Loading
2018-04-08 15:33:00
這是一個“得數據者,得天下,知數據者,知天下,用數據者,贏天下”的時代,企業既可從中掙得盆滿缽滿,也會因一次網絡安全事件而被劍指心臟!近期最被熱議的Facebook就因用戶信息泄露而導致市值一度蒸發幾百億美元,并且有可能面臨訴訟糾紛和巨額罰款!因此,如何合法合規的收集和利用個人信息也相應成為企業重點關注的問題。
筆者結合《個人信息安全規范》(GB/T35273-2017)的標準對企業的合規(點擊“閱讀原文”即可跳轉文件原文),做出簡要分析:
一、《個人信息安全規范》的效力如何?
《個人信息安全規范》只是作為國家鼓勵采用推薦性標準,并非強制性標準,沒有法律上的強制執行力。但因《個人信息安全規范》全面闡述個人信息保護各個環節的詳盡操作指引,對企業的合規指明了方向,不僅“適用于規范各類組織個人信息處理活動”,也明確指出了適用于“主管監管部門、第三方評估機構等組織對個人信息處理活動進行監管、管理和評估”,可見該規范的重要性,不得不引起企業的重視。
二、《個人信息安全規范》中規定了什么?
(一)個人信息和個人敏感信息
個人信息被定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。”,該規定是在《網絡安全法》的基礎上,結合了“反映特定自然人活動情況的各種信息”的定義,將個人信息的內涵進一步的擴大。
另外,《個人信息安全規范》將個人信息級別分為“個人敏感信息”與“個人非敏感信息”。“個人敏感信息”即“一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息”。特別需要指出的是,“14歲以下(含)兒童的個人信息和自然人的隱私信息屬于個人敏感信息”,企業應重點關注。
(二)個人信息收集授權同意和獲取審查要求
對于信息收集授權方式,《個人信息安全規范》對企業以往常采用的“默示同意”并未明確禁止使用,但也提出了“明示同意”、“授權同意”的新要求。其中,收集個人信息只需要“授權同意”,但鼓勵采用“明示同意”;收集個人敏感信息需要“明示同意”,可采用主動點擊“同意”,和“注冊”“發送”“撥打”等多種創新性的授權方式。
對于間接獲取個人信息的企業而言,《個人信息安全規范》對企業提出了更高的審查義務,即需要說明提信息的來源并確認其合法性,了解個人信息主體對于提供方的授權范圍,包括使用目的、個人信息主體是否授權同意轉讓、共享、公開披露等內容,若超出上述范圍的,還應在合理期限內另行征得個人信息主體的明示同意,這無形中就增加企業在接受信息時的合規審查成本,企業難以再以“第三人”“不知情”“無法審查”等理由作為抗辯事由。
(三)《隱私政策》的內容、發布、編寫的具體要求
隱私政策作為企業取得用戶授權、說明權利義務的重要文件,但卻存在晦澀難懂、條款不全等諸多令用戶詬病的問題,故《個人信息安全規范》以附錄D形式提供了隱私政策模板,為企業制定隱私政策提供了具體的指引。筆者認為,參照隱私政策模板,依樣畫葫蘆,是最為妥當的辦法,但對于企業個性化的部分,鑒于十大APP的《隱私政策》在2017年的聯合檢查基本已經進行了完善,并通過了有關監管部門的合規檢查,故值得各相關行業的借鑒。
在《隱私政策》內容做到合規要求的同時,企業也需要注意發布的合規要求,對于《隱私政策》的發布不僅要做真實、準確、完整公開、易于訪問,還需要增加提供起始部分的摘要,簡述告知重點內容。筆者認為,應盡量避免將隱私政策放在隱蔽的地方或者是需要用戶多次點擊界面后才能找到的做法,在技術上可采用彈窗、發送通知、郵件等做法。
三、《個人信息安全規范》對企業的要求是什么?
《網絡安全法》對企業的網絡安全義務和責任提出了重大要求,《個人信息安全規范》對企業內部安全管理制度和操作規程的制度則進一步提出具體標準:
第一,應當明確責任部門與人員。在主要業務涉及個人信息處理,且從業人員規模大于200人或處理超過50萬人的個人信息或者12個月內預計處理超過50萬的個人信息的企業,應設立專職的個人信息保護負責人和工作機構并公開聯系方式。
第二,當開展個人信息安全影響評估與審計制度,評估個人信息處理過程中可能產生的風險與不利影響,形成評估報告以供相關方查閱,建立自動化審計系統,監測記錄個人信息處理活動,明確訪問授權控制制度,嚴防非授權訪問、篡改刪除記錄,及時處理審計過程中個人信息違規使用、濫用等情況。
第三,應當建立人員管理與培訓制度,諸如簽署保密協議、背景審查,明確相關崗位的安全職責、建立處罰機制、專業化培訓和考核機制。
第四,應當建立個人信息安全事件處置與報告制度。
四、小結
隨著我國對個人信息保護力度逐步的加強,未來的監管將不只停留于靜態的個人隱私政策檢查,針對個人信息保護制度是否健全的動態檢查和監管必然成為重點。《個人信息安全規范》對個人信息收集、保存、使用、處理以及個人信息安全事件處置和組織管理要求等方面提出了詳盡、明確的操作規則,理應成為企業以及從業人員的必備工具,企業應密切關注這一領域的立法以及政策動態。
(欲瀏覽更多與本文相關的文章,可點擊以下鏈接進行閱讀
)
聚焦3.15 | 數據和信息是最重要的消費者權益
從高德地圖的《隱私政策》看互聯網個人信息保護