官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由
创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
一、出台背景
随着信息技术的快速发展和互联网应用的普及,给社会生活带来了极大便捷性,随之而来的是海量个人信息的收集与处理,这为数据保护和个人隐私权益保护带来了巨大挑战。
近些年来,国家相继发布了多部个人信息保护与网络安全、数据安全相关法律法规,保障国家安全、网络安全、数据保护和个人隐私权益。
二、法规的影响
法规价值
- 保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。
- 规范数据处理活动,保障数据安全,促进数据开发利用。
企业合规现状
- 企业合规成本显著增加
作为隐私保护最强的驱动力,合法、合规的收集和使用数据是所有政府组织与企业在隐私保护领域的最高优先级工作事项。现阶段企业组织面临来自不同监管机构的多重监管要求,上至近些年颁布的《网络安全法》、《数据安全法》、《个人信息保护法》这三部法律,下至针对特定行业或应用的要求,如移动应用的个人信息收集和处理要求,目的、颗粒度与监管的方式手段均有较大差异,企事业组织的合规成本显著增加。
- 合规工作效率低,有效性和及时性无法保障
在多头监管、多重监管的压力下,企事业组织基于传统的人工开展的“法条对标”工作,效力低,及时性和有效性也无法得到充分保障。一旦在某一环节有所遗漏,极易引发各类隐私合规问题,遭受监管处罚。
三、法规解读
3.1、个保法解读
3.1.1 总则
明确本法颁布的目的、范围、定义和原则
目的:保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用
范围:境内处理自然人个人信息的活动,及部分境外适用场景,适用本法
定义:
1)个人信息
定义:是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
判定条件(满足任一即可):
一是识别,由信息本身的特殊性可识别出特定自然人;
二是关联,由已知特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)
2) 个人敏感信息
定义:个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。此外,14岁及以下儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。
判定条件(满足其一即可):
泄露:个人信息一旦泄露,将造成个人信息扩散范围和用途的不可控,可能对个人信息主体权益带来重大风险。(如身份证复印件被他人用于手机号卡实名登记、银行账户开户办)
非法提供:某些个人信息因为非法提供,可能对个人信息主体权益带来重大风险。(如性取向、存款信息、传染病史等。)
滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险。(如将健康信息用于保险公司营销和确定个体保费高低 )
3) 个人信息的处理:包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
4) 处理个人信息基本原则:
- 合法、正当、必要和诚信原则;
- 公开、透明原则,公开个人信息处理规则;
- 具有明确、合理的目的,限于实现处理目的的最小范围,不得过度收集个人信息;
- 保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响;
- 个人信息处理者应当对其个人信息处理活动负责,并需保障所处理的个人信息的安全
3.1.2 个人信息处理规则和处理者义务
1) 可处理个人信息的条件(至少满足一项):
取得个人单独同意或书面同意
- 该同意应当由个人在充分知情的前提下自愿、明确作出
- 处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意
- 个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式
- 个人信息处理者不得以个人不同意或者撤回同意为由,拒绝提供产品或者服务(除非处理个人信息属于提供产品或者服务所必需)
合同约定或人力资源管理所必需
应对突发公共事件或紧急情况、履行法定职责或法定义务、新闻监督报道符合公共利益、处理个人自行公开或合法公开的个人信息
2) 处理个人信息前,需以显著方式向个人告知:
信息处理者的名称和联系方式
个人信息的处理目的、处理方式,处理的个人信息种类、保存期限(个人信息的保存期限应当为实现处理目的所必要的最短时间,超出上述个人信息存储期限后,应对个人信息进行删除或匿名化处理)
若以处理规则方式告知,规则应当公开,并且便于查阅和保存
3) 利用个人信息进行自动化决策:
应保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
4) 处理个人敏感信息:
个人敏感信息:包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息
除了需获得个人单独同意,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响
5) 个人信息处理者义务:
采取下列措施确保个人信息处理活动符合法规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
- 制定内部管理制度和操作规程;
- 对个人信息实行分类管理;
- 采取相应的加密、去标识化等安全技术措施;
- 合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
- 制定并组织实施个人信息安全事件应急预案;
处理个人信息达到国家网信部门规定数量,个人信息处理者应当指定个人信息保护负责人。
个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
3.1.3 个人信息主体权利
1)个人在信息处理活动中的权利:
享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理
个人有权向个人信息处理者查阅、复制其个人信息
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径
个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充
2) 个人信息处理者应当主动删除个人信息的条件:(满足其一即可)
(一)处理目的已实现、无法实现或不再必要
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满
(三)个人撤回同意
(四)个人信息处理者违反法律或违反约定处理个人信息
3.1.4 个人信息跨境提供的规则
1)个人信息处理者向境外提供个人信息的条件(满足其一即可):
(一)通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。
2) 个人信息处理者向境外提供个人信息的义务:
应当采取必要措施,保障 境外接收方处理个人信息的活动达到本法规定的个人信息保护标准;
应当向个人告知 境外接收方的名称、联系方式、处理目的、处理方式、个人信息的种类、个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意;
3) 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。
4) 限制或禁止向境外提供个人信息的情况:
境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的;
任何国家或者地区在个人信息保护方面对中华人民共和国采取了 歧视性的禁止、限制或者其他类似措施。
5) 跨境传输情形
3.1.5 履行个人信息保护职责的部门
国家网信部门负责统筹协调(主导)个人信息保护工作和相关监督管理工作;国务院有关部门依照本法和有关法律,在各自职责范围内负责个人信息保护和监督管理工作;县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
3.1.6 法律责任
1) 违反本法处理个人信息,或处理个人信息未履行个人信息保护义务的:
责令改正,给予警告,没收违法所得
对违法处理个人信息的应用程序,责令暂停或者终止提供服务
拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款
2) 有本法规定的违法行为的,记入信用档案
3) 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
3.2、数据安全法解读
3.2.1 总则
1) 目的:为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益
2) 范围:在中国境内开展数据处理活动及其安全监管,适用本法
3) 定义:
数据:是指任何以电子或者其他方式对信息的记录。
数据处理:包括数据的收集、存储、使用、加工、传输、提供、公开等
数据安全:是指通过采取必要措施,确保数据处于有效保护和合法利用的状态
4) 数据安全监管机构
3.2.2 数据安全制度
国家建立数据安全制度,包括:
1) 数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏等造成的危害程度,对数据实行分类分级保护。
2) 集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制
3) 数据安全应急处置机制
4) 数据安全审查制度
3.2.3 数据安全保护义务
1) 相关部门、组织 应建立健全的全流程数据安全管理制度,组织开展数据安全教育培训。
2) 重要数据的处理者应当明确数据安全负责人和管理机构,并对其数据处理活动定期开展风险评估
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
3) 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。
3.2.4 法律责任
1) 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,将进行约谈,并要求有关组织、个人采取措施进行整改。
2) 开展数据处理活动的组织、个人数据安全保护义务的:
由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款
拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照
3.3、信息安全技术-个人信息安全规范解读
3.3.1 概述
1) 适用范围
本标准适用于规范各类组织的个人信息处理活动,也适用于监管部门、第三方机构等对个人信息处理活动进行监督、管理和评估。
2) 术语
个人信息及个人敏感信息(详见个保法解读-总则模块)
收集:获得个人信息控制权的行为。收集方式包括:
- 个人主体主动提供个人信息
- 控制者通过获得个人主体同意而获取个人信息
- 通过共享、转让、搜集公开信息获取个人信息
明示同意:个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。
个人信息安全评估:针对个人信息处理活动,检验其合法合规程度,判断风险,评估用于保护措施有效性的过程。
匿名化:通过处理,使得个人信息主体无法被识别,且处理后的信息不能被复原。
去标识化:通过处理,使得个人信息主体无法被识别。(去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识)
3.3.2 个人信息安全基本原则
a) 权责一致——采取技术或措施保障个人信息的安全,同时也对其个人信息处理活动损害承担责任;
b) 目的明确——具有明确、清晰、具体的个人信息处理目的;
c) 选择同意——向个人信息主体明示个人信息处理目的、方式、范围等规则,征求其授权同意;
d) 最小必要——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息;
e) 公开透明——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督;
f) 确保安全——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性;
g) 主体参与——向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回授权同意、注销账户、投诉等方法。
3.3.3 个人信息处理规则
1)个人信息收集
合法性
- 不能以欺诈、诱骗、误导方式或非法渠道收集个人信息;
- 不能隐瞒产品或服务所具有的收集个人信息的功能。
最小必要
- 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联
- 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率
- 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量
多项业务功能的自主选择
- 不应通过捆绑方式,要求信息主体一次性接受并授权同意所有业务功能的收集个人信息的请求。
- 应把个人信息主体自主作出的肯定性动作(主动点击、勾选、填写等)作为产同意授权或开启服务的条件。
- 提供方便的关闭或退出业务功能的途径;关闭或退出特定业务功能后,应停止相关个人信息收集活动。
- 用户拒绝授权,不应频繁请求。
- 用户拒绝某一授权,不应暂定其他业务功能或降低服务质量。
- 不能仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意收集个人信息。
收集个人信息时的授权同意
- 收集个人信息前,需向主体告知“收集目的、方式、访问等规则”,并获得授权同意。
- 收集个人敏感信息前,需单独告知“敏感信息收集目的、方式、访问等规则”,并获得同意
单独同意场景 | 1、在公共场所安装图像采集、个人身份识别设备,且用于维护公共安全之外的其他目的(第26条) 2、向第三方提供个人信息(第23条) 3、公开披露个人信息(第25条) 4、处理敏感个人信息,如人脸识别(第29条) 5、个人信息出境(第39条) |
一揽子同意场景 | 除上述场景之外的其他场景 |
个人信息保护政策
个人信息控制者需制定个人信息保护政策(或称 隐私政策),内容至少包括:
- 个人信息控制者身份、联系方式
- 收集、使用个人信息的业务功能,及分别收集的个人信息类型(个人敏感信息需突出显示)
- 个人信息收集方式、存储期限、涉及数据出境情况等规则;
- 对外共享、转让、公开披露个人信息的目的、个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任;
- 个人信息主体的权利和实现机制(如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行投诉的方法等)
- 提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响;
- 遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施,必要时可公开数据安全和个人信息保护相关的合规证明;
- 处理个人信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。
个人信息保护政策应公开发布且易于访问(如网站主页、移动应用程序安装页)
个人信息保护政策尽可能逐一送达个人信息主体。
个人信息保护政策发生更新需重新告知个人信息主体。
2)个人信息存储
个人信息存储时间最小化
- 个人信息存储期限应为实现授权使用目的所必需的最短时间;超出存储期限后,应对个人信息进行删除或匿名化处理 。
去标识化处理
- 收集个人信息后,个人信息控制者宜立即进行去标识化处理;
- 可恢复识别的个人的信息、去标识化后的信息需分开存储,加强信息访问和使用的权限管理。
个人敏感信息的传输和存储
- 传输和存储个人敏感信息时,应采用加密等安全措施。
- 个人生物识别信息应与个人身份信息分开存储。
- 原则上不应存储原始个人生物识别信息。
3)个人信息使用
个人信息访问控制
- 建立最小授权的访问控制策略(最小必要访问范围、最少数据操作权限)
- 对个人信息的重要操作设置内部审批流程(批量修改、拷贝、下载等)
- 安全管理人员、数据操作人员、审计人员的角色分离设置
个人信息展示
- 个人信息控制者宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。
个性化展示
- 应显著区分个性化展示的内容和非个性化展示的内容(标明“定推”等字样,或通过不同的栏目、版块、页面分别展示)
- 应当同时向该消费者提供不针对其个人特征的选项
- 宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制
4)个人信息的委托处理、共享、转让、公开
- 需向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。
- 通过合同等方式规定数据接收方的责任和义务。
- 准确记录和存储个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等。
3.3.4 组织的个人信息安全管理要求
1) 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构:
- 主要业务涉及个人信息处理,且从业人员规模大于200人;
- 处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
- 处理超过10万人的个人敏感信息的。
2) 个人信息保护负责人和个人信息保护工作机构的职责包括:
- 统筹实施组织内部的个人信息安全工作;
- 制定、更新个人信息保护政策和相关规程 ;
- 建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
- 开展个人信息安全影响评估;
- 组织开展个人信息安全培训;
- 在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
- 公布投诉、举报方式等信息并及时受理投诉举报;
- 进行安全审计等。
3) 个人信息控制者宜建立、维护和更新所收集、使用的个人信息处理活动记录:
- 个人信息类型、数量、来源
- 按业务功能区分处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况
- 涉及的信息系统、处理人员
4) 个人信息安全事件处理
- 应制定个人信息安全事件应急预案;
- 应至少每年一次组织内部相关人员进行应急响应培训和应急演练;
- 发送安全事件后,需记录事件内容并次啊去必要措施控制事态,必要时需上报相关部门;
- 应及时以邮件、推送通知等方式将事件告知受影响的个人信息主体。
5) 安全审计
- 应对个人信息保护政策、相关规程和安全措施的有效性进行审计;
- 应建立自动化审计系统,监测记录个人信息处理活动;
- 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;
- 应防止非授权访问、篡改或删除审计记录;
- 应及时处理审计过程中发现的个人信息违规使用、滥用等情况;
- 审计记录和留存时间应符合法律法规的要求。
- 需对安全管理人员、数据操作人员、审计人员的角色进行分离设置。
3.3.5 个人信息主体权利
1) 个人信息查询:个人信息(类型)、个人信息来源和目的、已授权的第三方身份
2) 更正
3) 删除
个人信息控制者违反法律 或违反与个人信息主体的约定 ,收集、使用、共享、公开个人信息,个人信息字体有权要求删除
4) 撤回授权
应提供撤回收集、使用其个人信息的授权同意的方法。撤回授权后,个人信息控制者不应再处理相应的个人信息。
5) 注销
- 应向个人信息主体提供注销账户的方法
- 若需人工审核,应不超15个工作日完成处理
- 若需身份核验,不应要求用户提供“注册、使用产品时未收集的个人信息”
- 注销过程不应设置不合理条件
- 注销完成后,应及时删除或匿名化处理个人信息。
6)获取个人信息副本或传输给指定第三方
四、应用场景分析
4.1、消费者合规场景分析
4.1.1 业务痛点
随着用户对隐私权益保护意识的逐渐增强,企业需要为用户提供透明、可控的隐私权利控制机制,让 用户能够自主对自己的授权进行管理,作为数据拥有者对数据处理活动拥有决定权。但对于消费品行业 而言,个人信息处理的场景和形式多样,这给拥有大规模消费者数据、以“用户”为中心的消费品企业在数据合规处理方面带来了极大的挑战:
- 线上线下渠道的隐私政策和授权同意方式难以统一管控;
- 授权同意和撤回同意的依据记录难;
- 各种申请授权的复杂弹窗影响用户体验从而降低同意率;
- 后台 数据流转路径和数据处理活动复杂;
- 不同渠道的用户数据割裂:企业通过大量线上业务渠道收集了海量数据,这也是企业进行数据分析开展用户画像、精准营销的数据基础。绝大多数企业还是基于“一方数据”进行用户画像和精准营销。导致其分析出的用户画像往往是割裂的,数据标签也较为单一。
4.1.2 解决方案
用户注册过程
- 提供跨平台、跨渠道的统一、标准化的注册协议配置和同意功能
- 注册账号时,可能需要收集手机号或邮箱等个人信息
个人信息管理:
- 个人信息获取同意:在注册、使用过程中,必要时会收集用户个人信息,收集前需得到用户的单独同意,并告知收集信息方式、范围、用途和信息存储时间:
收集信息 | 收集场景 | 用途 |
个人身份信息:姓名、手机号、邮箱、性别、生日、国籍、注册时间、证件信息 | • 注册 • 实名认证 | • 注册账号 • 实名认证 |
个人敏感信息:面容/指纹等生物特征 | 开启FIDO认证 | 二次认证 |
客户IP地址、地理位置、设备信息 | — | • 生成个人账户日志 • MFA多因子认证策略 |
浏览器cookie | -- | 分析用户行为习惯 针对性地推送广告 |
- 个人信息修改设置:支持修改昵称、手机号、邮箱、性别、生日等个人信息
- 账号注销:
- 提供账号注销入口,注销时需进行简单且安全身份核验;
- 注销成功后将及时删除其个人信息或匿名化处理。
个人信息查看、复制、转移:提供入口支持用户查看、复制和转移其个人信息
个人行为数据管理:提供入口支持用户查看、导出、清除个人的账户日志,包括登录、登出、访问应用、二次认证等日志记录。
个人信息防护:
- 个人信息去标识化:展示个人信息的界面,采取去标识化处理措施,降低个人信息在展示环节的泄露风险。
- 敏感信息加密存储和传输:采用遵循密码管理国家标准的密码技术 加密传输和存储个人敏感信息。
个人授权管理:
- 授权应用管理:提供入口支持用户查看“个人信息授权给第三方应用”清单,包括授权时间和授权信息,支持解除授权。
- 授权协议管理:
- 提供入口查看用户协议、隐私政策等产品相关协议;
- 用户注册、首次使用时需阅读并同意协议;协议更新后需重新取得用户同意。
登录凭证管理(密码、生物识别等)
- 禁止用户对用户敏感数据对查看,包括如用户密码、密钥和登录产生的凭证数据。
- 用户相关的凭证数据加密存储,不能共享密钥。
- 采取必要措施防止凭证信息在网络传输过程中被窃听。
- 设置用户的安全策略,避免使用者将凭证(密码/访问密钥)嵌入到代码中。
个性化推荐/广告管理:通过个性化推荐的同时,支持用户关闭个性化推荐/广告。
4.2、雇员合规场景分析
4.2.1 业务痛点
随着企业发展,复杂的人员管理与用户在不同场景的访问行为会给公司的网络带来潜在的威胁。
系统访问行为和员工账号状态不能被及时、有效监控
缺少安全审计功能:
- 无法记录登录信息、忽视身份信息管理,威胁系统安全;
- 对于登录异常、非法授权访问等现象无法及时发现处理;
- 无法掌握账号权限授予的过程,无法事故追责。
- 手动审计效率低且易出错。
4.2.2 解决方案
员工入职个人信息授权同意:入职时,需提供包括姓名、国籍、性别、住址、联系方式、学历及有效身份证件号码等个人信息
员工个人信息保护脱敏(手机号、身份证、住址等):展示个人信息的界面,采取去标识化处理措施,降低个人信息在展示环节的泄露风险。
第三方应用集成获取个人敏感信息审计
- 建立自动化审计系统,监测记录个人信息处理活动;
- 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;
- 防止非授权访问、篡改或删除审计记录;
- 对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。
员工离职个人信息清除:员工离职后,及时清除离职员工的个人信息、账户日志等数据。
4.3、中国企业出海隐私合规场景分析
4.3.1 业务痛点
1)海外各国家地区隐私法规变化莫测 ,且监管力度不断加大
随着数字经济快速发展,各国对数据安全问题的重视程度不断提高。近几年,众多国家纷纷颁布政策法规,加强监督执法,提升数据安全、隐私保护的治理能力。据统计,全球目前已经有超过130个立法体建立或修订了个人信息保护法律、法规且呈加速趋势。同时,随着日益严峻的数据安全威胁,各国也在不断更新相关法律法规,持续关注全球各国隐私法规和监管的动态将是出海企业需要持续面对的挑战。
2)数据跨境流通规则复杂
美国、欧盟、俄罗斯等国在依法明确数据本地化存储要求的同时,也对数据跨境流通设立极高门槛。哪些类型数据禁止出境、哪些类型数据满足约束条件后可出境,各国法规要求差异较大,极大增加了出海企业海外部署业务的难度。
4.3.2 解决方案
1)中国出海企业应对业务涉及主流国家的数据及隐私法规环境进行全面了解和梳理和持续跟踪,综合当地执法案例等信息,对数据安全及隐私合规情况进行快速的现状评估,并制定针对性的可落地整改方案,快速达到监管合规要求。应重点关注以下六个方面:
企业需要建立数据安全和隐私合规风险的监测与应对机制,可以聘请第三方专业机构 或设立专门团队 负责隐私合规和数据安全的管理工作。
2)建立数据安全和隐私合规管理体系
以国内外数据安全、隐私合规相关法律为参考和依据,构建合理、完善、适合企业自身的数据安全和隐私合规管理体系。包括:
制度层面:
制定数据安全和隐私合规组织并指定负责人,负责主导数据安全和隐私合规工作。包括但不限于:
- 建立数据安全和隐私合规制度办法,形成工作流程,落实到日常工作中。
- 拟定、实施、持续更新数据安全和隐私合规的各项协议;
- 健全合规管理框架,定期开展全员数据及隐私合规意识教育培训,培育员工的数据安全和隐私合规意识,提升企业人员整体数据及隐私合规水平。
3)技术保护层面:
企业需系统的梳理海量数据现状下的数据分布和数据全生命周期的处理情况,实施数据保护措施。明确具体的数据保护类型、梳理、来源等,并落实数据存储和运输过程中的加密、脱敏等解决方案。
五、给企业的建议
1)企业应当熟悉相关法律法规,关注监管部门的监管动态,根据法律法规及监管机构的要求合规运营
2)鉴于《个人信息保护法》多层次的监管体系,当企业获取的信息数量达到一定规模后,将承担比一
般的企业更为严苛的法律义务。为了避免承担高额的违法责任,建议大数据企业都建立合规化中心,由专人关注法律法规、监管动态,做好企业合规工作。
可设立个人信息保护负责人(满足以下任意条件需设立):
- 主要业务涉及个人信息处理,且从业人员规模大于200人;
- 处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
- 处理超过10万人的个人敏感信息的。
- 通过聘请专业团队为企业构架数据合规制度、进行定期检查等方式,保持数据合规运营。
有条件的大数据合规企业,可以抓住机遇,打造大数据合规服务产品,为其他企业提供数据合规咨询、承包数据合规管理工作等服务。
基于地方政府内部文件及监管动态一定程度上的不透明性,企业应当要注意与地方监管部门保持良
好的沟通,避免出现违规行为。
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者