文件描述了个人信息处理法律合规性评估的基本原则和过程,给出了个人信息处理法律合规性评估的基本原则和法律合规性评估过程概述,对从项目启动阶段、计划准备阶段、现场实施阶段到评估法律意见书阶段所需进行的活动提供了相应的指引。
本文件适用于各种类型的组织对其个人信息处理的合规状态或合规能力进行第一方评估和管理,个人信息相关方为采购、监管等特定目的进行的第二方评估,以及评估机构进行的第三方法律合规性评估和咨询。
2规范性引用文件
下列文件中的内容通过本文件中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅注日期对应的版本适用于本文件。不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
T/CLAST001.1-2021个人信息处理法律合规性评估指引概述和术语T/CLAST001.2-2021个人信息处理法律合规性评估指引合规框架
3术语与定义
T/CLAST001.1-2021中界定的或规范性引用的术语和定义适用于本文件。
4概述
本文件描述的法律合规性评估基本场景是由第三方评估机构受委托实施的第一方评估、第二方评估或第三方评估,并且被评估方是初次进行法律合规性评估。当被评估方并非初次进行法律合规性评估时,第三方评估机构可以根据实际情况调整部分活动。由第三方评估机构以外的组织自行实施第一方评估和第二方评估时,评估委托方宜理解为组织的管理层,并可以根据实际情况调整适用。
本文件的结构安排如下:
第5章明确法律合规性评估的基本原则
第6章对法律合规性评估过程进行总体概述第7章项目启动阶段
第8章计划准备阶段第9章现场实施阶段
第10章评估法律意见书阶段
5基本原则
5.1概述
个人信息处理法律合规性评估需要遵循一定的基本原则。该基本原则是个人信息处理法律合规性评估能够得到公平客观的、对法律合规性评估目的而言有意义的评估结论的前提,也是确保相同或不同的评估主体在多个项目或多次法律合规性评估中得出可比较、可问责的评估结论的前提。
5.2独立
无论采用何种评估模式,所选择的评估员应被确保相对于评估对象的独立性,在评估对象中不享有可能影响其法律合规性评估活动与结论的利益或利益冲突,对评估对象不带有偏见。法律合规性评估组的组成、法律合规性评估方案的制定与实施中,应时刻考虑保障评估员的工作不受来自商业、财务和其他压力的影响和干预。
注:不同的法律合规性评估模式对评估员独立性的需求不尽相同。在第一方法律合规性评估中,独立性意味着评估员不应是对作为评估对象的个人信息处理活动的绩效负有直接责任的人员;在第二方法律合规性评估中,宜考虑评估主体自身的要求,如评估主体的采购、执法等廉洁性和独立性保障程序与纪律;在第三方法律合规性评估中,应遵守认证机构的要求和/或第三方评估机构自身的执业纪律。
5.3客观
法律合规性评估发现和评估结论应基于客观证据和客观评价,并有能力确保事后可被验证和追溯。评估员和技术专家在法律合规性评估方案的制定与实施中,应避免过度依赖任何一方的陈述等言词证据,在可行的前提下应优先选择物证、书证、音像证据、记录等可靠稳定的客观证据。在法律合规性评估过程中的发现与评估结论均应在有客观证据支持的基础上得出。
5.4保密
评估员、观察员和协调员应审慎地使用和保护在法律合规性评估中获得的信息,不应以违反保密协议和执业纪律的方式使用法律合规性评估中获得的信息。尤其在第二方评估和第三方评估中,应尊重被评估方的信息安全规定和要求,在法律合规性评估组的组成、法律合规性评估方案的制定与实施中,应时刻考虑信息的沟通、报告方式,不致因法律合规性评估本身导致被评估方保密信息的泄露。
注:在第二方评估和第三方评估中的项目协议与法律合规性评估方案均应事先考虑法律合规性评估中信息的沟通与报告渠道。在确保法律合规性评估的过程与结论可追溯、可被评审的前提下,所获得的客观证据的保管和法律合规性评估法律意见书中的引用宜尽可能考虑被评估方的信息安全需求,并减少法律合规性评估本身带来的风险。
5.5专业
评估员和技术专家应在所要确定的内容所属领域具备充分的知识、技能和经验以及必要的资格证书。法律合规性评估组的组成应考虑评估员、技术专家等角色的人员在专业能力方面的的互补性。
注:个人信息处理的法律合规性评估本身是一项跨学科的确认活动,无论是确认现状还是确认能力,必不可少的是在法律领域的专业性,客观证据的获取可能有赖于技术专家的支持,尤其是信息技术与信息安全领域的专业性,能力评估还需要考虑经济学或管理学领域的能力。
6法律合规性评估过程概述
个人信息处理法律合规性评估过程由项目启动阶段(第7章)、计划准备阶段(第8章)、现场实施阶段(第9章)、评估法律意见书阶段(第10章)组成。
第7-10章给出的法律合规性评估过程的描述结构如下:
——每章的第1条是概述,给出该阶段所要达到的总体目标、主要输入、活动和输出。
——每章的第2个条款开始的每个条款依次给出该阶段主要活动的具体描述,包括该活动的输入、活动、实施指引和输出。
——输入:进行该活动所需的任何信息;通常,上一项活动的输出是本项活动的输入。
——活动:简要描述活动。
——实施指引:为执行该活动提供指引。
——输出:描述了执行完成活动后得到的结果或可交付项,例如一个文件。
——其他信息:提供了可能有助于完成该活动的补充信息,例如,对其他标准的引用。每一阶段的主要活动和输出,如图1所示。
图1法律合规性评估过程活动与输出
7项目启动阶段
7.1概述
法律合规性评估项目启动阶段的主要任务是:
——在评估委托方、第三方评估机构、被评估方代表之间就法律合规性评估的可行性、目标与目的、初步的评估范围达成一致;
——签订评估项目协议;
——组建评估项目组,并确定观察员、协调员等角色指派需求与人选,确认所有人员的选择符合本文件第5章的基本原则;
——建立沟通机制,沟通确认法律合规性评估的过程与时间安排,获取为制定法律合规性评估方案所需的文件与信息。
7.2法律合规性评估项目决策
输入:
对于组织启动法律合规性评估项目的决策与准备有意义的所有信息。
活动:
组织作出启动法律合规性评估项目的决策,选定评估机构和评估组长。
实施指引:
当组织考虑启动法律合规性评估项目时,需提前考虑以下事项并作出决策和准备:
a)确定组织通过法律合规性评估所要实现的目标与目的;
b)初步选定法律合规性评估对象,并识别与法律合规性评估对象有关的以下问题:
1)拟纳入法律合规性评估对象的组织单元;
2)拟纳入法律合规性评估对象的个人信息处理活动,如产品、服务、过程或其组合;
3)法律合规性评估对象所涉及的信息处理设施及其所在地点,以确定法律合规性评估组的规模以及是否可能涉及多个地点;
4)法律合规性评估对象所采用的信息系统和信息资产清单及其技术特点;
5)所涉及的个人信息处理者、个人信息处理受托人和其他个人信息相关方之间的接口和法律关系,是否有必要将其他组织纳入法律合规性评估范围;
6)评估对象是否被组织现有的管理体系、信息安全保护能力及其采取的控制措施所涵盖,或法律合规性评估的目的是否是为了改进现有管理体系、信息安全保护能力以使其适应个人信息处理合规的需要。
注:本阶段的初步界定是为了组建适当规模和组成的评估组,评估对象的范围和边界可以在评估组成立后进一步识别和界定。
c)选择法律合规性评估模式,如第一方评估、第二方评估或第三方评估;
d)选定评估机构和评估组长;
e)识别并确定组织的合规义务清单和其他选择纳入评估准则的合规要求清单;
注:组织宜参考T/CLAST001.1—2021的4.4.3,尽可能详细识别合规义务清单,尤其是组织考虑法律合规性评估的目标和目的选择纳入评估准则的合规要求清单,以便评估组成立后进一步识别和确定评估准则。
f)评估委托方应在启动法律合规性评估项目决策前确定法律合规性评估的可行性,尤其是被评估方的充分合作、法律合规性评估方案的制定所需的充分和适当的信息、时间和资源的可获得性。评估委托方应保障被评估方能够充分展示与评估对象有关的客观事实、客观情况,并有效配合评估组、评估员基于评估方案采取的评估方法。评估过程中对被评估方故意隐瞒、恶意掩盖有关客观事实和客观情况的,评估委托方应有能力采取应对措施;
g)评估对象的范围和边界以及评估准则由评估组长按照本文件第8章的要求进一步确定。评估目标与目的、评估范围(包括评估对象的范围和边界以及评估准则)的任何变化宜由评估委托方与评估组长协商一致,必要时宜获得被评估方的同意。
输出:
本活动的可交付项是:
——法律合规性评估目标与目的文件;
——初定的评估对象及介绍;
——合规义务清单(第一版);
——合规要求清单。
其他信息:
确定法律合规性评估目标与目的,见T/CLAST001.1—2021的4.2;
界定评估对象的范围与边界,见T/CLAST001.1—2021的4.4.2;
合规义务清单与合规要求清单,见T/CLAST001.1—2021的4.4.3。
7.3签订项目协议
输入:
法律合规性评估项目决策(见7.2)活动的输出。
活动:
评估机构与评估委托方签订项目协议,以明确法律合规性评估的目标与目的、范围、人员组成、双方的责任和义务。
实施指引:
决定项目协议的签订主体和应包含的约定内容,宜参考以下因素:
a)法律合规性评估模式;
b)如适用,法律法规、合同、认证机构的要求;
c)保密义务的需求;
d)评估组对法律合规性评估过程与结果的沟通和报告渠道。
输出:
项目协议。
7.4组建评估团队
输入:
法律合规性评估项目决策(见7.2)
输出;
项目协议(见7.3)。
活动:
签订项目协议后,评估组长确定法律合规性评估组的人选,由评估委托方决定是否需指派观察员,向被评估方申请确认协调员人选。
实施指引:
在以下7.4.1-7.4.3中给出。
7.4.1评估组
a)评估组的规模和组成宜考虑以下因素:
1)评估目标与目的、评估范围所需要的评估组的整体能力需求;
2)法律合规性评估模式所决定的评估组的组成要求;
3)如适用,法律法规、合同或认证机构的对评估组组成的要求;
4)本文件第5章所述的基本原则,尤其是保障法律合规性评估独立、客观、保密、专业性的需求;
5)法律合规性评估所涉及的地点、语言和文化背景需求;
6)在评估组、被评估方与评估委托方之间有效沟通与协作的能力;
7)是否涉及特定专业的检测、试验等活动。
注1:法律合规性评估模式及评估组组成参考T/CLAST001.1—2021的4.3。
注2:评估组在特定专业领域的知识和技能,可以通过选任技术专家予以补充。
b)评估员的人选宜考虑:
1)评估员具备律师执业证,宜具有胜任评估项目的从业经验和能力;
2)如适用,评估员的能力须符合法律法规、合同或认证机构的要求;
3)实习评估员可以在评估员指导下工作;
4)评估组长宜确定评估员符合本文件第5章所述的基本原则,包括确认评估员不存在利益或利益冲突并遵守适当的保密义务。
c)技术专家的人选宜考虑:
1)当法律合规性评估所要确定的事实或特性要求具备特定专业领域的知识和技能时,可以通过选任技术专家来补充评估组所需的能力,技术专家须具备相应的资格证书,比如注册信息安全专业人员(CertifiedInformationSecurityProfessional)/信息系统安全认证专业人员(CertificationforInformationSystemSecurityProfessional);
2)在评估组中技术专家并非评估员,技术专家在评估员的指导下工作,对所获得的客观证据作出技术解释,对合规要求的符合性提供技术意见,并出具相应的技术报告,由评估员参考和确认;
3)技术专家人选符合本文件第5章所述的法律合规性评估基本原则,尤其是确保技术专家遵守与评估员同等程度的保密义务。
d)在遵守本文件第5章所述基本原则的前提下,评估委托方和被评估方可基于合理理由向评估组长申请更换评估组成员。
示例:合理理由可包括利益冲突、对评估员能力或职业道德的考虑。
7.4.2观察员
当法律合规性评估是由被评估方以外的组织委托,或者法律法规、认证机制有要求时,评估委托方或认证机构可以选择指派观察员以监督法律合规性评估的过程和结果,就观察员的参与与被评估方达成一致意见。
a)观察员遵守与评估员同等程度的保密义务;
b)观察员并非评估组成员,观察员不对法律合规性评估过程和结果造成不当影响和干预;
7.4.3协调员
a)被评估方指派适当数量的协调员以协助评估组实施法律合规性评估。
b)协调员并非评估组成员,协调员不对法律合规性评估过程和结果造成不当影响和干预。
c)协调员的主要职责包括:
1)协调安排访谈人员与时间;
2)协调安排对个人信息处理设施的访问;
3)应评估员的请求提供文件,澄清信息;
4)向评估员介绍组织的信息安全规定并确保遵守。
输出:
本项活动的可交付项包括:
——评估组名单,包含评估组长、评估员、技术专家等评估组成员;
——评估委托方代表、观察员名单;
——被评估方代表、协调员名单;
——必要时,上述人员签署的保密协议。
7.5准备问卷和文件清单
活动:
评审评估委托方提供的所有现有资料,进行独立的信息调查,了解和分析初步选定的评估对象,制定为界定评估对象的范围和边界所需要的文件清单和问卷调研表。
实施指引:
a)评估组宜审阅评估委托方提供的所有现有资料,尤其是:
1)法律合规性评估项目决策(见7.2)活动的输出;
2)被评估方的个人信息保护政策、产品或用户协议;
3)产品、服务或过程简介或说明文档。
b)评估组宜独立调查:
1)就初步界定的评估对象可获得的公开资料;
2)独立调查可能适用于初步选定的评估对象的所有法定义务、监管义务和司法义务,以补充完善评估委托方提供的合规义务清单。
c)评估组宜梳理的文件清单,包括:
1)评估对象的产品、服务或过程设计文档;
2)评估对象的业务流程图、数据流程图、网络拓扑图、系统架构图;评估对象所包含的设备资产清单,包括但不限于设备编号、所在位置、管理部门和人员等信息,并与业务流程图一一匹配;
3)最近一次的信息安全等级保护测评报告、个人信息安全管理体系审核报告,以及现有的信息安全保护/控制措施对评估对象的覆盖范围说明、法律风险评估报告/评估法律意见书;
4)评估对象所涉及的业务部门、支持部门和人员清单。
输出:
本项活动的可交付项包括:
——为界定评估对象的范围和边界所需要的文件清单和问卷调研表;
——合规义务清单(第二版)。
7.6项目启动会议
输入:
准备问卷和文件清单(见7.5)活动的输出。
活动:
评估组、被评估方、委托评估方之间进行项目启动会议。
实施指引:
启动会议的主要任务在于:
a)与被评估方代表建立沟通渠道;
b)通过被评估方的介绍了解评估对象;
c)沟通法律合规性评估的目标与目的和初步选定的法律合规性评估范围,包括评估对象的范围、边界和评估准则;
d)沟通确认法律合规性评估的过程和时间安排;
e)提出和说明为制定法律合规性评估方案所需的文件清单和问卷调研表,并商定反馈时间和形式。
输出:
本项活动的可交付项包括:
——项目启动会议记录。
8计划准备阶段
8.1概述
计划准备阶段的总体目标是完成现场实施阶段所需的准备。
开启计划准备阶段的主要输入,除项目启动阶段的全部输出之外,还包括被评估方反馈的问卷调研表和按照文件清单准备的文件。如发现所提供的文件和获得的信息不充分或不适用,评估组长可以通知评估委托方和被评估方,共同商定在文件和信息问题得到解决前,推迟或暂停法律合规性评估。
计划准备阶段的主要活动包括:
——界定评估对象范围和边界;
——确定评估准则;
——确定评估内容和方法;
——制定法律合规性评估方案;
——现场实施准备。
计划准备阶段的主要输出包括:
——法律合规性评估方案;
——现场实施分工;
——现场实施工作表单;
——现场实施注意事项清单;
——工具和作业指导书。
8.2界定评估对象范围和边界
组织启动法律合规性评估项目的决策是基于初步界定的评估范围和边界。在项目启动会议后基于第一次文件评审所获得的信息对评估对象范围与边界进行详细界定,是高效确定评估准则、制定和实施法律合规性评估方案的关键因素,也是保障法律合规性评估全面、充分和可靠的基础。
输入:
——评估对象的范围和边界文件(第一稿)(见7.2);
——项目启动会中被评估方提供的介绍和会议记录(见7.6);
——被评估方反馈的问卷调研表和按照文件清单准备的文件。
活动:
界定评估对象范围和边界,所需进行的活动包括:
a)界定个人信息处理范围和边界;
b)界定网络范围和边界;
c)界定信息系统和物理范围和边界;
d)界定组织范围和边界;
e)集成上述基础性的范围和边界,以获得评估对象的范围和边界。
8.2.1界定个人信息处理的范围和边界
实施指引:
a)界定个人信息处理的范围和边界,宜通过回答以下问题的方式进行:
1)评估对象的产品或服务;
2)该产品或服务的业务功能、业务场景及流程;
3)该产品或服务中包含的个人信息类别、来源和对应的处理活动及流程;
4)个人信息处理活动所涉及的个人信息处理者或个人信息处理受托人;
5)其他与个人信息处理活动有关的信息。
b)在通过文件评审得到解答上述问题的信息后,评估组宜制作一份文件描述所获得的信息,并在业务流程图的基础上通过修改或绘制评估对象的个人信息处理过程图,在其中表述作为输入和输出的个人信息类型。
输出:
本项活动的可交付项包括:
——个人信息处理范围和边界的文字描述;
——标注个人信息类型的个人信息处理过程图。
8.2.2界定网络范围和边界
实施指引:
a)通过分析评估对象的网络拓扑图,区分网络边界,识别和梳理评估对象所涉及的网络安全设备、网络设备、服务器、存储、备份等所有设备资产,并描述整体网络情况,包含但不限于具体的外联区域、链路、安全措施等。
b)评估组宜制作一份文件描述所获得的信息,并在业务流程图(见8.2.1)上标注网络边界和设备资产,以及与其他网络区域的接口。
输出:
本项活动的可交付项包括:
——网络范围和边界的文字描述;
——标注网络边界、设备资产和接口的个人信息处理过程图。
8.2.3界定信息系统和物理范围和边界
实施指引:
a)通过分析系统架构图,识别和梳理用于评估对象的主要设备、设备所承载的软件、其他组件以及设备之间的连接情况等,并标注出每个设备对应的物理位置;
b)在8.2.2所得出的个人信息处理过程图中,标注信息系统的设备资产、组件,包括结合被评估方反馈的问卷调研表,在个人信息处理过程图中标注设备资产清单;
c)对于个人信息存储,需识别服务器(包括数据库服务器、中间件服务器、日志服务器、备份服务器等)的位置,存储介质(如磁盘、光盘、磁带)、终端等的使用情况,在个人信息处理过程图中标注存储所在位置。
输出:
本项活动的可交付项包括:
——信息系统和物理范围和边界的文字描述;
——标注技术特点、设备资产、服务器所在位置的个人信息个人信息处理过程图。
8.2.4界定组织范围和边界
实施指引:
a)界定组织范围和边界,宜通过回答以下问题的方式进行:
1)被评估方的哪些部门和人员对评估对象产品或服务负责,例如,开发、运营和销售;
2)被评估方的哪些部门和人员参与或支持这些个人信息处理过程,例如,安全、网络管理、设备管理、法务合规;
3)除被评估方之外,这些个人信息处理过程中有哪些组织参与其中,例如,顾客、外包服务的供方、第三方等;
4)被评估方与这些组织之间存在哪些合同或其他法律关系,例如,委托处理、共享、转移、运行维护、云服务、关联关系等;
5)在这些个人信息处理过程和与其他组织的关系中,被评估方处于什么地位。
b)对被评估方已经提供的合同、组织章程等文件进行评审,识别和分析合同和法律关系,明确被评估方的地位;
c)在通过文件评审得到解答上述问题的信息后,评估组宜制作一份文件描述所获得的信息,并在个人信息处理过程图中标注有关部门,组织间法律接口;
d)检查组织间法律接口与已经标注的技术接口之间的一致性,分析差异原因,以准备补充文件清单和问卷调研表。
输出:
本项活动的可交付项包括:
——组织范围和边界的文字描述;
——纳入评估对象的被评估方有关部门和人员清单;
——重要合同、组织章程摘要;
——标注有关部门、组织间法律接口的个人信息处理过程图;
——补充文件清单和问卷调研表(第一稿)。
8.2.5总体界定
输入:
8.2.1-8.2.4活动的所有输出。
活动:
总体界定评估对象的范围和边界。
实施指引:
a)综合8.2.1-8.2.4活动的所有输出,综合分析个人信息处理、网络、信息系统、组织范围和边界,界定评估对象的范围和边界;
b)分析评估对象的范围和边界对于后续活动的影响,如确定评估准则、确定评估内容和方法、制定法律合规性评估方案、现场实施准备时的注意事项;
c)修改拟向被评估方发送的补充文件清单和问卷调研表。
输出:
本项活动的可交付项包括:
a)法律合规性评估方案的评估对象范围和边界部分,包含一份完整的个人信息处理过程图;
b)后续活动注意事项的清单(第一稿);
c)补充文件清单和问卷调研表(第二稿)。
其他信息:
见T/CLAST001.1—2021的4.4.2。
8.3确定评估准则
输入:
界定评估对象范围和边界(见8.2)活动的全部输出;合规义务清单(第二版)(见7.5);
T/CLAST001.2—2021文件。
活动:
确定评估准则。实施指引:
见以下8.3.1-8.3.3。
8.3.1确定基本法律合规性评估指标
实施指引:
a)评估组宜对照描述和界定评估对象的范围和边界的文件与合规框架(T/CLAST001.2—2021),依次选取:
1)第5章(法律合规性评估维度)中的全部法律合规性评估指标,除非经评估员分析认为其中的单个法律合规性评估维度或单个法律合规性评估指标不适用,可以排除并记录理由;
2)根据评估对象的范围和边界中包含的个人信息处理,从合规框架第6章和第7章中选取适用的全部扩展要求。
b)将选取的法律合规性评估指标的基本要求和扩展要求进行组合,形成基本法律合规性评估指标清单/表格。
输出:
本项活动的可交付项包括:
——基本法律合规性评估指标清单/表格;
——适用性声明,包括排除的法律合规性评估维度、法律合规性评估指标和理由。
8.3.2确定差异化法律合规性评估指标
实施指引:
a)评估员宜根据评估对象的范围和边界,重新检索是否存在尚未被识别的合规义务,尤其宜留意可能影响合规义务的以下要素:
1)产品或服务的业务场景;
2)个人信息处理类型;
3)所适用的个人信息类型;
4)被评估方组织所属行业的监管要求;
5)被评估方组织和个人信息处理设施所在地域;
6)评估对象所采用的技术特征;
7)评估对象所采用的信息系统和网络结构。
b)根据重新检索的合规义务,确定合规义务清单。
c)分析合规义务清单和选择纳入的其他规定要求,将其与基本法律合规性评估指标清单/表格中的要求进行比较,以确定:
1)所识别的合规要求和其他规定要求是否涵盖基本法律合规性评估指标未提及的差异化法律合规性评估维度;
2)所识别的合规要求与其他规定要求涵盖与基本法律合规性评估指标相同的法律合规性评估维度,但存在差异化指标,包括:
——就相同法律合规性评估维度提出了高于基本法律合规性评估指标的要求;
——就相同法律合规性评估维度提出比基本法律合规性评估指标更具体的要求;
——明示减轻或免除基本法律合规性评估指标中某个法律合规性评估维度的要求。
输出:
本项活动的可交付项包括:
——合规义务清单(定稿);
——差异化法律合规性评估维度和差异化法律合规性评估指标清单。
8.3.3确定评估准则
实施指引:
a)根据差异化法律合规性评估维度和差异化法律合规性评估指标清单,调整基本法律合规性评估指标清单/表格,包括:
1)标注差异化合规维度和差异化法律合规性评估指标;
2)记录减轻和免除基本法律合规性评估指标中某个法律合规性评估指标的理由和依据。
b)分析确定的评估准则对于后续活动的影响,如确定评估内容和方法、制定法律合规性评估方案、现场实施准备时的注意事项;
c)修改拟向被评估方发送的补充文件清单或问卷调研表。
输出:
本项活动的可交付项包括:
——法律合规性评估方案的评估准则部分,附:
●合规义务清单(定稿);
●排除的法律合规性评估维度、法律合规性评估指标及其理由;
●减轻或免除基本法律合规性评估指标中某个法律合规性评估指标的理由依据记录。
——后续活动注意事项清单(第二稿);
——补充文件清单和问卷调研表(第三稿)。
8.4确定评估内容和方法
输入:
法律合规性评估方案的评估对象范围和边界部分(见8.2.5);
法律合规性评估方案的评估准则部分(见8.3.3);
后续活动注意事项清单(第二稿);
补充文件清单和问卷调研表(第三稿)(见8.3.3)。
活动:
确定评估内容和方法,制定现场实施所需文件清单和问卷调研表。
实施指引:
a)将评估准则与评估对象的范围和边界结合起来,将法律合规性评估指标或所属的法律合规性评估维度映射到各评估对象上,结合评估对象的特点,说明所要确认或验证的内容,所采取的获取客观证据的方法。
b)对于其中需要进行文件评审的,修改补充文件清单和问卷调研表(第三稿),以确定现场实施所需文件清单和问卷调研表(定稿)。
输出:
本项活动的可交付项包括:
——法律合规性评估方案的评估内容和方法部分;
——后续活动注意事项清单(第三稿);
——现场实施所需文件清单和问卷调研表(定稿)。
8.5制定法律合规性评估方案
输入:
前述活动的全部可交付项。活动:
制定和分发法律合规性评估方案,便于在评估委托方、评估组和被评估方之间就法律合规性评估的实施达成一致,并就评估活动的日程进行协调。
向被评估方提供现场实施所需文件清单(定稿),必要时提供说明并确认可获得的时间。
实施指引:
法律合规性评估方案宜包含以下内容:
a)法律合规性评估的目标和目的;
b)法律合规性评估对象的范围和边界;
c)评估准则;
d)法律合规性评估内容和方法;
e)法律合规性评估组的具体构成和职责;
f)实施法律合规性评估的时间计划和地点;
g)实施法律合规性评估所需的资源,包括被评估方的协调员,所需设备、场地等后勤安排、文件提供、访谈、会议等沟通安排等。
注1:对于首次法律合规性评估和后续法律合规性评估,以及根据法律合规性评估的目标和法律合规性评估模式,法律合规性评估方案的内容和详略程度可以有所不同。
注2:法律合规性评估方案宜保留一定的灵活性,评估组长根据法律合规性评估的进展可以进行必要的调整。
注3:在第二方评估和第三方评估中,法律合规性评估方案的制定应与被评估方充分协商和沟通,并将最终的法律合规性评估方案文件提供给被评估方。对法律合规性评估方案的重大调整,在评估组长与被评估方的协调员,必要时包括观察员之间协商确定。
输出:
本项活动的可交付项包括:
——法律合规性评估方案。
8.6现场实施准备
输入:
法律合规性评估方案;
后续活动注意事项清单(第三稿);
现场实施所需文件清单和问卷调研表(定稿)。
活动:
准备现场实施所需的工作表单和工具。
实施指引:
现场实施阶段之前的准备工作包括:
a)评估组长与评估组成员商定,对每名成员在现场实施中的工作任务(包括具体负责的过程、场所、活动等)进行分配,并就成员相互之间的配合进行部署;
注:工作任务的分配宜考虑评估组成员各自的独立性、能力、资源的高效利用,以及评估员、实习评估员与技术专家等不同角色和职责。在现场实施中可以根据评估过程的需要灵活地调整。
b)评估组成员评审与其所承担的评估工作有关的文件和信息,并预备现场实施阶段必要的工作表单,用于现场评估过程中参考或记录;
示例:这些工作表单包括:
——各类检查表、作业指导书、问题清单等;
——用于记录客观证据、访谈、会议、评估发现的表格。
注1:评估活动的内容不应受限于既定工作表单,可以随着评估中的发现而有灵活的调整。
注2:评估组成员应妥善保管含有保密和知识产权信息的工作表单。在法律合规性评估结束时,工作表单的处理方式见10.4。
c)评估组成员评审与其所承担的评估工作有关的文件和信息,预备现场实施阶段必要的测量、试验、检测工具,并制定作业指导书;
d)根据准备情况更新后续活动注意事项清单,形成现场实施注意事项清单。
输出:
本项活动的可交付项包括:
——现场实施分工;
——现场实施工作表单;
——现场实施注意事项清单;
——工具和作业指导书。
9现场实施阶段
9.1概述
现场实施阶段的总体目标是获得被客观证据所支持的评估发现和评估结论,并为评估法律意见书的编制收集和准备文件。
现场实施阶段的主要输入,除计划准备阶段的主要输出之外,还包括被评估方根据现场实施所需文件清单和问卷调研表(定稿)准备的文件。如发现被评估方准备的文件或者现场实施准备阶段的主要输出不充分或不适用,评估组长可以通知评估委托方和被评估方,共同商定在文件和准备问题得到解决前,推迟或暂停法律合规性评估。
现场实施阶段的主要活动包括:
——实施阶段启动会议;
——获取客观证据;
——确认和验证客观证据得出评估发现;
——根据评估发现,评审得出评估结论;
——实施阶段总结会议。
现场实施阶段的主要输出包括:
——已经使用的现场实施工作表单,记录了客观证据和评估发现;
——评估发现记录总表(定稿);
——需在评估法律意见书中记录的评估发现局限性清单;
——尚未被解决的分歧记录总表(定稿);
——尚未被调整或处置的差距总表(定稿);
——尚未获得客观证据的法律合规性评估指标总表;
——总体评估结论;
——启动会议、评估组评审会议和总结会议记录。
9.2实施阶段启动会议
输入:
法律合规性评估方案。活动:
召开实施阶段启动会议。
实施指引:
a)实施阶段启动会议的与会者宜包括:
1)评估组成员;
2)被评估方的管理层和协调员,以及被评估方指定的人员,如相关部门的负责人;
3)观察员(如有);
4)评估委托方的代表(如有)。
b)实施阶段启动会议的目的是:
1)确认所有与会者对法律合规性评估方案达成理解与一致;
2)介绍评估组成员及其职责;
3)介绍协调员以及被评估方其他与会者的职责;
4)确保法律合规性评估方案的实施能够得到所有与会者的充分支持。
c)实施阶段启动会议的议程宜考虑:
1)概述法律合规性评估的目标、目的和范围;
2)概述法律合规性评估的程序,必要时介绍评估准则及其中的能力评价基准;
3)确定法律合规性评估的时间计划,以及实施法律合规性评估所需资源的可获得性;
4)实施法律合规性评估的过程中需遵守的纪律和规定,包括评估组的纪律,以及被评估方有关场地或信息安全的规定和注意事项;
5)确定评估组与被评估方之间的沟通渠道,尤其是有关法律合规性评估实施安排的日常沟通,以及对法律合规性评估中的评估发现、评估结论的正式沟通方法。
注:根据评估的范围和复杂性,有必要对评估组内部以及评估组与被评估方之间的沟通作出正式的安排。评估组长宜定期与被评估方、评估委托方通报评估进展和有关信息。尤其是:
——法律合规性评估中发现有证据表明可能已经发生重大不合规或不符合时,评估组长宜视情况决定何时向被评估方通报,必要时向评估委托方通报;
——法律合规性评估中发现在评估对象的范围和边界之外,但可能影响法律合规性评估发现和结论的问题,宜随时向评估组长报告,如有必要,评估组长宜向被评估方与评估委托方通报;
——在法律合规性评估中获得的客观证据表明无法实现法律合规性评估目的,评估组长应向评估委托方和被评估方通报理由,以商定适当的措施。如修改法律合规性评估方案、改变法律合规性评估目的、法律合规性评估范围或终止法律合规性评估。
d)实施阶段启动会议由评估组长主持,并为所有与会者提供提问的机会,应保留会议记录。
输出:
本项活动的可交付项包括:
——项目概述;
——实施阶段启动会议记录。
9.3获取客观证据
获取客观证据的方法包括文件评审、访谈、记录、测量、试验、检测、检查。方法的选择取决于信息源和待确认事实的类型。
在法律合规性评估中,可以根据法律合规性评估目的、范围和评估准则的具体要求,通过抽样的方式收集客观证据。
对于采用T/CLAST001.2—2021中的法律合规性评估指标,建议的方法如下。如评估准则中包含其它合规要求,可参照适用。
9.3.1文件评审
输入:
被评估方按照文件清单提供的文件;问卷调研表。
活动:
评审被评估方提供的文件。
实施指引:
a)实施文件评审者宜包括评估员和技术专家;
b)评审文件目的是获取客观证据和确定访谈及检测事项;
c)评审的文件范围,宜包括被评估方的以下文件:
1)公司营业执照及资质文件;
2)问卷调研表的回复内容及附件;
3)个人信息保护政策、产品或用户协议;
4)评估对象产品、服务或过程简介或说明文档;
5)评估对象的业务流程图、数据流程图、网络拓扑图、系统架构图等文件;
6)与第三方签署的与评估对象个人信息处理活动有关的合同(个人信息主体授权同意文件,如有)和保密协议等法律文件;
7)最近一次的信息安全等级保护测评报告和信息安全管理体系审核报告,以及现有的信息安全保护/控制措施对评估对象的覆盖范围说明、法律风险评估报告/评估法律意见书;
8)与个人信息处理有关的制度,包括制度的执行记录文件;
9)与个人信息处理或安全有关的认证证书文件;
10)个人信息处理管理组织及人员有关的文件,如组织架构图、权责说明书等文件;
11)与个人信息安全管理有关的文件,如事件应急预案和事件报告等文件;与个人信息处理或数据安全有关的其他文件。
d)文件评审过程中宜注意:
1)文件的有效性,如是否为正式签发的文件等;
2)摘录文件的关键信息时不宜过多摘抄文件原文,注意商业秘密的保护;梳理问题项以及待进一步确认或提供信息或文件的待办事项。
输出:
本项活动的可交付项包括:
——评审文件摘录;
——待办事项清单(第一稿);
——访谈提纲;
——后续活动注意事项清单(第三稿)。
9.3.2访谈
输入:
访谈提纲。活动:
与相关人员进行访谈。
实施指引:
a)宜根据访谈提纲内容合理安排相应的被访谈人员,向被评估方确定不同业务部门,如业务、信息安全研发等部门的被访谈代表;
b)访谈应得到完整详细的记录,宜要求被访谈人员对其陈述内容进行确认和签字,或要求被评估方对访谈记录进行确认并盖章,或经被评估方及被访谈人员允许对访谈进行录像或录音记录;如被评估方拒绝前述要求,需在访谈纪要中载明该情况及其原因;
c)访谈过程中宜注意:
1)确保被访谈人员的适格性和独立性,以确保访谈能够获得相关、客观的回答;
2)访谈提纲涉及技术问题时,应安排具备信息安全技术领域知识和技能的评估员或技术专家在场。
输出:
本项活动的可交付项包括:
——访谈记录;
——待办事项清单(第二稿)。
9.3.3检测
输入:
问卷调研表;技术检测清单;验证方案。
活动:
对评估对象进行技术检测。实施指引:
a)现场实施前将技术检测清单发送给被评估方,以确保具有检测所需环境及条件;
b)与被评估方沟通可实施检测事项,不能检测的内容需要被评估方提供备选的事实确认方案,如提供文件资料或出具声明;
c)现场实施前准备检测所需工具;
d)实施检测者应为技术专家,同时评估员应在现场;
e)应如实记录检测过程及检测发现,由技术专家对检测发现发表技术意见,出具技术分析报告;
f)检测宜注意及时与被评估方沟通双方对技术检测的有效性和检测结果的分歧,及时调整差距,并如实记录调整情况。
输出:
本项活动的可交付项包括:
——技术分析报告;
——待办事项清单(第三稿)。
9.4评估发现
输入:
获得的客观证据(见9.3)活动的输出。
活动:
评估员将所获取的客观证据与评估准则进行比较,验证规定要求是否得到满足,确认特定的预期用途或应用是否得到满足,并据以得出评估发现。当法律合规性评估目的有要求时,评估发现也需表明可能的改进空间。
实施指引:
a)评估员宜及时记录评估发现,记录事项包括但不限于:
1)所涉及的法律合规性评估指标;
2)是否满足法律合规性评估指标;
3)所采用的获取客观证据的方法及其局限性;
4)客观证据(如名称、编号等);
5)(如存在差距)理由;
6)(如存在差距)差距的严重程度;
7)记录人;
8)记录时间;
9)后续调整或处置建议。
b)评估组内部宜定期沟通以交换在各自负责的工作中获得的客观证据和评估发现;
c)评估组长宜定期汇总和评审评估组成员的评估发现记录,以确定法律合规性评估现场实施的进展,需要时重新分配评估组成员的工作;
d)对于表明评估对象与评估准则存在差距的评估发现,评估组宜优先与被评估方沟通,使被评估方及时理解该差距;
1)如被评估方对客观证据的准确性提出质疑,评估组长宜允许被评估方提出理由,如有必要,可以决定调整获得客观证据的方法或安排另一名评估员按相同方法重新获得客观证据;
2)如被评估方对评估发现提出质疑,评估组长宜允许被评估方提出理由,并进行记录。
e)在现场实施阶段宜尽可能解决评估组与被评估方之间对客观证据有效性和评估发现的分歧,以及可以立即调整的差距,汇总和记录尚未被解决的分歧和尚未被调整的差距。
输出:
本项活动的可交付项包括:
——评估发现记录(底稿);
——尚未被解决的分歧记录(底稿);
——尚未被调整的差距记录(底稿);
——待办事项清单(第四稿)。
9.5准备评估结论
输入:
评估准则(定稿);
评估发现(见9.4)活动的输出。
活动:
评估组共同评审所获得的全部评估发现记录,逐项对照评估准则,整理分歧和差距并得出评估结论。
实施指引:
在实施阶段总结会议前,评估组宜共同评审以下内容:
a)对比全部评估发现和评估准则(定稿),评审评估准则中的法律合规性评估指标是否已经全部得到有客观证据支持的评估发现。
1)如果是,已经得到的客观证据是否由于采用了抽样方法,导致评估发现存在方法本身带来的局限性,宜汇总和记录这些局限性,作为评估法律意见书的单独一部分内容;
2)如果有部分法律合规性评估指标未得到有客观证据支持的评估发现,并且是由于法律合规性评估指标的原因,导致评估组无法获得任何客观证据,评估组可以决定放弃对该法律合规性评估指标作出评估结论,或者接受被评估方的书面陈述与保证作为该法律合规性评估指标的评估结论所依赖的证据,这些法律合规性评估指标需被单独汇总和记录,作为评估法律意见书的单独一部分内容;
3)如果有部分法律合规性评估指标未得到有客观证据支持的评估发现,并且是由于评估对象的原因,如评估对象在法律合规性评估期内未提供客观证据,评估对象未保留任何客观证据,评估组宜评审这一事实本身是否表明评估对象不满足某项法律合规性评估指标(如可问责性维度的法律合规性评估指标或其他)。
——如果是,将该事实确定为尚未被解决的差距;
——如果不是,评估组可以决定放弃对该法律合规性评估指标作出评估结论,或者接受被评估方的书面陈述与保证作为该法律合规性评估指标的评估结论所依赖的证据,这些法律合规性评估指标需被单独汇总和记录,作为评估法律意见书的单独一部分内容。
b)对于评估发现中表明的差距,是否已经在现场实施阶段得到调整或处置。如果还有尚未被调整或处置的差距,评估组宜汇总和记录这些差距;如果评估的目标和目的有要求,宜预备建设性的调整或处置意见;
c)评估组与被评估方之间对客观证据有效性和评估发现的分歧,是否已经在现场实施阶段得到解决。如果还有尚未被解决的分歧,评估组宜评审该评估方就该分歧提出的理由,确定评估发现并汇总和记录这些分歧、理由和经评审后的评估发现;
d)评估组宜综合考虑全部评估发现及其局限性、未被调整的差距(和调整或改进意见)、未被解决的分歧和经评审后的评估发现,确定总体性的评估结论,包括:
1)基于现有的全部评估发现(包括经评审后的评估发现)并考虑其局限性,对评估结论达成一致;
2)考虑法律合规性评估目标与目的,对未被调整的差距完成后续调整或处置是否作为出具评估法律意见书的前提。
输出:
本项活动的可交付项包括:
——评估发现总表;
注1:含法律合规性评估指标(或编号)、客观证据名称或编号、评估发现记录(底稿)编号、评审组成员、单项评估结论;
注2:如有决定放弃或决定接受书面陈述与保证,需在评估发现记录总表中简要标注理由(如法律合规性评估指标原因或评估对象原因)。
——需在评估法律意见书中记录的评估发现局限性清单;
注:宜按照方法或存在局限性的理由归类,无需就每一项法律合规性评估指标单独声明。
——尚未被解决的分歧总表;
注:宜包含法律合规性评估指标(或编号)、客观证据名称或编号。
——尚未被调整或处置的差距总表;
注:宜包含法律合规性评估指标(或编号)、客观证据名称或编号、评估发现记录(底稿)编号、评审组成员、是否作为出具评估结论的前提及理由、(如有)调整或处置建议。
——尚未获得客观证据的法律合规性评估指标总表;
注:宜包含法律合规性评估指标(或编号)、理由、评估组的决定(如放弃或接受书面陈述与保证)。
——总体评估结论;
——评估结论评审会议记录等其他文件。
9.6实施阶段总结会议
输入:
现场实施阶段的全部输出。活动:
召开实施阶段总结会议,目标是:
a)确认所有与会者对评估发现、评估结论及其局限性达成理解与一致;
b)讨论现场实施阶段中尚未被解决的分歧;
c)讨论现场实施阶段中尚未被调整或处置的差距,(如需要)后续调整、处置、复评安排;
d)保障评估组最终得出的评估结论能够获得所有相关方的充分认同和理解。
实施指引:
a)实施阶段总结会议的与会者包括:
1)法律合规性评估组成员;
2)评估委托方的代表和/或观察员;
3)被评估方管理层和协调员,以及由被评估方指定的人员,如相关部门的负责人。
b)实施阶段总结会议的议程内容宜考虑:
1)简要总结现场实施阶段的工作情况,重要评估发现、总体评估结论,说明局限性;
2)提出尚未被解决的分歧和问题,评估组的评审意见,听取被评估方的意见;
3)提出评估发现尚未被调整或处置的差距,对评估结论的影响;
——如果根据法律合规性评估目标和目的,差距调整和处置是出具评估法律意见书的前提,讨论后续差距调整和处置的时间安排;
——如果根据法律合规性评估目标和目的,差距调整和处置并非出具评估法律意见书的前提,确定出具评估法律意见书的时间安排;
4)提出未获得客观证据的法律合规性评估指标,说明理由并提出放弃或接受书面陈述与保证的建议,获得评估委托方和被评估方同意,(如有)确定出具的时间安排。
c)实施阶段总结会议由评估组长主持,并为所有与会者提供提问或发言的机会,保留会议记录;
d)被评估方与评估组之间关于评估发现、必要的调整或处置以及可能的评估结论存在分歧,尽可能在实施阶段总结会议中解决,未能解决的分歧应予以记录;
e)评估组宜允许被评估方在总结会议结束后的指定时间内提交书面意见陈述,书面意见陈述作为评估法律意见书的一部分,但评估组独立作出评估结论。
输出:
本项活动的可交付项包括:
——实施阶段总结会议记录;
——如需要,对后续差距调整和处置时间安排;
——如有,总结会议结束后被评估方提交对分歧的书面陈述意见以及书面陈述与保证的时间安排。
10评估法律意见书阶段
10.1概述
评估法律意见书阶段的总体目标是完成评估法律意见书的编制、签发和妥善终止法律合规性评估项目。
评估法律意见书阶段的主要输入,除现场实施阶段的主要输出之外,还包括(如有)被评估方根据实施阶段总结会议的时间安排提交的书面意见陈述、(如有)书面陈述与保证,以及(如需要)后续差距调整和处置证据。如发现这些主要输入不充分或不适用,评估组长可以通知评估委托方和被评估方,共同商定在得到解决前,推迟或暂停本阶段的法律合规性评估。
评估法律意见书阶段的主要活动包括:
——评估法律意见书前的工作;
——编制和签发评估法律意见书;
——终止法律合规性评估项目。现场实施阶段的主要输出包括:
——个人信息处理法律合规性评估法律意见书;
——评估发现记录总表(定稿);
——客观证据、工作底稿。
10.2评估法律意见书前工作
输入:
法律合规性评估实施阶段的全部输出。
活动:
收集被评估方对分歧的书面陈述意见(如有);
收集书面陈述与保证(如有);
调整和处置差距,以及复评(如有)。
实施指引:
a)如被评估方要求对分歧进行书面意见陈述并在约定时间内提交,评估组宜评审是否影响评估结论,如不影响,评估组宜将被评估方的意见陈述作为书面评估法律意见书的附件或在正文中进行摘录;
b)如被评估方同意并在约定时间内提交书面陈述与保证,评估组宜评审书面陈述与保证的充分性;如在约定时间内未提交评估组认为充分的书面陈述与保证,评估组宜依据现有的客观证据得出法律合规性评估法律意见书;
c)在以确定合规现状为目标的法律合规性评估中,评估组对于评估发现中差距的处理宜保留充分的裁量权,并可以选择将差距调整和复评作为出具评估法律意见书的前提条件。由于在法律合规性评估期内未得到调整的差距很可能已经表明评估对象与评估准则之间已经存在确定的不符合,如果在法律合规性评估法律意见书出具前未得到适当调整,对于该评估准则的结论应是不符合;
1)在第一方评估中,评估组通常可以按照现状出具评估法律意见书,并在评估法律意见书中尽可能详细地描述存在的差距及其可能的风险,差距调整及其风险处置的决策和执行可以由委托其实施法律合规性评估的评估委托方(也是评估对象)自行完成;
2)在第二方评估和第三方评估中,评估组宜考虑其代表的评估委托方的利益、自身的执业风险和责任以及作为评估机构的行为准则。评估组可以选择:
——在第二方评估中听取评估委托方的建议,在评估法律意见书中详细揭示差距及其可能的风险,由评估委托方自行决策是否要求被评估方做出调整或进行其他风险处置;
——在第三方评估中遵循评估机构的行为准则和评估机构管理层的决策,接受部分差距调整,并对于调整后仍然残留风险的部分进行记录以免除其自身的风险和责任。
d)在以确定合规能力为目标的法律合规性评估中,评估法律意见书是对整体能力的评价,评估组通常按照实施阶段终止时的状态编制评估法律意见书,并可以将差距调整和风险处置留待报告后进行,并作为下一次法律合规性评估的确定内容。
输出:
本项活动的可交付项包括:
——评估组对书面陈述意见的评审结论和处理方法的建议;
——评估组对书面陈述与保证的评审结论,以及对法律合规性评估法律意见书的建议;
——复评发现记录(底稿),并在评估发现记录总表(定稿)中更新复评发现并进行特殊标记。
10.3编制和签发评估法律意见书
输入:
法律合规性评估实施阶段的全部输出;
评估法律意见书前工作的全部输出(如有)。活动:
编制和签发评估法律意见书。
实施指引:
a)评估组长负责编制书面评估法律意见书,并对书面评估法律意见书的内容负责;
b)评估法律意见书应提供有关以下内容的真实、准确、完整和清晰的信息:
1)评估委托方的主体信息和代表;
2)评估机构的主体信息和评估组长;
3)被评估方的主体信息和协调员;
4)评估组成员;
5)法律合规性评估模式;
6)评估的目标和目的;
7)评估对象的范围和边界;
8)评估准则;
9)法律合规性评估期间;
10)法律合规性评估过程中关键性事件及其时间节点;
11)法律合规性评估结论的局限性声明,包括:
——由于抽样等评估方法固有的不确定性带来的局限性;
——放弃法律合规性评估指标或接受书面陈述与保证的情况;
——必要的风险提示。
12)法律合规性评估总体结论、理由和客观证据:
——如总体结论为合规或符合,可以给出简要的评审理由,并附评估发现记录总表(定稿)以表明法律合规性评估结论所依据的评估发现、客观证据等;
——如总体结论为不合规或不符合,宜在报告中给出相对更为详细的评审理由和分析。
13)评估发现中的重要差距,包括:
——是否在法律合规性评估期间得到调整和处置;
——(如有)调整和处置后的复评发现和结论;
——必要的风险提示;
——附复评的评估发现记录,或特别标注复评发现的评估发现记录总表(定稿)。
14)尚未被解决的分歧,以及被评估方提交的书面意见摘要、评审结论。
15)如有:
——对评估法律意见书后差距调整和风险处置的建议;
——对监督和持续评估的建议;
——对评估法律意见书后管理层评审或专家评审的建议。
c)在评估法律意见书正式签发前,评估组长宜按照评估机构的组织程序,将编制完成的评估法律意见书提交管理层评审或履行适当的批准或签发程序。如法律合规性评估的目标和目的有要求,或者评估委托方、监管机构或认证机构要求,可以进行必要的专家评审;
d)评估法律意见书宜按照商定的时间表提交。如可能发生迟延,评估组长向评估委托方通报迟延的理由,并就新的提交时间达成一致。
10.4处理法律合规性评估项目文件
输入:
法律合规性评估项目的全部输入和输出。活动:
对法律合规性评估项目文件进行返还、销毁、存证、固证、归档等处理。实施指引:
通常,当法律合规性评估方案中的所有活动均已完成并正式签发评估法律意见书时,法律合规性评估项目即告终止。评估组宜在签发评估法律意见书后,履行适当的措施,妥善处理法律合规性评估项目文件,包括:
a)按照被评估方的要求,返还或销毁被评估方在法律合规性评估项目期间提供的文件;
b)按照相关法律法规的要求、评估项目协议或保密协议的约定,保存和固定在法律合规性评估项目中获得的客观证据。如客观证据中含有被评估方商业秘密或其他保密信息,应被评估方请求和委托协议的约定,宜通过可信时间戳、区块链等防篡改的方式存证固证,并可以由被评估方继续保管客观证据;
c)对于在法律合规性评估过程中由评估机构制作的评估方案、底稿、评估发现记录总表和评估法律意见书及其附录,评估组宜按照相关法律法规以及评估机构项目管理的要求进行存档。按照评估协议的要求,对于可能记录有被评估方商业秘密和其他保密信息的工作底稿,可以与客观证据一并进行存证固证,以供在必要时可以查验。此时,评估组宜保留评估发现记录总表,其中含有法律合规性评估指标(或编号)、客观证据名称或编号、评估发现记录底稿(编号)、评估组成员、单项评估结论,以及评估法律意见书和附录,但评估组不得以违反保密协议(委托协议中的保密条款)约定的方式使用和披露。
输出:
返还、销毁被评估方文件的确认函;
存证固证的客观证据(和底稿)目录。