Loading
2018-04-08 15:33:00
這是一個(gè)“得數(shù)據(jù)者,得天下,知數(shù)據(jù)者,知天下,用數(shù)據(jù)者,贏天下”的時(shí)代,企業(yè)既可從中掙得盆滿缽滿,也會(huì)因一次網(wǎng)絡(luò)安全事件而被劍指心臟!近期最被熱議的Facebook就因用戶信息泄露而導(dǎo)致市值一度蒸發(fā)幾百億美元,并且有可能面臨訴訟糾紛和巨額罰款!因此,如何合法合規(guī)的收集和利用個(gè)人信息也相應(yīng)成為企業(yè)重點(diǎn)關(guān)注的問(wèn)題。
筆者結(jié)合《個(gè)人信息安全規(guī)范》(GB/T35273-2017)的標(biāo)準(zhǔn)對(duì)企業(yè)的合規(guī)(點(diǎn)擊“閱讀原文”即可跳轉(zhuǎn)文件原文),做出簡(jiǎn)要分析:
一、《個(gè)人信息安全規(guī)范》的效力如何?
《個(gè)人信息安全規(guī)范》只是作為國(guó)家鼓勵(lì)采用推薦性標(biāo)準(zhǔn),并非強(qiáng)制性標(biāo)準(zhǔn),沒(méi)有法律上的強(qiáng)制執(zhí)行力。但因《個(gè)人信息安全規(guī)范》全面闡述個(gè)人信息保護(hù)各個(gè)環(huán)節(jié)的詳盡操作指引,對(duì)企業(yè)的合規(guī)指明了方向,不僅“適用于規(guī)范各類組織個(gè)人信息處理活動(dòng)”,也明確指出了適用于“主管監(jiān)管部門(mén)、第三方評(píng)估機(jī)構(gòu)等組織對(duì)個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)管、管理和評(píng)估”,可見(jiàn)該規(guī)范的重要性,不得不引起企業(yè)的重視。
二、《個(gè)人信息安全規(guī)范》中規(guī)定了什么?
(一)個(gè)人信息和個(gè)人敏感信息
個(gè)人信息被定義為“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。”,該規(guī)定是在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上,結(jié)合了“反映特定自然人活動(dòng)情況的各種信息”的定義,將個(gè)人信息的內(nèi)涵進(jìn)一步的擴(kuò)大。
另外,《個(gè)人信息安全規(guī)范》將個(gè)人信息級(jí)別分為“個(gè)人敏感信息”與“個(gè)人非敏感信息”。“個(gè)人敏感信息”即“一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全,極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息”。特別需要指出的是,“14歲以下(含)兒童的個(gè)人信息和自然人的隱私信息屬于個(gè)人敏感信息”,企業(yè)應(yīng)重點(diǎn)關(guān)注。
(二)個(gè)人信息收集授權(quán)同意和獲取審查要求
對(duì)于信息收集授權(quán)方式,《個(gè)人信息安全規(guī)范》對(duì)企業(yè)以往常采用的“默示同意”并未明確禁止使用,但也提出了“明示同意”、“授權(quán)同意”的新要求。其中,收集個(gè)人信息只需要“授權(quán)同意”,但鼓勵(lì)采用“明示同意”;收集個(gè)人敏感信息需要“明示同意”,可采用主動(dòng)點(diǎn)擊“同意”,和“注冊(cè)”“發(fā)送”“撥打”等多種創(chuàng)新性的授權(quán)方式。
對(duì)于間接獲取個(gè)人信息的企業(yè)而言,《個(gè)人信息安全規(guī)范》對(duì)企業(yè)提出了更高的審查義務(wù),即需要說(shuō)明提信息的來(lái)源并確認(rèn)其合法性,了解個(gè)人信息主體對(duì)于提供方的授權(quán)范圍,包括使用目的、個(gè)人信息主體是否授權(quán)同意轉(zhuǎn)讓、共享、公開(kāi)披露等內(nèi)容,若超出上述范圍的,還應(yīng)在合理期限內(nèi)另行征得個(gè)人信息主體的明示同意,這無(wú)形中就增加企業(yè)在接受信息時(shí)的合規(guī)審查成本,企業(yè)難以再以“第三人”“不知情”“無(wú)法審查”等理由作為抗辯事由。
(三)《隱私政策》的內(nèi)容、發(fā)布、編寫(xiě)的具體要求
隱私政策作為企業(yè)取得用戶授權(quán)、說(shuō)明權(quán)利義務(wù)的重要文件,但卻存在晦澀難懂、條款不全等諸多令用戶詬病的問(wèn)題,故《個(gè)人信息安全規(guī)范》以附錄D形式提供了隱私政策模板,為企業(yè)制定隱私政策提供了具體的指引。筆者認(rèn)為,參照隱私政策模板,依樣畫(huà)葫蘆,是最為妥當(dāng)?shù)霓k法,但對(duì)于企業(yè)個(gè)性化的部分,鑒于十大APP的《隱私政策》在2017年的聯(lián)合檢查基本已經(jīng)進(jìn)行了完善,并通過(guò)了有關(guān)監(jiān)管部門(mén)的合規(guī)檢查,故值得各相關(guān)行業(yè)的借鑒。
在《隱私政策》內(nèi)容做到合規(guī)要求的同時(shí),企業(yè)也需要注意發(fā)布的合規(guī)要求,對(duì)于《隱私政策》的發(fā)布不僅要做真實(shí)、準(zhǔn)確、完整公開(kāi)、易于訪問(wèn),還需要增加提供起始部分的摘要,簡(jiǎn)述告知重點(diǎn)內(nèi)容。筆者認(rèn)為,應(yīng)盡量避免將隱私政策放在隱蔽的地方或者是需要用戶多次點(diǎn)擊界面后才能找到的做法,在技術(shù)上可采用彈窗、發(fā)送通知、郵件等做法。
三、《個(gè)人信息安全規(guī)范》對(duì)企業(yè)的要求是什么?
《網(wǎng)絡(luò)安全法》對(duì)企業(yè)的網(wǎng)絡(luò)安全義務(wù)和責(zé)任提出了重大要求,《個(gè)人信息安全規(guī)范》對(duì)企業(yè)內(nèi)部安全管理制度和操作規(guī)程的制度則進(jìn)一步提出具體標(biāo)準(zhǔn):
第一,應(yīng)當(dāng)明確責(zé)任部門(mén)與人員。在主要業(yè)務(wù)涉及個(gè)人信息處理,且從業(yè)人員規(guī)模大于200人或處理超過(guò)50萬(wàn)人的個(gè)人信息或者12個(gè)月內(nèi)預(yù)計(jì)處理超過(guò)50萬(wàn)的個(gè)人信息的企業(yè),應(yīng)設(shè)立專職的個(gè)人信息保護(hù)負(fù)責(zé)人和工作機(jī)構(gòu)并公開(kāi)聯(lián)系方式。
第二,當(dāng)開(kāi)展個(gè)人信息安全影響評(píng)估與審計(jì)制度,評(píng)估個(gè)人信息處理過(guò)程中可能產(chǎn)生的風(fēng)險(xiǎn)與不利影響,形成評(píng)估報(bào)告以供相關(guān)方查閱,建立自動(dòng)化審計(jì)系統(tǒng),監(jiān)測(cè)記錄個(gè)人信息處理活動(dòng),明確訪問(wèn)授權(quán)控制制度,嚴(yán)防非授權(quán)訪問(wèn)、篡改刪除記錄,及時(shí)處理審計(jì)過(guò)程中個(gè)人信息違規(guī)使用、濫用等情況。
第三,應(yīng)當(dāng)建立人員管理與培訓(xùn)制度,諸如簽署保密協(xié)議、背景審查,明確相關(guān)崗位的安全職責(zé)、建立處罰機(jī)制、專業(yè)化培訓(xùn)和考核機(jī)制。
第四,應(yīng)當(dāng)建立個(gè)人信息安全事件處置與報(bào)告制度。
四、小結(jié)
隨著我國(guó)對(duì)個(gè)人信息保護(hù)力度逐步的加強(qiáng),未來(lái)的監(jiān)管將不只停留于靜態(tài)的個(gè)人隱私政策檢查,針對(duì)個(gè)人信息保護(hù)制度是否健全的動(dòng)態(tài)檢查和監(jiān)管必然成為重點(diǎn)。《個(gè)人信息安全規(guī)范》對(duì)個(gè)人信息收集、保存、使用、處理以及個(gè)人信息安全事件處置和組織管理要求等方面提出了詳盡、明確的操作規(guī)則,理應(yīng)成為企業(yè)以及從業(yè)人員的必備工具,企業(yè)應(yīng)密切關(guān)注這一領(lǐng)域的立法以及政策動(dòng)態(tài)。
(欲瀏覽更多與本文相關(guān)的文章,可點(diǎn)擊以下鏈接進(jìn)行閱讀
)
聚焦3.15 | 數(shù)據(jù)和信息是最重要的消費(fèi)者權(quán)益
從高德地圖的《隱私政策》看互聯(lián)網(wǎng)個(gè)人信息保護(hù)