解析新版《个人信息安全规范》中的个人信息保护负责人制度
个人信息处理和保护制度
个人信息处理和保护制度一、目的和范围本制度旨在规范本单位的个人信息处理活动,保护个人信息权益,维护本单位的合法权益和社会信誉,防范个人信息安全风险,遵守相关法律法规的规定。
本制度适用于本单位及其从业人员在中华人民共和国境内处理自然人个人信息的活动。
二、定义个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
个人信息处理者是指确定个人信息的处理目的和处理方式,并对个人信息处理活动负责的单位。
个人信息受托人是指按照个人信息处理者的委托,为实现个人信息处理者确定的处理目的而处理个人信息的单位。
敏感个人信息是指一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括种族、民族、宗教信仰、个人生物识别信息、医疗健康信息、金融账户信息、个人行踪轨迹信息等。
三、处理原则本单位在处理个人信息时,应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
本单位在处理个人信息时,应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
本单位在处理个人信息时,应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
本单位在处理个人信息时,应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
本单位在处理个人信息时,应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
四、处理规则(一)取得个人同意本单位在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项,并取得个人的同意:•本单位的名称和联系方式;•个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;•个人行使本制度规定权利的方式和程序;•法律、行政法规规定应当告知的其他事项。
个人信息保护管理制度
个人信息保护管理制度第一章总则第一条为规范和加强对个人信息的管理和保护,保障个人信息安全,促进信息化建设与个人权益的充分保障,制定本管理制度。
第二条本管理制度适用于任何收集、使用和管理个人信息的单位,包括但不限于政府机构、企事业单位、社会团体等,以及通过互联网、移动通信等方式收集、使用和管理个人信息的个人。
第三条个人信息指可以单独或者与其他信息结合识别特定自然人身份的各种信息。
第四条本管理制度的制定、实施和监督由信息主管部门负责。
第五条收集、使用和管理个人信息的单位应当依法、合理、必要地获取个人信息,并对收集的个人信息进行保护。
第六条收集、使用和管理个人信息的单位应当建立健全个人信息保护管理制度和规范操作规程,明确相关责任人员和部门,实施有效的技术和管理措施,保障个人信息的安全。
第七条收集、使用和管理个人信息的单位应当及时更新个人信息保护管理制度,根据个人信息保护的需要,加强技术和管理措施的更新和改进。
第八条收集、使用和管理个人信息的单位应当合法、合理使用个人信息,不得违反法律法规和损害个人信息主体的合法权益。
第九条收集、使用和管理个人信息的单位应当对员工进行个人信息保护的教育和培训,提高员工对个人信息保护的意识和能力。
第二章个人信息收集和使用第十条收集、使用和管理个人信息的单位应当明确个人信息的使用目的和范围,经过个人信息主体同意后,才能进行收集和使用。
第十一条收集、使用和管理个人信息的单位应当遵循最少数据原则,采取最小授权范围获取个人信息。
第十二条收集、使用和管理个人信息的单位应当妥善保管个人信息,严禁将个人信息泄露给无相关管理权限的人员和部门。
第十三条收集、使用和管理个人信息的单位不得违反法律法规和超出授权的范围收集、使用个人信息。
第十四条收集、使用和管理个人信息的单位应当及时对收集的个人信息进行及时更新和纠正,保证个人信息的准确性和完整性。
第十五条收集、使用和管理个人信息的单位应当建立个人信息保护委员会或者专门负责个人信息保护的机构,定期进行安全审计和风险评估,做好风险控制和应急预案。
个人信息安全保护管理制度
一、总则1.1 目的为加强我单位个人信息安全管理,保障个人信息安全,防止个人信息泄露、损毁和滥用,依据《中华人民共和国个人信息保护法》等相关法律法规,特制定本制度。
1.2 适用范围本制度适用于我单位全体员工、外包服务提供商及合作伙伴等涉及个人信息处理的相关人员。
1.3 定义个人信息:指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
二、管理原则2.1 合法、正当、必要原则:收集、使用个人信息应当遵循合法、正当、必要的原则,不得超出实现处理目的所必需的范围。
2.2 明确目的原则:收集、使用个人信息应当明确具体的目的,不得超出目的范围。
2.3 最小化原则:收集、使用个人信息应当尽量做到最小化,不得收集、使用不必要的个人信息。
2.4 安全性原则:采取技术和管理措施,确保个人信息安全,防止个人信息泄露、损毁和滥用。
2.5 公开透明原则:个人信息收集、使用、存储、处理和传输等活动应当公开透明,用户应当了解自己的信息如何被处理。
2.6 责任追究原则:对违反本制度规定的人员,依法依规追究其责任。
三、个人信息收集与使用3.1 个人信息收集(1)收集个人信息应当取得个人信息主体的明确同意,并告知收集的目的、范围、方式、时间、地点等信息。
(2)收集个人信息时,应当采用合法、正当、必要的手段。
3.2 个人信息使用(1)个人信息的使用应当符合收集时的目的,不得超出目的范围。
(2)未经个人信息主体同意,不得将个人信息用于其他目的。
(3)个人信息的使用应当遵循最小化原则,不得收集、使用不必要的个人信息。
四、个人信息存储与处理4.1 个人信息存储(1)存储个人信息应当采取安全措施,确保个人信息安全。
(2)存储个人信息应当设置合理的期限,不得超过实现处理目的所必需的期限。
4.2 个人信息处理(1)处理个人信息应当遵循合法、正当、必要的原则。
(2)处理个人信息应当采取技术和管理措施,确保个人信息安全。
个人信息保护制度及措施
个人信息保护制度及措施背景在信息技术快速发展的时代,个人信息已成为数字经济的重要资源,同时也面临着泄露和滥用的风险。
为了保护个人信息的安全和隐私,制定个人信息保护制度及措施显得尤为重要。
目的本文档旨在介绍个人信息保护制度及措施的重要性,并提供一些简单实用的策略,以有效保护个人信息的安全和隐私。
个人信息保护制度1. 法律法规的制定与执行:建立并完善与个人信息保护相关的法律法规,包括但不限于个人信息保护法、网络安全法等。
同时,加强对这些法律法规的执行力度,确保其有效实施。
:建立并完善与个人信息保护相关的法律法规,包括但不限于个人信息保护法、网络安全法等。
同时,加强对这些法律法规的执行力度,确保其有效实施。
2. 个人信息的收集与使用:在收集个人信息时,必须遵循合法、正当、必要的原则,并明确告知被收集信息的主体。
在使用个人信息时,应明确用途,并经过被收集信息的主体同意。
任何收集和使用个人信息的行为都应遵守相关法律法规的规定。
:在收集个人信息时,必须遵循合法、正当、必要的原则,并明确告知被收集信息的主体。
在使用个人信息时,应明确用途,并经过被收集信息的主体同意。
任何收集和使用个人信息的行为都应遵守相关法律法规的规定。
3. 个人信息安全措施:采取必要的技术和管理措施,保护个人信息的安全。
包括但不限于加密技术、访问控制、安全审计等,以防止个人信息的泄露、篡改和丢失。
:采取必要的技术和管理措施,保护个人信息的安全。
包括但不限于加密技术、访问控制、安全审计等,以防止个人信息的泄露、篡改和丢失。
4. 敏感个人信息的特殊保护:针对敏感个人信息,如身份证号码、银行账号等,应采取更严格的保护措施,并限制其收集和使用的范围。
:针对敏感个人信息,如身份证号码、银行账号等,应采取更严格的保护措施,并限制其收集和使用的范围。
个人信息保护措施1. 加强安全意识培训:对个人信息处理人员进行个人信息保护的相关培训,提高其安全意识和法律法规的认知水平。
个人信息保护工作制度
个人信息保护工作制度一、目的和意义随着科技的飞速发展和互联网的普及,个人信息已经成为一种重要的资源。
然而,与此同时,个人信息泄露、滥用等问题也日益严重。
为了保护个人信息的安全,维护公民的合法权益,我国制定了一系列个人信息保护工作制度。
这些制度的建立旨在加强个人信息的保护,提高个人信息管理水平,促进数字经济的发展。
二、个人信息保护工作制度的主要内容1. 个人信息保护法律法规体系个人信息保护法律法规体系是个人信息保护工作制度的基础。
我国已经出台了《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规,对个人信息的保护进行了明确的规定。
这些法律法规为个人信息保护工作提供了法律依据和指导。
2. 个人信息保护的组织架构个人信息保护的组织架构是个人信息保护工作制度的重要组成部分。
我国建立了由国家互联网信息办公室、公安部、市场监管总局等部门组成的个人信息保护工作协调机制,负责统筹协调和指导全国的个人信息保护工作。
同时,各级网信办、公安机关、市场监管部门等也设立了专门的个人信息保护工作机构,负责本地区、本部门的个人信息保护工作。
3. 个人信息保护的工作机制个人信息保护的工作机制是个人信息保护工作制度的核心。
我国建立了以下几个方面的工作机制:(1)信息收集和使用规范:个人信息收集和使用应当遵循合法、正当、必要的原则,明确个人信息收集的范围、目的、方式和期限,并取得个人信息主体的同意。
(2)个人信息保护技术措施:采取加密、脱敏、访问控制等技术措施,确保个人信息的安全。
(3)个人信息保护教育和培训:加强对个人信息保护的宣传教育,提高从业人员个人信息保护意识和技能。
(4)个人信息保护监督检查:加强对个人信息保护工作的监督检查,及时发现和纠正个人信息保护工作中的问题。
(5)个人信息保护应急处置:建立个人信息保护应急处置机制,及时应对和处理个人信息泄露、滥用等事件。
4. 个人信息保护的责任和义务个人信息保护的责任和义务是个人信息保护工作制度的重要内容。
个人信息保护工作制度(3篇)
第1篇第一章总则第一条为加强个人信息保护工作,保障个人信息安全,依据《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规,结合我单位实际情况,制定本制度。
第二条本制度适用于我单位内部所有涉及个人信息处理的活动,包括但不限于收集、存储、使用、加工、传输、提供、公开等环节。
第三条本制度旨在规范个人信息处理行为,提高个人信息保护意识,建立健全个人信息保护工作机制,确保个人信息安全。
第二章组织机构与职责第四条成立个人信息保护工作领导小组,负责本制度的组织实施和监督检查工作。
第五条个人信息保护工作领导小组职责:(一)组织制定个人信息保护工作规划、政策和标准;(二)指导、监督各部门和个人信息保护工作的开展;(三)组织对个人信息保护工作进行评估、检查和整改;(四)处理个人信息保护工作中的重大问题和投诉;(五)组织开展个人信息保护宣传教育活动。
第六条各部门职责:(一)各部门负责人为本部门个人信息保护工作的第一责任人,负责本部门个人信息保护工作的组织实施;(二)各部门应指定专人负责个人信息保护工作,具体负责本部门个人信息处理活动的日常管理;(三)各部门应建立健全个人信息保护工作制度,明确个人信息处理活动的流程、权限和责任。
第三章个人信息处理原则第七条个人信息处理应遵循以下原则:(一)合法、正当、必要原则;(二)明确目的、最小化原则;(三)安全、保密原则;(四)责任明确原则。
第八条未经个人同意,不得收集、使用个人信息;收集、使用个人信息应当限于实现处理目的所必需的范围和限度。
第四章个人信息收集第九条收集个人信息应当遵循以下要求:(一)明确收集目的、范围、方式和用途;(二)告知个人收集、使用个人信息的情况;(三)不得收集与处理目的无关的个人信息;(四)采取必要措施保障个人信息安全。
第十条收集个人信息的方式:(一)通过网站、应用程序等公开渠道收集;(二)通过问卷调查、登记、报名等途径收集;(三)通过与其他单位或个人合作收集;(四)其他合法收集方式。
个人信息保护制度
个人信息保护制度个人信息保护制度是指国家和组织为了保护个人信息安全而制定的一系列法律、法规和措施。
在信息技术的快速发展和信息化程度不断提高的背景下,个人信息的泄露和滥用愈发严重,个人信息保护制度的建设也变得尤为重要。
本文将从国家层面和组织层面来探讨个人信息保护制度。
在国家层面,个人信息保护制度的建设需要法律法规的支持。
国家应制定相关的法律,明确个人信息的定义、分类和保护的具体要求。
法律还应明确个人信息的收集和处理需经过个人同意,并对违法个人信息的收集和处理行为进行严惩。
此外,国家还应设立相应的机构或部门,负责监督和管理个人信息的保护工作,建立个人信息保护的投诉和仲裁机制。
个人信息保护制度的建设还需加强宣传和教育。
国家应加强对公众的个人信息保护意识的培养,开展相关的宣传活动,普及个人信息保护的知识和技能,提高公众的自我保护能力。
同时,加强对从事个人信息处理的从业人员的培训和教育,增强其个人信息保护的意识和能力。
在组织层面,个人信息保护制度的建设需要公司或组织制定相应的政策和措施。
首先,公司或组织应制定个人信息收集、处理和存储的规范,明确个人信息的使用范围和目的,并确保个人信息的合法性和安全性。
其次,公司或组织应建立完善的个人信息保护管理机制,包括信息处理流程的设计、权限的分配和审查机制的建立,确保个人信息在处理过程中的安全性和隐私性。
同时,公司或组织还应建立个人信息保护的审计和风险管理体系,定期进行个人信息的审核和评估,发现和修正潜在的安全风险。
此外,公司或组织还应加强对员工的教育和培训。
通过开展个人信息保护的培训课程,提高员工的个人信息保护意识和技能,明确其在个人信息处理过程中的责任和义务。
在雇佣合同时,公司或组织应与员工签订保密协议,明确禁止他们泄露个人信息,对违反保密协议的员工进行相应的纪律处分。
个人信息保护制度的建设还需要技术手段的支持。
公司或组织应对个人信息进行合理的技术保护措施,包括加密技术、安全访问控制、安全存储和传输等,确保个人信息在收集、传输和存储过程中的安全性。
单位个人信息保护工作制度
单位个人信息保护工作制度一、总则为了保护单位员工的个人信息安全,防止个人信息泄露、损毁、丢失,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等法律法规,结合单位实际情况,制定本制度。
单位应当将个人信息保护工作纳入单位网络安全工作整体规划,建立健全个人信息保护制度,明确个人信息保护的责任和义务,提高个人信息保护意识和能力,确保个人信息安全。
二、个人信息保护组织与管理1. 设立个人信息保护工作机构,负责单位个人信息保护工作的统筹协调和组织实施。
2. 明确个人信息保护工作负责人,负责单位个人信息保护工作的日常管理和监督。
3. 各部门、分支机构应设立个人信息保护工作联络人,负责本部门、分支机构个人信息保护工作的具体实施。
4. 定期开展个人信息保护培训和宣传活动,提高员工的个人信息保护意识和能力。
三、个人信息采集与使用1. 单位采集个人信息应当遵循合法、正当、必要的原则,明确个人信息采集的目的、范围和方式,并告知个人信息主体。
2. 单位应当建立健全个人信息使用制度,明确个人信息使用的范围、条件和程序,防止个人信息被非法使用。
3. 单位应当对个人信息进行分类管理,根据个人信息的重要性、敏感程度和风险程度,采取相应的保护措施。
4. 单位应当建立健全个人信息共享制度,明确个人信息共享的范围、条件和程序,确保个人信息在共享过程中的安全。
四、个人信息存储与传输1. 单位应当建立健全个人信息存储制度,采取技术和管理措施,确保个人信息的安全存储。
2. 单位应当建立健全个人信息传输制度,采取加密等安全措施,确保个人信息在传输过程中的安全。
3. 单位应当对存储和传输的个人信息进行定期检查和维护,确保个人信息系统的安全运行。
五、个人信息处理与销毁1. 单位应当建立健全个人信息处理制度,明确个人信息处理的流程和要求,确保个人信息处理的合法性和安全性。
2. 单位应当对个人信息进行定期清理,删除不再需要的个人信息,防止个人信息的过度积累和滥用。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
解析新版《个人信息安全规范》中的个人信息保护负责人制度2020-08-03《网络安全法》出台后,特别是2018年5月1日《信息安全技术 个人信息安全规范》(“旧版规范”)生效以来,不少企业已经搭建起个人信息保护制度框架。
数据合规体系是动态的有机体,需要静态的制度框架,更需要合规人员的动态推动,将制度融入商业决策与交易中。
即将于2020年10月1日生效的《信息安全技术 个人信息安全规范》(“新版规范”或“《安全规范》”)针对个人信息保护负责人的规定,较旧版规范而言更为具体且务实。
一、为什么要建立个人信息保护负责人制度个人信息保护负责人是指全面实施统筹组织公司个人信息保护工作、对个人信息安全负直接责任的公司人员。
设立个人信息保护负责人对企业落地数据合规制度至关重要。
具体而言,科学有效的个人信息保护负责人制度既可提高企业法律风险防御能力,亦可增强其核心竞争力。
(一)提高企业风险防御能力个人信息保护不力会给企业带来巨大损失:政府调查与处罚轻则迫使企业整改、重则颠覆既有商业模式、甚至导致企业与主要负责人承担刑事责任;个人信息安全事件如果不能及时、妥善处理,企业所面对的信任危机可能比处罚带来的社会影响更为深远;广大民众不断觉醒的个人信息保护意识更是促使企业时刻不得松懈。
个人信息保护负责人既可以帮助企业在日常工作中未雨绸缪又可能在危机事件中力挽狂澜,提高企业防御风险的综合能力。
2017年3月,有消费者认为其个人信息遭到泄露而将某航空公司起诉至法院。
法院综合认定被告存在泄露个人信息的高度可能,同时认为法律对经营者采取技术措施和其他必要措施保护消费者个人信息施以强制规定。
但是,被告未能证明其已履行法定的个人信息保护义务。
[1]2019年12月,同一家航空公司因类似事由被起诉,但法院认为被告在自身掌握信息阶段不存在泄露个人信息的事实。
原因在于,航空公司不仅对可查看订单信息的管理系统进行数据脱敏设置,还建立起严密的数据安全管理制度、就数据存储安全进行专门认证、与专业第三方进行合作。
[2]根据公开信息,前述航空公司于2018年任命首席数据官,全面负责企业的数据保护与合规运营工作。
该航空公司也由此成为国内首家设立数据保护官的企业。
[3]虽然任命首席数据官与两份截然相反的判决没有直接关系,但从判决书中航空公司的举证来看,其在一两年间确实就个人信息保护采取了系列技术措施与组织措施,而任命首席数据官不仅是一种合规宣示,对于推动保护措施的落地显然也至关重要。
(二)增强企业核心竞争力中国企业传统上将法律合规定位为后台支持部门,该等定位在业务拓展特别是开发海外市场时的局限性日益凸显。
有能力的个人信息保护负责人有助于树立良好的企业形象,在与监管机构、合作伙伴、甚至竞争对手打交道的过程中,给人以专业、可信的印象,对于增强企业核心竞争力大有脾益。
如何在各国纷繁复杂的法律规定下实现合规,需要个人信息保护负责人的统筹规划。
对敏感个人数据加紧审查的国际趋势,尤其是中美经贸摩擦下的监管升级,[4]更是要求企业出海前审慎开展合规评估。
华为、蚂蚁金服、360奇虎等大型企业纷纷设立个人信息保护专家岗位,说明在合规工作进入“深水区”的今天,企业数据合规的水平和深度将直接决定商业机会的获得。
二、如何建立个人信息保护负责人制度《网络安全法》规定网络运营者应确定网络安全负责人,关键信息基础设施运营者应设置专门的安全管理机构和安全管理负责人。
网络安全事关国家安全,而隐私权保护原本侧重私法法益的保护,延展为个人信息保护后则具备更多的公共利益属性,但与网络安全相较仍更突出自主性。
在《个人信息保护法》尚未出台的阶段,推荐性的《安全规范》提出设置个人信息保护负责人制度,起到标准示范作用的同时亦在帮助企业为应对个人信息保护的强制立法做准备。
(一)设置个人信息保护负责人的条件根据新版规范,当企业(1)主要业务涉及个人信息处理,且从业人员规模大于200人;(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;或(3)处理超过10万人的个人敏感信息的,应设置专职的个人信息保护负责人和个人信息保护工作机构。
与旧版规范相比,新版规范对于设置个人信息保护负责人的门槛要求体现出与时俱进和风险导向的趋势。
首先,新版规范将处理50万人的个人信息提升为100万人,与数字经济下企业快速提升的数据处理规模相一致。
其次,旧版规范并未将处理个人敏感信息作为标准之一,而新版规范则规定处理超过10万人的个人敏感信息即应设立专职的个人信息保护负责人。
纵观近年的重点数据执法,往往涉及个人财产信息、生物识别信息、精准的网络浏览记录等个人敏感信息的泄露、非法提供或滥用,故在考虑设置个人信息保护岗位时企业应将是否处理个人敏感信息作为重要参考依据。
前述设置要求亦体现出平衡企业发展与保护法益的合理考虑。
第(1)点要求从业人员大于200人,说明主要针对中型及以上企业。
[5]这样的设定给小微企业的发展留出空间,同时积极引导大中型企业在拓展业务时需更加合规、稳健。
第(2)点中的100万人构成大城市的常住人口量,[6]收集、处理100万人以上的个人信息说明业务已具有相当规模,设置个人信息保护负责人有必要性。
(二)个人信息保护负责人的资质要求旧版规范生效以来,实务界普遍关注的问题之一是:个人信息保护负责人需要具备何等资质。
新版规范分别从经验背景和决策地位两方面,对个人信息保护负责人的资质提出两项指引:(1)由具有相关管理工作经历和个人信息保护专业知识的人员担任;(2)参与有关个人信息处理活动的重要决策直接向组织主要负责人汇报工作。
根据实践,个人信息保护负责人需要具备法律专业背景,同时能够理解技术、安全对个人信息保护的重要作用。
个人信息保护的出发点是确保公司产品及服务符合国内、国际的数据保护法律合规框架,因此对法律的理解是第一准则。
由于个人信息保护也涉及数据安全治理,个人信息保护负责人应同时具备国际、国内格局安全观,日常工作中能够与安全和技术人员充分交流并交换意见。
显然,传统上此类人才相当稀少,令人欣喜的是近年来出现了一批对数据保护抱有热忱的专业人士,逐渐形成了中国第一代数据保护人才库。
就决策地位而言,个人信息保护负责人应当具备管理职能,能够参与重要决策。
个人信息保护负责人不能仅承担执行责任,也要参与到管理决策,能够与业务部门平等合作、甚至在为公司合规利益把关上有更高的话语权。
《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》中,“数据”已经被纳入市场化配置改革的五大基础生产要素,[7]业务部门为追求盈利,难免在个人信息保护和市场机会的平衡中更偏向市场。
同时,相较于业务部门直观反映于短期业绩中的绩效,合规管控更为长远、前瞻,需要时间沉淀才能凸显其价值。
因此,个人信息保护负责人需具备管理、决策地位的必要性不言而喻。
(三)个人信息保护负责人的职责新版规范明确规定了个人信息保护负责人的职责,与旧版规范相比有如下变化:(1)增加的职责为组织制定个人信息保护工作计划并监督落实、公布投诉、举报方式等信息并及时受理投诉举报,以及与监管部门保持沟通,报告个人信息保护和事件处理情况;(2)增强的职责为组织开展个人信息安全影响评估后,还需提出个人信息保护的对策建议,督促整改安全隐患。
由此可见,新版规范增加了个人信息保护负责人对外沟通联络的职能,就内部职责而言则更加强调数据合规制度的落地实施。
同时,《安全规范》也非常贴心地为各项职能的具体落实提供建议。
其中,新版规范增加的两项内容为个人信息安全工程和个人信息处理活动记录。
个人信息安全工程有些类似GDPR项下的Privacy by Design, 即在企业开发具有处理个人信息功能的产品或服务时,根据国家有关标准在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。
因为个人信息安全工程涵盖产品从需求到发布的完整周期,由谁来具体做评估、谁来监督评估、谁来制作个人信息安全影响评估报告等,都由企业根据自身情况决定。
不可否认的是,个人信息保护负责人在此过程中会起到重要的作用。
《安全规范》建议开展个人信息安全工程时参照国家有关标准,具有很强的现实意义。
例如,中国人民银行和全国金融标准化技术委员会发布的《个人金融信息保护技术规范》即要求金融业机构有效隔离开发测试环境和生产环境,在实际开发测试中对个人金融信息进行虚构或者去标识化,且在产品或服务上线发布前进行技术检测。
个人信息处理活动记录与GDPR第30条的要求较为类似,《安全规范》要求企业建立、维护和更新所收集、使用的个人信息处理活动记录,包括个人信息的类型、数据、来源;根据业务功能和授权情况区分个人信息的目的、使用场景;个人信息出境情况;以及与个人信息处理活动各环节相关的信息系统、组织或人员。
个人信息保护负责人的职能之一即为建立、维护和更新个人信息清单和授权访问策略,正是对应个人信息处理活动记录中的核心部分。
三、完善个人信息保护负责人制度的展望新版规范完善了个人信息保护负责人制度,企业可以根据自身情况选择适用,为建立数据合规体系奠定基础。
我们基于企业的良好实践,为个人信息保护负责人制度、个人信息保护责任体系提出两点展望。
(一)设立个人信息保护工作机构《安全规范》除要求任命个人信息负责人外,也提到了个人信息保护工作机构。
但是,尚未就个人信息保护工作机构给出具体指引。
实践中,合规人员在推动数据保护决策时常面临各方阻力,执行中也有不少困难。
部分大型公司已经设立数据保护委员会,作为企业数据治理工作的协调机构与最高决策机构,通常由安全技术部、法务部、风险管理部、业务运营部和公共关系部相关管理人员组成。
该等设置有助于强化数据保护决策的合意基础,确保决策的顺利推行。
特别是当出现安全事件时,数据保护委员会可统筹处理响应、对外进行沟通、适时复盘整改合规措施。
(二)增强个人信息保护负责人的独立地位新版规范除了开宗明义要求“法定代表人或主要负责人应对个人信息安全负全面领导责任”外,还就个人信息保护负责人的独立性增强了制度保障,即:“应为个人信息保护负责人和个人信息保护工作机构提供必要资源,保障其独立履行职责”。
虽然与GDPR下DPO的独立性仍有所差距,[8]但结合我国的情况以及企业的治理架构,《安全规范》的要求更容易落地实施。
企业设计人力制度时,如何确保个人信息保护负责人独立、专业、不受无关干扰做出正确合理的决策,是企业长远发展的一项重要考量。