个人信息处理法律合规性评估指引的目的在于:支持组织证明和声明其个人信息处理的合规状态和合规能力,也包括支持顾客、监管者等对组织个人信息处理的合规性进行检查和监督,支持个人信息相关方之间建立理解和信任,以及支持独立的评估机构为具有上述需求的个人信息相关方提供法律合规性评估、咨询和认证服务。
个人信息处理法律合规性评估指引由以下三个部分组成:
——第1部分:概述和术语。本部分的目的在于为个人信息处理活动及其法律合规性评估活动建立一个共同认可的、易于沟通的语境和概念体系,提供个人信息处理法律合规性评估的概述,为个人信息处理法律合规性评估指引的其他部分和其他标准的开发奠定基础。
——第2部分:合规框架。本部分的目的在于为个人信息处理法律合规性评估准则的识别和确定建立一个体系化的框架,以便对富有综合性的合规要求进行清晰的分类和归纳,以支持个人信息处理法律合规性评估活动的启动、规划、实施、报告、评审、监控和再评估。
——第3部分:实施指南。本部分的目的在于为个人信息处理法律合规性评估活动的启动、规划、实施、报告、评审、监控和再评估建立一个统一但仍保留灵活性的流程和方法,以支持各类组织能够高效地、可比较地、可问责地和可持续地进行法律合规性评估活动。
个人信息处理法律合规性评估指引的任何一个部分或其整体,可以单独使用,也能与现行的网络安全与信息安全相关标准(如GB/T 22239—2019、GB/T 35273—2020),信息安全、隐私管理体系相关标准(如GB/T 22080—2016、GB/T 22081—2016、ISO/IEC 27701:2019)与合规管理体系相关标准(如GB/T 35770—2017)结合使用。
本版本根据《中国人民共和国个人信息保护法》对团体标准《个人信息处理法律合规性评估指引》(T/CLAST 001-2021)进行修订后形成。