《個人信息處理法律合規性評估指引》發布

　　由中國科學技術法學會宣布提出并歸口管理，中國科學技術法學會、深圳市北鵬前沿科技法律研究院、中國法學交流基金會、中國法律咨詢中心、北京大學法學院/知識產權學院、北京大學粵港澳大灣區知識產權發展研究院、平安科技(深圳)有限公司、上海攜程商務有限公司、北京小桔科技有限公司、阿里巴巴(北京)軟件服務有限公司、每日互動股份有限公司、深圳市和訊華谷信息技術有限公司、廣東北源律師事務所、上海市錦天城律師事務所、北京市浩天信和律師事務所、北京市金杜律師事務所、中國信息通信研究院云計算與大數據研究所、北京北大英華科技有限公司、網易(杭州)網絡有限公司、騰訊科技(深圳)有限公司、榮耀終端有限公司、華米科技、OPPO 廣東移動通信有限公司、比亞迪股份有限公司、廣州小鵬汽車科技有限公司、深圳市大疆創新科技有限公司、深圳市地鐵集團有限公司、上海游昆信息技術有限公司、貝殼找房(北京)科技有限公司、深圳市迷你玩科技有限公司、百行征信有限公司、深圳依時貨拉拉科技有限公司、廣東小天才科技有限公司、安信證券股份有限公司、深圳市安證企業合規管理(集團)有限公司、杭州安信檢測技術有限公司、杭州安恒信息技術股份有限公司、深圳市網安計算機安全檢測技術有限公司等多家單位共同參與起草的《個人信息處理法律合規性評估指引》(T/CLAST 002—2021)團體標準，于2021年12月06日發布，并于2022年01月01日正式實施。
 

　　1、范圍
 

　　本文件給出了個人信息處理及其法律合規性評估的概述和術語，描述了個人信息處理法律合規性評估的評估目的、評估主體、評估對象、評估準則和評估方法論。
 

　　本文件適用于各種類型的組織對其個人信息處理的合規狀態或合規能力進行第一方評估和管理，個人信息相關方為采購、監管等特定目的(諸如采購、監管)進行的第二方評估，以及獨立的評估機構進行的第三方法律合規性評估和咨詢。
 

　　2、主要技術內容
 

　　個人信息處理法律合規性評估指引的目的在于：支持組織證明和聲明其個人信息處理的合規狀態和合規能力，也包括支持顧客、監管者等對組織個人信息處理的合規性進行檢查和監督，支持個人信息相關方之間建立理解和信任，以及支持獨立的評估機構為具有上述需求的個人信息相關方提供法律合規性評估、咨詢和認證服務。
 

　　個人信息處理法律合規性評估指引由以下三個部分組成：
 

　　——第1部分：概述和術語。本部分的目的在于為個人信息處理活動及其法律合規性評估活動建立一個共同認可的、易于溝通的語境和概念體系，提供個人信息處理法律合規性評估的概述，為個人信息處理法律合規性評估指引的其他部分和其他標準的開發奠定基礎。
 

　　——第2部分：合規框架。本部分的目的在于為個人信息處理法律合規性評估準則的識別和確定建立一個體系化的框架，以便對富有綜合性的合規要求進行清晰的分類和歸納，以支持個人信息處理法律合規性評估活動的啟動、規劃、實施、報告、評審、監控和再評估。
 

　　——第3部分：實施指南。本部分的目的在于為個人信息處理法律合規性評估活動的啟動、規劃、實施、報告、評審、監控和再評估建立一個統一但仍保留靈活性的流程和方法，以支持各類組織能夠高效地、可比較地、可問責地和可持續地進行法律合規性評估活動。
 

　　個人信息處理法律合規性評估指引的任何一個部分或其整體，可以單獨使用，也能與現行的網絡安全與信息安全相關標準(如GB/T 22239—2019、GB/T 35273—2020)，信息安全、隱私管理體系相關標準(如GB/T 22080—2016、GB/T 22081—2016、ISO/IEC 27701：2019)與合規管理體系相關標準(如GB/T 35770—2017)結合使用。
 

　　本版本根據《中國人民共和國個人信息保護法》對團體標準《個人信息處理法律合規性評估指引》(T/CLAST 001-2021)進行修訂后形成。
 

　　標準全文在線閱讀：《個人信息處理法律合規性評估指引》