编者按:
2021年11月1日,我国《个人信息保护法》(以下简称个保法)正式施行。毋庸置疑,《个保法》的施行标志着中国法治建设的进步和日趋完善,以及努力融入全球数据保护洪流之中的决心。
从个人信息生命周期的角度来看,《个保法》提出个人信息收集、存储、使用、加工、传输、提供、公开等环节的安全管理要求。企业或组织需要建立完善的个人信息保护体系,确保个人信息在各个阶段得到妥善保护。同时,个人信息日常安全运营也是重要的一环。如何采取合理的技术和管理措施,保障信息的完整性和保密性;如何对员工进行信息安全培训,提高对个人信息保护的意识;以及如何定期对信息保护情况进行监督和检查,及时发现并纠正存在的问题,对于企业或组织来说,仍然是一个工作落地难题和挑战。针对以上实务难点,本文将深入解读并分享实践经验。期待读者朋友们能够有所收获!
一、个保法及配套标准概述
01、立法历程
2012年开始,全国人大发布了《关于加强网络信息保护的决定》,提出了合法、正当以及必要的原则,也是整个《个人信息保护法》的起点;2017年,中央网信办发布了《网络安全法》,是我国实际意义上第一部在网络安全领域的上位法;2018年,欧洲发布的GDPR也推动了我国国内的个人信息保护立法;2021年我国发布了《个人信息保护法》,自此,我国的个人信息保护具备了相对完整的法律依据。
02、配套标准
到目前为止,信安标委已经发布了17项与个人信息保护相关的配套标准,涵盖了个人信息处理活动、个人信息告知同意、敏感个人信息处理、个人信息自动化决策以及个人信息跨境等;此外,还有12项待发布的配套标准,涵盖了个人信息保护技术、个人信息安全管理、个人信息保护影响评估等。
03、个别条款的落实要点
目前的《个人信息保护法》第5、6、7、8、9条规定了给出处理个人信息遵循合法、正当、必要和诚信,目的明确和最小化处理,公开、透明,个人信息质量,责任和安全保障等原则的具体要求,相关要求也已经反映在相关的已有标准里。
第10、19、20等条规定了给出个人信息收集、存储、使用、加工、传输、提供、公开、删除等个人信息处理活动的通用要求,相关要求也已经反映在相关的已有标准里。
第13、14、15等条规定了个人信息处理规则制定、公开要求,明确个人信息处理告知内容、告知方式等内容;针对个人信息处理合法性基础和个人同意原则,明确同意的作出、重新取得同意、撤回同意、禁止强制获取用户同意等内容。
此外,个保法个别条款还规定了针对医疗健康、金融账户、行踪轨迹等敏感个人信息的相关要求;明确数据处理者在进行自动化决策及相关应用过程中的数据安全和个人信息保护要求等。部分要求还有待标准配套落地。
二、能力一:基于个人信息生命周期的安全管理
第一,需要对个人信息治理有整体性的认知,然后从收集、传输、存储、使用、删除等过程来看如何去满足要求。从公司角度来讲,要明确个人信息处理的原则和基础,比如说对于开发产品环节初期以及设计的初期,处理信息相关目的为最小够用要深深地嵌入到法务人员的脑海当中,这就是底线。对于个人信息处理合法性,主要是从处理活动的相关记录、签订的一些合同、以及隐私政策三个方面去看是否具有这种合法性的基础。
第二,很多企业或组织只有通用性的分类分级、通用性的保护策略,而缺乏有针对性的分类分级管理和保护策略。有针对性保护策略是指对于分类分级有原则、有相应的详细清单,也有相应的保护措施。
第三,在整个信息系统的流转过程中标签的可识别性,其实在整个的评估过程中,有些单位也做了分级管理,也形成了清单,但是没有融入到应用里边。这个角度来讲就是实际的应用和制度呈现“两层皮”状态,实际要求的理想状态就是个人信息保护的整个的措施会随着标签进行全系统的流动,也符合整个数据流动过程中对于数据的动态治理的过程。
第四,对于特定个人信息的管理。其实从一定意义上角度来讲,通用个人信息和特定个人信息还是有所区别的。比如对于系统或者应用处理敏感信息,比如说人脸数据的安全要求里面,一是明确要求要满足数据安全能力,第二具备或完成个人信息安全影响评估,个人信息的整个治理远不是简单去落实相应的法律法规要求就可以达到的,它是一个层层嵌套、覆盖面极广的工程。与此同时,履行统一的流程记录在实际评估过程中目前对于个人信息收集的相应的法律法规还是有待进一步去落实,个人信息处理者和合作机构的整个规范传输过程还有待提升,其实传输过程中也是数据泄露的一个很大的要素。这一块的主要的约束不只是境内,还有境外。不管是国家与国家、区域与区域之间的政治法律衔接的问题,导致了现在对于境外的约束能力其实是有限的,要尽量缩小和欧盟法律上的差异,去达到数据的流动。其次,个人信息如何去实现去标识化的存储对于大部分的企业还是很难做到的,需要相应的技术嵌套去实现,同时也要去做相应的一些应用的改造。从实际测评的角度来讲,超过期限的存留情况很严重,越是共享型的公司在这个方面存的时间越长。
第五是个人信息的使用,多年以来平台和合作伙伴的交叉使用已经常态化,那这种情况下约束的处理就涉及了一些利益的损失,大部分的企业还在铤而走险。不管是个人信息审计,还是在个人信息安全影响评估的过程中对这一块的要求可能是从严的。除了泄露以外,使用是可以达到对个人信息主体损害的最直接方式。
三、能力二:个人信息日常安全运营和保障
01、个人信息保护的制度体系的建立
首先,如何去建立规章制度,最主要的方式就是对于管理制度的建立以及操作规程。在实际的测评过程中,很多的单位管理制度是没有操作规程的。判断一个组织的成熟度,有没有制定管理制度是一个先决的条件。
其次,就是组织架构与管理模式。这是一个由上而下这种治理模式的发展,它绝对不是从下而上,也不是一个纯技术的发展。如果一个组织没有带头负责的、能调动资源的协调、业务和合规等多个部门的能力,它的个人信息保护体系建设是很难去建立的。
第三,在员工管理和培训方面,相应的监督问责机制是保证个人信息保护整个体系运转的一个重要的手段。只有相对严厉的这种处罚机制,才能去约束员工提升自己个人信息的保护意识。第二就是尽量让重要岗位核心岗位的员工参与内外的培训,并取得相应的资格证书,而且内部要常态化地开展,要有意识和底线思维。
第四是目前来看信息泄露比较重要的一个途径即第三方合作机构,现在企业大部分的场外交易是和第三方,通过实际评估发现与第三方合作管理、与第三方机构进行信个人信息的分享利用等手段及其隐蔽、方式极其多样。从管理的角度来讲,建立全流程的安全管理机制,同时要需要合作机构具备一定数据安全能力以及成熟度。
第五,安全技术措施层面,对于匿名化和缺标识,对于大型企业、平台型的企业多愿意去投入,但是对于中小企业则意愿不强。因此对于安全技术措施要有明确定义和要求,这样也是在实际的工作开展过程中去遵循的一个法则,对于访问控制措施,没有分类分级安全访问控制措施就会出现就低或就高这么一种情况出现,也就无法去判断和落实最小特权。
第六,个人信息主体权利相应。为了明确个人信息主体权利响应机制,需要制定个人信息主体权利请求的内部规章和操作规程,明确职责分工,并记录个人信息主体权利请求的记录情况。其次,要建立完整的个人信息主体权利响应的流程,并且明确各环节的职责分工。
最后,个人信息保护影响评估、应急响应和事件处置、安全合规监督和自查以及相应文件也是建立个人信息保护体系的重要内容。
深入解读,企业如何构建有效的个人信息保护体系(附法规、标准和报告模板)
作者:李安伦来源:iLaw合规

编者按: 2021年11月1日,我国《个人信息保护法》(以下简称个保法)正式施行。毋庸置疑,《个保法》的施行标志着中国法治建设的进步和日趋完善,以及努力融入全球数据保护洪流之中的决心。