2018-04-08 15:33:00
这是一个“得数据者,得天下,知数据者,知天下,用数据者,赢天下”的时代,企业既可从中挣得盆满钵满,也会因一次网络安全事件而被剑指心脏!近期最被热议的Facebook就因用户信息泄露而导致市值一度蒸发几百亿美元,并且有可能面临诉讼纠纷和巨额罚款!因此,如何合法合规的收集和利用个人信息也相应成为企业重点关注的问题。
笔者结合《个人信息安全规范》(GB/T35273-2017)的标准对企业的合规(点击“阅读原文”即可跳转文件原文),做出简要分析:
一、《个人信息安全规范》的效力如何?
《个人信息安全规范》只是作为国家鼓励采用推荐性标准,并非强制性标准,没有法律上的强制执行力。但因《个人信息安全规范》全面阐述个人信息保护各个环节的详尽操作指引,对企业的合规指明了方向,不仅“适用于规范各类组织个人信息处理活动”,也明确指出了适用于“主管监管部门、第三方评估机构等组织对个人信息处理活动进行监管、管理和评估”,可见该规范的重要性,不得不引起企业的重视。
二、《个人信息安全规范》中规定了什么?
(一)个人信息和个人敏感信息
个人信息被定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”,该规定是在《网络安全法》的基础上,结合了“反映特定自然人活动情况的各种信息”的定义,将个人信息的内涵进一步的扩大。
另外,《个人信息安全规范》将个人信息级别分为“个人敏感信息”与“个人非敏感信息”。“个人敏感信息”即“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。特别需要指出的是,“14岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息”,企业应重点关注。
(二)个人信息收集授权同意和获取审查要求
对于信息收集授权方式,《个人信息安全规范》对企业以往常采用的“默示同意”并未明确禁止使用,但也提出了“明示同意”、“授权同意”的新要求。其中,收集个人信息只需要“授权同意”,但鼓励采用“明示同意”;收集个人敏感信息需要“明示同意”,可采用主动点击“同意”,和“注册”“发送”“拨打”等多种创新性的授权方式。
对于间接获取个人信息的企业而言,《个人信息安全规范》对企业提出了更高的审查义务,即需要说明提信息的来源并确认其合法性,了解个人信息主体对于提供方的授权范围,包括使用目的、个人信息主体是否授权同意转让、共享、公开披露等内容,若超出上述范围的,还应在合理期限内另行征得个人信息主体的明示同意,这无形中就增加企业在接受信息时的合规审查成本,企业难以再以“第三人”“不知情”“无法审查”等理由作为抗辩事由。
(三)《隐私政策》的内容、发布、编写的具体要求
隐私政策作为企业取得用户授权、说明权利义务的重要文件,但却存在晦涩难懂、条款不全等诸多令用户诟病的问题,故《个人信息安全规范》以附录D形式提供了隐私政策模板,为企业制定隐私政策提供了具体的指引。笔者认为,参照隐私政策模板,依样画葫芦,是最为妥当的办法,但对于企业个性化的部分,鉴于十大APP的《隐私政策》在2017年的联合检查基本已经进行了完善,并通过了有关监管部门的合规检查,故值得各相关行业的借鉴。
在《隐私政策》内容做到合规要求的同时,企业也需要注意发布的合规要求,对于《隐私政策》的发布不仅要做真实、准确、完整公开、易于访问,还需要增加提供起始部分的摘要,简述告知重点内容。笔者认为,应尽量避免将隐私政策放在隐蔽的地方或者是需要用户多次点击界面后才能找到的做法,在技术上可采用弹窗、发送通知、邮件等做法。
三、《个人信息安全规范》对企业的要求是什么?
《网络安全法》对企业的网络安全义务和责任提出了重大要求,《个人信息安全规范》对企业内部安全管理制度和操作规程的制度则进一步提出具体标准:
第一,应当明确责任部门与人员。在主要业务涉及个人信息处理,且从业人员规模大于200人或处理超过50万人的个人信息或者12个月内预计处理超过50万的个人信息的企业,应设立专职的个人信息保护负责人和工作机构并公开联系方式。
第二,当开展个人信息安全影响评估与审计制度,评估个人信息处理过程中可能产生的风险与不利影响,形成评估报告以供相关方查阅,建立自动化审计系统,监测记录个人信息处理活动,明确访问授权控制制度,严防非授权访问、篡改删除记录,及时处理审计过程中个人信息违规使用、滥用等情况。
第三,应当建立人员管理与培训制度,诸如签署保密协议、背景审查,明确相关岗位的安全职责、建立处罚机制、专业化培训和考核机制。
第四,应当建立个人信息安全事件处置与报告制度。
四、小结
随着我国对个人信息保护力度逐步的加强,未来的监管将不只停留于静态的个人隐私政策检查,针对个人信息保护制度是否健全的动态检查和监管必然成为重点。《个人信息安全规范》对个人信息收集、保存、使用、处理以及个人信息安全事件处置和组织管理要求等方面提出了详尽、明确的操作规则,理应成为企业以及从业人员的必备工具,企业应密切关注这一领域的立法以及政策动态。
(欲浏览更多与本文相关的文章,可点击以下链接进行阅读)
聚焦3.15 | 数据和信息是最重要的消费者权益
从高德地图的《隐私政策》看互联网个人信息保护