探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
最近,刚好经手了如何搭建与本地企业个人信息保护相关管理制度体系(偏文本)的工作。有一些涉及实操中可以参考的部分框架搭建思路,想分享出来给大家一起进行参考。
1.数据保护政策综合管理政策:可概述本企业及其员工在开展业务等活动时涉及处理个人信息处理须遵守的一般指导原则,以确保符合个人信息保护法规。
3.个人信息影响评估政策(“PIA/PIPIA”):可描述了本地公司进行个人信息影响评估的启动条件、何时需要进行、要求、程序和适用条件等规定性描述。
6.跨境数据传输管理政策:结合目前法律法规的最新规定并结合本地企业自身业务模式、所处行业,可描述、涵盖合法合规地将本地企业个人信息传输到海外的要求、流程、门槛和条件等内容。
8.数据保留管理政策:可列出确定本地企业个人信息保留期限及到期后采取行动的要求和程序;可明确本地企业根据具体业务模式等企业要求,适用本地企业的具体文件的保存期限,如HR类文件保存期限、财务类文件保存期限等,但要注意相关零零散散各处散落的法律法规等是否有具体规定。
9.外部监管检查、响应管理政策:可概述如何应对监管检查的程序和要求。(注意:对待监管一定要积极配合,态度诚恳,顺便还要核查监管人员的证件—企业本应享有的权利。)
10.数据和隐私合规审计政策:“参考个人信息保护合规审计管理办法、相关国标”,详细说明了针对个人信息合规要求进行审计的程序和要求。
11.数据和隐私合规检查清单工具:可描述在合规审计过程中需要覆盖/检查的要点的清单,配套上述第10点的文件进行。
12.信息(对内/对外)发布和内容管理程序及政策:可描述、规定了管理公司通过数字渠道公布/发布内容的指南、遵循的流程(如审批流程),涉及个人信息时的审核、发布流程等。
13.“数字资产”管理政策:可列出向登记注册机构注册和备案“数字渠道”(如网站、小程序等)的要求和程序。
01.
数据保护政策综合管理政策
描述那种针对大原则性的描述,如企业的对个人信息保护的管理目标、战略目标等等承诺性描述:
1.合法、公平和透明:个人信息的收集和使用必须合法、公平,并且透明告知信息主体。
2.目的明确:个人信息的处理必须有明确的目的,并且不得超出这些目的。
3.数据最小化:处理的个人信息应当是相关且必要的。
4.准确性:个人信息应保持准确、完整,并在必要时更新。
5.存储期限:个人信息的存储时间不应超过实现处理目的所需的时间。
02.
隐私设计政策
【可围绕“Privacy by design”/“Privacy by default”原则展开】——这个吧有点抽象,有的员工可能不太理解,建议可以在文件中通过举一个具体例子来描述。
隐私设计要求企业在IT系统、网络基础设施和业务实践中主动嵌入隐私考虑。隐私设计包括以下七项原则:
1.主动预防:预防隐私问题的发生,而不是事后补救。
2.默认隐私:个人信息保护应是自动的,无需用户采取额外措施。
3.嵌入设计:隐私保护应从设计阶段开始考虑,而不是事后添加。
4.全功能性:隐私保护不应妨碍系统或流程的功能。
5.全生命周期保护:从设计开始到系统或流程的生命周期结束,始终保持强有力的安全措施。
6.透明性:系统和流程应透明运行,符合既定目标。
隐私设计应贯穿于系统开发生命周期的各个阶段:
1.需求阶段:在系统需求阶段进行个人信息需求分析,识别个人信息处理场景,进行数据保护影响评估。
2.设计阶段:在系统设计阶段纳入个人信息保护相关的技术措施,如通知和同意、隐私声明、产品权限、跨境数据传输等。
3.开发阶段:开发人员应根据设计进行系统开发,严格遵循开发环境的安全管理要求。
4.测试阶段:在系统测试阶段验证个人信息保护措施,确保已实施的保护措施符合计划。
在项目和服务的规划与实施阶段整合隐私设计,可以有效地保护个人信息,确保合规,并提升客户和员工的信任度。通过遵循《隐私设计政策》,企业可以在项目生命周期的各个阶段实现隐私保护的目标。
03.
个人信息影响评估政策(“PIA/PIPIA”)+个人信息保护影响评估清单工具
一、引言
如描述个人信息影响评估政策旨在帮助企业制定和实施PIA程序和要求,并根据评估结果采取相应措施。通过将个人信息保护目标与业务需求相结合,确保在个人信息处理活动中妥善管理隐私风险。
二、适用范围
简述适用范围,如该政策适用于企业的所有活动、项目或计划,涵盖了个人信息处理的各个方面。政策要求在项目启动、系统开发、应用变更和供应商参与等过程中进行PIA。
三、定义
政策中对一些关键术语进行定义,如,包括个人信息、敏感个人信息、数据保护影响评估等。这些定义有助于明确政策的适用范围和具体要求。
四、角色与职责的描述、介绍等内容
4.其他部门:有无具体职责或者范围是什么界定下。
五、个人信息影响评估概述等内容
如,PIA是个人信息保护风险管理的重要组成部分,旨在检测、处理和持续监控个人信息处理活动对信息主体的影响。通过PIA,企业可以了解个人信息的使用、存储和共享情况,并根据评估结果识别风险,采取相应的缓解措施。
六、个人信息影响评估程序的描述,如,如何触发、流程如何等
PIA与项目启动、系统开发、应用变更和供应商参与的过程相结合,具体程序如下:
-
新系统、应用、产品和服务的开发或采购。 -
业务运营或系统功能的重大变更。 -
对现有供应商的审查或审计。 -
数据保护协调员或IT团队认为存在重大潜在风险的情况。
2.进行详细的PIA:当需要进行详细的PIA时,数据保护协调员应协调完成PIA问卷,项目经理/业务负责人应在相关利益相关者的协助下完成所有问题。问卷包括个人信息处理的基本信息、个人信息安全事件概率分析和对个人权利和利益的影响分析。
3.PIA结果审查和缓解:完成的问卷应由数据保护协调员或必要时由法律部门审查,以确定进一步的行动。如果PIA风险被评估为中或低,项目可以继续进行,但必须确保实施必要的个人信息保护控制措施。如果PIA风险被评估为高或严重,需进一步评估并采取相应的缓解措施。
4.PIA记录:PIA过程及其结果和缓解措施应记录并保存,记录应至少保存三年或根据数据保护协调员的规定保存。
七、合规性—惩罚措施
任何未能遵守本政策规定的行为将受到相应的纪律处分,包括但不限于警告、终止劳动合同等。此外,违反政策的行为还可能导致民事责任和刑事处罚。
结论(可加可不加,只是想体现原则性精神的内容)
04.
个人信息保护影响评估清单配套工具的简要描述,可结合具体企业需求进行符合企业具体需要的个性化的定制:GB/T 39335也可以参考。
一、项目基本信息是什么
14.其他对个人权益有重大影响的个人信息处理活动
9.个人信息是否被传输至第三方或境外
18.个人信息假名化
10.是否提供了行使个人信息权利的渠道
6.是否对第三方的个人信息处理活动进行管理监督
其实,个人信息保护影响评估清单可以说是确保个人信息安全和合规的重要工具。通过系统地评估和管理个人信息处理活动中的风险,企业和组织可以有效保护个人信息主体的权益,提升信息安全水平。
05.
个人信息主体权利请求管理政策
依旧是大方向的原则性精神表述:如,在个人信息保护法的框架下,个人信息主体享有多项权利,包括访问、纠正、删除、撤回同意、停用账户、获取个人信息副本以及请求解释个人信息处理规则等。为了确保这些权利得到有效行使,企业和组织需要建立完善的个人信息主体权利请求管理机制。
-
个人信息(PI):指以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
-
敏感个人信息(Sensitive PI):指一旦泄露、非法提供或滥用,可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇的个人信息。
-
个人信息主体:指被个人信息识别或关联的自然人。
-
个人信息主体权利请求(DSR):指个人信息主体或其代表提出的访问、纠正、删除等请求。 -
……等等。
个人信息主体有权访问其个人信息,如查询:
-
收集其个人信息的业务目的及来源
-
正在处理的个人信息的类型和范围
-
等等
-
个人信息已不再为收集或处理目的所必需 -
企业停止提供服务或个人信息的保留期限已到期 -
个人信息主体撤回同意
-
个人信息被非法处理
-
个人信息处理与个人信息主体的协议不一致
-
等等
任何未能遵守本指南规定的人员,将根据员工手册中的纪律规定或法律采取适当的纪律措施或法律行动。
06.
跨境数据传输管理政策
背景介绍、使用指南
一、引言
-
数据类型:个人信息(包括敏感个人信息)和重要数据。
-
相关方:数据发送方和数据接收方,包括企业内部的各法律实体及其境外关联公司。
-
其他等等。
-
个人信息:与已识别或可识别的自然人相关的各种信息。
-
敏感个人信息:一旦泄露或非法使用,可能导致个人尊严受损或人身财产安全受到威胁的信息。
-
重要数据:一旦泄露,可能直接影响国家安全、经济安全、社会稳定和公共健康安全的数据。
-
其他等等。
-
业务负责人:制定跨境数据传输计划,完成内部评估,并根据需要更新计划。
-
法律部门和/或个保团队/负责人:确定是否需要向当地监管机构进行外部合规活动,审查提交材料,并处理跨境相关争议。
-
IT部门:进行技术评估,参与内部评估和差距修复,实施技术措施。
-
其他等等。
企业在进行跨境数据传输时,应遵循以下原则:
-
合法性:数据传输不违反法律法规的规定。
-
正当性:已获得数据主体的单独同意,除非在紧急情况下危及生命财产安全。
-
必要性:数据传输是履行合同、开展业务或履行公共事务所必需的。
-
数据发送方:应签署并执行数据传输合同,建立有效的数据安全管理框架,具备充分的数据安全技术能力。
-
数据接收方:应建立数据安全管理政策,采取足够的安全控制措施,确保数据的机密性、可用性和完整性。
任何未能遵守本指南规定的行为,将受到相应的纪律处分或法律行动。
本期文章先对之前提及的第1-6点的文本搭建框架进行简要介绍。下一期将对第7-13点的文本搭建框架进行介绍。
-END-
「 数据安全合规知识星球 」是一个专注于数据安全和个人信息保护的资源和知识集散地。星球提供图解PPT、行业解决方案、数据安全合规管理制度模板、评估工具及评估报告模板、监管政策及标准汇编整理等,帮助组织或个人理解并遵守数据安全合规的法律法规,促进操作和业务流程的安全合规。
原文始发于微信公众号(合规社):13个可参考的个人信息保护管理制度框架(上篇)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论