邮发代号 2-786
征订热线:010-82341063
近年来,随着互联网技术的迅速发展,数据被誉为“互联网时代的石油”。在诸多数据种类中,个人数据价值最高,成为企业竞相抢占的重要竞争资源。对个人数据的挖掘利用可以催生产品与服务创新,为经营者带来商业利益,为消费者提高用户体验,然而其中也蕴含着侵害个人信息利益的风险与隐患。企业在利用个人信息时,应当承担起相应的个人信息保护责任。
2022年10月1日正式实施的《中央企业合规管理办法》在第三十五条明确规定:“中央企业应当加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通,实现数据共用共享。”这为企业数据的使用指明了方向。即,企业应当构建个人信息活动的内部规范制度,并引入外部评价监督体系,将企业合规落到实处,保障个人信息安全。
开展个人信息影响评估。《中华人民共和国个人信息保护法》第五十五条明确规定了个人信息处理者对个人信息保护影响评估的强制性义务,这对尚未开展的个人信息处理活动可以大幅度降低违法风险。个人信息保护影响评估大致包括三个环节:预备环节——评估环节——报告及整改环节。预备环节应当集合技术部分、法律部门、相关业务部门等代表制定切实可行的评估计划,明确评估对象与范围。评估阶段应当覆盖数据全生命周期的个人信息处理映射表,结合处理的具体场景分类统计个人信息处理活动,记录每类个人信息处理中的个人信息类型、信息主体、控制者、收集处理目的、合法事由等具体情形,在此基础上结合《信息安全技术 个人信息安全规范》《信息安全技术 网络安全等级保护安全管理中心技术要求》等标准来识别个人信息处理中的风险源,对个人权益的影响进行分析,并最终统合风险因素识别与个人权益影响得出评估结果。评估结束之后还应当依照结果进行针对性的整改,依据不同风险等级排除个人信息处理的风险,并继续追踪风险排除情况,掌握剩余风险的发展变化。
加强信息分级分类管理。个人信息分级分类管理制度是通过“定性+定量”的方式确定个人信息保护优先顺序的制度。目前,可以依据《网络安全标准实践指南——网络数据分类分级指引》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等制定。个人信息的分级保护旨在对个人信息分类的基础上,依据具体个人信息的敏感程度、易受侵害性等因素进行分等级保护。在个人信息处理技术支持下,可以将个人信息从非敏感到极敏感划分为S1至S5五个等级。个人信息分级分类管理之后,还需要做好数据资产清单梳理,对业务经营和管理中收集和使用的个人信息进行识别和归类。完成个人信息分类和定级后,应当按照有关技术标准对个人信息进行加密和去标识化,并依照最小、必要原则,设置内部管理和访问操作权限。
建立安全事件应急管理制度。《个人信息保护法》第五十一条明确提出,个人信息处理者要制定并组织实施个人信息安全事件应急预案。安全事件应急管理制度需要建立专业的组织指挥机构并明确其职责。除人员保障外,还应做好设备、资金、系统等硬件保障。应急管理过程应当涵盖事件发生的即时监测预警、先期处置,现场应急处置与后期处置追踪全流程。此外,还应当注意平时加强防范与演练,如定期组织内部相关人员进行应急响应培训,定期开展实操演练等,以保障机制处于激活状态。
企业数据合规对于个人信息的保护效果需要接受外部评价。外部评价体系主要包括个人信息保护法的基本原则的贯彻、用户法定权利的保障、特殊主体“守门人”义务的落实以及对特殊场景增强义务的履行等四个方面。
《个人信息保护法》第五条至第十条对个人信息保护法的基本原则作了规定,明确在个人信息处理活动中应当遵循合法、正当、必要、诚信、目的限制、公开透明、质量、安全等八项原则。这是涉个人信息企业合规的原则性要求,也是作为合规效果的基本测评指标。
同时,个人信息保护法对个人信息权利进行了定义,全面构建了个人在信息处理活动中享有的法定权利,包括知情权、决定权、限制权、拒绝权、查阅权、复制权、可携带权、更正权、删除权等。这些权利企业在开展数据活动时不能触碰,尤其是用户数量巨大、业务类型复杂的应用程序分发平台、移动终端操作系统、平台型App,应当履行“守门人”义务,即健全合规制度体系、制定平台内规则、处罚违法者、定期报告发布。
对于影响个人利益的重大事项,个人信息保护法要求个人信息处理者需要取得该个人的“单独同意”,即单独向个人信息主体告知处理个人信息的目的、方式和范围以及存储时间、安全措施等规则,并由个人信息主体明示同意(主动作出确认性动作)。这些特定场景包括向第三方提供个人信息、公开个人信息、公共场所采集图像、生物识别性信息、处理敏感个人信息、个人信息出境,通过“增强式告知”或“即时提示”等。数据处理者在使用这些个人信息时,应当主动负担起合规管理的责任,将合规管理作为企业发展的第一要务,以合规促发展,以合规增效益。
(来源:民主与法制时报)
原文始发于微信公众号(中国信息安全):专家观点 | 企业合规中的个人信息保护
评论