解析新版《个人信息安全规范》中的个人信息保护负责人制度
个人信息处理和保护制度
个人信息处理和保护制度一、目的和范围本制度旨在规范本单位的个人信息处理活动,保护个人信息权益,维护本单位的合法权益和社会信誉,防范个人信息安全风险,遵守相关法律法规的规定。
本制度适用于本单位及其从业人员在中华人民共和国境内处理自然人个人信息的活动。
二、定义个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
个人信息处理者是指确定个人信息的处理目的和处理方式,并对个人信息处理活动负责的单位。
个人信息受托人是指按照个人信息处理者的委托,为实现个人信息处理者确定的处理目的而处理个人信息的单位。
敏感个人信息是指一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括种族、民族、宗教信仰、个人生物识别信息、医疗健康信息、金融账户信息、个人行踪轨迹信息等。
三、处理原则本单位在处理个人信息时,应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
本单位在处理个人信息时,应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
本单位在处理个人信息时,应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
本单位在处理个人信息时,应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
本单位在处理个人信息时,应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
四、处理规则(一)取得个人同意本单位在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项,并取得个人的同意:•本单位的名称和联系方式;•个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;•个人行使本制度规定权利的方式和程序;•法律、行政法规规定应当告知的其他事项。
个人信息保护管理制度
个人信息保护管理制度第一章总则第一条为规范和加强对个人信息的管理和保护,保障个人信息安全,促进信息化建设与个人权益的充分保障,制定本管理制度。
第二条本管理制度适用于任何收集、使用和管理个人信息的单位,包括但不限于政府机构、企事业单位、社会团体等,以及通过互联网、移动通信等方式收集、使用和管理个人信息的个人。
第三条个人信息指可以单独或者与其他信息结合识别特定自然人身份的各种信息。
第四条本管理制度的制定、实施和监督由信息主管部门负责。
第五条收集、使用和管理个人信息的单位应当依法、合理、必要地获取个人信息,并对收集的个人信息进行保护。
第六条收集、使用和管理个人信息的单位应当建立健全个人信息保护管理制度和规范操作规程,明确相关责任人员和部门,实施有效的技术和管理措施,保障个人信息的安全。
第七条收集、使用和管理个人信息的单位应当及时更新个人信息保护管理制度,根据个人信息保护的需要,加强技术和管理措施的更新和改进。
第八条收集、使用和管理个人信息的单位应当合法、合理使用个人信息,不得违反法律法规和损害个人信息主体的合法权益。
第九条收集、使用和管理个人信息的单位应当对员工进行个人信息保护的教育和培训,提高员工对个人信息保护的意识和能力。
第二章个人信息收集和使用第十条收集、使用和管理个人信息的单位应当明确个人信息的使用目的和范围,经过个人信息主体同意后,才能进行收集和使用。
第十一条收集、使用和管理个人信息的单位应当遵循最少数据原则,采取最小授权范围获取个人信息。
第十二条收集、使用和管理个人信息的单位应当妥善保管个人信息,严禁将个人信息泄露给无相关管理权限的人员和部门。
第十三条收集、使用和管理个人信息的单位不得违反法律法规和超出授权的范围收集、使用个人信息。
第十四条收集、使用和管理个人信息的单位应当及时对收集的个人信息进行及时更新和纠正,保证个人信息的准确性和完整性。
第十五条收集、使用和管理个人信息的单位应当建立个人信息保护委员会或者专门负责个人信息保护的机构,定期进行安全审计和风险评估,做好风险控制和应急预案。
个人信息安全保护管理制度
一、总则1.1 目的为加强我单位个人信息安全管理,保障个人信息安全,防止个人信息泄露、损毁和滥用,依据《中华人民共和国个人信息保护法》等相关法律法规,特制定本制度。
1.2 适用范围本制度适用于我单位全体员工、外包服务提供商及合作伙伴等涉及个人信息处理的相关人员。
1.3 定义个人信息:指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
二、管理原则2.1 合法、正当、必要原则:收集、使用个人信息应当遵循合法、正当、必要的原则,不得超出实现处理目的所必需的范围。
2.2 明确目的原则:收集、使用个人信息应当明确具体的目的,不得超出目的范围。
2.3 最小化原则:收集、使用个人信息应当尽量做到最小化,不得收集、使用不必要的个人信息。
2.4 安全性原则:采取技术和管理措施,确保个人信息安全,防止个人信息泄露、损毁和滥用。
2.5 公开透明原则:个人信息收集、使用、存储、处理和传输等活动应当公开透明,用户应当了解自己的信息如何被处理。
2.6 责任追究原则:对违反本制度规定的人员,依法依规追究其责任。
三、个人信息收集与使用3.1 个人信息收集(1)收集个人信息应当取得个人信息主体的明确同意,并告知收集的目的、范围、方式、时间、地点等信息。
(2)收集个人信息时,应当采用合法、正当、必要的手段。
3.2 个人信息使用(1)个人信息的使用应当符合收集时的目的,不得超出目的范围。
(2)未经个人信息主体同意,不得将个人信息用于其他目的。
(3)个人信息的使用应当遵循最小化原则,不得收集、使用不必要的个人信息。
四、个人信息存储与处理4.1 个人信息存储(1)存储个人信息应当采取安全措施,确保个人信息安全。
(2)存储个人信息应当设置合理的期限,不得超过实现处理目的所必需的期限。
4.2 个人信息处理(1)处理个人信息应当遵循合法、正当、必要的原则。
(2)处理个人信息应当采取技术和管理措施,确保个人信息安全。
个人信息保护制度及措施
个人信息保护制度及措施背景在信息技术快速发展的时代,个人信息已成为数字经济的重要资源,同时也面临着泄露和滥用的风险。
为了保护个人信息的安全和隐私,制定个人信息保护制度及措施显得尤为重要。
目的本文档旨在介绍个人信息保护制度及措施的重要性,并提供一些简单实用的策略,以有效保护个人信息的安全和隐私。
个人信息保护制度1. 法律法规的制定与执行:建立并完善与个人信息保护相关的法律法规,包括但不限于个人信息保护法、网络安全法等。
同时,加强对这些法律法规的执行力度,确保其有效实施。
:建立并完善与个人信息保护相关的法律法规,包括但不限于个人信息保护法、网络安全法等。
同时,加强对这些法律法规的执行力度,确保其有效实施。
2. 个人信息的收集与使用:在收集个人信息时,必须遵循合法、正当、必要的原则,并明确告知被收集信息的主体。
在使用个人信息时,应明确用途,并经过被收集信息的主体同意。
任何收集和使用个人信息的行为都应遵守相关法律法规的规定。
:在收集个人信息时,必须遵循合法、正当、必要的原则,并明确告知被收集信息的主体。
在使用个人信息时,应明确用途,并经过被收集信息的主体同意。
任何收集和使用个人信息的行为都应遵守相关法律法规的规定。
3. 个人信息安全措施:采取必要的技术和管理措施,保护个人信息的安全。
包括但不限于加密技术、访问控制、安全审计等,以防止个人信息的泄露、篡改和丢失。
:采取必要的技术和管理措施,保护个人信息的安全。
包括但不限于加密技术、访问控制、安全审计等,以防止个人信息的泄露、篡改和丢失。
4. 敏感个人信息的特殊保护:针对敏感个人信息,如身份证号码、银行账号等,应采取更严格的保护措施,并限制其收集和使用的范围。
:针对敏感个人信息,如身份证号码、银行账号等,应采取更严格的保护措施,并限制其收集和使用的范围。
个人信息保护措施1. 加强安全意识培训:对个人信息处理人员进行个人信息保护的相关培训,提高其安全意识和法律法规的认知水平。
个人信息保护工作制度
个人信息保护工作制度一、目的和意义随着科技的飞速发展和互联网的普及,个人信息已经成为一种重要的资源。
然而,与此同时,个人信息泄露、滥用等问题也日益严重。
为了保护个人信息的安全,维护公民的合法权益,我国制定了一系列个人信息保护工作制度。
这些制度的建立旨在加强个人信息的保护,提高个人信息管理水平,促进数字经济的发展。
二、个人信息保护工作制度的主要内容1. 个人信息保护法律法规体系个人信息保护法律法规体系是个人信息保护工作制度的基础。
我国已经出台了《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规,对个人信息的保护进行了明确的规定。
这些法律法规为个人信息保护工作提供了法律依据和指导。
2. 个人信息保护的组织架构个人信息保护的组织架构是个人信息保护工作制度的重要组成部分。
我国建立了由国家互联网信息办公室、公安部、市场监管总局等部门组成的个人信息保护工作协调机制,负责统筹协调和指导全国的个人信息保护工作。
同时,各级网信办、公安机关、市场监管部门等也设立了专门的个人信息保护工作机构,负责本地区、本部门的个人信息保护工作。
3. 个人信息保护的工作机制个人信息保护的工作机制是个人信息保护工作制度的核心。
我国建立了以下几个方面的工作机制:(1)信息收集和使用规范:个人信息收集和使用应当遵循合法、正当、必要的原则,明确个人信息收集的范围、目的、方式和期限,并取得个人信息主体的同意。
(2)个人信息保护技术措施:采取加密、脱敏、访问控制等技术措施,确保个人信息的安全。
(3)个人信息保护教育和培训:加强对个人信息保护的宣传教育,提高从业人员个人信息保护意识和技能。
(4)个人信息保护监督检查:加强对个人信息保护工作的监督检查,及时发现和纠正个人信息保护工作中的问题。
(5)个人信息保护应急处置:建立个人信息保护应急处置机制,及时应对和处理个人信息泄露、滥用等事件。
4. 个人信息保护的责任和义务个人信息保护的责任和义务是个人信息保护工作制度的重要内容。
个人信息保护工作制度(3篇)
第1篇第一章总则第一条为加强个人信息保护工作,保障个人信息安全,依据《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规,结合我单位实际情况,制定本制度。
第二条本制度适用于我单位内部所有涉及个人信息处理的活动,包括但不限于收集、存储、使用、加工、传输、提供、公开等环节。
第三条本制度旨在规范个人信息处理行为,提高个人信息保护意识,建立健全个人信息保护工作机制,确保个人信息安全。
第二章组织机构与职责第四条成立个人信息保护工作领导小组,负责本制度的组织实施和监督检查工作。
第五条个人信息保护工作领导小组职责:(一)组织制定个人信息保护工作规划、政策和标准;(二)指导、监督各部门和个人信息保护工作的开展;(三)组织对个人信息保护工作进行评估、检查和整改;(四)处理个人信息保护工作中的重大问题和投诉;(五)组织开展个人信息保护宣传教育活动。
第六条各部门职责:(一)各部门负责人为本部门个人信息保护工作的第一责任人,负责本部门个人信息保护工作的组织实施;(二)各部门应指定专人负责个人信息保护工作,具体负责本部门个人信息处理活动的日常管理;(三)各部门应建立健全个人信息保护工作制度,明确个人信息处理活动的流程、权限和责任。
第三章个人信息处理原则第七条个人信息处理应遵循以下原则:(一)合法、正当、必要原则;(二)明确目的、最小化原则;(三)安全、保密原则;(四)责任明确原则。
第八条未经个人同意,不得收集、使用个人信息;收集、使用个人信息应当限于实现处理目的所必需的范围和限度。
第四章个人信息收集第九条收集个人信息应当遵循以下要求:(一)明确收集目的、范围、方式和用途;(二)告知个人收集、使用个人信息的情况;(三)不得收集与处理目的无关的个人信息;(四)采取必要措施保障个人信息安全。
第十条收集个人信息的方式:(一)通过网站、应用程序等公开渠道收集;(二)通过问卷调查、登记、报名等途径收集;(三)通过与其他单位或个人合作收集;(四)其他合法收集方式。
个人信息保护制度
个人信息保护制度个人信息保护制度是指国家和组织为了保护个人信息安全而制定的一系列法律、法规和措施。
在信息技术的快速发展和信息化程度不断提高的背景下,个人信息的泄露和滥用愈发严重,个人信息保护制度的建设也变得尤为重要。
本文将从国家层面和组织层面来探讨个人信息保护制度。
在国家层面,个人信息保护制度的建设需要法律法规的支持。
国家应制定相关的法律,明确个人信息的定义、分类和保护的具体要求。
法律还应明确个人信息的收集和处理需经过个人同意,并对违法个人信息的收集和处理行为进行严惩。
此外,国家还应设立相应的机构或部门,负责监督和管理个人信息的保护工作,建立个人信息保护的投诉和仲裁机制。
个人信息保护制度的建设还需加强宣传和教育。
国家应加强对公众的个人信息保护意识的培养,开展相关的宣传活动,普及个人信息保护的知识和技能,提高公众的自我保护能力。
同时,加强对从事个人信息处理的从业人员的培训和教育,增强其个人信息保护的意识和能力。
在组织层面,个人信息保护制度的建设需要公司或组织制定相应的政策和措施。
首先,公司或组织应制定个人信息收集、处理和存储的规范,明确个人信息的使用范围和目的,并确保个人信息的合法性和安全性。
其次,公司或组织应建立完善的个人信息保护管理机制,包括信息处理流程的设计、权限的分配和审查机制的建立,确保个人信息在处理过程中的安全性和隐私性。
同时,公司或组织还应建立个人信息保护的审计和风险管理体系,定期进行个人信息的审核和评估,发现和修正潜在的安全风险。
此外,公司或组织还应加强对员工的教育和培训。
通过开展个人信息保护的培训课程,提高员工的个人信息保护意识和技能,明确其在个人信息处理过程中的责任和义务。
在雇佣合同时,公司或组织应与员工签订保密协议,明确禁止他们泄露个人信息,对违反保密协议的员工进行相应的纪律处分。
个人信息保护制度的建设还需要技术手段的支持。
公司或组织应对个人信息进行合理的技术保护措施,包括加密技术、安全访问控制、安全存储和传输等,确保个人信息在收集、传输和存储过程中的安全性。
单位个人信息保护工作制度
单位个人信息保护工作制度一、总则为了保护单位员工的个人信息安全,防止个人信息泄露、损毁、丢失,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等法律法规,结合单位实际情况,制定本制度。
单位应当将个人信息保护工作纳入单位网络安全工作整体规划,建立健全个人信息保护制度,明确个人信息保护的责任和义务,提高个人信息保护意识和能力,确保个人信息安全。
二、个人信息保护组织与管理1. 设立个人信息保护工作机构,负责单位个人信息保护工作的统筹协调和组织实施。
2. 明确个人信息保护工作负责人,负责单位个人信息保护工作的日常管理和监督。
3. 各部门、分支机构应设立个人信息保护工作联络人,负责本部门、分支机构个人信息保护工作的具体实施。
4. 定期开展个人信息保护培训和宣传活动,提高员工的个人信息保护意识和能力。
三、个人信息采集与使用1. 单位采集个人信息应当遵循合法、正当、必要的原则,明确个人信息采集的目的、范围和方式,并告知个人信息主体。
2. 单位应当建立健全个人信息使用制度,明确个人信息使用的范围、条件和程序,防止个人信息被非法使用。
3. 单位应当对个人信息进行分类管理,根据个人信息的重要性、敏感程度和风险程度,采取相应的保护措施。
4. 单位应当建立健全个人信息共享制度,明确个人信息共享的范围、条件和程序,确保个人信息在共享过程中的安全。
四、个人信息存储与传输1. 单位应当建立健全个人信息存储制度,采取技术和管理措施,确保个人信息的安全存储。
2. 单位应当建立健全个人信息传输制度,采取加密等安全措施,确保个人信息在传输过程中的安全。
3. 单位应当对存储和传输的个人信息进行定期检查和维护,确保个人信息系统的安全运行。
五、个人信息处理与销毁1. 单位应当建立健全个人信息处理制度,明确个人信息处理的流程和要求,确保个人信息处理的合法性和安全性。
2. 单位应当对个人信息进行定期清理,删除不再需要的个人信息,防止个人信息的过度积累和滥用。
解读国标GBT《信息安全技术个人信息安全规范》
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间:2018-01-28浏览:578按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。
本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。
一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容:6.1 个人信息保存时间最小化对个人信息控制者的要求包括:a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
6.2 去标识化处理收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括:a) 传输和存储个人敏感信息时,应采用加密等安全措施;b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时,应:a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。
二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:9.1 安全事件应急处置和报告对个人信息控制者的要求包括:a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。
解析新版《个人信息安全规范》中的个人信息保护负责人制度
解析新版《个人信息安全规范》中的个人信息保护负责人制度2020-08-03《网络安全法》出台后,特别是2018年5月1日《信息安全技术 个人信息安全规范》(“旧版规范”)生效以来,不少企业已经搭建起个人信息保护制度框架。
数据合规体系是动态的有机体,需要静态的制度框架,更需要合规人员的动态推动,将制度融入商业决策与交易中。
即将于2020年10月1日生效的《信息安全技术 个人信息安全规范》(“新版规范”或“《安全规范》”)针对个人信息保护负责人的规定,较旧版规范而言更为具体且务实。
一、为什么要建立个人信息保护负责人制度个人信息保护负责人是指全面实施统筹组织公司个人信息保护工作、对个人信息安全负直接责任的公司人员。
设立个人信息保护负责人对企业落地数据合规制度至关重要。
具体而言,科学有效的个人信息保护负责人制度既可提高企业法律风险防御能力,亦可增强其核心竞争力。
(一)提高企业风险防御能力个人信息保护不力会给企业带来巨大损失:政府调查与处罚轻则迫使企业整改、重则颠覆既有商业模式、甚至导致企业与主要负责人承担刑事责任;个人信息安全事件如果不能及时、妥善处理,企业所面对的信任危机可能比处罚带来的社会影响更为深远;广大民众不断觉醒的个人信息保护意识更是促使企业时刻不得松懈。
个人信息保护负责人既可以帮助企业在日常工作中未雨绸缪又可能在危机事件中力挽狂澜,提高企业防御风险的综合能力。
2017年3月,有消费者认为其个人信息遭到泄露而将某航空公司起诉至法院。
法院综合认定被告存在泄露个人信息的高度可能,同时认为法律对经营者采取技术措施和其他必要措施保护消费者个人信息施以强制规定。
但是,被告未能证明其已履行法定的个人信息保护义务。
[1]2019年12月,同一家航空公司因类似事由被起诉,但法院认为被告在自身掌握信息阶段不存在泄露个人信息的事实。
原因在于,航空公司不仅对可查看订单信息的管理系统进行数据脱敏设置,还建立起严密的数据安全管理制度、就数据存储安全进行专门认证、与专业第三方进行合作。
个人信息保护责任制度范本
一、总则第一条为加强个人信息保护工作,落实个人信息保护责任,依据《中华人民共和国个人信息保护法》等相关法律法规,制定本制度。
第二条本制度适用于公司内部所有涉及个人信息收集、存储、使用、传输、处理、删除等环节的人员。
第三条本制度旨在规范个人信息保护工作,明确个人信息保护责任,保障个人信息主体权益,维护公司合法权益。
二、个人信息保护责任主体第四条公司法定代表人为个人信息保护第一责任人,对个人信息保护工作全面负责。
第五条公司各部门负责人为部门个人信息保护责任人,对本部门个人信息保护工作负直接责任。
第六条公司全体员工为个人信息保护责任义务人,应遵守本制度,履行个人信息保护义务。
三、个人信息保护原则第七条个人信息保护工作遵循以下原则:(一)合法、正当、必要原则:收集、使用个人信息,必须遵循法律法规,不得超出业务需求。
(二)明确告知原则:在收集、使用个人信息前,应当向个人信息主体告知收集、使用信息的目的、方式、范围、期限等。
(三)最小化原则:收集、使用个人信息,应当限于实现处理目的所必需的范围和限度。
(四)安全原则:采取必要措施保障个人信息安全,防止个人信息泄露、损毁、篡改等。
四、个人信息保护工作流程第八条个人信息收集:(一)明确收集目的、范围、方式、期限等;(二)告知个人信息主体收集信息的目的、方式、范围、期限等;(三)取得个人信息主体同意;(四)对收集的个人信息进行分类、存储。
第九条个人信息使用:(一)按照收集目的使用个人信息;(二)不得超出收集目的使用个人信息;(三)不得泄露、损毁、篡改个人信息。
第十条个人信息传输:(一)传输个人信息,应当采取必要措施确保信息安全;(二)不得向未授权的第三方传输个人信息。
第十一条个人信息存储:(一)存储个人信息,应当采取必要措施确保信息安全;(二)不得泄露、损毁、篡改个人信息。
第十二条个人信息删除:(一)删除个人信息,应当确保无法恢复;(二)删除个人信息前,应当告知个人信息主体。
全行个人客户信息保护遵循的工作责任制
全行个人客户信息保护遵循的工作责任制
全行个人客户信息保护的工作责任制包括以下几个方面:
1. 信息保护责任人:指定一位专门负责个人客户信息保护的责任人,负责制定保护政策、监督实施、协调各部门的工作,并负责信息泄露事件的处理。
2. 部门及岗位责任:各部门和岗位在个人客户信息保护中分别承担责任,包括信息收集、存储、处理、传输等环节,各部门和岗位要严格按照相关制度和规范进行操作,并加强信息安全意识和培训。
3. 信息安全管理制度:建立完善的信息安全管理制度,规范信息的使用和保护方式,包括个人客户信息的采集、存储、传输、处理等方面的规定,确保信息的安全性和保密性。
4. 风险评估和隐患排查:定期进行个人客户信息安全风险评估,发现隐患后及时排查并采取相应措施解决,防范信息泄露和被盗用的风险。
5. 严格权限管理:对个人客户信息的访问和使用进行权限管理,确保只有授权人员能够访问和处理敏感信息,同时对操作日志进行监控和审计。
6. 信息安全培训和教育:定期组织信息安全培训和教育活动,提高员工对个人客户信息保护重要性的认识,加强信息安全意识和防范意识,降低信息泄露的风险。
7. 信息安全检查和审计:定期进行信息安全检查和审计,对个人客户信息的采集、存储、传输和处理等环节进行检查和审计,发现问题及时纠正并改进工作。
8. 信息泄露事件处理:建立信息泄露事件处理机制,一旦出现信息泄露事件,要及时采取措施遏制损失并进行调查,同时采取必要的补救和防范措施,以减少损失并防止再次发生类似事件。
以上是对全行个人客户信息保护遵循的工作责任制的具体要求,通过严格落实责任制,可以提高个人客户信息的保护水平,保障客户的权益和信息安全。
个人信息保护负责人的职责
个人信息保护负责人的职责哎,说起个人信息保护负责人的职责,这可真是个让人头大的活儿。
你想想,现在这信息时代,谁的手机里没个几十个App,哪个App不收集点个人信息?这保护工作,可不就是得像侦探一样,得时刻盯着,防止个人信息被滥用。
首先,咱们得明确,个人信息保护负责人,这活儿不是随便谁都能干的。
你得懂法律,知道哪些信息能收集,哪些不能。
还得懂技术,知道这些信息是怎么被收集的,怎么被存储的,怎么被保护的。
这就好比,你得知道怎么锁门,还得知道怎么开锁,更得知道怎么防止别人撬锁。
比如说,你得定期检查公司的数据处理流程。
这就好比你家里有个保险柜,你得知道里面放了什么,怎么放进去的,怎么拿出来的。
你得确保这个过程是安全的,没有漏洞。
这就需要你和IT部门紧密合作,确保所有的技术措施都是最新的,能够抵御黑客攻击。
然后,你还得负责培训员工。
这就好比你家里来了个新保姆,你得告诉她,哪些东西能碰,哪些东西不能碰。
你得让员工明白,个人信息不是儿戏,不能随便泄露。
这就需要你定期举办培训,讲解相关的法律法规,讲解公司的隐私政策。
再来说说,你得处理数据泄露事件。
这就好比你家里进了贼,你得知道怎么报警,怎么保护现场,怎么追回失窃的物品。
你得迅速响应,调查泄露的原因,采取措施防止进一步的泄露,还得向有关部门报告。
最后,你还得和客户沟通。
这就好比你家里来了客人,你得告诉他们,你家里有哪些规矩,不能随便乱动东西。
你得让客户明白,他们的信息是安全的,你公司是负责任的。
哎,这活儿真是不容易。
你得像侦探一样,时刻保持警惕,防止个人信息被滥用。
你得像老师一样,教育员工,提高他们的隐私意识。
你得像警察一样,处理数据泄露事件,保护客户的利益。
你得像管家一样,和客户沟通,维护公司的形象。
但是,这活儿也很重要。
个人信息保护,关系到每个人的隐私权,关系到社会的稳定。
作为个人信息保护负责人,你得承担起这个责任,保护好每个人的个人信息。
这不仅是你的职责,也是你的使命。
公司内个人信息保护负责人职责
公司内个人信息保护负责人职责1. 背景介绍在现代社会中,个人信息的保护越来越受到重视。
随着互联网和信息技术的发展,个人信息的收集、存储和处理已经成为企业日常运营中不可或缺的一部分。
然而,由于信息泄露和滥用的风险不断增加,企业需要设立个人信息保护负责人来确保个人信息的安全和合规处理。
2. 个人信息保护负责人职责概述作为公司内个人信息保护负责人,您将承担以下职责:2.1 制定和完善个人信息保护制度您需要研究、制定和完善公司的个人信息保护制度,并确保其与相关法律法规和标准相符。
制度应包括个人信息收集、存储、使用、共享、转让和销毁等方面的规定,以及相关风险评估和应急预案。
2.2 监督和指导个人信息处理活动您需要监督并指导公司内部各部门对个人信息的处理活动。
这包括确保合法、正当、必要原则的遵守,以及信息安全措施的落实。
您还需要对个人信息处理活动进行风险评估,及时发现和解决潜在的安全风险。
2.3 组织开展个人信息保护培训为了提高员工的个人信息保护意识和能力,您需要组织开展相关培训活动。
培训内容应包括个人信息保护法律法规、公司内部制度和操作规范等方面的知识,以及个人信息泄露和滥用的风险防范方法。
2.4 接受和处理个人信息相关投诉和举报作为个人信息保护负责人,您需要设立投诉和举报渠道,接受并及时处理与个人信息有关的投诉和举报。
您还需要协调内部各部门解决相关问题,并及时向相关监管机构报告。
2.5 参与个人信息安全风险评估和合规审查您需要参与公司的个人信息安全风险评估工作,并根据评估结果提出改进意见。
您还需要参与公司的合规审查工作,确保公司在个人信息处理方面符合法律法规和标准的要求。
2.6 跟踪和应对个人信息保护的最新动态个人信息保护领域的法律法规和标准不断更新和演变,您需要跟踪并及时了解相关政策、法规和标准的最新动态。
您还需要将最新的信息传达给公司内部,并根据需要进行相应的调整和改进。
3. 个人信息保护负责人的能力要求作为公司内个人信息保护负责人,您需要具备以下能力:3.1 专业知识您需要熟悉个人信息保护相关的法律法规、标准和最佳实践,了解个人信息处理活动中存在的风险和安全措施。
个人隐私与信息安全的合理保护机制与制度
个人隐私与信息安全的合理保护机制与制度在当今数字化时代,个人隐私和信息安全保护变得至关重要。
随着科技的迅猛发展,人们的个人信息越来越容易被获取和使用,而这也带来了信息安全的隐患。
为了保护个人隐私和信息安全,建立合理的保护机制与制度变得势在必行。
一、加强个人信息保护的法律法规为了加强对个人信息的保护,制定相关的法律法规是必不可少的。
政府应制定严格的个人信息保护法律,规定个人信息的收集、使用、处理和保护的具体规定。
这些法律法规应明确规定个人信息的所有权、许可使用范围、使用者责任等内容,以确保个人信息不受侵犯。
二、建立个人信息保护的监管机构为了更好地保护个人隐私和信息安全,建立个人信息保护的监管机构是必要的。
该机构应负责监督和执法个人信息保护法律法规,确保这些规定得到有效执行。
同时,监管机构还可以负责协调个人信息保护工作、收集信息安全漏洞以及应对信息泄露事件等工作,提高个人信息保护的效果。
三、加强个人信息保护的技术手段除了法律法规和监管机构的建立外,加强技术手段也是个人信息保护的关键。
各类互联网企业应加强个人信息的存储和处理安全,采取有效的加密和防火墙等措施,保护个人信息的安全性。
此外,个人用户也应增强信息安全意识,设置复杂的密码、定期更换密码、不随意泄露个人信息等,以降低个人信息被获取和利用的风险。
四、加强个人信息保护的教育宣传为了提高公众对个人隐私和信息安全的意识,加强教育宣传也非常重要。
政府部门可以通过媒体、官方网站等渠道向公众普及信息安全知识,提醒他们保护个人隐私的重要性。
企业也可以开展相应的培训和教育活动,提高员工的信息安全意识,加强对个人信息保护的重视。
五、加强个人信息跨境流动的合作与规范在全球化的背景下,个人信息的跨境流动成为一种趋势。
为了更好地保护个人信息安全,各国应加强合作,制定统一的个人信息保护标准和规范。
同时,跨境企业也需要承担相关责任,确保个人信息在跨境流动中的安全。
综上所述,个人隐私与信息安全的合理保护机制与制度至关重要。
个人信息保护的管理制度
个人信息保护的管理制度
为保障个人信息安全,本机构制定了以下个人信息保护的管理制度:
1. 安全保护责任制度
(1)明确安全保护责任人员,并对其进行培训和考核。
(2)建立安全保护工作流程,确保个人信息得到妥善处理,防止泄露、丢失、损毁。
(3)对重要的个人信息数据备份和存储,以备不时之需。
2. 个人信息采集、使用、存储、共享、转移控制制度
(1)明确个人信息采集、使用、存储、共享、转移的范围、方式、目的和必要性。
(2)遵守法律法规,严格限制个人信息的使用和共享范围。
(3)个人信息存储采用加密、备份等措施,严格避免未授权的访问。
(4)个人信息转移需要经过授权,并进行安全加密传输。
3. 个人信息处理安全管理制度
(1)建立完整的信息安全管理体系,包括信息安全政策、安全保障措施和应急预案等。
(2)建立信息安全风险评估和管理机制,及时发现和处理安全漏洞和风险。
(3)加强对个人信息处理人员的培训和监管,确保其遵循处理规范和安全要求。
4. 个人信息泄露事件处理制度
(1)建立个人信息泄露事件应急预案,及时处理和通报个人信息泄露事件。
(2)开展个人信息泄露事件调查与溯源,采取有效措施防止事件再次发生。
以上制度是本机构为保障个人信息安全而制定的管理制度,将得到有关部门和合作伙伴的支持和配合,共同维护个人信息安全。
论个人信息保护负责人
论个人信息保护负责人一、个人信息保护负责人的定义和职责定义:个人信息保护负责人是指在组织内部负责制定、实施和监督个人信息保护政策,确保组织遵守相关法律法规,保护用户隐私权益的专业人员。
他们的主要职责是识别和管理组织内的个人信息风险,制定相应的控制措施,并确保这些措施得到有效执行。
制定和更新个人信息保护政策:个人信息保护负责人需要根据国家法律法规、行业标准和组织实际情况,制定或更新个人信息保护政策,明确组织对个人信息的收集、使用、存储、传输、披露和销毁等方面的要求。
识别和评估个人信息风险:个人信息保护负责人需要定期对组织内的数据进行风险评估,识别可能存在的个人信息泄露、滥用或其他安全问题,并采取相应的预防措施。
制定个人信息保护控制措施:根据风险评估结果,个人信息保护负责人需要制定一系列个人信息保护控制措施,包括技术手段、管理措施和培训教育等,以降低个人信息泄露的风险。
监督和检查:个人信息保护负责人需要定期对组织的个人信息保护工作进行监督和检查,确保各项控制措施得到有效执行,及时发现和纠正存在的问题。
应对个人信息泄露事件:一旦发生个人信息泄露事件,个人信息保护负责人需要迅速启动应急预案,采取措施减少损失,并向有关部门报告,配合调查处理。
培训和宣传:个人信息保护负责人需要组织和开展个人信息保护培训和宣传活动,提高全体员工的个人信息保护意识和技能。
与外部机构合作:在涉及跨境数据传输或者与其他组织共享个人信息的情况下,个人信息保护负责人需要与相关外部机构建立合作关系,共同履行数据保护义务。
1. 个人信息保护负责人的概念及由来随着互联网技术的飞速发展和信息化社会的深入推进,个人信息在人们的日常生活中扮演着越来越重要的角色。
随之而来的是个人信息泄露、滥用等问题日益严重,给人们的生活带来了诸多不便和风险。
为了应对这一挑战,各国政府和相关组织纷纷制定了关于个人信息保护的法律法规,以保障公民的隐私权和信息安全。
在这个背景下,个人信息保护负责人的概念应运而生。
保护个人信息的规章制度
保护个人信息的规章制度第一章总则第一条为了加强个人信息的保护,保障个人信息主体的合法权益,规范个人信息处理活动,维护社会公共利益,根据相关法律法规,制定本规章。
第二条本规章所称个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份的各种信息。
第三条个人信息主体是指信息所指代的自然人,如个人信息有关事项需取得信息主体同意的,信息主体具有决定权。
第四条个人信息处理是指采取对个人信息进行收集、记录、组织、存储、使用、传输、披露、交换、调取、销毁等一系列活动的过程。
第五条信息主体在个人信息处理活动中享有以下权利:(一)查询权:有权查询自己的个人信息;(二)更正权:有权要求更正自己的个人信息;(三)删除权:有权要求删除自己的个人信息;(四)撤回同意权:有权撤回对个人信息的同意;(五)访问权:有权访问自己的个人信息;(六)转移权:有权同意自己的个人信息被转移;(七)申诉权:有权向相关主管部门投诉。
第六条个人信息处理应当遵循合法、正当、必要、明确的原则,明确个人信息的处理目的、方式、范围,严格保护信息主体的个人信息安全。
第七条个人信息处理活动应当遵循具体目的明确、明示同意、积极主动、安全保障、可终止的原则,合理限制个人信息的处理范围。
第八条各单位和个人在收集、使用、处理个人信息时,应当具有合法的权利和充足的资源,同时建立健全个人信息保护的政策、制度和技术措施。
第九条个人信息处理活动应当针对不同风险等级的信息制定相应的保护措施,并定期进行风险评估,发现漏洞及时修复。
第十条个人信息处理活动涉及重要公共利益、国家安全和个人重要利益的应当向信息主体及相关主管部门报备,并经核准后进行处理。
第二章个人信息的采集、使用和提供第十一条个人信息的采集应当基于明确的目的,并经信息主体同意或法律、法规规定的例外情况下方可以进行。
第十二条个人信息处理应当限定于特定、明确的目的范围内,不得超出合理范围,不得滥用个人信息。
个人信息保护管理制度
个人信息保护管理制度文档控制页一、总则为保证个人信息处理、使用及利用的目的与个人信息主体的意愿一致,不超目的、超范围处理、利用;加强信息系统个人信息数据的安全管理,保证个人信息安全,特制定本制度。
二、定义(一)个人信息:与特定个人相关、并可识别该个人的信息,如数据、图像、声音等,包括不能直接确认,但与其他信息对照、参考、分析仍可间接识别特定个人的信息。
(二)个人信息主体:可通过个人信息识别的特定的自然人。
(三)个人信息数据库:为实现一定的目的,按照某种规则组织的个人信息的集合体。
包括:磁介质、电子及网络媒介,纸介质,声音,照片等。
(四)个人信息管理者:获个人信息主体授权,基于特定、明确、合法目的,管理、处理、使用、利用个人信息的机关、企业、事业、社会团体等组织及个人。
(五)收集:基于特定、明确、合法的目的获取个人信息的行为。
(六)处理:处理个人信息的过程,如录入、加工、编辑、存储、检索、交换、传输、输出等行为及其它处理行为。
(七)使用:基于特定、明确、合法的目的,运用个人信息的行为。
(八)利用:基于特定、明确、合法的目的,提供、委托第三方处理、使用个人信息及其它因某种利益处理、使用个人信息的行为。
(九)隐私:是一种与公共利益、群体利益无关,当事人不愿他人知道或他人不便知道的个人信息,当事人不愿他人干涉或他人不便干涉的个人私事,以及当事人不愿他人侵入或他人不便侵入的个人领域。
(十)隐私权:隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、收集、利用和公开的一种人格权,而且权利主体对他人在何种程度上可以介入自己的私生活,对自己是否向他人公开隐私以及公开的范围和程度等具有决定权隐私权作为一种基木人格权利,是指公民享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、捜集、利用和公开的一种人格权三、职责(一)信息安全领导小组:负责个人信息管理者的个人信息保护工作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
解析新版《个人信息安全规范》中的个人信息保护负责人制度2020-08-03《网络安全法》出台后,特别是2018年5月1日《信息安全技术 个人信息安全规范》(“旧版规范”)生效以来,不少企业已经搭建起个人信息保护制度框架。
数据合规体系是动态的有机体,需要静态的制度框架,更需要合规人员的动态推动,将制度融入商业决策与交易中。
即将于2020年10月1日生效的《信息安全技术 个人信息安全规范》(“新版规范”或“《安全规范》”)针对个人信息保护负责人的规定,较旧版规范而言更为具体且务实。
一、为什么要建立个人信息保护负责人制度个人信息保护负责人是指全面实施统筹组织公司个人信息保护工作、对个人信息安全负直接责任的公司人员。
设立个人信息保护负责人对企业落地数据合规制度至关重要。
具体而言,科学有效的个人信息保护负责人制度既可提高企业法律风险防御能力,亦可增强其核心竞争力。
(一)提高企业风险防御能力个人信息保护不力会给企业带来巨大损失:政府调查与处罚轻则迫使企业整改、重则颠覆既有商业模式、甚至导致企业与主要负责人承担刑事责任;个人信息安全事件如果不能及时、妥善处理,企业所面对的信任危机可能比处罚带来的社会影响更为深远;广大民众不断觉醒的个人信息保护意识更是促使企业时刻不得松懈。
个人信息保护负责人既可以帮助企业在日常工作中未雨绸缪又可能在危机事件中力挽狂澜,提高企业防御风险的综合能力。
2017年3月,有消费者认为其个人信息遭到泄露而将某航空公司起诉至法院。
法院综合认定被告存在泄露个人信息的高度可能,同时认为法律对经营者采取技术措施和其他必要措施保护消费者个人信息施以强制规定。
但是,被告未能证明其已履行法定的个人信息保护义务。
[1]2019年12月,同一家航空公司因类似事由被起诉,但法院认为被告在自身掌握信息阶段不存在泄露个人信息的事实。
原因在于,航空公司不仅对可查看订单信息的管理系统进行数据脱敏设置,还建立起严密的数据安全管理制度、就数据存储安全进行专门认证、与专业第三方进行合作。
[2]根据公开信息,前述航空公司于2018年任命首席数据官,全面负责企业的数据保护与合规运营工作。
该航空公司也由此成为国内首家设立数据保护官的企业。
[3]虽然任命首席数据官与两份截然相反的判决没有直接关系,但从判决书中航空公司的举证来看,其在一两年间确实就个人信息保护采取了系列技术措施与组织措施,而任命首席数据官不仅是一种合规宣示,对于推动保护措施的落地显然也至关重要。
(二)增强企业核心竞争力中国企业传统上将法律合规定位为后台支持部门,该等定位在业务拓展特别是开发海外市场时的局限性日益凸显。
有能力的个人信息保护负责人有助于树立良好的企业形象,在与监管机构、合作伙伴、甚至竞争对手打交道的过程中,给人以专业、可信的印象,对于增强企业核心竞争力大有脾益。
如何在各国纷繁复杂的法律规定下实现合规,需要个人信息保护负责人的统筹规划。
对敏感个人数据加紧审查的国际趋势,尤其是中美经贸摩擦下的监管升级,[4]更是要求企业出海前审慎开展合规评估。
华为、蚂蚁金服、360奇虎等大型企业纷纷设立个人信息保护专家岗位,说明在合规工作进入“深水区”的今天,企业数据合规的水平和深度将直接决定商业机会的获得。
二、如何建立个人信息保护负责人制度《网络安全法》规定网络运营者应确定网络安全负责人,关键信息基础设施运营者应设置专门的安全管理机构和安全管理负责人。
网络安全事关国家安全,而隐私权保护原本侧重私法法益的保护,延展为个人信息保护后则具备更多的公共利益属性,但与网络安全相较仍更突出自主性。
在《个人信息保护法》尚未出台的阶段,推荐性的《安全规范》提出设置个人信息保护负责人制度,起到标准示范作用的同时亦在帮助企业为应对个人信息保护的强制立法做准备。
(一)设置个人信息保护负责人的条件根据新版规范,当企业(1)主要业务涉及个人信息处理,且从业人员规模大于200人;(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;或(3)处理超过10万人的个人敏感信息的,应设置专职的个人信息保护负责人和个人信息保护工作机构。
与旧版规范相比,新版规范对于设置个人信息保护负责人的门槛要求体现出与时俱进和风险导向的趋势。
首先,新版规范将处理50万人的个人信息提升为100万人,与数字经济下企业快速提升的数据处理规模相一致。
其次,旧版规范并未将处理个人敏感信息作为标准之一,而新版规范则规定处理超过10万人的个人敏感信息即应设立专职的个人信息保护负责人。
纵观近年的重点数据执法,往往涉及个人财产信息、生物识别信息、精准的网络浏览记录等个人敏感信息的泄露、非法提供或滥用,故在考虑设置个人信息保护岗位时企业应将是否处理个人敏感信息作为重要参考依据。
前述设置要求亦体现出平衡企业发展与保护法益的合理考虑。
第(1)点要求从业人员大于200人,说明主要针对中型及以上企业。
[5]这样的设定给小微企业的发展留出空间,同时积极引导大中型企业在拓展业务时需更加合规、稳健。
第(2)点中的100万人构成大城市的常住人口量,[6]收集、处理100万人以上的个人信息说明业务已具有相当规模,设置个人信息保护负责人有必要性。
(二)个人信息保护负责人的资质要求旧版规范生效以来,实务界普遍关注的问题之一是:个人信息保护负责人需要具备何等资质。
新版规范分别从经验背景和决策地位两方面,对个人信息保护负责人的资质提出两项指引:(1)由具有相关管理工作经历和个人信息保护专业知识的人员担任;(2)参与有关个人信息处理活动的重要决策直接向组织主要负责人汇报工作。
根据实践,个人信息保护负责人需要具备法律专业背景,同时能够理解技术、安全对个人信息保护的重要作用。
个人信息保护的出发点是确保公司产品及服务符合国内、国际的数据保护法律合规框架,因此对法律的理解是第一准则。
由于个人信息保护也涉及数据安全治理,个人信息保护负责人应同时具备国际、国内格局安全观,日常工作中能够与安全和技术人员充分交流并交换意见。
显然,传统上此类人才相当稀少,令人欣喜的是近年来出现了一批对数据保护抱有热忱的专业人士,逐渐形成了中国第一代数据保护人才库。
就决策地位而言,个人信息保护负责人应当具备管理职能,能够参与重要决策。
个人信息保护负责人不能仅承担执行责任,也要参与到管理决策,能够与业务部门平等合作、甚至在为公司合规利益把关上有更高的话语权。
《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》中,“数据”已经被纳入市场化配置改革的五大基础生产要素,[7]业务部门为追求盈利,难免在个人信息保护和市场机会的平衡中更偏向市场。
同时,相较于业务部门直观反映于短期业绩中的绩效,合规管控更为长远、前瞻,需要时间沉淀才能凸显其价值。
因此,个人信息保护负责人需具备管理、决策地位的必要性不言而喻。
(三)个人信息保护负责人的职责新版规范明确规定了个人信息保护负责人的职责,与旧版规范相比有如下变化:(1)增加的职责为组织制定个人信息保护工作计划并监督落实、公布投诉、举报方式等信息并及时受理投诉举报,以及与监管部门保持沟通,报告个人信息保护和事件处理情况;(2)增强的职责为组织开展个人信息安全影响评估后,还需提出个人信息保护的对策建议,督促整改安全隐患。
由此可见,新版规范增加了个人信息保护负责人对外沟通联络的职能,就内部职责而言则更加强调数据合规制度的落地实施。
同时,《安全规范》也非常贴心地为各项职能的具体落实提供建议。
其中,新版规范增加的两项内容为个人信息安全工程和个人信息处理活动记录。
个人信息安全工程有些类似GDPR项下的Privacy by Design, 即在企业开发具有处理个人信息功能的产品或服务时,根据国家有关标准在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。
因为个人信息安全工程涵盖产品从需求到发布的完整周期,由谁来具体做评估、谁来监督评估、谁来制作个人信息安全影响评估报告等,都由企业根据自身情况决定。
不可否认的是,个人信息保护负责人在此过程中会起到重要的作用。
《安全规范》建议开展个人信息安全工程时参照国家有关标准,具有很强的现实意义。
例如,中国人民银行和全国金融标准化技术委员会发布的《个人金融信息保护技术规范》即要求金融业机构有效隔离开发测试环境和生产环境,在实际开发测试中对个人金融信息进行虚构或者去标识化,且在产品或服务上线发布前进行技术检测。
个人信息处理活动记录与GDPR第30条的要求较为类似,《安全规范》要求企业建立、维护和更新所收集、使用的个人信息处理活动记录,包括个人信息的类型、数据、来源;根据业务功能和授权情况区分个人信息的目的、使用场景;个人信息出境情况;以及与个人信息处理活动各环节相关的信息系统、组织或人员。
个人信息保护负责人的职能之一即为建立、维护和更新个人信息清单和授权访问策略,正是对应个人信息处理活动记录中的核心部分。
三、完善个人信息保护负责人制度的展望新版规范完善了个人信息保护负责人制度,企业可以根据自身情况选择适用,为建立数据合规体系奠定基础。
我们基于企业的良好实践,为个人信息保护负责人制度、个人信息保护责任体系提出两点展望。
(一)设立个人信息保护工作机构《安全规范》除要求任命个人信息负责人外,也提到了个人信息保护工作机构。
但是,尚未就个人信息保护工作机构给出具体指引。
实践中,合规人员在推动数据保护决策时常面临各方阻力,执行中也有不少困难。
部分大型公司已经设立数据保护委员会,作为企业数据治理工作的协调机构与最高决策机构,通常由安全技术部、法务部、风险管理部、业务运营部和公共关系部相关管理人员组成。
该等设置有助于强化数据保护决策的合意基础,确保决策的顺利推行。
特别是当出现安全事件时,数据保护委员会可统筹处理响应、对外进行沟通、适时复盘整改合规措施。
(二)增强个人信息保护负责人的独立地位新版规范除了开宗明义要求“法定代表人或主要负责人应对个人信息安全负全面领导责任”外,还就个人信息保护负责人的独立性增强了制度保障,即:“应为个人信息保护负责人和个人信息保护工作机构提供必要资源,保障其独立履行职责”。
虽然与GDPR下DPO的独立性仍有所差距,[8]但结合我国的情况以及企业的治理架构,《安全规范》的要求更容易落地实施。
企业设计人力制度时,如何确保个人信息保护负责人独立、专业、不受无关干扰做出正确合理的决策,是企业长远发展的一项重要考量。