T/CLAST团体标准
T/CLAST001.1—2021
个人信息处理法律合规性评估指引
第1部分:概述和术语
Guideline for legal compliance assessment of personal information processing
Prat 1:Overview and vocabulary
2021-04-28发布2021-06-06实施
中国科学技术法学会发布
目次
前言
引言
1范围
2规范性引用文件
3术语
3.1法律合规性评估相关术语
3.2个人信息处理的主体相关术语
3.3个人信息处理的对象相关术语
3.4个人信息处理相关术语
3.5个人信息处理设施相关术语)
3.6管理体系相关术语
4个人信息处理法律合规性评估概述
4.1概述
4.2评估目的与目标
4.3评估模式与评估组
4.4评估范围
4.5评估方法论
附录A(资料性附录)术语的概念关系图示1
前言
本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国科学技术法学会提出并归口管理。
本文件主要起草单位:中国科学技术法学会、深圳市北鹏前沿科技法律研究院、中国法学交流基金会、中国法律咨询中心、北京大学法学院/知识产权学院、北京大学粤港澳大湾区知识产权发展研究院、平安科技(深圳)有限公司、上海携程商务有限公司、北京小桔科技有限公司、阿里巴巴(北京)软件服务有限公司、每日互动股份有限公司、深圳市和讯华谷信息技术有限公司、广东北源律师事务所、上海市锦天城律师事务所、北京市浩天信和律师事务所、北京市金杜律师事务所、中国信息通信研究院云计算与大数据研究所、北京北大英华科技有限公司、网易(杭州)网络有限公司、腾讯科技(深圳)有限公司、荣耀终端有限公司、华米科技、OPPO广东移动通信有限公司、比亚迪股份有限公司、广州小鹏汽车科技有限公司、深圳市大疆创新科技有限公司、深圳市地铁集团有限公司、上海游昆信息技术有限公司、广州多益网络股份有限公司、贝壳找房(北京)科技有限公司、深圳市迷你玩科技有限公司、百行征信有限公司、深圳依时货拉拉科技有限公司、广东小天才科技有限公司、安信证券股份有限公司、深圳市安证企业合规管理(集团)有限公司、杭州安信检测技术有限公司、杭州安恒信息技术股份有限公司、深圳市网安计算机安全检测技术有限公司。
本文件主要起草人:张平、毕马宁、南红玉、黄亚英、肖声高、徐美玲、时建中、李玉香、周辉、涂俊峰、谈建、周涛、任晓明、李伟民、崔亚冰、王心阳、赵怡冰、辜凌云、徐子淼、姬祥、牟晋军、周林、秦齐祺、张娜、徐彩曦、张铮、陈津来、陈光炎、植吕梅、梁艳芬、吴卫明、丁峰、田劼、冯红、吴涵、何为、李青、赵紫钰、包一明、石霖、何远琼、李川东、蒋仁熙、梁淳栋、孙海鸣、武杨、张辉、吴迪、王辉、彭星、高凤、杨小娟、林森才、许艳冰、林莹、彭伟、叶娟、白宝龙、陈远鸿、张朝、谢晓勇、罗经华、覃江林、白雷、周俊华、陈天伟、李维春、李旻瑞、李良、龙军、黄伟杰、江鑫、洪跃腾、王水兵、何冠辉、杜文琦、倪荣、刘志乐、吴俊雄。
本文件由中国科学技术法学会、深圳市北鹏前沿科技法律研究院负责解释。
引言
01.背景
大数据时代,组织的个人信息处理合规被赋予了多重意义:
个人信息与自然人的隐私、自由等权益密切相关,个人信息的泄露、过度收集、超范围使用等安全事件与违规行为,极有可能威胁到自然人的合法权益,并因此给组织带来民事和经济索赔以及行政和刑事责任。这对组织实现其合规承诺与目标、满足潜在顾客和消费者隐私期待的能力提出了更高的要求。同时,通过设计和默认设置实现保护的概念,提示了在合规体系中充分考虑信息安全技术规范和实践的要求。
组织所处理的个人信息(尤其是其数据形式)与其他各类信息一同被视为组织的信息资产,是能够为组织带来竞争优势和创造经济价值的新型生产要素。过去组织在信息安全领域的投入主要致力于保护信息资产。这些措施在被用来满足有关个人信息保护的合规目标时,有必要予以调整以适应新的需求,并且需要引入法律领域的视角,帮助组织确认其现有的信息安全能力与《个人信息保护法》等可适用的法施加的合规义务、组织的合规承诺和顾客隐私期待之间的符合性。
从网络空间主权到信息主权的发展,也将个人信息保护引入到了网络安全的语境之下。除了将组织的网络安全(cybersecurity)视为整体网络系统中的一个单元考虑之外,个人信息出境或跨境转移还可能涉及国家对在其管辖之下的个人信息、重要数据的国家安全和信息主权利益的考量。
因此,组织的个人信息处理合规,意味着履行和满足来自多领域多方面的合规要求和期待。
02.个人信息处理法律合规性评估
合规是组织持续健康发展的基石,要求组织在其活动中遵守适用于组织的全部合规要求,包括组织的合规义务与合规承诺,以及组织的运行环境和相关方所要求或期待的标准、最佳实践或道德准则,以避免因不合规所带来的法律责任、财产和声誉损失等潜在风险。
组织个人信息处理活动的合规要求具有综合性的内容。通常,个人信息处理的合规要求是由作为或不作为的履行要求构成的,但有时,合规要求也可能包括对履行结果符合性的要求。例如,《个人信息保护法》规定的采取技术、管理和其他必要措施的合规义务,包含了“确保个人信息处理活动符合法律法规的规定,并防止未经授权的信息泄露、篡改、丢失”的结果或状态符合性要求。又如,加密传输、匿名化、去标识化等技术处理,包含了对加密、匿名化、去标识化结果的符合性要求。因此,个人信息保护合规,往往意味着组织通过履行合规要求使其个人信息处理的过程和结果均符合规定要求。有时个人信息处理的合规要求也可能包含采取管理措施的要求,例如,将合规的意识与制度融入组织及其工作人员的文化、行为和态度当中,从而确保组织具备持续地满足合规要求和目标的管理体系。
对组织个人信息处理活动的法律合规性评估同样也是一系列具有综合性的确定活动。简言之,法律合规性评估是通过获取证据确定组织与个人信息处理有关的合规要求得到履行或满足的过程。但具体而言,组织的个人信息处理活动所处的环境要素,例如产品、服务、过程、程序、管理体系、信息处理设施、个人信息相关方及其他环境要素,往往决定了法律合规性评估所需确定的内容和程度。
组织个人信息处理的合规要求的综合性以及由此导致评估任务的综合性,都使得组织在向个人信息相关方沟通和证明其个人信息处理是否合规以及具备何种程度的合规能力时面临现实的难题。通过标准化建立个人信息处理合规及其法律合规性评估的语境和基准将有助于解决这一难题。
03.个人信息处理法律合规性评估指引
个人信息处理法律合规性评估指引的目的在于:支持组织证明和声明其个人信息处理的合规状态和合规能力,也包括支持顾客、监管者等对组织个人信息处理的合规性进行检查和监督,支持个人信息相关方之间建立理解和信任,以及支持独立的评估机构为具有上述需求的个人信息相关方提供法律合规性评估、咨询和认证服务。
个人信息处理法律合规性评估指引由以下三个部分组成:
——第1部分:概述和术语。本部分的目的在于为个人信息处理活动及其法律合规性评估活动建立一个共同认可的、易于沟通的语境和概念体系,提供个人信息处理法律合规性评估的概述,为个人信息处理法律合规性评估指引的其他部分和其他标准的开发奠定基础。
——第2部分:合规框架。本部分的目的在于为个人信息处理法律合规性评估准则的识别和确定建立一个体系化的框架,以便对富有综合性的合规要求进行清晰的分类和归纳,以支持个人信息处理法律合规性评估活动的启动、规划、实施、报告、评审、监控和再评估。
——第3部分:实施指南。本部分的目的在于为个人信息处理法律合规性评估活动的启动、规划、实施、报告、评审、监控和再评估建立一个统一但仍保留灵活性的流程和方法,以支持各类组织能够高效地、可比较地、可问责地和可持续地进行法律合规性评估活动。
个人信息处理法律合规性评估指引的任何一个部分或其整体,可以单独使用,也能与现行的网络安全与信息安全相关标准(如GB/T22239—2019、GB/T35273—2020),信息安全、隐私管理体系相关标准(如GB/T22080—2016、GB/T22081—2016、ISO/IEC27701:2019)与合规管理体系相关标准(如GB/T35770—2017)结合使用。
04.第1部分:概述和术语
作为个人信息处理法律合规性评估指引的第1部分,本文件界定和汇集了个人信息处理及其法律合规性评估可能涉及的术语和概念体系。尤其是个人信息处理相关术语,编制这些术语和定义的目的不仅仅是在法律合规性评估语境下的标准化,也旨在为政策制定者提供参考。
本文件对个人信息处理法律合规性评估给出了概述,包括评估目的、评估主体、评估对象、评估准则以及评估方法论的整体描述。本文件作为概述和术语类标准不提出具体要求。
个人信息处理法律合规性评估指引
第1部分:概述和术语
1范围
本文件给出了个人信息处理及其法律合规性评估的概述和术语,描述了个人信息处理法律合规性评估的评估目的、评估主体、评估对象、评估准则和评估方法论。
本文件适用于各种类型的组织对其个人信息处理的合规状态或合规能力进行第一方评估和管理,个人信息相关方为采购、监管等特定目的(诸如采购、监管)进行的第二方评估,以及独立的评估机构进行的第三方法律合规性评估和咨询。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069—2010信息安全技术术语
GB/T35273—2020信息安全技术个人信息安全规范
GB/T29246—2017信息技术安全技术信息安全管理体系概述和词汇GB/T19000—2016质量管理体系基础和术语
GB/T27000—2006合格评定词汇和通用原则
3术语
GB/T25069—2010、GB/T35273—2020、GB/T29246—2017、GB/T19000—2016、GB/T27000—2006
中界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了GB/T25069—2010、GB/T35273—2020、GB/T29246—2017、GB/T19000—2016、GB/T27000—2006中的一些术语和定义。
注1:关于信息安全、隐私和信息技术、网络安全主题的现有国家标准和国际标准中已经给出了与个人信息处理有关的大多数术语。为了给个人信息处理法律合规性评估建立一个统一的语境,本文件汇总和抄录了其中的部分术语。为便于将本文件与现有的标准相结合使用,附录A给出了本文件中采用的概念与相关标准中对应概念的关系图示。
注2:本文件中的一些术语是现有标准中未涵盖从而必须予以定义的概念,另一些则是标准化和相关活动的通用词汇在适用于个人信息处理法律合规性评估语境时有必要予以调整或解释,本文件通过注释的改写和添加示例解释了这些通用词汇并指明了定义的来源。
1)GB/T19000—2016和GB/T27000—2006均给出了标准化和相关活动的通用术语,尤其是与评估活动相关的术语。如果本文件中使用了在本文件中未改写或抄录的标准化和相关活动通用术语,尤其是与评估活动相关,并且上述两个规范性引用文件中对同一术语给出了不同的定义时,GB/T27000—2006的定义优先于GB/T19000—2016。
3.1法律合规性评估相关术语
3.1.1
法律合规性评估legalcomplianceassessment
获取客观证据并客观评价以确定评估准则得到遵守或满足的过程。
注1:根据评估主体与评估对象的关系,法律合规性评估可以分为第一方评估、第二方评估或第三方评估。
注2:评估对象中的要素为组织时是确定评估准则得到遵守,其他要素则确定评估准则得到满足。
注3:法律合规性评估可能包括为获取客观证据所需的测量、试验、检验、记录、事实陈述、文件评审等活动,基于客观证据评价合规要求得到满足所需的验证、确认等活动,以及基于客观证据评价合规要求得到满足的程度的专家评审等活动。GB/T19000—2016给出了上述各项活动的定义。
注4:取决于法律合规性评估的目的、范围和评估结论的用途,法律合规性评估可能得出符合或不符合的评定结论,也可能得出符合程度的评定结论。
3.1.2
评估主体subjectofassessment
实施法律合规性评估的组织。
3.1.3
评估对象objectofassessment
被识别以与评估准则进行比较的组织的个人信息处理,也包括个人信息处理的对象和环境要素,如产品、服务、过程、程序、管理体系、信息处理设施、个人信息相关方及其他环境要素的集合。
注:GB/T19000—2016给出了产品(3.7.6)、服务(3.7.7)、过程(3.4.1)、程序(3.5.3)、管理体系(3.5.3)的定义。
3.1.4
被评估方assessee
作为评估对象的组成部分受到评估的组织。
3.1.5
评估委托方assessmentclient
向评估机构委托实施法律合规性评估的组织。
3.1.6
第一方评估first-partyassessment
由作为评估对象的组织所实施的法律合规性评估。
注:第一方评估包括由评估对象的组织自行实施的,也包括其委托外部组织代表其利益实施的法律合规性评估。
3.1.7
第二方评估second-partyassessment
由在评估对象中享有利益或利益冲突的组织实施的法律合规性评估。
注:第二方评估的例子包括但不限于顾客、潜在顾客、消费者组织、监管者、投资者或潜在投资者等,也包括这些组织委托外部组织代表其利益实施的法律合规性评估。
3.1.8
第三方评估third-partyassessment
由独立于评估对象并且在评估对象中不具有利益和利益冲突的评估机构实施的法律合规性评估。
3.1.9
评估机构assessmentbody
从事第三方评估服务的机构。
3.1.10
评估组assessmentteam
为实施法律合规性评估指派的一名或多名评估员,同时评估过程应委托技术专家提供支持。
注:评估组可包括实习评估员。
3.1.11
评估员assessor
被指派实施法律合规性评估的人员。
3.1.12
评估组长teamleader
在评估组中被指定对整个法律合规性评估的过程和结果负责任的评估员。
3.1.13
技术专家technicalexpert
向评估员提供特定专业知识、技能和意见支持的具备相应资质证书人员。
注1:特定专业知识或技术是指与被评估的组织、过程、活动、语言或文化有关的知识或技术。注2:在评估组中,技术专家不作为评估员。
注3:技术专家应当具备相应的资格证书,比如CISP/CISSP等。
3.1.14
观察员observer
被指派监督法律合规性评估过程和结果的人员。
3.1.15
协调员coordinator
第二方评估和第三方评估中被评估方指派的为评估组提供协助的人员。
3.1.16
信息技术产品ITproduct
具有采集、存储、传输、处理、交换、加工、显示等信息或数据处理功能的产品。
注1:信息技术产品包括计算机及其辅助设备、通信设备、网络设备、自动控制设备、操作系统、数据库、应用软件与服务等。
注2:GB/T19000—2016,3.7.6给出了产品的定义,产品是在组织和顾客之间未发生任何交易的情况下,组织能够产生的输出。通常,产品的主要要素是有形的,可以分为:有形的、其量具有计数特性的硬件;有形的、其量具有连续特性的流程性材料;以及由信息组成、无论采用何种介质传递的软件。
注3:当产品交付给顾客时,通常包含服务因素。例如,计算机产品交付时可能附带操作培训服务,也可能附带有偿或无偿的售后维修服务。此时产品或服务的区分取决于其主导成分。
3.1.17
基于信息技术的服务IT-basedservice
信息技术服务以及提供方以信息技术为手段提供的任何服务。
注1:GB/T29264—2012,2.1给出了信息技术服务的定义和分类。
注2:GB/T19000—2016,3.7.7给出了服务的定义,服务是至少有一项活动必需在组织和顾客之间进行的组织的输出。通常,服务的主要要素是无形的,包含与顾客在接触面的活动,由顾客体验。服务中可能包含产品的交付或使用。此时产品或服务的区分取决于其主导成分。基于信息技术的服务的特殊类别是云服务,例如基础设施作为服务(IaaS)、平台作为服务(PaaS)或软件作为服务(SaaS)。
注3:组织和顾客的接触面和服务的交付均可以是在线上或线下,如线上接触和交付的在线服务、线上接触线下交付的服务、线下接触线上交付的服务、线下接触线下交付的服务。
注4:服务可以是有偿的,也可以是无偿的。
3.1.18
评估准则assessmentcriteria
以合规框架作为基准,与适用于评估对象的其他合规要求进行比较分析后确定的,用于与证据进行比较并据以得出法律合规性评估结论的一组合规要求。
3.1.19
要求requirement
明示的、通常隐含的或必须履行的需求或期望。
注1:“通常隐含”是指组织和相关方的惯例或一般做法,所考虑的需求或期望是不言而喻的。注2:规定要求是经明示的要求,如在成文信息中阐明。
注3:特定要求可使用限定词表示,如产品要求、信息安全要求、系统要求、顾客要求。
注4:要求可由不同的相关方或组织自己提出。
注5:为实现较高的顾客满意,可能有必要满足那些顾客既没有明示、也不是通常隐含或必须履行的期望。
注6:这是GB/T19000—2016中给出的管理体系标准的通用术语及核心定义之一,修改了注3。
3.1.20
合规框架complianceframework
T/CLAST001.2—2021给出的规定要求。
3.1.21
合规要求compliancerequirement
适用于评估对象的合规义务和作为评估对象的组织选择遵守的其他规定要求。
注:当组织选择遵守合规框架时,合规框架构成合规要求。
3.1.22
合规义务complianceobligation
对作为评估对象的组织有法律意义上的约束力的规定要求。
注:合规义务的来源可以区分为法定要求、监管要求、司法要求和合规承诺。
3.1.23
可适用的法applicablelaw
产生可适用于评估对象的法定要求、监管要求、司法要求的规范性文件。
注:法定要求和监管要求包括中国法律、行政法规、部门规章及其他规范性文件,也可以包括适用于特定相关方、特定个人信息或特定个人信息处理活动(如跨境转移)的外国立法和监管要求。
3.1.24
法定要求statutoryrequirement
立法机关制定并发布的具有强制力的规定要求。
示例:如全国人民代表大会及其常委会制定并发布的法律、法律解释和决定,地方人民代表大会及其常委会的地方性法规、自治条例和单行条例等。
注:改写自GB/T19000—2016,定义3.6.6。
3.1.25
监管要求regulatoryrequirement
法律或立法机关授权的机关制定并发布的具有强制力的规定要求。
示例:监管要求的例子,如《中华人民共和国立法法》授权的国家机关制定并发布的行政法规、国务院部门规章、地方政府规章等。
注:改写自GB/T19000—2016,定义3.6.7。
3.1.26
司法要求Judicialrequirement
司法机关制定并发布的具有普遍约束力的要求和适用于评估对象的已生效的决定。
示例:司法要求的例子,如司法机关制定的司法解释,或者评估对象作为一方并受其约束的判决等。
3.1.27
合规承诺compliancecommitment
组织承诺遵守从而对其具有约束力的、适用于评估对象的规定要求。
示例:合规承诺的例子,如组织与个人信息相关方之间的合同,公开发布的个人信息保护政策,产品或服务说明书,向监管部门做出的合规或整改承诺等。
3.1.28
差距gap
评估对象未遵守或未满足评估准则中的某项合规要求。
注:差距可以是一个单一事件或多项事件,在法律合规性评估中差距并不必然表明不符合,需由评估员确定。
3.1.29
符合conformity
评估对象遵守或满足评估准则得到确定。
3.1.30
不符合nonconformity
评估对象遵守或满足评估准则未得到确定。
3.1.31
客观证据objectiveevidence
支持事物存在或其真实性的数据。
注1:客观证据可通过观察、测量、试验、检验或其他方法获得。
注2:就法律合规性评估的目的而言,客观证据的形式可以是与评估准则相关的记录、事实陈述、文件、成文信息或其他信息并可用于验证。
注3:GB/T19000—2016给出了测量(3.11.4)、试验(3.11.8)、检验(3.11.7)等获取客观证据的方法的定义。这些术语在法律合规性评估语境中的概念关系图示,见附录A。
注4:GB/T19000—2016给出了记录(3.8.10)、信息(3.8.2)、文件(3.8.5)、成文信息(3.8.6)等术语的定义。这些术语在法律合规性评估语境中的概念关系图示,见附录A。
注5:通过注2改写GB/T19000—2016,定义3.8.3,以适应法律合规性评估。
3.1.32
规范specification
阐明要求的文件。
示例:质量手册、质量计划、技术图纸、程序文件、作业指导书。
注1:规范可能与活动有关(如:程序文件、过程规范和试验规范)或与产品有关(如:产品规范、性能规范和图样)。
注2:规范可以陈述要求,也可以附带设计和开发实现的结果。因此,在某些情况下,规范也可以作为记录使用。
[来源:GB/T19000—2016,定义3.8.7]
3.1.33
评审review
对客体实现所规定目标的适宜性、充分性或有效性的确定。
示例:管理评审、设计和开发评审、顾客要求评审、纠正措施评审和同行评审。注:评审也可包括确定效率。
[来源:GB/T19000—2016,定义3.11.2]
3.1.34
验证verification
通过提供客观证据对规定要求已得到满足的认定。
注1:验证所需的客观证据可以是检验结果或其他形式的确定结果,如:变换方法进行计算或文件评审。注2:为验证所进行的活动有时被称为鉴定过程。
注3:“已验证”一词用于表明相应的状态。
[来源:GB/T19000—2016,定义3.8.12]
3.1.35
确认validation
通过提供客观证据对特定的预期用途或应用要求已得到满足的认定。
注1:确认所需的客观证据可以是试验结果或其他形式的确定结果,如:变换方法进行计算或文件评审。
注2:“已确认”一词用于表明相应的状态。
注3:确认所使用的条件可以是实际的或是模拟的。
[来源:GB/T19000—2016,定义3.8.13]
3.1.36
组织organization
为实现目标,由职责、权限和相互关系构成自身功能的一个人或一组人。
注:组织的概念包括,但不限于个体经营者、公司、集团、商行、企事业单位、权力机构、合伙企业、慈善机构或研究机构,或上述组织的部分或其组合,无论是否为法人组织,公有的或私有的。
[来源:GB/T35770—2017,定义2.1]
3.1.37
供方provider;supplier
提供产品或服务的组织。
示例:产品或服务的制造商、批发商、零售商或商贩。注:供方可以是组织内部的或外部的。
[来源:GB/T19000—2016,定义3.2.5]
3.2个人信息处理的主体相关术语
3.2.1
个人信息主体personalinformationsubject
个人信息所标识或者关联的自然人。[来源:GB/T35273—2020,定义3.3]
3.2.2
个人信息处理者personalinformationprocessor
自主决定个人信息处理目的、方式等的组织或个人。
3.2.3
个人信息共同处理者jointpersonalinformationprocessor
与个人信息处理者共同决定个人信息处理目的、方式的个人信息相关方。
3.2.4
个人信息处理受托人commissionedpartyforpersonalinformationprocessing
接受委托进行个人信息处理的组织或个人。
3.2.5
个人信息相关方personalinformationinterestedparty
可能影响个人信息处理有关的决策或活动、受个人信息处理有关的决策或活动所影响、或自认为受个人信息有关的决策或活动影响的个人或组织。
示例:顾客、投资者、组织内人员、供方、债权人、监管者、工会、合作伙伴以及可包括竞争对手或相对立的社会群体。对于特定个人信息处理者而言,个人信息相关方尤其包括个人信息主体、共同个人信息处理者、个人信息处理受托人及其分包商。
注:改写自ISO/IEC29100:2012,2.22。
3.2.6
第三方thirdparty
个人信息主体、个人信息处理者和个人信息处理受托人以外的个人信息相关方。
3.3个人信息处理的对象相关术语
3.3.1
个人信息personalinformation
以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。
注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
注2:关于个人信息的判定方法、相关术语、子分类,参见GB/T35273—2020附录A。
注3:个人信息处理者通过个人信息或其他信息加工处理后形成的信息,例如,用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映自然人活动情况的,属于个人信息。
注4:个人信息是信息(属)的种概念,GB/T5271.1—2000,01.01.01给出了信息(在信息处理中)的定义,是指关于客体(如事实、事件、事物、过程或思想,包括概念)的知识,在一定的场合中具有特定的意义。
注5:个人数据是个人信息(属)的种概念,是个人信息的可再解释的形式化表示,以适用于人或计算机进行通信、解释或处理。因此,当本文件提及个人信息时应理解为包含个人数据,本文件提及个人数据时是特指种概念。
注6:这是《个人信息保护法》第4条第1款给出的定义,注1参考了GB/T35273—2020,3.1,修改和添加了注2-4。
3.3.2
敏感个人信息sensitivepersonalinformation
一旦泄露、非法使用或滥用,容易危害人身和财产安全,容易导致个人人格尊严、身心健康受到损害或容易使个人受到歧视性待遇等的个人信息。
注1:敏感个人信息包括身份证件号码、个人生物识别信息、宗教信仰、金融账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、不满14周岁未成年人的个人信息等。
注2:个人信息处理者通过个人信息或者其他信息加工处理后形成的信息,如一旦泄露、非法使用或者滥用,可能危害人身和财产安全,容易导致个人人格尊严、身心健康受到损害或容易使个人受到歧视性待遇等的,属于敏感个人信息。
注3:敏感个人信息是个人信息的种概念。个人信息与个人数据的属种关系也适用于敏感个人信息与敏感个人数据。
注4:这是GB/T35273—2020,3.2给出的术语和定义,添加了注3。
3.4个人信息处理相关术语
3.4.1
个人信息处理personalinformationprocessing
借助信息系统执行的、以个人信息为输入和/或输出的过程。
注1:个人信息处理的示例包括但不限于采集、存储、修改、检索、咨询、披露、匿名化、假名化、传播或以其他方式提供、删除或销毁。
注2:通常个人信息处理的输入和输出均为个人信息。个人信息仅为输入的例子如匿名化;个人信息仅为输出的例子如将非个人信息汇聚融合为个人信息。
注3:个人信息处理是过程(属)的种概念。GB/T19000—2016,3.4.1给出了过程的定义,是指利用输入实现预期结果的相互关联或相互作用的一组活动。过程的预期结果是称为输出还是称为产品或服务,随相关语境而定。
注4:个人信息处理是至少有一个活动是借助信息系统执行的过程,完全由人工进行的分类、归并、存档、查询、计算、推论、分析,不属于本文件所称个人信息处理。
注5:个人信息处理是信息处理(属)的种概念。GB/T5721.1—2000,01.01.05给出了信息处理的定义,是指对信息操作的系统执行。
注6:两个或两个以上相互关联和相互作用的连续过程也可作为一个过程。一个或两个以上的个人信息处理的预期结果可能是导致个人信息控制权变动,如个人信息控制权的获得、保持、转移、丧失,或者使其他个人或组织获得个人信息控制权,表达此类个人信息处理的概念包括收集、持有、转让、共享等。本文件用个人信息处理行为表示预期结果是导致个人信息控制权变动的事实行为或法律行为的整体概念。个人信息处理行为可能由一个或两个以上的个人信息处理操作组成,如个人信息控制权的放弃可能通过删除实现,个人信息的收集可能由采集、传输和存储中的两个以上操作组成。
3.4.2
收集collect
获得个人信息的控制权的行为。
注1:收集方式包括:
——个人信息主体主动提供,如填写、提交、上传、推送或点击共享等;
——个人信息处理者(包括通过其个人信息处理受托人)的采集,如通过与个人信息主体的交互或者记录个人信息主体的特征或行为等;
——间接获取,如通过第三方的共享、转移披露,搜集公开信息,或者通过其他个人信息主体主动提供或对其他个人信息主体的自动采集获得个人信息;
——通过汇聚融合等加工处理获得个人信息。
注2:控制权不宜理解为法律意义上的权利,而是指能够自主决定个人信息处理目的、方式的权限或能力。
注3:供方提供产品或服务供个人信息主体自行进行个人信息处理,但供方不对个人信息进行访问或虽然访问但不决定个人信息处理的目的和方式的,不属于收集。例如,移动智能终端的供方不访问移动智能终端所处理的个人信息,云服务的供方代表个人信息主体或在个人信息主体的指令下进行个人信息的存储等,应用程序的采集个人信息主体位置信息后不传输至供方,则不属于收集。
注4:这是GB/T35273—2020,3.5给出的核心术语和定义,修改和添加了注1-3。
3.4.3
使用use
在不改变对个人信息的控制权的前提下,以个人信息作为输入实现业务功能的行为。
注1:使用中可能包含为适应使用目的而进行的加工处理。
注2:特定业务功能是使用目的。
3.4.4
业务功能businessfunction
产品或服务为满足顾客特定使用需求,所规划或已实现的目的或任务。
注1:如地图导航、网络约车、即时通信、网络社区、网络支付、新闻资讯、网上购物、快递配送、交通票务等。注2:这是GB/T35273—2020,3.17给出的术语,最初的定义已被改写。
3.4.5
个性化展示personalizeddisplay
基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。
[来源:GB/T35273—2020,定义3.16]
3.4.6
提供provision
通过共享、转移、披露、公开等方式,预期结果是使第三方获得个人信息的行为。
3.4.7
共享sharing
个人信息处理者向其他个人信息处理者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。
注:这是GB/T35273—2020,3.13给出的术语,最初的定义已被改写。
3.4.8
转移transfer
将个人信息控制权由一个个人信息处理者向另一个个人信息处理者转移的过程。
注1:转转的过程中可能包含个人信息的传输或个人信息存储介质的传递,也可能不包含,如因合并、分立等导致的个人信息处理者变更,但转移后个人信息对新的个人信息处理者的披露是必然结果。
注2:这是GB/T35273—2020,3.12给出的定义,最初的术语和定义均已被改写并添加了注。
3.4.9
公开disclosure
通过传输、发布、展示、提供检索或访问等方式,预期结果是使不特定的人或组织能够感知个人信息内容的过程。
注:这是GB/T35273—2020,3.11给出的术语,最初的定义已被改写。
3.4.10
传输transmission
靠信号将信息由一个点传送到另一点或另外多个点的过程。
注1:传输可以直接或间接地带有临时存储或不带有临时存储。
注2:在无线电通信中表达“发射emission”的含义时拒用英文单词“传输transmission”。
[来源:GB/T14733.11-2008,定义704-01-06]
3.4.11
保存;记录store;record
在非临时存储或临时存储上记录数据的过程。
3.4.12
加工处理handling
对个人信息或个人数据执行的修改、合并、对齐、计算、分析、可视化等操作。
3.4.13
用户画像userprofiling
通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。
注:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。
[来源:GB/T35273—2020,定义3.8]
3.4.14
去标识化de-identification
通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别特定个人信息主体的过程。
注1:去除标识符与个人信息主体之间关联性。
注2:常用的去标识化技术,如统计技术、密码技术、抑制技术、假名化技术、泛化技术、随机化技术等。见GB/T37964
—2020,附录A。
注3:根据《个人信息保护法》第73条第3项改写,注1参考了GB/T37964—2019,3.3,添加了注2。
3.4.15
重标识re-identification
把去标识化的数据集重新关联到原始个人信息主体或一组个人信息主体使其能够识别特定个人信息主体的过程。
3.4.16
匿名化anonymization
通过对个人信息的技术处理,使其无法识别特定个人信息主体,且处理后的信息不能被复原的过程。
注:个人信息经匿名化处理后所得的信息不属于个人信息。
3.4.17
假名化pseudonymization
对个人信息的技术处理,用假名替换标识符。
注1:假名化可以由个人信息主体或个人信息处理者进行。个人信息主体可以使用假名化来一致地使用资源或服务而不向该资源或服务(或服务之间)披露其身份,同时对其使用仍然可问责。
注2:假名化并不排除对经假名化的个人信息可能有个人信息处理者以外的(一组受限的)个人信息相关方能够基于假名确定个人信息主体的身份和与其相关联的个人信息。
[来源:ISO/IEC29100—2011,定义2.24]
3.4.18
删除delete;erase
在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。
[来源:GB/T35273—2020,定义3.10]
3.4.19
告知inform
将与个人信息处理有关的信息提供给个人信息主体,使其了解个人信息处理的有关规则。
3.4.20
同意consent
个人信息主体对其个人信息进行特定处理作出明确授权的行为。
注:包括通过积极的行为作出授权(即明示同意),或者通过消极的不作为而作出授权(如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域)。
3.4.21
明示同意explicitconsent
个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的的行为。
注:肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。
[来源:GB/T35273—2020,定义3.6]
3.4.22
个人信息安全影响评估personalinformationsecurityimpactassessment
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
[来源:GB/T35273—2020,3.9]
3.4.23
自动化决策Automateddecision-making
通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
[来源:《个人信息保护法》第73条第2项]
3.5个人信息处理设施相关术语
3.5.1
信息处理设施informationprocessingfacilities
信息处理系统、服务或基础设施,或者物理放置场所。[来源:GB/T25069—2010,定义2.1.55]
3.5.2
信息系统informationsystem
应用、服务、信息技术资产或其他信息处理组件。[来源:GB/T29246—2017,定义2.39]
2)GB/T25069—2010给出了信息安全技术术语,GB/T29246—2017给出了与信息安全管理体系有关的部分信息安全技术术语。如果本文件中使用了在本文件中未改写或抄录的信息安全技术术语,并且上述两个规范性引用文件中对同一术语给出了不同的定义时,GB/T29246—2017的定义优先于GB/T25069—2010。
3.5.3
存储storage
支持数据录入和检索的设备、功能或服务。[来源:ISO/IEC27040:2015,定义3.43]
3.5.4
存储介质storagemedia
承载电子数据的各类载体或设备,包括但不限于计算机硬盘、磁带、软盘、光盘、各种形式的存储卡等。
[来源:GB/T31500—2015,定义3.2]
3.6管理体系相关术语3)
3.6.1
管理体系managementsystem
组织建立方针和目标以及实现这些目标的过程的相互关联或相互作用的一组要素。
注1:一个管理体系可以针对单一的领域或几个领域,如信息安全、隐私、合规或质量管理。
注2:管理体系要素规定了组织的结构、岗位和职责、策划、运行、方针、惯例、规则、理念、目标,以及实现这些目标的过程。
注3:管理体系的范围可能包括整个组织、组织中可被明确识别的职能或可被明确识别的部门,以及跨组织的单一职能或多个职能。
[来源:GB/T19000—2016,定义3.5.3]
3.6.2
方针policy
(组织)由最高管理者正式发布的组织的宗旨和方向。[来源:GB/T19000—2016,定义3.5.8]
3.6.3
目标objective
要实现的结果。
注1:目标可以是战略性的、战术的和/或操作层面的。
注2:目标能与不同方面(诸如财务、健康与安全及环境的目标)相关,且能应用于不同层面,如战略层、整个组织、项目、产品和过程。
注3:目标能用其他方式表达,如:预期结果、目的、操作准则,作为合规目标或使用具有相似含义的其他词汇(如:目的、终点或标的)。
注4:在合规管理体系中,合规目标由组织确定,与合规方针保持一致,以实现特定的结果。
[来源:GB/T35770—2017,定义2.9]
3)本文件的规范性引用文件GB/T29246—2017给出了信息安全管理体系,GB/T19000—2016给出了管理体系通用术语。如果本文件中使用了在本文件中未改写或抄录的管理体系术语,并且上述两个规范性引用文件中对同一术语给出了不同的定义时,GB/T29246—2017的定义优先于GB/T19000—2016。
3.6.4
风险risk
不确定性的影响。
注1:影响是指偏离预期,可以是正面的或负面的。
注2:不确定性是一种对某个事件,或是事件的局部的结果或可能性缺乏理解或知识方面的信息的情形。
注3:通常,风险是通过有关事件(GB/T23694—2013中的定义,4.5.1.3)和后果(GB/T23694—2013中的定义,
4.6.1.3)或两者的组合来描述其特性的。
注4:通常,风险是以某个事件的后果(包括情况的变化)及其发生的可能性(GB/T23694—2013中的定义,4.6.1.1)的组合来表述的。
注5:“风险”一词有时仅在有负面后果的可能性时使用。
[来源:GB/T19000—2016,定义3.7.9]
3.6.5
信息安全personalinformationsecurity
保持、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质。
[来源:GB/T25069—2010,定义2.1.52]
3.6.6
保密性confidentiality
使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。[来源:GB/T25069—2010,定义2.1.1]
3.6.7
完整性integrity
3.6.8确保资产准确性和完整性的特性。可用性availability
已授权实体一旦需要就可访问和使用的数据和资源的特性。[来源:GB/T25069—2010,定义2.1.20]
3.6.9
个人信息安全事件personalinformationsecurityincident
其后果将导致个人信息意外或未经授权泄露、篡改、毁损、丢失的信息安全事件。
注1:
泄露是指个人信息暴露于对该个人信息不具有访问或接收权限的人或组织从而保密性受损的状态,如被内部或外部未经授权的人或组织访问、接收,也包括被窃取等个人信息处理者事实上已失去对该个人信息的访问或披露的控制;
篡改是指个人信息被未经授权地修改而完整性受损的状态;
毁损是指个人信息受到损坏而不再完整甚至不再可用的状态;
丢失是指个人信息不再存在于信息系统或不再能被信息系统访问和使用可用性受损的状态。
注2:信息安全事件的定义见GB/Z20986—2007,信息安全技术信息安全事件分类分级指南,定义2.2。用于个人信息处理的信息系统发生有害程序事件、网络攻击事件、信息破坏事件、信息内容事件、设备设施故障、灾害性事件、其他事件等信息安全事件,导致个人信息发生意外或未经授权的泄露、篡改、毁损、丢失,则构成个人信息安全事件。
4个人信息处理法律合规性评估概述
4.1概述
本文件为个人信息处理法律合规性评估提供了一个高度灵活、可定制的框架,以适应不同类型的组织、基于不同目的与目标进行的的法律合规性评估活动。
当组织决定启动一个法律合规性评估项目时,首先需要确定的是法律合规性评估的目的与目标。目的是指组织预期的法律合规性评估结论的用途;目标是指组织希望通过法律合规性评估确定的内容及其程度。法律合规性评估的目的与目标,对规划和实施评估方案、报告评估发现与评估结论以及持续性地监控和周期性地再评估,都具有牵引性作用。法律合规性评估的目的与目标也影响了评估模式、评估主体及具体评估团队的选择。
本章描述了组织在启动一项法律合规性评估时如何考虑目的与目标,以及这些目的与目标的规范化表达。目的与目标的规范化表达有助于法律合规性评估的所有相关方之间清晰地沟通评估相关事项。对于一个选定的法律合规性评估目的,为确保其评估结论能够使组织实现预期用途,在评估模式、评估主体及其评估组的选择上需要作出相应的规划,本章对于这些主题提供了初步的指引。
4.2评估目的与目标
个人信息处理法律合规性评估可以帮助组织实现多种目的和用途。在开展评估前,组织宜确定法律合规性评估的目的,即评估结论的用途,并确定评估所要实现的目标,即有待确定的内容和程度。
通常,组织开展个人信息处理法律合规性评估的目的和目标可能包含以下情形的组合:
目标:确定组织的个人信息处理的合规现状 | |||
目的 | 目的说明 | 用途示例 | |
改进 | 发现组织当前存在的个人信息处理不合规,或支持组织在个人信息处理活动中维持或改进其 合规状态。 | -作为组织的一种合规管理手段; -作为履行个人信息处理可问责性的一种方式; -接受第二方评估或第三方评估前发现差距并进行改进。 | |
证明 | 向外部证明组织在个人信息处理活动中具备的合规状态。 | - - - | 面向顾客或社会做出合规现状的声明;向监管者或法庭举证证明合规现状; 在证券发行、公司并购或数据交易中进行的尽 职调查的一部分。 |
- | 获得认证。 | ||
目标:确定组织所具备的个人信息处理合规能力 | |||
目的 | 目的说明 | 用途示例 | |
改进 | 支持组织改进现有的个人信息保护能力,使其更加适应组织的个人信息处理合规目标。 | - | 确定组织现有的信息安全管理体系、等级安全保护能力在实现组织在个人信息处理活动上的合规目标方面的适宜性、充分性和有效性,识别差距和可能的改进空间,在成本集约的前 提下实现组织的个人信息处理合规目标; |
证明 | 向外部证明组织具备一定的合 规能力。 | - | 在个人信息委托处理前,向供方证明组织所提 供的服务能够确保顾客的合规; -向监管者证明组织的个人信息处理能够满足监管者对合规能力的要求; -在涉及个人信息出境、新产品或服务上线前,作为个人信息影响评估的一部分; -在出现重大个人信息安全事件或违规后,证明组织在个人信息处理合规方面的尽职和善意程度; -以组织的个人信息处理合规能力为核心关切的证券发行、公司并购等交易。 -获得认证。 |
表1评估目的与目标的说明和示例
4.3评估模式与评估组
法律合规性评估的模式可以分为第一方评估、第二方评估和第三方评估。评估模式的选择将取决于评估目的(见表2):
——以改进为目的的评估,通常宜选择第一方评估。但取决于被评估方自身的需求,也可以选择第二方评估或第三方评估。
——以证明—获得认证为目的的法律合规性评估,通常只能选择第三方评估。
——其他以证明为目的的法律合规性评估,通常宜选择第三方评估。但取决于接受证明一方的要求,也可以选择第二方评估或第一方评估。
目标/目的 | 改进 | 证明 | 认证 |
合规现状 | 宜第一方评估可第二方或第三方评 估 | 宜第三方评估可第二方或第一方评 估 | 仅第三方评估 |
合规能力 |
表2法律合规性评估模式的选择
不同的评估模式在评估主体和评估团队组成方面的区别(见表3)包括:
——第一方评估:由作为评估对象的组织自行实施,也包括组织委托外部组织代表其利益实施法律合规性评估,此时该外部组织是为被评估方的利益实施法律合规性评估。评估员可以由被评估方的人员担任或由被评估方指派,但评估员的具体人员仍宜考虑适当的独立性和公正性,以确保法律合规性评估的过程和结果对组织有意义。通常不需要观察员、协调员等角色。
——第二方评估:由对评估对象享有利益或利益冲突的组织实施,也包括组织委托外部组织代表利益实施法律合规性评估。评估组中,评估员由评估主体的人员担任或由其指派,宜根据评估主体的具体要求确保评估员的适当独立性和公正性。通常需要被评估方指派协调员以协助评估员,协调员不宜对法律合规性评估的过程和结果施加不当影响和干预。
——第三方评估:由独立于评估对象且在评估对象中不享有利益或利益冲突的组织实施。评估组中,评估员由评估机构指派。通常需要被评估方指派协调员以协助评估员,在为评估目的必要时,评估委托方、顾客、监管者、投资者或认证机构可以指派观察员,需确保协调员和观察员均不对法律合规性评估的过程和结果施加影响和干预。
评估组中的评估员宜由具备法律职业资格的人员担任,在必要时,可以通过技术专家补充能力,为评估员提供专业知识、技能和建议。
评估模式评估主体评估员协调员观察员
第一方评估-被评估方;
-被评估方委托的外部组织(代表被评估方兼评估委托方利益)。-被评估方人员;
-被评估方指派的外部人员。不需要不需要
第二方评估-对评估对象享有利益或利益冲突的组织;
-该组织(评估委托方)委托的外部组织(代表评估委托
方利益)。-对评估对象享有利益或冲突的组织的人员;
-评估委托方指派的外部人员。通常需要被评估方指派通常不需要
第三方评估-独立于评估对象且在评估对象中不享有利益或利益冲突的评估机组织实施。评估组中,评估员由评估机构指派。通常需要被评估方指派协调员以协助评估员,在为评估目的必要时,评估委托方、顾客、监管者、投资者或认证机构可以指派观察员,需确保协调员和观察员均不对法律合规性评估的过程和结果施加影响和干预。
评估组中的评估员宜由具备法律职业资格的人员担任,在必要时,可以通过技术专家补充能力,为评估员提供专业知识、技能和建议。
评估模式 | 评估主体 | 评估员 | 协调员 | 观察员 |
第一方评估 | -被评估方; -被评估方委托的外部组织(代表被评估方兼评估委托方利益)。 | -被评估方人员; -被评估方指派的外部人员。 | 不需要 | 不需要 |
第二方评估 | -对评估对象享有利益或利益冲突的组织; -该组织(评估委托方)委托的外部组织(代表评估委托 方利益)。 | -对评估对象享有利益或冲突的组织的人员; -评估委托方指派的外部人员。 | 通常需要被评估方指派 | 通常不需要 |
第三方评估 | -独立于评估对象且在评估对象中不享有利益或利益冲突的评估机构。 | -评估机构指派。 | 被评估方指派 | 必要时可以指派 |
4.4评估范围
4.4.1概述
为实现法律合规性评估的目标并使其结果适应评估目的,宜界定法律合规性评估的范围。评估范围宜说明法律合规性评估的内容和界限,这要求确定评估对象的范围和边界以及评估准则。
无论法律合规性评估基于何种目标和目的,评估范围的界定都是保障评估过程和结果可靠性的前提。在以确定合规现状为目标的评估中,评估范围决定了在多大范围内确定合规状态,以及为此采用的诸如采样方法的设计。在“证明—合规现状”型评估中,评估范围还决定了评估主体能够确保评估发现和结论在多大范围内是可靠和可问责的。如果评估的目标与目的决定了将个人信息处理法律合规性评估视为是合规管理过程的一部分,评估范围的确定本身构成了当前组织的合规管理活动的覆盖面,也是组织后续合规管理活动的基础。
4.4.2评估对象的范围和边界
评估对象是法律合规性评估活动所针对的具体对象,评估对象范围和和边界的界定对法律合规性评估的顺利进行至关重要。组织宜尽可能全面、详细和准确地界定评估对象的范围和边界。
在组织决定启动评估项目时,可以将评估对象初步界定为组织的个人信息处理活动。组织可以通过场景来描述和界定评估对象,如产品场景、服务场景,也可以具体界定为一个或若干个人信息处理活动,或者可以组合上述三种形式。
——可以将评估对象界定为组织在提供信息技术产品的场景中进行的所有个人信息处理活动。例如,组织在面向消费者提供信息技术产品的过程中进行的个人信息处理活动,以及组织在信息技术产品交付后、最终用户使用信息技术产品的过程中进行的个人信息处理活动。
示例1:个人用信息技术产品的例子,包括但不限于:个人用计算机终端、移动智能终端、物联网感知终端(如智能可穿戴设备、智能音箱等)及这些终端的操作系统、应用软件和移动应用程序、数据存储系统、身份鉴别系统等。
示例2:信息技术产品可能是非个人用(如商用或公务用)信息技术产品,此时顾客并非大众消费者,但使用该信息技术产品的最终用户可能是个人信息主体,或者使用该信息技术产品的过程中可能产生对众多个人信息主体的个人信息处理。如商用或公务用人脸识别门禁设备、移动终端(如用于电子支付的近距离无线通信的移动终端)、物联网感知终端(如智能音视频采集设备)以及这些设备或终端的支持系统。
注:如果组织仅仅提供信息技术产品而不进行任何个人信息处理,如提供照相机、耳机等个人用(消费)信息技术产品,但组织并不通过该信息技术产品收集个人信息,则不适合作为法律合规性评估的评估对象。此类信息技术产品本身需在产品设计、默认设置等方面符合隐私、安全性等要求,属于合格评定的对象。
——可以将评估对象界定为组织在提供基于信息技术的服务的场景中进行的所有个人信息处理活动。基于信息技术的服务包括信息技术服务,也包括组织以信息技术为手段提供的任何其他服务,只要在服务的过程中产生个人信息处理活动。
示例:组织以信息技术为手段提供的任何其他服务的实例,如在健身房、餐厅、学校、剧院、公园等线下交付的服务中使用具有个人信息处理功能的信息系统,例如,门禁系统、办公系统、视频监控系统、预约或订票系统等。
——可以将评估对象具体界定为一个或若干个人信息处理过程,例如,信息技术产品或基于信息技术的服务当中的某些功能或个人信息处理环节,前提是这样界定的评估对象对于法律合规性评估目的而言是有意义的和自足的,这意味着评估对象通常应涵盖个人信息处理的整个生命周期(如从收集到删除或匿名化),或者将其中的某个个人信息处理环节排除在评估对象之外有合理的理由。
示例:例如,对于同时通过网页和移动应用程序提供在线票务预订的组织,仅为改进目的将评估对象界定为网页端的个人信息收集、传输、存储、使用、对外提供等环节,而没有包含个人信息的删除或匿名化等环节和移动应用程序端的任何环节是可接受的,但对于证明目的而言,所界定的评估对象可能难以向接受证明一方表明组织(甚至仅在线票务预订业务中)的个人信息处理活动达到合规。
——也可以将评估对象界定为由同一组织提供的若干信息技术产品、基于信息技术的服务或个人信息处理过程的组合,前提是在该组合内的信息技术产品、基于信息技术的服务或个人信息处理过程之间存在除同一组织作为供方以外的额外联结点,使得可以将该组合通过一定的线索联系起来视为一个具有整体目标的个人信息处理过程。
示例1:额外联结点,诸如该组合具有共同的应用场景,该组合处理的是同一组个人信息主体的同一组个人信息,个人信息处理流程需有连续性,使得可以将该组合视为一个完整的个人信息处理过程并便于进行法律合规性评估。
示例2:以应用场景为额外联结点的组合实例,如在同一个移动应用程序(信息技术产品)中提供的定位、导航、跟踪等位置服务(定义见GB/T35638—2017,4.1)以及网约车服务,该移动应用程序本身即是按照应用场景将若干基于信息技术的服务预先集成后提供的信息技术产品。
示例3:以同一组个人信息主体的同一组个人信息为联结点的组合实例,如可穿戴智能手表与配套使用的移动应用程序是两个产品的组合,处理的是同一组个人信息主体的一组个人信息。
注:通过组合界定评估对象的目的是适应同时提供多种产品、服务或过程的组织,通过组合界定的评估对象有助于对组织的个人信息处理活动进行完整的法律合规性评估并得出总体性的结论,并且可以合并法律合规性评估中的同类活动从而提高效率。但组合界定评估对象也可能导致法律合规性评估的深度降低,所适用的合规要求过于多样、复杂而难以确定评估准则,或在法律合规性评估项目中需要参与和协调的相关人员和组织过多增加评估项目的实施难度等。例如,在一个电子商务中提供的物流服务和电子支付服务,在应用场景、所处理的个人信息、所涉及的个人信息主体方面可能都满足额外联结点的要求,但该组合的供方可能涉及同一集团控制下的多个组织或同一组织内的多个独立部门。如果组合界定的评估对象最终将不利于法律合规性评估的顺利实施,不宜采用组合的方式,而宜分别界定为不同的评估对象或采用持续迭代的法律合规性评估方式。
界定评估对象时,宜识别组织的个人信息处理活动的对象和环境要素,如产品、服务、过程、程序、管理体系、信息处理设施、个人信息相关方及其他环境要素的集合。
——以下要素对于界定组织的个人信息处理活动而言是必不可少的要素:
●评估对象中所包含的个人信息处理的目的、过程和程序;
●所处理的个人信息的类型及其所涉及的个人信息主体的类型;
●评估对象中的个人信息处理所采用的信息处理设施,包括信息系统,如用户登录和认证系统、操作系统、存储系统、路由器和防火墙、通信基础架构或网络访问等,外包服务,信息系统清单及其所在的地点;
●作为个人信息处理者和/或个人信息处理受托人角色的组织。
——以下要素对于组织的个人信息处理活动具有重要影响,宜予以界定:
●个人信息处理者和/或个人信息处理受托人的组织架构,以及两者之间的法律关系;
●与评估对象中所包含的个人信息处理活动有关的组织内相关部门、人员及其相互间关系;
●个人信息处理中存在的接口或界面,既可能是技术的接口或界面,如用户界面、API等信息系统的接口,也可能是法律意义上的接口或界面,如与个人信息相关方之间的合同;
●评估对象中所包含的组织的管理体系、信息安全保护能力,以及已经采取的控制措施。
组织在系统识别上述所有要素的基础上,宜通过文件界定评估对象的边界,包括某些被识别的要素被排除在评估对象范围之外的理由:
——个人信息处理活动边界;
——组织边界;
——网络边界;
——信息系统边界;
——物理边界。
组织宜集成上述所有边界的描述文件,最终得出有关评估对象范围和边界的文件。
4.4.3评估准则
评估准则是法律合规性评估中用来确定合规状态以及确定合规程度的依据,体现了评估的目标。评估准则中所包含的合规要求,由组织的合规义务和组织选择遵守的其他规定要求组成。
组织宜系统识别其合规义务。合规义务的来源包括法定要求、监管要求、司法要求以及组织的合规承诺。
——法定要求、监管要求、司法要求是从组织的外部施加的合规义务。
示例1:外部施加的合规义务的例子,包括但不限于:
——法律、法规和部门规章对个人信息处理活动的一般性的规定要求;
——组织所处的行业或所从事的业务所需要的许可、执照或其他形式的资格准入的监管要求;
——强制性的国家标准或行业标准。
——组织作出的合规承诺也构成了合规义务的来源。
示例2:组织作出的合规承诺的例子,包括但不限于:
——组织与个人信息相关方之间签订的合同;
——组织公开发布的个人信息保护政策;
——提供个人信息处理的产品或服务的说明书;
——合同、个人信息保护政策、产品或服务说明书中声明符合的自愿性的标准、原则或规程;
——组织向监管者作出的合规或整改承诺。
组织宜有成文信息列出被识别的合规义务,并有适当的过程持续地识别新的和变更的合规义务,包括评价已被识别的任何新的和变更的合规义务对组织的个人信息处理合规要求的影响。
在合规义务的基础上,组织宜考虑法律合规性评估的目标与目的,识别和选择纳入其他合规要求。如:
——T/CLAST001.2—2021给出的合规框架,提供了系统地分类和归纳组织个人信息处理合规要求的框架。组织可以选择将合规框架纳入合规要求,并根据所识别的全部合规义务和组织选择遵守的其他规定要求,调整合规框架中给出的合规维度和合规指标,最终确定评估准则;
——顾客或其他证明接受一方的合规要求;
——其他希望或追求符合的自愿性的标准、原则或行为准则。
组织宜集成上述所有合规要求,最终得出有关评估准则的文件。
在以确定合规能力为目标的法律合规性评估,组织在评估准则中还需确定合规能力评价的基准。组织宜考虑以下因素:
——T/CLAST001.1—2021给出的能力评价模型;
——顾客或其他证明接受一方确定的能力评价要求;
——其他希望或追求符合的自愿性的标准、原则或行为准则给出的能力评价模型。
4.5评估方法论
4.5.1评估流程和方法
组织宜根据确定的法律合规性评估目标与目的、评估对象的范围和边界、评估准则,选择和确定评估方法以有效和高效地实施法律合规性评估活动。
以确定合规现状为目标的评估与以确定合规能力为目标的评估,在评估流程方面是基本相同的。区别在于以确定合规能力为目标的法律合规性评估,在以确定合规现状为目标的法律合规性评估流程基础上,增加了赋值、评审和解释能力的过程作为必要流程。
在评估方法方面,获取客观证据的方法,如文件评审、访谈和事实陈述、记录、观察、测量、试验、检测、检查等基本方法是相同的。在获取客观证据后确认和验证是否符合评估准则的活动中,以确定合规现状为目标的评估更关注对现状和差距的充分揭示,只要可能,所有被发现的差距无论是否在评估期内调整,均需要详细记录和提示,以促进改进、证明等法律合规性评估目的。以确定合规能力为目标法律合规性评估更关注对评估对象合规能力的优势、短板的揭示和描述,及其综合能力的评价,在赋值、评审和解释中可以增加基于风险的评价方法。
4.5.2评估结论
评估结论的形式取决于法律合规性评估的目标。
以确定合规现状为目标的法律合规性评估,可以得出符合或不符合评估准则的结论。符合意味着经过法律合规性评估,评估对象满足评估准则中的全部合规要求;不符合意味着经过法律合规性评估,评估对象与评估准则中的某项合规要求之间存在差距,并且通过调整和处置未能消除差距。
评估结论宜陈述诸如以下内容:
——评估对象是否履行或满足评估准则中的全部合规要求;
——在法律合规性评估中发现了哪些差距,被评估方对差距原因的解释,或者在法律合规性评估期内的调整;
——经调整后,可能残留的风险;
——评估员对于该差距和残留风险是否影响符合或不符合结论的评价及其理由。
以确定合规能力为目标的法律合规性评估,可以得出对合规能力的整体评价、单项维度或指标上符合或不符合的结果以及对该结果的解释和改进建议。在单项维度或指标上的符合或不符合的含义,与以确定合规现状为目标的法律合规性评估一致,这也表明合规能力的评价宜基于对合规现状的确定,在此意义上合规现状的确定构成了合规能力评价所依赖的客观证据。
评估结论宜陈述诸如以下内容:
——能力评价基准、赋值权重及其解释;
——能力评价基准满足程度的整体结论,对整体结论的解释、评审理由和改进空间等;
——单项维度或指标的满足程度,包括差距和差距对于满足程度结论的影响以及评审理由。以确定合规能力为目标的法律合规性评估结论可视化呈现概念图见图1-3。
图1合规能力评价模型(概念图)
图2法律合规性评估维度(概念图)
图3法律合规性评估指标(概念图)
4.5.3可持续的评估
组织宜对其个人信息处理合规状态进行持续监控和周期性的再评估。
再评估的过程中,组织可以实现迭代的法律合规性评估活动,以便在一个持续性的过程中完善组织的合规状态与能力。这种迭代的法律合规性评估活动,可以通过在下一次的评估对象范围和边界中逐步纳入组织的更多个人信息处理产品、服务或过程来实现,也可以通过逐步纳入更多合规要求来实现,以及也可以随着内部环境或外部环境中对合规的期待与需求变化,逐步将法律合规性评估中的基准提高。这种迭代的法律合规性评估在持续的法律合规性评估—改进—监控/再评估—改进—监控/再评估的过程中拉近组织合规状态与组织合规目标之间的差距。
附录A
(资料性附录)术语的概念关系图示
图A.1个人信息处理相关术语概念关系图示
图A.2法律合规性评估相关术语概念关系图示