大数据时代,企业该如何做好个人信息合规建设

2019-03-20 15:34 来源:界面新闻
浏览量: 收藏:0 分享

  大数据时代,企业该如何做好个人信息合规建设

  在立法执法越来越严格和公民个人信息意识开始觉醒的大背景下,企业有必要积极关注关于个人信息的最新政策及立法动向,用法律标准来推动企业自身的合规建设,将个人信息保护设计融入企业内部的制度安排和运营流程中,还要以隐私条款的形式对其用户公开产品及服务中加入的对个人信息控制、处理及申诉的途径。

  近日,数文明团队发布了《2018年度个人信息泄漏报告》(全文见微信公众号“涂子沛频道”)。该报告指出:随着互联网行业和各种新技术的发展,个人信息泄露问题也日渐加剧,程度之严重,远远超出公众想象。仅在2018年度,全球范围内各领域纷纷爆出大体量数据泄露事件,Facebook连续多起严重的数据泄露,Aadhaar的国家级身份数据库泄露,MyHeritage的DNA测试和家谱记录网站泄露,喜达屋、华住酒店住客信息泄露等,都是涉及亿级乃至十亿级数据量的信息泄露事件。这些泄露事件对个人、企业及社会均造成了严重危害。

  此形势下,个人信息保护已成为全球性议题,个人、企业和社会都无法再回避这一问题。不论国外还是国内的相关法律法规,都比较一致地将掌握了公众个人信息的企业描述为个人信息保护领域的“义务主体”。在立法执法越来越严格和公民个人信息意识开始觉醒的大背景下,企业该如何做好个人信息合规建设?可从以下六个方面着手:

  一、密切关注政策及立法导向

  从《全国人大常委会关于加强网络信息保护的决定》到《网安法》《电商法》,还有尚未正式颁布的《个人信息保护法》,短短几年我国就实现了个人信息保护领域从原则性规则到正式的普适性立法的迅速转变,这些制度安排必将影响各行各业对个人信息的控制和处理。

  相信未来还会出现更加细化的行业立法或具有本地化的地方性立法,而企业有必要对此加以重视,因为个人信息一定是未来立法保护的主要目标,因此企业的数据合规整改的着力点必须落到个人信息安全。

  这就要求企业必须保持对法律的敏感,对相关法律规定和基本规范要有一定的理解和认识,并且要将相关制度融入企业内部的运营中。

  二、积极完善并及时更新隐私政策

  2017年,由中央网信办、工信部、公安部、国家标准委指导开展的隐私条款专项行动,针对微信、淘宝网、支付宝、滴滴出行、京东商城等十款互联网应用的隐私条款进行了审核并提出了整改意见。

  如今,隐私条款的更新设计已经是企业自律的主要手段。例如微信、百度、知乎、淘宝等不同领域的互联网头部企业,已经更新并完善了各自的隐私政策。新的隐私政策最主要的变化在于向微观个体赋予更大的个人信息保护权,也就是说个人信息主体在享受互联网服务的同时,对自身产生的数据有了更大的掌控权、更透明的数据收集、处理规则和行权路径。企业隐私政策设计要合乎自身基本情况和所处的行业特征,不能套路式地生搬硬套。

  首先,企业隐私政策的主要功能是告知客户企业如何收集、利用及保护用户个人信息,同时给予用户对个人数据的选择权。

  其次,要用浅显易懂的表达方式明确告知用户正在收集何种数据以及使用目的,在明确获得用户许可的情况下,才能进行相关的数据操作。

  再次,还要告知用户如何避免这种收集以及如何删除个人数据,为用户提供一定的选择空间,对用户个人数据的保护提供一定的背书,比如保证数据是集团内部使用或者在向第三方传输时进行了脱敏处理。

  最后,还必须告知用户发生争议时的询问和投诉的渠道,以及发生纠纷后的争议解决机制。

  以立法倾向来看,企业保证个人信息不受侵害必将成为一项附加义务,因此隐私政策必须将相关责权进行清晰的界定。

  三、对处理个人信息的员工加以约束

  首先,公司针对不同岗位中需要处理个人信息的员工,应该在雇佣前或雇佣后明确其信息安全职责,例如,招聘时的岗位描述和公司相关政策中规定的此类员工应尽安全职责培训等。

  其次,对授权访问个人信息的内部数据操作人员的访问权限必须进行限制,目的是使其只能访问职责所需的最少够用个人信息。对个人信息的重要操作,例如批量修改、拷贝、下载等,必须设立内部审批流程,如因业务工作需要,特定人员需授权进行超权限处理个人信息的,个人信息保护责任人或个人信息保护工作机构必须对流程进行审批和记录,而且这里的安全管理人员、数据操作人员、审计人员等角色的设置必须是分离的。

  最后,公司必须有自己的数据安全政策或者与处理个人信息员工签署相应的标准保密条款,它可以在员工手册中规定或单独规定安全政策。针对那些违反安全职责或公司相关安全政策的员工,公司必须对相关人员进行相应处罚政策。即使在个人信息处理岗位的相关人员离岗离职,公司也必须通过合同等方式约束他们继续履行保密义务。如果有可能访问个人信息的外部服务人员,公司也必须与他们签署保密协议。

  四、将个人信息保护融入运营流程

  企业数据合规整改应该是内生的,在缺乏有效的数据交易市场的情况下,为了规避严苛的法律制裁,企业有必要预先对自身情况进行核查,将明显有悖于新立法规则的地方进行整顿。从行业内部开始整改,通过研究行业内的技术标准和技术趋势进行差距分析和自我评估。

  首先,在产品及服务设计中应该预先进行风险预测,将必要的隐私设计纳入产品及服务的最初设计中。

  其次,必须通过隐私政策说明个人信息在企业关联方和合作机构之间的流转、通知和拒绝方式。

  最后,《网安法》虽然没有明确要求企业设立数据保护官一职,但是要求企业设立“网络负责人”对信息安全技术进行把关,因此部门和人员结构的再组织是非常必要的。

  企业内部的整改应该涉及多个方面,包括产品及服务设计、关联及合作关系、人员及组织架构、技术应用标准的转换等。

  五、定期进行个人信息安全影响评估

  公司内部或者外聘第三方公司定期对公司开展个人信息安全影响评估并形成个人信息安全影响评估报告,并以此为根据采取保护个人信息主体的措施,使风险降低到可接受的水平,妥善留存个人信息安全影响评估报告,有必要的话应该定期对外输出个人信息安全影响评估报告,确保可供相关方查阅。

  在法律法规有新的要求时,在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,公司应该重新进行个人信息安全影响评估。

  六、聘任数据保护官

  我国企业对个人信息的保护已经从人员组织上开始转变。2018年6月,东航正式任命总法律顾问郭俊秀为企业数据保护官(DPO),全面负责企业的数据保护与合规运营工作。至此,东航已成为国内首家设立数据保护官的企业。

  根据欧盟、美国等国家或地区法律,企业必须设置数据保护官来保障企业内数据合规运营。因此,有涉及对外业务的国内企业设置数据保护官不仅仅是为了迎合相关国家或地区的合规需求,更是对我国用户数据权的重视。随着我国对个人信息保护标准同国际逐渐接轨,设置数据保护官必将是我国企业内部数据合规的重要一步。

标签:

责任编辑:bozhihua
在线客服