©2023国际云安全联盟大中华区版权所有 1@2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看 及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a) 本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d) 该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理 使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有 2 ©2023云安全联盟大中华区版权所有 3致谢 《个人信息保护合规准则-中国篇》由CSA大中华区数据安全工作组内个人 信息保护合规准则项目组专家撰写，感谢以下专家的贡献： 项目组组长： 高巍 王玮 主要贡献者： 曾令平陈丑亚 付艳艳 黄妍昕 李沈舟 廖振勇 罗进 王彪 王玮 邢海韬 余其玄 原浩 张兵 张淼 参与专家： 曾令平 陈丑亚 戴才良 丁哲轩 方伟 付艳艳 高巍 顾伟 黄妍昕 姜国春 黎伊帆 李安伦 李沈舟 廖振勇 陆建松 罗进 时培宇 王彪 王玮 王永霞 王泽 邢海韬 余其玄 袁荣婷 原浩 张兵 张淼 张元恺 赵帅 赵勇智 ©2023云安全联盟大中华区版权所有 4贡献单位： OPPO广东移动通信有限公司 安信与诚科技开发有限公司 北京谷安天下科技有限公司 北京神州绿盟科技有限公司 北京微步在线科技有限公司 北京天融信网络安全技术有限公司 广州熠数信息技术有限公司 杭州美创科技有限公司 杭州世平信息科技有限公司 杭州天谷信息科技有限公司 华为技术有限公司 奇安信网神信息技术（北京）股份有限公司 上海淇毓信息科技有限公司 深圳国家金融科技测评中心有限公司 天翼安全科技有限公司 腾讯云计算（北京）有限责任公司 浙江大华技术股份有限公司 长春吉大正元信息技术股份有限公司 （以上排名不分先后） 关于研究工作组的更多介绍，请在CSA大中华区官网（https://c- csa.cn/research/）上查看。 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处 给与雅正!联系邮箱[email protected]；国际云安全联盟CSA公众号 ©2023云安全联盟大中华区版权所有 5序言 当今社会，随着互联网技术的不断发展，个人信息保护问题越来越受到人们的关注。在 这个信息化时代，个人信息已经成为了一种重要的资产，而其泄露和滥用也给个人带来了巨 大的风险和损失。为了保护个人信息的安全和隐私，各国纷纷出台了相关法律法规和标准。 中国《个人信息保护法》于2021年11月1日正式实施。该法规定了个人信息处理者必 须遵守一系列合规要求，包括合法、正当原则、目的明确、最小必要原则、公开透明原则、 质量保障原则和确保安全原则等。这些要求对于所有处于《个人信息保护法》管辖范围内的 个人信息处理者都是具有普适性的。 报告旨在为处于《个人信息保护法》管辖范围内的个人信息处理者提供系统性的实施指 导。该报告包含了个人信息保护合规基本要求的相关内容，包括原则、方法论框架等方面。 报告提供了一个结构化的“合规要求-控制措施及规程说明-其他考虑”的框架，以指导个人 信息处理者在处理活动中应遵守的规范。具体而言，该框架包括以下四个部分：1.个人信 息识别2.个人信息保护合规基本要求3.个人信息专项保护要求4.合规监测改进。每个部 分都包含了一些具体的合规控制项和控制细项，共计12项合规控制项和106个控制细项。 通过遵循该文件提供的指导和建议，个人信息处理者可以更好地履行其保护个人信息安全和 隐私的责任。 我们希望这份《个人信息保护合规准则—中国篇》能够对广大读者有所帮助，并为促进 我国个人信息保护事业做出贡献。 李雨航YaleLi CSA大中华区主席兼研究院 ©2023云安全联盟大中华区版权所有 6目录 致谢...........................................................................................................................................................3 序言...........................................................................................................................................................5 1总则.......................................................................................................................................................7 1.1背景..........................................................................................................................................7 1.2目标..........................................................................................................................................7 1.3遵循原则..................................................................................................................................7 1.4范围.........................................................................................................................................8 1.5方法论框架...........................................................................................................................10 2个人信息识别 .................................................................................................................................11 3个人信息保护合规基本要求..............................................................................................................12 3.1组织机制.............................................................................................................................12 3.2个人信息主体权力响应.......................................................................................................13 3.3个人信息处理活动中的安全合规要求...............................................................................15 4个人信息专项保护..............................................................................................................................21 4.1敏感个人信息保护...............................................................................................................21 4.2未成年人个人信息保护.......................................................................................................22 4.3组织自身的变化下的合规要求.........................................................................................23 4.4共同处理者与委托处理者的管理.......................................................................