引言
本五全人大第十三届常委员会第三十次会议表决通过华人民和个人信息保护法以下简称个人信息保护法,决定于2021年11月1日起实施。
本部法律的通过,对于广大用户而言,个人信息的保护确实是越越完善了,那相应的,各种软件开发网络台介服地销售等领域的企业就面临着承担更多的责任。
不少企业从欧盟的 GDPR实施之后开始,神经就一直处于紧绷状态,GDPR相对说还只是对于数据存在跨传输接触欧盟数据的企业有约束力。现在版 GDPR 的实施,企业到底要在个人信息保护法的指引下,做出什么规定动作?各位请看过!个人信息保护法在第五章个人信息处理者的义当,正文与第二次审议稿相比,并没有太大的变化。本文根据个人信息保护法第五章个人信息处理者的义,总结出企业必须要做的十大规定动作,并据此探讨该如何完成这些动作。
一.制定内部管理制度和操作规则
无论从哪部跟信息数据相关的法律看,受到约束的企业行为都是全生命期的!
在向用户告知并取得用户同意方面,合同协议类文书确实是书面达成一致的有效要件,对外确实需要顺应现有法律和际法律趋势量身定制的隐私政策和用户服协议。
但对内而言,收集存储使用加工传输提供公开删除流程的内部管理制度一个都不能少!
怎么管?管多深?咋实际操作?企业领导们,可得好好思考了!
二.对个人信息实行分类管理
为什么要对个人信息实行分类管理?因为针对不同的个人信息,个人信息保护法提出了不同的要求,如敏感信息的处理,要求企业应当取得个人的单独同意。
企业在处理用户个人信息的过程,需要对用户个人信息实行分类管理,方便后续对不同级别的个人信息采取相应的保护措施。
最常见的分类方式是根据个人信息的内容进行分类;再根据个人信息的敏感程度进行分级,敏感程度即个人信息一旦泄露或者非法使用,个人受到歧视或者人身财安全受到危害的程度。
个人信息安全规范GBT 2020给出了相对详细的个人信息种类和个人敏感信息举例。
个人信息种类
个人敏感信息举例
以上举例以外,个人信息保护法正文明确将不满十四岁未成年人的个人信息作为敏感个人信息,并要求企业针对不满十四岁未成年人的个人信息,制定专门的个人信息处理规则,足以看出,家对十四岁未成年人权益保护的重视。
企业可以参照腾讯网易等企业制定的儿童个人隐私保护指引,制作本企业相关的规则。
企业根据自身属性,还可以选择参照电信和互联网服 用户个人信息保护分级指南YDT 27822014个人金融信息保护技术规范JRT 01712020信息安全技术 移动智能终端个人信息保护技术要求GBT 2017的规定进行个人信息的分级分类管理。
三.采取安全技术措施
企业根据个人信息分级分类的结果,采取不同的安全技术措施。以敏感个人信息为例,在充分保障用户知情权决定权等权利基础上,还需要在敏感个人信息的处理过程使用更高强度的加密措施,保障相关数据的机密性和完整性;对敏感个人信息采取严格的访问控制措施,设置内部数据审批流程,并对敏感个人信息的使用进行实时监控及预警。
四.加强人员管理和教育培训
人员管理上,企业需要明确涉及个人信息处理不同岗位人员的安全职责和操作权限,建立发生安全事件的处罚机制;与相关人员签署保密协议,并要求即使调离相关岗位或者终止劳动合同时,还需履行保密义;根据企业个人信息分类分级的结果,对大量接触敏感个人信息的人员可以进行背景调查,了解其犯罪记录诚信状况工作经历等。
个人信息保护法明确指出企业应定期对从业人员进行安全教育和培训,参考个人信息安全规范的规定,对于新员工,可以将个人信息安全作为入职培训的内容,后续再同老员工一同参加个人信息安全教育和培训;对于老员工,企业可以每年至少一次或者个人信息保护政策发生重大变化时,进行个人信息安全教育和培训,确保相关人员熟练掌握个人信息保护政策和企业最新管理制度。从培训内容看,个人信息安全的相关法律法规标行标和企业相关管理制度操作规程等,都可以纳入培训的内容。
五.制定安全事件应急预案
个人信息保护法明确将制定并组织实施个人信息安全事件应急预案上升为个人信息处理者的义。
如何制作安全事件应急预案?建议企业可以参照个人信息安全规范第10条的要求,应急预案进行以下处置
①记录事件内容,包括但不限于发现事件的人员时间地点,涉及的个 人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
②评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;
③按照家网络安全事件应急预案等有关规定及时上报,报告内容包括 但不限于涉及个人信息主体的类型数量内容性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的 联系方式;
④如果安全事件可能会给用户的合法权益造成危害的,应及时将相关情况告知用户,难以逐一告知用户时,应采取合理有效的方式发布与公众有关的警示信息。
告知内容包括安全事件的内容和影响;企业已采取或将要采取的处置措施;用户自主防范和降低风险的建议;针对用户提供的补救措施;个人信息保护负责人和个人信息保护工作机构的联系方式。
六.定期合规审计
个人信息保护法第五十四条仅明确了企业应当定期进行合规审计的原则性规定,而并未说明该如何进行合规审计。
个人信息安全规范第11.7条则作出了较为详细的审计要求,审计要求包括
①应对个人信息保护政策相关规程和安全措施的有效性进行审计;
②应建立自动化审计系统,监测记录个人信息处理活动;
③审计过程形成的记录应能对安全事件的处置应急响应和事后调查提供支撑;
④应防止非授权访问篡改或删除审计记录;
⑤应及时处理审计过程发现的个人信息违规使用滥用等情况;
⑥审计记录和留存时间应符合法律法规的要求。
七.个人信息保护影响评估
个人信息保护法正文在二次审议稿的基础上,将风险评估改为个人信息保护影响评估,用语上更加准确。
相较于其他义条款的规定,个人信息保护法第五十五条第五十六条明确规定了事前个人信息保护影响评估的对象内容保存时间,给与了企业更有利的指引。
应当进行事前评估的个人信息处理活动①处理敏感个人信息;②利用个人信息进行自动化决策;③委托处理个人信息向其他个人信息处理者提供个人信息公开个人信息;④向境外提供个人信息;⑤其他对个人权益有重大影响的个人信息处理活动。评估的内容应当包括①个人信息的处理目的处理方式等是否合法正当必要;②对个人的影响及风险程度;③所采取的安全保护措施是否合法有效并与风险程度相适应。
第五十五条还明确提出评估报告和处理情况记录应当至少保存三年的具体要求。
八.源于处理数量的企业特殊义
个人信息保护法第五十二条规定处理个人信息达到家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。
就该条规定的义而言,只有处理个人信息达到家网信部门规定数量的企业才需要承担。但现在网信办还并没有对这个数量进行定义,企业现在可以参考个人信息安全规范对数量的定义,即①处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;②处理超过10万人的个人敏感信息的。达到上述规定数量的企业,需要提前准备个人信息保护负责人的人选。
该条第二款规定的义个人信息处理者应当公开个人信息保护负责人的联系方式, 并将个人信息保护负责人的姓名联系方式等报送履行个人信息 保护职责的部门。 对于企业说,上述事项很容易就能完成,但是个人信息保护负责人需要做什么?个人信息保护法并未给出指引,可能需要等待网信办根据本条内容,制定出更为详细的规定,落实数量和个人信息保护负责人的职责和义。
现阶段,企业可以参考个人信息安全规范第11.1条对个人信息保护负责人职责的规定。个人信息保护负责人的职责包括① 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;②组织制定个人信息保护工作计划并督促落实;③ 制定签发实施定期更新个人信息保护政策和相关规程;④ 建立维护和更新组织所持有的个人信息清单包括个人信息的类型数量源接收方等和授权访问策略;⑤开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;⑥组织开展个人信息安全培训;⑦在品或服上线发布前进行检测,避免未知的个人信息收集使用享等处理行为;⑧公布投诉举报方式等信息并及时受理投诉举报;⑨进行安全审计;⑩与监督管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
九.制境外企业的特殊义
个人信息保护法第五十三条规定本法第三条第二款规定的华人民和境外的个人信息处理者,应当在华人民和境内设立专门机构或者指定代表,负责处理个人信息保护相关事,并将有关机构的名称或者代表的姓名联系方式等报送履行个人信息保护职责的部门。
这样规定的目的在于家更容易管理境外企业处理个人信息的活动。专门机构可以是境外企业的关联公司子公司分支机构等。
十.重要互联网台的特殊义
个人信息保护法第五十八条规定提供重要互联网台服用户数量巨大业类型复杂的个人信息处理者,应当履行下列义
一按照家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
二遵循公开公公正的原则,制定台规则,明确台内品或者服提供者处理个人信息的规范和保护个人信息的义;
三对严重违反法律行政法规处理个人信息的台内的品或者服提供者,停止提供服;
四定期发布个人信息保护社会责任报告,接受社会监督。
本条是个人信息保护法第五章改动最多的一条,新增了第二项的规定,明确提出符合要求的企业需要制定台规则的要求。首次从法律层面明确提出强化重要互联网台个人信息保护义的要求,但还需要立法部门监管部门在后续给出将企业认定为重要互联网台的具体条件,以及用户数量巨大业类型复杂的划分方法。
符合条件的企业不仅要管好自己,还要管好他人,对在台内的其他信息处理者进行监管。
本条第一项强调企业成立的独立监督机构需要由外部成员组成,这种要求,一定程度上是为了能更公正透明的进行监督工作,这里所指的的外部成员,可能包括信息安全测评机构律师事所等。
第四项提到个人信息保护社会责任报告,那何为个人信息保护社会责任报告?
指的是企业将其履行个人信息保护的理念战略安全措施应急预案等内容,和企业在个人信息处理活动对社会用户个人等造成的直接和间接影响取得的成绩等信息,进行系统的梳理和总结,并向社会公众方进行披露的文件。可以参照腾讯华为兴等企业发布的隐私保护白皮书。
结语
我个人信息保护法是一部个人信息权益保障法,严格规制企业处理个人信息的全过程,并在结合网络安全法民法典等法律法规和个人信息安全规范等家标准的规定上,总结其实施经验,整体上互相契合。
在个人信息保护法还未实施的现在,工信部就已经在定期对各类APP进行个人信息安全审查,通报要求不合格的进行整改。可想而知,个人信息保护法实施以后,企业需要面对的是何种监管力度。
而且个人信息保护法的处罚手段不仅仅是要求整改,还涉及五千万元以下或者企业上一年度营业额百分之五以下的高额罚款;直接负责的主管人员和其他直接责任人员也可能面临十万元以上一百万元以下的罚款,并可能还被禁止在一段时间内进行相关任职。
企业完成个人信息保护法规定动作的任已经刻不容缓,早日行动起,避免人财两空!
龙朝阳 泰和泰律师