术语解读：T/CLAST 001-2021 个人信息处理法律合规性评估（一）

团体标准 T/CLAST 001-2021 个人信息处理法律合规性评估指引

Guideline for Legal Compliance Assessment of Personal Information Processing

个人信息处理法律合规性评估指引第 1 部分：概述和术语

Guideline for legal compliance assessment of personal information processing – Prat 1：Overview and vocabulary

 

一、主要内容

1. 标准概述
   • T/CLAST 001 – 2021《个人信息处理法律合规性评估指引》是一个行业标准，它为个人信息处理活动的法律合规性评估提供了详细的指导。这个标准的目的是帮助企业、组织等个人信息处理者确保其在收集、存储、使用、共享、转让、删除等一系列个人信息处理环节中符合法律法规的要求。
2. 重要性
   • 法律风险防范：随着各国对个人信息保护立法的加强，如欧盟的《通用数据保护条例》（GDPR）和中国的《个人信息保护法》，组织面临着巨大的法律风险。遵守 T/CLAST 001 – 2021 标准可以帮助组织有效避免因违法处理个人信息而面临的巨额罚款和法律诉讼。例如，违反 GDPR 的企业可能会被处以高达全球年营业额 4% 的罚款。
   • 提升信任度：当组织能够按照标准对个人信息处理进行合规评估并确保合规性时，有助于提升用户、客户等数据主体对其的信任。这对于依赖客户数据开展业务的企业，如互联网公司、金融机构等尤为重要。
3. 主要内容
   • 评估范围界定：明确规定了评估应涵盖的个人信息处理活动的范围，包括个人信息的类型（如姓名、身份证号码、生物识别信息等），以及处理的场景（如线上服务提供、员工管理等）。
   • 评估指标体系：
     • 建立了以合法性、正当性和必要性为核心的评估指标。合法性要求个人信息处理活动必须符合法律法规的规定，例如在收集个人信息时要有明确的法律依据。正当性强调处理活动应当基于正当的目的，如为了提供用户所请求的服务而收集必要的信息。必要性则关注处理的个人信息是否是实现目的所必需的最小范围，不能过度收集。
     • 具体指标还包括数据主体的同意管理。例如，组织需要明确说明收集个人信息的目的、方式和范围，并获得数据主体的有效同意。同意应当是自由作出、具体、知情和明确的。
     • 数据安全保障也是重要的评估指标。这包括采取技术和管理措施来保护个人信息的保密性、完整性和可用性。如采用加密技术存储敏感个人信息，建立访问控制机制防止未经授权的访问等。
   • 评估流程：
     • 规定了评估的启动条件，如在新的个人信息处理系统上线前、处理活动发生重大变更等情况下应当启动评估。
     • 包括自我评估和第三方评估两种方式。自我评估要求组织内部建立评估团队，按照标准的指标体系进行内部审查。第三方评估则是由专业的评估机构对组织的个人信息处理活动进行独立评估，其评估结果通常更具公信力。
     • 评估过程需要形成详细的评估报告，记录评估的范围、指标、发现的问题以及整改建议等内容。
4. 与相关法律法规的关系
   • 国内法协同：它与我国的《个人信息保护法》紧密配合。《个人信息保护法》是基本法律框架，规定了个人信息处理的基本原则和制度，而 T/CLAST 001 – 2021 则提供了具体的操作层面的评估指引，帮助组织更好地落实法律要求。
   • 国际法参考：在跨国企业或者涉及跨境数据处理的场景中，它也可以作为参考，辅助企业在符合国内法的同时，兼顾其他国家或地区的数据保护法规要求，如在处理涉及欧盟用户数据时，参考 GDPR 的部分要求进行合规性评估。

 

二、术语和定义

2.1 法律合规性评估相关术语

   1）法律合规性评估 legal compliance assessment

   获取客观证据并客观评价以确定评估准则得到遵守或满足的过程。

   注 1：根据评估主体与评估对象的关系，法律合规性评估可以分为第一方评估、第二方评估或第三方评估。

   注 2：评估对象中的要素为组织时是确定评估准则得到遵守，其他要素则确定评估准则得到满足。

   注 3：法律合规性评估可能包括为获取客观证据所需的测量、试验、检验、记录、事实陈述、文件评审等活动，基于客观证据评价合规要求得到满足所需的验证、确认等活动，以及基于客观证据评价合规要求得到满足的程度的专家评审等活动。GB/T 19000—2016 给出了上述各项活动的定义。

   注 4：取决于法律合规性评估的目的、范围和评估结论的用途，法律合规性评估可能得出符合或不符合的评定结论，也可能得出符合程度的评定结论。

 

   2）评估主体 subject of assessment

   实施法律合规性评估的组织。

 

   3）评估对象 object of assessment

   被识别以与评估准则进行比较的组织的个人信息处理，也包括个人信息处理的对象和环境要素，如产品、服务、过程、程序、管理体系、信息处理设施、个人信息相关方及其他环境要素的集合。

   注：GB/T 19000—2016 给出了产品（3.7.6）、服务（3.7.7）、过程（3.4.1）、程序（3.5.3）、管理体系（3.5.3） 的定义。

 

   4）被评估方 assessee

   作为评估对象的组成部分受到评估的组织。

 

   5）评估委托方 assessment client

   向评估机构委托实施法律合规性评估的组织。

 

   6）第一方评估 first-party assessment

   由作为评估对象的组织所实施的法律合规性评估。

   注：第一方评估包括由评估对象的组织自行实施的，也包括其委托外部组织代表其利益实施的法律合规性评估。

 

   7）第二方评估 second-party assessment

   由在评估对象中享有利益或利益冲突的组织实施的法律合规性评估。

   注：第二方评估的例子包括但不限于顾客、潜在顾客、消费者组织、监管者、投资者或潜在投资者等，也包括这些组织委托外部组织代表其利益实施的法律合规性评估。

 

   8）第三方评估 third-party assessment

   由独立于评估对象并且在评估对象中不具有利益和利益冲突的评估机构实施的法律合规性评估。

 

   9）评估机构 assessment body

   从事第三方评估服务的机构。

 

   10）评估组 assessment team

   为实施法律合规性评估指派的一名或多名评估员，同时评估过程应委托技术专家提供支持。

   注：评估组可包括实习评估员。

 

   11）评估员 assessor

   被指派实施法律合规性评估的人员。

 

   12）评估组长 team leader

   在评估组中被指定对整个法律合规性评估的过程和结果负责任的评估员。

 

   13）技术专家 technical expert

   向评估员提供特定专业知识、技能和意见支持的具备相应资质证书人员。

   注 1：特定专业知识或技术是指与被评估的组织、过程、活动、语言或文化有关的知识或技术。

   注 2：在评估组中，技术专家不作为评估员。

   注 3：技术专家应当具备相应的资格证书，比如 CISP/CISSP 等。

 

   14）观察员 observer

   被指派监督法律合规性评估过程和结果的人员。

 

   15）协调员 coordinator

   第二方评估和第三方评估中被评估方指派的为评估组提供协助的人员。

 

   16）信息技术产品 IT product

   具有采集、存储、传输、处理、交换、加工、显示等信息或数据处理功能的产品。

   注 1：信息技术产品包括计算机及其辅助设备、通信设备、网络设备、自动控制设备、操作系统、数据库、应用软件与服务等。

   注 2：GB/T 19000—2016，3.7.6 给出了产品的定义，产品是在组织和顾客之间未发生任何交易的情况下，组织能够产生的输出。通常，产品的主要要素是有形的，可以分为：有形的、其量具有计数特性的硬件；有形的、其量具有连续特性的流程性材料；以及由信息组成、无论采用何种介质传递的软件。

   注 3：当产品交付给顾客时，通常包含服务因素。例如，计算机产品交付时可能附带操作培训服务，也可能附带有偿或无偿的售后维修服务。此时产品或服务的区分取决于其主导成分。

 

   17）基于信息技术的服务 IT-based service

   信息技术服务以及提供方以信息技术为手段提供的任何服务。

   注 1：GB/T 29264—2012，2.1 给出了信息技术服务的定义和分类。

   注 2：GB/T 19000—2016，3.7.7 给出了服务的定义，服务是至少有一项活动必需在组织和顾客之间进行的组织的输出。通常，服务的主要要素是无形的，包含与顾客在接触面的活动，由顾客体验。服务中可能包含产品的交付或使用。此时产品或服务的区分取决于其主导成分。基于信息技术的服务的特殊类别是云服务，例如基础设施作为服务（IaaS）、平台作为服务（PaaS）或软件作为服务（SaaS）。

   注 3：组织和顾客的接触面和服务的交付均可以是在线上或线下，如线上接触和交付的在线服务、线上接触线下交付的服务、线下接触线上交付的服务、线下接触线下交付的服务。

   注 4：服务可以是有偿的，也可以是无偿的。

 

   18）评估准则 assessment criteria

   以合规框架作为基准，与适用于评估对象的其他合规要求进行比较分析后确定的，用于与证据进行比较并据以得出法律合规性评估结论的一组合规要求。

 

   19）要求 requirement

   明示的、通常隐含的或必须履行的需求或期望。

   注 1：“通常隐含”是指组织和相关方的惯例或一般做法，所考虑的需求或期望是不言而喻的。注 2：规定要求是经明示的要求，如在成文信息中阐明。

   注 3：特定要求可使用限定词表示，如产品要求、信息安全要求、系统要求、顾客要求。

   注 4：要求可由不同的相关方或组织自己提出。

   注 5：为实现较高的顾客满意，可能有必要满足那些顾客既没有明示、也不是通常隐含或必须履行的期望。

   注 6：这是 GB/T 19000—2016 中给出的管理体系标准的通用术语及核心定义之一，修改了注 3。

 

   20）合规框架 compliance framework

   T/CLAST 001.2-2021 给出的规定要求。

 

   21）合规要求 compliance requirement

   适用于评估对象的合规义务和作为评估对象的组织选择遵守的其他规定要求。

   注：当组织选择遵守合规框架时，合规框架构成合规要求。

 

   22）合规义务 compliance obligation

   对作为评估对象的组织有法律意义上的约束力的规定要求。

   注：合规义务的来源可以区分为法定要求、监管要求、司法要求和合规承诺。

 

   23）可适用的法 applicable law

   产生可适用于评估对象的法定要求、监管要求、司法要求的规范性文件。

   注：法定要求和监管要求包括中国法律、行政法规、部门规章及其他规范性文件，也可以包括适用于特定相关方、特定个人信息或特定个人信息处理活动（如跨境转移）的外国立法和监管要求。

 

   24）法定要求 statutory requirement

   立法机关制定并发布的具有强制力的规定要求。

   示例：如全国人民代表大会及其常委会制定并发布的法律、法律解释和决定，地方人民代表大会及其常委会的地方性法规、自治条例和单行条例等。

 

   25）监管要求 regulatory requirement

   法律或立法机关授权的机关制定并发布的具有强制力的规定要求。

   示例：监管要求的例子，如《中华人民共和国立法法》授权的国家机关制定并发布的行政法规、国务院部门规章、地方政府规章等。

 

   26）司法要求 Judicial requirement

   司法机关制定并发布的具有普遍约束力的要求和适用于评估对象的已生效的决定。

   示例：司法要求的例子，如司法机关制定的司法解释，或者评估对象作为一方并受其约束的判决等。

 

   27）合规承诺 compliance commitment

   组织承诺遵守从而对其具有约束力的、适用于评估对象的规定要求。

   示例：合规承诺的例子，如组织与个人信息相关方之间的合同，公开发布的个人信息保护政策，产品或服务说明书，向监管部门做出的合规或整改承诺等。

 

   28）差距 gap

   评估对象未遵守或未满足评估准则中的某项合规要求。

   注：差距可以是一个单一事件或多项事件，在法律合规性评估中差距并不必然表明不符合，需由评估员确定。

 

   29）符合 conformity

   评估对象遵守或满足评估准则得到确定。

 

   30）不符合 nonconformity

   评估对象遵守或满足评估准则未得到确定。

 

   31）客观证据 objective evidence

   支持事物存在或其真实性的数据。

   注 1：客观证据可通过观察、测量、试验、检验或其他方法获得。

   注 2：就法律合规性评估的目的而言，客观证据的形式可以是与评估准则相关的记录、事实陈述、文件、成文信息或其他信息并可用于验证。

   注 3：GB/T 19000—2016 给出了测量（3.11.4）、试验（3.11.8）、检验（3.11.7）等获取客观证据的方法的定义。这些术语在法律合规性评估语境中的概念关系图示，见附录 A。

   注 4：GB/T 19000—2016 给出了记录（3.8.10）、信息（3.8.2）、文件（3.8.5）、成文信息（3.8.6）等术语的定义。这些术语在法律合规性评估语境中的概念关系图示，见附录 A。

   注 5：通过注 2 改写 GB/T 19000—2016，定义 3.8.3，以适应法律合规性评估。

 

   32）规范 specification

   阐明要求的文件。

   示例：质量手册、质量计划、技术图纸、程序文件、作业指导书。

   注 1：规范可能与活动有关（如：程序文件、过程规范和试验规范）或与产品有关（如：产品规范、性能规范和图样）。

   注 2：规范可以陈述要求，也可以附带设计和开发实现的结果。因此，在某些情况下，规范也可以作为记录使用。

 

   33）评审 review

   对客体实现所规定目标的适宜性、充分性或有效性的确定。

   示例：管理评审、设计和开发评审、顾客要求评审、纠正措施评审和同行评审。注：评审也可包括确定效率。

 

   34）验证 verification

   通过提供客观证据对规定要求已得到满足的认定。

   注 1：验证所需的客观证据可以是检验结果或其他形式的确定结果，如：变换方法进行计算或文件评审。

   注 2：为验证所进行的活动有时被称为鉴定过程。

   注 3：“已验证”一词用于表明相应的状态。

 

   35）确认 validation

   通过提供客观证据对特定的预期用途或应用要求已得到满足的认定。

   注 1：确认所需的客观证据可以是试验结果或其他形式的确定结果，如：变换方法进行计算或文件评审。

   注 2：“已确认”一词用于表明相应的状态。

   注 3：确认所使用的条件可以是实际的或是模拟的。

 

   36）组织 organization

   为实现目标，由职责、权限和相互关系构成自身功能的一个人或一组人。

   注：组织的概念包括，但不限于个体经营者、公司、集团、商行、企事业单位、权力机构、合伙企业、慈善机构或研究机构，或上述组织的部分或其组合，无论是否为法人组织，公有的或私有的。

 

   37）供方 provider; supplier

   提供产品或服务的组织。

   示例：产品或服务的制造商、批发商、零售商或商贩。注：供方可以是组织内部的或外部的。