m o c . 5 h t i g b u 1 m o c . 5 b u h t i g @2021 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印,或 者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下: (a)本文只可作个人、信息 获取、非商业用途;(b) 本文内容不得篡改; (c)本文不得转发; (d)该商标、版权或其他声明不得删除。在 遵循中华人民共和国著作权法相关条款情况下合理使用本文内容,使用时请注明引用于云安全联盟大中 华区。 © 2021 云安全联盟版权所有 2 致谢 中文版翻译说明 由云安全联盟大中华区(CSA GCR)数据安全工作组负责组织翻译公认隐私原则 (Generally Accepted Privacy Principles)。 翻译审校工作专家: 组长:高巍 m o 组员:薛琨,张明敏,廖聪城,王贵宗 c . 5 在此感谢以上参与该文档的翻译审校工作的专家及工作人员。如译文有不妥当之处, 敬请读者联系 CSA 数据安全工作组给与雅正! 联系邮箱:
[email protected]; 云安全联盟大中华区 2021 年 8 月 8 日 云安全联盟 CSA 公众号 b u h t i g © 2021 云安全联盟版权所有 3 前言 美国注册会计师协会(AICPA) 和加拿大特许会计师协会(CICA)坚信,隐私是一个商 业问题。考虑到各组织在试图解决隐私事务时所面临的问题,我们很快得出结论,企 业没有一个全面的框架来有效管理其隐私风险。这两个协会决定,他们可以通过开发 一个隐私框架来做出重大贡献,该框架可以解决受隐私要求或期望影响的所有各方的 需求。因此,这两个机构制定了一个名为 《AICPA 和 CICA 公认隐私原则》的隐私框 架。这两个机构将这些原则和标准广泛提供给对解决隐私问题感兴趣的所有各方。 m o 这些原则和标准是由志愿者开发和更新的,他们考虑了当前的国际隐私监管要求 和最佳实践。这些原则和标准是按照两个研究所的适当程序发布的,其中包括公开征 c . 5 求公众意见。采用这些原则和标准是自愿的。 这些原则的一个基本前提是,良好的隐私即能保障良好的商业。良好的隐私实践 b u 是公司治理和问责制的一个关键组成部分。当今的关键商业要务之一是保护一个组织 所收集和持有的个人信息的隐私。随着业务系统和流程变得越来越复杂精细化,越来 h t i g 越多的个人信息被收集。由于更多的数据被收集和持有,而且通常是以电子格式,个 人信息可能面临各种脆弱性的风险,包括丢失、滥用、未经授权的访问和未经授权的 披露。这些风险引起了组织、政府、个人和公众的关注。 对于在多个司法管辖区环境中运作的组织,管理隐私风险可能是一个更加重大的 挑战。遵守普遍接受的隐私原则并不能保证符合一个组织所要遵守的所有法律和法规。 组织需要了解其开展业务的所有管辖区的重要隐私要求。虽然本框架提供了关于隐私 的一般指导,但各组织应咨询自己的法律顾问,以获得更多关于管辖本组织具体情况 的特定法律和法规的建议和指导。 考虑到这些问题,AICPA 和 CICA 制定了《公认隐私原则》,作为一个操作框架, 帮助管理层以考虑到许多地方、国家或国际要求的方式来处理隐私问题。主要目标是 促进隐私合规和有效的隐私管理。次要目标是提供适当的标准,以便可以进行隐私验 证工作(通常称为隐私审计)。 © 2021 云安全联盟版权所有 4 公认隐私原则代表了 AICPA 和 CICA 的贡献,即帮助组织保持对隐私风险的有效 管理,确保组织的需求,并反映公共利益。有关发展的其他历史和其他隐私资源可在 网上找到:www.aicpa.org/privacy 和 www.cica.ca/privacy。《公认隐私原则》可从 AICPA 和 CICA 的网站下载,分别为 www.aicpa.org/privacy 和 www.cica.ca/privacy。 由于隐私环境不断变化,《公认隐私原则》将需要不时地进行修订。因此,请将有 关本文件的任何意见通过电子邮件发送给美国注册会计师协会(
[email protected])或 加拿大特许会计师协会(mailto:
[email protected])。 m o c . 5 AICPA CICA b u h t i g © 2021 云安全联盟版权所有 5 美国注册会计师协会和加拿大特许会计师协会隐私工作组 主席 工作人员联系方式: Everett C. Johnson, CPA Nicholas F. Cheung, CA, CIPP/C 德勤会计师事务所 (退休) CICA 负责人,保障服务开发部 副主席 Kenneth D. Askelson, CPA, CITP, CIA Bryan Walker, CA 彭尼公司(退休) CICA 总监,从业人员支持 Eric Federing 毕马威会计师事务所 Nancy A. Cohen, CPA, CITP, CIPP 高级技术经理。 Juravel & Company, LLC James C. Metzler, CPA, CITP 安永会计师事务所 b u AICPA Rena Mears, CPA, CITP, CISSP, CISA, CIPP 副总裁,小型机构权益部 h t i g Robert Parker, FCA, CA⋅CISA, CMC 德勤会计师事务所 (退休) c . 5 专业社区和实践管理 Sagi Leizerov, Ph.D., CIPP 德勤会计师事务所 m o AICPA Philip M. Juravel, CPA Marilyn Prosch, Ph.D., CIPP 亚利桑那州立大学 Doron M. Rotman, CPA (Israel), CISA, CIA, CISM, CIPP AICPA 保障服务部 毕马威会计师事务所 执行委员会于 2009 年 8 月批准了《公认隐私 Kerry Shackelford, CPA 原则》 。 KLS Consulting LLC Donald E. Sheehy, CA⋅CISA, CIPP/C 德勤会计师事务所 © 2021 云安全联盟版权所有 6 目录 隐私—公认隐私原则概述................................................................................................................................. 8 介绍............................................................................................................................................................ 8 为什么隐私是一个商业问题.................................................................................................................... 9 国际隐私考虑因素.................................................................................................................................... 9 外包和隐私.............................................................................................................................................. 10 什么是隐私?...........................................................................................................................................11 隐私定义.................................................................................................................................................. 11 个人信息.................................................................................................................................................. 11 m o 隐私还是保密?...................................................................................................................................... 12 公认隐私原则简介............................................................................................................................................13 c . 5 整体隐私目标.......................................................................................................................................... 13 公认隐私原则.......................................................................................................................................