总第114期 企业个人信息合规制度与隐私政策编制
编者按
建设企业个人信息合规管理制度是一项系统性的工程,涉及到制度、机构、人员、机制、保护措施、审计/评估、个人信息出境等多方面的内容。本期专题主要讨论企业个人信息合规管理制度建设中制度、机构、人员、机制、保护措施等方面的要求与内容。具体而言,第一部分主要对企业个人信息合规管理制度建设进行概述,明确企业个人信息合规管理制度建设的意义、目标和方法以及关键要素,第二部分主要介绍隐私政策的编写、公示和更新要求,以及隐私政策中需要包含的具体内容等,第三部分和第四部分则分别介绍企业在员工和第三方合作伙伴中的个人信息保护管理措施。
目录
一、企业个人信息合规制度建设概述
企业个人信息合规管理制度是指企业为了保障个人信息主体的个人信息权益,合规处理个人数据的收集、存储、使用、共享等行为而建立的管理制度。通过建立和完善内部个人信息合规管理制度,企业可以有效防范个人信息泄露和滥用等风险,保障个人信息主体合法的个人信息权益,促进企业可持续发展。
本部分将对企业个人信息合规管理制度建设进行概述,包括企业个人信息合规管理制度建设的意义、目标和方法、企业个人信息合规的关键要素以及个人信息保护管理流程。
(一)企业个人信息合规管理制度建设的意义
随着技术的快速更迭,当下个人信息泄露的方式也多种多样,如病毒与非法入侵、系统漏洞、访问控制和权限管理不善等,这些都使得企业遭受巨大损失。显然,在当前数字化时代,个人信息合规已经成为企业管理的一项重要任务。建设完善的企业个人信息合规管理制度,对于企业和个人信息主体都具有重要意义,具体而言其意义主要体现在以下几个方面:
1. 保护个人信息权益
个人数据的收集、存储和使用已成为企业竞争的重要因素之一,个人信息主体的个人数据包含其生物特征、健康状况、财务状况、消费行为等重要信息,这些信息的泄露或滥用会对个人信息主体的利益产生重大影响。建立完善的企业个人信息合规管理制度可以确保个人数据的收集、存储和使用等流程合法、透明、安全,有效防止个人信息主体的个人信息被不法分子窃取和滥用,从而帮助企业保护个人信息主体的权益。
2. 增强客户信任感
建立完善的个人信息合规管理制度可以让个人信息主体感到企业对个人信息问题高度重视,能够提高对企业的信任感。同时,个人信息权益得到保护,个人信息主体感到更加安心,这可以增加个人信息主体的满意度和忠诚度。在竞争激烈的市场中,建立良好的信任关系可以吸引更多的客户,增加企业的市场份额和商业价值。相反,一旦客户发现企业不重视个人信息保护,或是发生了用户个人信息泄露的事件,就会对企业产生不信任感,从而降低客户的忠诚度和满意度。
3. 降低企业合规风险
在当前的法律和监管环境下,企业必须依法合规地处理各种数据,否则将面临巨大的合规风险和法律责任。个人信息合规管理制度的建设需要企业全面了解当前的个人信息法律法规和监管政策,将其纳入企业的个人信息合规管理制度中,从而确保企业的个人信息处理行为符合相关法规和标准。因此,个人信息合规管理制度的建设可以规范企业的数据收集、存储和使用等行为,极大地减少违规行为和合规风险。
4. 提高企业形象和声誉
随着公众对个人信息保护意识的不断提高,企业的个人信息保护问题已成为公众关注的焦点。如果企业能够建立完善的个人信息合规管理制度,严格遵循个人信息法律法规和标准,加强个人数据的保护和安全使用,将会赢得公众的信任和尊重,提高企业的品牌形象和声誉。同时,个人信息保护已成为企业社会责任的重要方面之一。通过建立完善的个人信息合规管理制度,企业可以展现其对个人信息权益的尊重和保护,体现其对社会的责任感,这有助于提升企业在社会中的地位和形象。
5. 提高员工意识和素养
企业个人信息合规管理制度的建设不仅仅是建立规章制度和技术安全保障,更是涉及到企业文化和员工意识的改善。员工是企业运营的重要组成部分,他们的行为直接影响到企业的形象和声誉。如果员工缺乏个人信息保护意识,那么企业很容易面临着数据泄露、滥用等个人信息问题,这不仅会对企业带来经济损失,还会影响到企业的信誉和形象。因此,建立完善的企业个人信息合规管理制度,通过加强员工培训、制定个人信息保护规章制度、采用个人信息保护技术、建立内部监管机制等,可以有效提高员工对于个人信息保护的意识和素养,使得员工在日常工作中更加注重个人信息保护,避免员工在个人数据处理方面出现不当的行为,从而为企业的可持续发展奠定坚实基础。
6. 促进数据创新和价值开发
数据是企业的重要资产,通过合法合规的数据收集、存储和使用等,企业可以更好地了解用户需求和市场动态,提高业务流程和决策的效率和精度,从而实现数据驱动的发展和创新。具体而言:
首先,通过数据收集,企业可以更好地了解客户需求和行为模式。企业可以利用数据分析工具和技术,对用户行为数据进行分析,得到用户喜好、购买习惯、需求偏好等信息,从而更好地了解客户,提高产品和服务的精准度和个性化程度。这有助于企业更好地满足客户需求,增加用户黏性和忠诚度,提高市场占有率。
其次,通过数据存储,企业可以更好地跟踪市场动态和趋势。企业可以对市场数据进行收集和存储,通过分析市场趋势和竞争情况,掌握市场变化,制定更加精准的市场策略和营销计划,提高销售额和市场份额。
此外,通过数据使用,企业可以提高业务流程和决策的效率和精度。企业可以利用数据分析工具和技术对业务数据进行分析,识别业务瓶颈和优化点,提高业务效率和生产力。此外,数据分析还可以帮助企业制定更加科学合理的决策,降低决策风险,提高决策精度和可靠性。
最后,通过数据创新,企业可以开拓新的业务领域和市场机会。数据分析和挖掘可以帮助企业发现潜在市场和业务机会,创新业务模式和产品设计,从而开拓新的业务领域和市场机会。此外,数据创新还可以带来更多的商业价值和竞争优势,为企业的长期发展和可持续性增长提供更好的支持。
7. 推动行业标准的制定、发展并促进行业竞争的公平性
随着互联网和大数据技术的快速发展,个人信息保护问题已成为互联网行业和数字经济发展的重要议题。当一个企业建立起完善的个人信息合规管理制度,它可以成为其他企业学习和参考的典范,从而帮助推动行业标准的制定和发展。在行业标准的制定过程中,各企业可以根据自身的业务特点和实际情况,制定相应的个人信息合规管理制度,从而形成更加健康、合理、规范的行业标准。
同时,在数字经济时代,数据已经成为企业的重要资产和竞争优势,而个人信息保护又是数据处理的重要前提条件。如果企业没有建立起完善的个人信息合规管理制度,很可能会在数据收集、存储和使用等方面存在违规行为,进而形成不公平的竞争环境。而随着越来越多的企业建立起完善的个人信息合规管理制度,行业竞争的公平性将得到有效保障。
综上所述,企业个人信息合规管理制度的建设对于企业与用户而言都具有重要意义。企业应该严格遵守个人信息法律法规和标准,建立完善的个人信息合规管理制度,保障个人信息安全、避免个人信息滥用和泄露,降低企业合规风险和法律责任,最终实现企业和用户的共赢。
(二)企业个人信息合规管理制度建设的目标
企业个人信息合规管理制度的建设目标是确保企业在收集、存储、处理和使用用户个人信息时,能够严格遵守相关法律法规和标准,保障个人信息权益,降低企业的合规风险和法律责任。具体来说,企业个人信息合规管理制度的建设目标应包括以下几个方面:
1. 合规性目标
建立企业个人信息合规管理制度的首要目标是确保企业在处理用户个人信息时遵守相关法律法规和标准,避免违反相关规定而产生的合规风险和法律责任。企业应该对个人信息保护相关法律法规和标准进行全面了解和认知,并将其落实到企业个人信息合规管理制度中,明确企业在处理个人信息时应遵守的规范和流程,从而确保企业合规经营。
2. 保障个人信息权益
保障个人信息权益是企业个人信息合规管理制度建设的核心目标。企业应该在个人信息保护方面确立“用户至上”的理念,对用户的个人信息进行严格保护,避免其被滥用、泄露或被非法使用等。通过建立完善的个人信息保护制度,企业能够提高用户信任度,提高用户体验和满意度,加强用户粘性,进而提升企业竞争力和市场占有率。
3. 提高数据管理水平
企业个人信息合规管理制度建设的另一个目标是提高企业数据管理水平。个人信息管理制度的建设应该涵盖企业在个人信息收集、存储、处理、使用、共享、转移和销毁等各个环节的管理要求,确保企业在个人信息管理方面合规、规范、高效、安全。个人信息合规管理制度的建设还需要明确企业个人信息管理的责任和义务,加强数据安全风险评估和防范措施,保障用户数据安全。
4. 加强企业内部管理
加强企业内部管理也是企业个人信息合规管理制度建设的重要目标。个人信息合规管理制度应该明确企业个人信息管理的组织架构、管理流程、岗位职责和权限划分等各个方面的要求,从而实现对企业内部个人信息管理的规范化、标准化和精细化。同时,企业应该加强对员工的个人信息保护意识培训,提高员工个人信息保护意识。
5. 提高企业社会责任
在信息化时代,企业对于用户个人信息的处理涉及到重要的社会责任问题,故提高企业社会责任是建设企业个人信息合规管理制度不可忽略的目标之一。企业必须承担保护个人信息的社会责任,在收集、存储、处理和使用用户个人信息时,应该保护用户个人信息权益,尊重用户知情权和选择权,不滥用、泄露或非法使用用户个人信息,做到诚信经营,提高企业社会形象和声誉。
6. 推动行业自律
推动行业自律也是企业个人信息合规管理制度建设需要追求的目标。企业个人信息合规管理制度的建设可以借鉴行业内优秀的个人信息保护经验和管理模式,促进行业自律的建设,推动行业内个人信息保护标准的制定和落实,从而提高整个行业的个人信息保护水平。
7. 提高企业品牌价值
当企业在个人信息保护方面取得突出成绩时,可以进一步提高品牌声誉和市场认可度,提升企业品牌价值。消费者在选择商品和服务时,也会更倾向于选择个人信息保护做得好的企业,从而增加企业的市场竞争力。因此,提高企业品牌价值也企业个人信息合规管理制度建设所要追求的关键目标。
综上所述,企业个人信息合规管理制度的建设目标是多方面的,包括合规性目标、保障用户个人信息权益、提高数据管理水平、加强企业内部管理、提高企业社会责任、推动行业自律、提高企业品牌价值等。只有在这些目标的共同作用下,企业才能够实现对个人信息的全面保护,提高企业的管理水平和社会形象,增强企业的可持续发展能力。
(三)企业个人信息合规管理制度建设的方法
企业个人信息合规管理制度建设需要企业全面考虑各种因素,涉及到组织架构、人员培训、流程管理、技术保障等多个方面。下面将简要介绍企业个人信息合规管理制度的建设方法。
1. 制定隐私政策
企业应制定一份清晰明确的隐私政策,告知用户企业如何处理用户的个人信息。隐私政策应该简单易懂,详细说明企业收集哪些信息、收集目的、使用方式、保护措施、共享情况等信息。隐私政策应该定期更新,并在企业网站的显著位置进行公示。隐私政策具体如何编写,以及公示、更新的流程、要求等请参考第四章第二部分(“隐私政策的编写和公示”)的内容。
2. 完善组织架构
企业应该建立专门的个人信息保护部门,个人信息保护部门应该明确各成员的职责和组织结构,确保部门各成员间的协调和合作,协同完成个人信息保护工作。通常来说,个人信息保护部门的职责可以包括:
1)全面统筹实施企业内部的个人信息安全工作,对个人信息安全负直接责任;
2)组织制定个人信息保护工作计划并督促落实;
3)制定、签发、实施、定期更新个人信息保护政策和相关规程;
4)建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
5)开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;
6)组织开展个人信息安全培训;
7)在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
8)公布投诉、举报方式等信息并及时受理投诉举报;
9)进行安全审计;
10)与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
3. 实施个人信息安全影响评估
企业应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险。个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响。
企业在法律法规有新的要求时,或在产品或服务发布前,或在业务模式、业务功能、信息系统、运行环境发生重大变化时,或发生重大个人信息安全事件时,均应进行个人信息安全影响评估,形成个人信息安全影响评估报告,并据此采取保护个人信息主体的措施,使风险降低到可接受的水平。同时,企业应妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。
4. 明确数据处理规范
企业应该建立明确的数据处理规范,以确保在处理个人信息时符合合规要求。具体来说,企业可以按照以下步骤建立数据处理规范:
1)审查现有数据处理规范:企业应该首先审查现有的数据处理规范,了解其存在的缺陷和不足之处,为制定新的规范做准备;
2)确定数据处理的目的和范围:企业应该明确数据处理的目的和范围,即数据的收集、存储、使用、共享、转移和删除等环节。在此基础上,企业可以建立相应的数据流程图,明确数据处理的全过程;
3)明确数据处理规范的具体内容:企业应该根据数据处理目的和范围,制定具体的数据处理规范。规范的内容应该包括数据处理的基本原则、具体操作流程、数据分类管理、权限控制、数据加密、数据备份、数据删除等方面的规定;
4)确认数据处理规范的可操作性和可验证性:企业制定数据处理规范时,应该确保规范的可操作性和可验证性。规范应该能够被操作性地执行,并且可以进行有效的监督和验证;
5)征求组织内外各方的意见:制定数据处理规范时,企业应该广泛征求组织内外各方的意见和建议。这些意见和建议可以来自法务、技术、业务、风险等不同部门,以保证规范的全方位、多角度的审查和修订;
6)建立规范的执行机制:企业应该建立数据处理规范的执行机制,明确规范执行的责任人和流程,制定相应的监管措施,如数据安全审计、数据泄露报告、内部培训等;
7)不断完善和更新规范:由于市场环境和监管政策的变化,企业应该定期审查和更新数据处理规范。在新的业务场景下,企业应该及时调整规范,保证规范的适应性和前瞻性。
5. 加强员工教育培训
员工教育和培训是企业个人信息合规管理制度建设中必不可少的一环,只有通过有效的教育和培训,企业员工才能真正理解个人信息保护的重要性,认识到违反个人信息保护法律法规的严重性,了解企业的个人信息政策和个人信息保护制度,掌握个人信息安全知识和技能,保证企业的个人信息安全。具体而言在教育和培训方面,企业可以采取以下措施:
1)制定教育培训计划:企业应该针对不同职位和岗位制定相应的教育培训计划,确保员工能够充分了解个人信息保护政策和制度,掌握个人信息保护法律法规的基本知识,学习个人信息安全知识和技能;
2)开展定期的个人信息保护培训:企业应该定期组织个人信息保护培训,为员工提供个人信息保护方面的知识和技能培训。培训内容包括个人信息的分类、收集、使用、存储、共享、保护和处置等方面;
3)组织针对性的个人信息保护培训:企业应该根据不同岗位的职责,组织针对性的个人信息保护培训,例如对数据管理员、技术支持人员、客户服务人员、营销人员等不同职位的员工进行不同的培训,让他们了解各自职责下的个人信息保护要求和标准;
4)进行个人信息保护意识教育:企业应该通过丰富多彩的形式,如举办个人信息保护主题活动、制作宣传海报、发放宣传资料等,提高员工对个人信息保护的意识和重视程度;
5)组织模拟演练和应急演练:企业应该定期组织模拟演练和应急演练,让员工了解个人信息保护工作的具体流程和标准,掌握处理个人信息泄露事件的应急措施和技能。
6. 强化个人信息保护技术手段
随着互联网和信息技术的快速发展,越来越多的个人信息被数字化和共享。然而,随之而来的是个人信息泄露和滥用的威胁。因此,强化个人信息保护技术手段变得尤为重要。
个人信息保护技术包括数据加密、匿名化、脱敏化、访问控制等多种手段,详细内容请参考第四章第一部分第4项(“企业个人信息合规的关键要素”)第(3)点(“个人信息保护的技术措施”)的内容。这些技术措施可以有效地保护个人信息,防止信息泄露和滥用,保护用户的权益和利益。
企业需要根据自身业务情况选择适合的技术手段来保护个人信息,例如:对于需要进行数据共享和交换的企业,可以采用匿名化或脱敏化技术来保护用户个人信息;对于需要进行加密保护的企业,可以采用数据加密技术来保障数据安全。
同时,企业还需要加强对个人信息保护技术的管理和监管。对于个人信息保护技术的实施和运营,需要有专门的团队进行管理,并制定相应的策略和流程。此外,还需要建立完善的个人信息保护制度和监管机制,及时发现和处理个人信息泄露和滥用的情况。
7. 建立个人信息保护监督机制
企业需要建立个人信息保护监督机制,加强对个人信息保护工作的监督和管理,确保个人信息保护工作的有效实施。具体来说,企业可以采取以下措施:
1)设立个人信息保护部门:企业应设立专门的个人信息保护部门、组建个人信息管理团队,或者委派专门的人员负责个人信息保护工作,监督和管理个人信息保护工作的实施情况。个人信息保护部门应该制定完善的管理制度、流程和标准,确保所有工作人员都能遵守个人信息保护政策和法规;
2)审查和评估个人信息保护情况:企业应定期对自身个人信息保护情况进行审查和评估,发现问题及时改进。审查和评估的内容主要包括企业所收集、使用、存储用户个人信息的全过程,是否存在个人信息泄露、侵犯用户个人信息权益的情况,是否合法、合规等。企业应对评估结果进行全面分析,找出漏洞和不足,制定相应的改进计划,并在一定时间内进行落实;
3)确保监管合规:企业应定期对各项个人信息保护政策、制度和流程进行审查,确保自身个人信息保护政策和操作流程符合国家和地区相关的法律法规和行业规范,以及与用户签订的个人信息协议中的约定,不断完善和提高自身的个人信息保护水平;
4)接受第三方监督:企业应积极接受第三方的监督和评估,以证明自身个人信息保护工作的合法性、合规性和透明度,也可以提高消费者对企业的信任度和满意度。接受第三方的监督和评估可以通过委托独立的监管机构、咨询公司或者组织进行审核、考核和评估,以检查企业个人信息保护工作是否符合规定,是否存在风险和漏洞,进而改善和加强个人信息保护措施;
5)定期进行内部和外部审计:个人信息保护监督机制还应该包括定期进行内部和外部审计以确保个人信息合规管理制度的有效性和实施情况。内部审计可以由企业内部的专门团队或者外部的审计机构进行,对企业的个人信息管理制度、流程、制度落实情况进行检查,发现问题并及时整改。外部审计可以由第三方机构进行,通过评估企业的个人信息管理制度是否符合法律法规的要求、是否具备完备有效的制度、流程、管理体系,是否得到了用户的认可等方面,评估企业的个人信息保护能力;
6)设立投诉渠道:建立个人信息保护监督机制也需要设立相应的投诉渠道,让用户能够方便地向企业反映自己的个人信息保护问题。企业需要建立完备的投诉受理机制和流程,及时、公正地处理用户的投诉,对问题进行调查和解决,并及时向用户反馈处理结果;
7)及时响应和处置个人信息事件:企业应建立完善的个人信息事件处理机制,及时响应和处置各类个人信息事件和个人信息泄露事故。个人信息事件处理机制应该包括事件的识别、收集、分析、定位、应急处置、风险评估、纠正措施、溯源等多个环节,以最大程度地降低个人信息泄露事件对企业和用户的损害,并及时向有关部门和用户披露安全事件的情况和处理结果。
8. 审查和更新制度
企业个人信息合规管理制度的建设是一个不断优化和完善的过程,需要定期进行审查和更新,以确保其始终符合最新的法规和标准。企业可以制定详细的审查计划和程序,定期对个人信息合规管理制度进行审查,并记录审查结果和建议改进事项。审查可以由内部人员或独立的第三方机构进行,以确保审查的客观性和准确性。
在审查的基础上,企业需要对个人信息合规管理制度进行更新和完善。更新包括法规和标准的变更、业务模式的变化、技术进步等因素,都需要及时纳入到个人信息合规管理制度中。此外,企业也可以结合自身实际情况,适当地增加或调整个人信息合规管理制度的内容和措施,以更好地保护个人信息权益和提高企业社会责任。
总之,企业个人信息合规管理制度的建设方法多种多样,并不限于上述内容,企业应该根据自身的情况和需要,综合考虑各种因素,制定适合自身的个人信息合规管理制度,确保用户个人信息得到有效保护。
(四)企业个人信息合规的关键要素
为了确保企业个人信息合规管理制度更加完善与健全,在制定企业个人信息合规管理制度时需要重点考虑个人信息安全影响评估、数据处理流程、个人信息保护的技术措施、数据主体权利保护、个人信息培训和教育等几大关键要素,具体而言主要包括以下内容。
1. 个人信息安全影响评估
(1)基本概念
传统的信息或网络安全风险评估早已有成熟的实践,其针对的是企业的IT和数据等资产不受来自外界和内部的风险源的破坏。但在个人信息保护的语境下,企业之外的个人是保护重点,因此风险路径完成了“由内及外”的视角转换。为了与过去的风险评估相区别,目前国际上均采用了影响评估的概念,目的是控制企业的信息处理行为对外(即对个人)的影响。
所谓个人信息安全影响评估,借鉴于国际标准化组织在ISO/IEC 29134:2017 Information technology-Security techniques-Guidelines for privacy impact assessment(即《信息技术-安全技术-隐私影响评估指南》)中的“隐私影响评估”(Privacy impact assessment,简称PIA),定义为“是一种发现信息系统、程序、软件模块、设备或其他举措对隐私产生潜在影响的工具,它处理个人可识别的信息(PII),并与利益攸关方协商,采取必要行动处理隐私风险”。
各国在其PIA 手册中也有适应各自国情的定义,而我国《个人信息安全影响评估指南》将PIA 定义为“是针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各类风险,以及评估用于保护个人信息主体的各项措施的有效性的过程”。
(2)评估内容
个人信息安全影响评估的内容包括但不限于:
A. 个人信息收集环节是否遵循目的明确、选择同意、最小必要等原则;
B. 个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括是否会危害人身和财产安全、损害个人名誉和身心健康、导致差别性待遇等;
C. 个人信息安全措施的有效性;
D. 匿名化或去标识化处理后的数据集重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险;
E. 共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;
F. 发生安全事件时,对个人信息主体合法权益可能产生的不利影响。
(3)对于企业的价值
个人信息安全影响评估是个人信息控制者实施风险管理的重要组成部分,旨在发现、处置和持续监控个人信息处理过程中的安全风险。其对于企业的价值主要在于:
奠定个人信息治理的基础
个人信息安全影响评估是一项战略性的计划,使企业能够规划个人信息活动,轻松应对合规审计和消费者要求,防止出现意外。
明确个人信息管理策略
个人信息安全影响评估从确定企业如何收集、管理和保护个人信息等方面入手,评估企业个人信息漏洞和信息泄露的风险,这种数据驱动的系统方法使企业能够在如何处理个人信息漏洞和盲区方面做出高效的决策。
维持与消费者和员工关系的稳定
在企业面临着竞争激烈、地缘政治剧烈变化、辞职风潮等诸多压力的形势下,维持消费者和员工关系的稳定非常重要,而保护好他们的个人信息是一种维护良好关系的重要手段,这种方式能够让消费者和员工感到倍受重视,从而带来良好且持久的效应。
为合规审计做准备
合规要求是严格、强制性的,个人信息安全影响评估全面呈现了需要修复的所有流程,并让企业有机会在安全隐患造成法律后果之前处理它们,确保个人信息防护措施没有疏漏。此外,个人信息安全影响评估可以企业提供了可视化的证据,表明自己在合规过程中采取了必要的措施。
总之,个人信息安全影响评估是企业保护用户个人信息和确保数据安全的重要手段,有助于提高企业的合规性、信任和声誉,同时降低个人信息风险和成本。
2. 数据处理流程
数据处理流程是企业在处理包括个人信息等数据时必须考虑的重要因素,企业应该清楚地描述数据的收集、存储、加工、分析和应用的一系列过程,并确保其符合适用的相关数据法规和标准。以下是企业在制定数据处理流程时需要考虑的一些关键内容:
(1)数据收集
数据收集是指从各种来源收集数据,包括手动录入、自动采集、第三方数据源等。对于其中的个人信息,企业应该明确收集数据的目的,并通过明示同意或其他合法方式来收集个人信息。同时,企业应该限制收集的信息类型和数量,避免不必要的收集。
(2)数据存储
数据存储是指将收集到的数据存储到合适的数据库或文件中,以便后续处理和分析。企业应该采取必要的技术和组织措施,确保存储的数据安全可靠,特别是其中的个人信息。
(3)数据清洗和预处理
数据清洗和预处理是指去除无效数据、缺失值和重复值等,并对数据进行标准化和转换。
(4)数据使用
企业应该遵守相关法律法规和政策规定,确保数据的使用和处理符合法律要求。同时,企业应该明确数据使用的目的和范围,不得擅自变更或超出授权范围。
(5)数据共享、转让
企业共享、转让包括个人信息等在内的数据时,应充分重视风险,并根据相关法规或标准的要求及时履行个人信息安全影响评估、告知等义务。
(6)数据披露
对于数据中的个人信息,原则上不应公开披露,企业经法律授权或具备合理事由确需公开披露时,应该遵循相关法规和标准,并仅在必要的情况下披露个人信息。同时,企业应该采取必要的技术和组织措施,确保披露的个人信息安全可靠。
(7)数据销毁
企业在处理完毕数据后,应该及时进行数据销毁,确保数据不会被恶意利用。数据销毁时应采用安全可靠的方式进行,如物理销毁、加密销毁等,同时应保存销毁证明和记录,以便审计和监测。
总之,通过清晰的数据处理流程,企业可以确保数据的合法、合规处理,从而减少数据合规风险。
3. 个人信息保护的技术措施
个人信息保护的技术措施是保护个人信息安全的重要手段。企业应该采取必要的技术措施,确保个人信息的安全处理。以下是常见的一些关键技术措施:
(1)数据加密
数据加密是一种信息安全技术,它通过对数据进行转换,使得未授权的用户无法阅读、理解或使用这些数据。例如:在数据传输过程中,加密技术可以使用安全套接字层协议(SSL)或传输层安全协议(TLS)等加密协议。这些协议使用公钥加密和私钥解密的方法,将数据转换为加密形式;在存储和处理过程中,加密技术可以使用对称密钥加密和非对称密钥加密等方法,对数据进行加密。企业应该采用适当的加密技术,确保个人信息在传输、存储、处理等过程中的安全性。
(2)访问控制
访问控制用于限制对系统、应用程序、网络或数据的访问。为了实现访问控制,企业可以采用多种技术和方法,例如:密码和令牌身份认证、角色和访问控制列表(ACL)授权、审计日志和安全信息和事件管理(SIEM)审计等。企业应该采用适当的访问控制技术,确保个人信息只被授权人员访问、处理和使用。
(3)数据备份
数据备份是指将企业重要数据复制到备份媒介(如硬盘、磁带、云存储等)上,以便在系统故障、人为失误或灾难等情况下恢复数据。数据备份技术可以分为多种类型,例如:全量备份、增量备份、差异备份等。全量备份是将整个数据集备份到备份媒介上,这种备份方式需要较长的时间和更大的存储空间,但备份数据的恢复速度较快。增量备份是将数据集中新增的数据备份到备份媒介上,这种备份方式需要更短的时间和更少的存储空间。差异备份则是将数据集中自上次备份以来的修改进行备份,这种备份方式比增量备份更快,但比增量备份需要更多的存储空间。企业应该采用适当的数据备份技术,确保个人信息在这些情况下的安全性和完整性。
(4)匿名化和脱敏
匿名化是指通过去除个人信息中的识别信息,使得处理后的信息无法与特定个人相关联的过程。匿名化可以是完全匿名化,也可以是部分匿名化。脱敏是指通过替换或删除个人信息中的敏感信息,使得处理后的信息无法被还原为原始信息的过程。脱敏技术可以分为两种:一种是可逆脱敏,即脱敏后的数据可以通过还原算法还原为原始数据;另一种是不可逆脱敏,即脱敏后的数据无法通过还原算法还原为原始数据。企业应该采用适当的匿名化和脱敏技术,确保个人信息在处理过程中的安全,减少信息泄露的风险。
(5)安全传输
安全传输是指在数据传输过程中采用安全的技术手段,确保数据不会被窃听、篡改或泄露。安全传输技术主要包括HTTPS(Hypertext Transfer Protocol Secure)、VPN(Virtual Private Network)、SFTP(Secure File Transfer Protocol)和SCP(Secure Copy Protocol)等。企业应该选择合适的安全传输技术,确保数据在传输过程中的安全性。
(6)多因素身份验证
多因素身份验证(Multi-Factor Authentication,MFA)是指通过多个身份验证因素来验证用户身份的一种身份验证方式。与传统的单因素身份验证(如只使用密码)相比,多因素身份验证具有更高的安全性,可以有效防止身份欺骗和账户被盗用。因为攻击者需要同时突破多个身份验证因素,而这往往是非常困难的。例如,即使攻击者知道用户的密码,但如果需要提供物理设备或生物特征才能完成身份验证,攻击者也很难伪造或窃取这些信息。
(7)区块链技术
区块链技术是一种基于密码学原理和分布式计算的技术,它可以实现在去中心化的网络中记录、存储和传输数据,且数据不可篡改。区块链技术通过去中心化的方式,使得数据不再由一个单一的机构或组织控制,而是由众多参与者共同维护和管理。这种去中心化的特点使得区块链技术具有很高的安全性,因为攻击者必须攻击大部分节点才能篡改数据,这是非常困难的。通过使用区块链技术,可以建立分布式的、不可篡改的数据存储和验证机制,保证数据的完整性和安全性。
(8)数据审计和监测
数据审计和监测是企业信息安全管理中重要的环节,主要包括数据流量监测、日志审计、数据备份监测、人员访问监测、数据修改监测等。通过对数据进行审计和监测,可以及时发现异常行为和数据泄露,并及时采取措施。
(9)智能算法和机器学习
智能算法和机器学习技术是当前信息安全领域中的热门技术之一,它们可以帮助企业自动识别和预测可能的个人信息风险,并提供自动化的个人信息保护措施,从而提高企业信息安全的水平和能力。智能算法和机器学习技术主要包括:数据分类和标记、个人信息检测和预测、行为分析和识别、异常检测和预警等内容。
以上是一些常见的个人信息保护技术措施,企业和个人应根据实际情况选择适当的技术措施来保护个人信息,降低个人信息风险。
4. 数据主体权利保护
数据主体权利保护是保障个人信息的重要保障,企业应该尊重数据主体的权利,保障其知情权、访问权、更正权、删除权等权利。
(1)信息披露
企业应该向数据主体清晰地披露个人信息的收集、处理和使用过程,确保数据主体了解自己的权利和企业处理个人信息的目的。
(2)访问和更正
企业应向个人信息主体提供访问、查询下列信息的方法:
A. 其所持有的关于该主体的个人信息或个人信息的类型;
B. 上述个人信息的来源、所用于的目的;
C. 已经获得上述个人信息的第三方身份或类型。
个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制者应为其提供请求更正或补充信息的方法。
(3)删除和遗忘
企业应该提供删除和遗忘个人信息的机制,确保数据主体能够要求企业删除或遗忘自己的个人信息。
(4)同意和撤回
企业应该确保数据主体在个人信息收集、处理和使用过程中有知情权、自由意志和选择权,同时也应该提供数据主体撤回同意的机制。
(5)申诉和投诉
企业应该提供申诉和投诉的渠道,确保数据主体能够就个人信息的收集、处理和使用提出异议和投诉。
通过保护数据主体的权利,企业可以增强数据主体对个人信息的控制,促进合规、公正、透明的个人信息处理,从而提高个人信息保护水平。
5. 个人信息培训和教育
个人信息培训和教育是加强企业个人信息保护的重要手段,企业应该定期组织相关部门和人员进行个人信息培训和教育,提高员工的个人信息保护意识和能力。
(1)员工个人信息保护意识培训
该培训主要针对一般员工,旨在加强一般员工对个人信息保护的重要性和风险的认识,以及如何处理个人信息和避免个人信息泄露等方面的知识。
(2)高管个人信息保护培训
该培训主要面向企业高层管理人员,旨在让他们了解个人信息保护的重要性和相关的法律法规,并指导他们如何建立企业内部的个人信息保护政策和流程。
(3)信息安全培训
该培训主要针对企业的信息安全团队,旨在加强他们对企业信息安全管理的意识和技能,提高信息安全水平,从而更好地保护用户的个人信息。
(4)个人信息保护政策和流程培训
该培训主要针对与个人信息保护相关的工作人员,旨在让他们了解企业的个人信息保护政策和流程,掌握如何应对个人信息风险和处理用户投诉等方面的知识。
(5)个人信息保护演练
该培训主要针对企业内部的个人信息保护团队,旨在通过模拟个人信息泄露事件的处理过程,提高团队的应对能力和技能水平。
通过个人信息培训和教育,企业可以提高员工对个人信息保护的认识和能力,从而加强个人信息保护的有效性和可持续性。企业应该根据实际情况制定合适的培训计划,并定期开展培训活动,加强员工的个人信息保护教育和培训。
6. 个人信息违规处理和风险应对
个人信息违规处理和风险应对是企业保护个人信息安全的重要手段,企业应该制定相应的个人信息违规处理和风险应对方案,及时处理个人信息违规事件和应对个人信息风险。以下是企业需要考虑的一些关键内容:
(1)个人信息安全影响评估和预防
企业应该建立个人信息安全影响评估机制,识别和评估潜在的个人信息风险,并采取必要的预防措施,以确保个人信息的安全性和合规性。
(2)个人信息违规事件的快速响应
企业应该建立个人信息违规事件的快速响应机制,及时发现、处理和通报个人信息违规事件。例如,企业可以建立专门的个人信息违规事件报告渠道,及时收集、分析和处理个人信息违规事件。
(3)个人信息侵权赔偿和法律责任
企业应该了解和遵守相关的法律法规和标准,建立相应的个人信息保护制度和机制。如果企业发生了个人信息侵权事件,应该及时采取相应的补救措施,赔偿受害者的损失,并承担相应的法律责任。
(4)个人信息保护文化的建设
企业应该建立个人信息保护文化,加强员工个人信息保护意识的培养和教育。例如,企业可以开展个人信息保护培训,定期进行个人信息保护意识调查和评估,加强员工对个人信息保护的认识和意识。
通过建立相应的个人信息违规处理和风险应对机制,企业可以及时发现和处理个人信息违规事件,预防个人信息风险,保护个人信息的安全和个人信息,同时也可以增强企业的信誉和品牌价值。
总之,企业应根据实际情况,全面落实企业个人信息合规的关键要素,建立和完善相关的制度和流程,保护用户的个人信息,促进企业的可持续发展。
二、隐私政策的编写和公示
随着个人信息保护被越来越重视,为了防范个人信息合规风险,保护个人信息权利,隐私政策已几乎成为各个企业必备的文本之一。此处需提示的是,如前所述,隐私与个人信息是具有不同内涵和法律保护要求的独立概念,隐私政策虽被称为“隐私”政策,实际上体现的是“个人信息”保护相关内容,但鉴于目前国内的使用习惯,为避免各位读者疑惑,故我们此部分仍称之为“隐私政策”。
本部分将详细介绍隐私政策的相关内容,包括隐私政策的概念、功能及法律属性,隐私政策需要包含的具体内容,隐私政策的公示、更新要求,以及制定、发布隐私政策过程中需要注意的问题。
(一)隐私政策的概念
隐私政策,又称隐私声明、隐私条款等,是企业、组织、网站和应用为了保护用户个人信息而制定的说明。隐私政策通常依据法律法规、行业规则制定,目的在于以告知的方式维护用户之权益,内容通常涉及用户个人信息的收集、利用、共享、转让、公开披露等规则,以及告知用户所享有的权利,是知情同意原则的体现。
隐私政策的主要目的是为了保护用户的个人信息和个人数据,同时也是为了让用户了解企业收集和使用他们个人数据的方式。这可以增加用户对组织的信任度,同时也是一种合规性和法律要求。
(二)隐私政策的功能
隐私政策是保护个人信息的重要工具,它的主要功能在于:
1. 告知用户
隐私政策的披露,最大程度的对用户信息的收集、使用、管理规则进行了告知,且不论企业能以多大限度做到对用户群体的告知,但就整个隐私政策而言,其每个条款均宣告了内容。
2. 保护用户个人信息权利
隐私政策的一个主要功能是保护用户的个人信息权利。隐私政策告知用户企业将如何处理他们的个人数据,例如数据收集的目的、使用方式和保护措施等,从而使得用户可以更好地控制和保护自己的个人信息权利。
3. 建立企业与用户之间的信任
隐私政策可以提高企业的透明度和可信度,当企业公开了它们如何处理用户的个人数据,用户可以了解到企业的运作方式,当用户知晓企业如何处理个人数据,并采取了必要的保护措施时,用户将会更加信任企业,此种信任可以增加用户使用企业产品和服务的频率和程度,也可以增加企业的忠实度和声誉度。
4. 保护企业的合规性
隐私政策是企业遵守相关个人信息法律法规和规定的必要手段之一,它可以帮助企业确保其处理个人数据的合法性和合规性。若企业违反相关规定,则可能面临罚款、诉讼和声誉损失等风险。
5. 促进数据保护
隐私政策要求企业明确如何保护个人数据的机制和流程,隐私政策的存在一定程度上能够起到对企业的威慑作用,使得企业在收集、使用个人信息时有所顾虑,从而确保企业能够正确、安全地处理个人数据。通过这种方式,隐私政策有助于促进企业数据保护和数据个人信息意识的提高。
6. 监督企业
当企业出现违规收集、处理用户个人信息等行为时,监管机构可依据隐私政策结合相关法律规定,对企业的违法行为作出处理。
(三)隐私政策的法律属性
在《数据安全法》、《个人信息保护法》等未正式出台之前,部分隐私政策以声明的方式出现,通常采用浏览的方式告知用户所享有的权益,在形式上类似于企业内部的自律规范。
但随着相关法规的出台,企业收集个人信息必须要经过明示及同意,即在用户首次登录企业网站或使用App时,企业需弹出弹窗对收集用户信息的情况予以告知,并要征得客户同意。隐私政策的内容加上此种明示及同意的形式,事实上已和民事合同有所类似。那隐私政策在法律属性上究竟是合同还是企业内部的自律规范呢?
目前关于隐私政策的法律属性问题,实务中主要存在两种观点,具体而言:
1. 格式合同
第一种观点认为隐私政策体现了用户和企业真实的意思表示,已经在双方之间成立合同。企业在网站或App上发布隐私政策的行为构成要约,用户浏览并点击同意的过程已然构成承诺。企业收集用户信息的权利与用户同意企业采集其信息的义务构成了网络服务合同中的权利义务关系,且在用户不同意企业采集其个人信息的情况下,隐私政策亦无法生效,故而隐私政策并非单纯的企业自律规则,而是双方关于数据采集、信息保护等事项的合同文本。
2. 企业自律规则
第二种观点认为隐私政策仅能在企业内部产生规制,本质上属于企业内部的自律规则,无法在双方当事人之间产生合同效力。因为隐私政策相较于网络服务协议而言,其内容较为宽泛,当企业违反隐私政策的规定违规收集、管理、存储用户信息时,仅产生监管主体对其进行监管之效力。
就上述两种观点而言,作者更加赞成隐私政策从法律属性上应属于企业制定的格式合同这一观点。全国人民代表大会常务委员会发布的《关于加强网络信息保护的决定》规定了网络服务提供商和其他企业事业单位在业务活动中收集、使用公民个人电子信息不得违反法律、法规的规定和双方的约定,此处的“约定”这一表述事实上可推导出立法机关对于隐私政策性质的态度,即将其视为合同。此外,《最高人民法院公报》2002年第6期(总第80期)“来云鹏诉北京四通利方信息技术有限公司服务合同纠纷案”的判决书中,北京市第一中级人民法院亦将新浪网在网站页面上向用户展示的网站服务条款内容认定为格式条款的合同。因此,作者认为可以将隐私政策的法律属性确定为属于格式合同,而非企业自律规则。
(四)隐私政策需包含的内容
隐私政策的内容包括但不限于以下方面:
1. 信息收集和使用
隐私政策应明确说明将收集哪些用户信息以及如何使用这些信息。通常,应包含以下内容:
(1)收集的信息类型
隐私政策应该清楚地列出所收集的个人数据的类型,如姓名、地址、联系电话、电子邮件地址、出生日期、社交媒体帐户、IP地址、浏览器类型、操作系统、设备型号等。
(2)收集的信息来源
隐私政策应该说明收集的个人数据的来源,例如直接从用户收集、从第三方获得等。
(3)收集信息的目的
隐私政策应明确说明收集用户信息的目的及用途,如提供服务、提高用户体验、统计分析、市场营销、改进产品等。
(4)信息使用方式
隐私政策应明确说明如何使用用户信息,如存储、处理、传输、共享、出售、转让等,并说明具体原因。
2. 信息保护和安全
隐私政策应说明将如何保护用户信息,如保存期限、保存地域,以及为保存用户信息而采取的安全措施等,具体可以包括以下内容:
(1)信息保护措施
隐私政策应明确说明采取哪些措施来保护用户信息的安全,如加密、访问控制、身份认证、安全审计等技术措施,以及对企业员工进行数据安全的意识培养和安全能力的培训和考核、建立专门的团队负责信息安全等安全措施。
(2)信息存储方式
隐私政策应说明如何存储用户信息,如云存储、本地存储、备份等。
(3)信息存储时间
个人信息保护要求数据保存时间最小化,即尽早尽快删除为原则,而出于监管等目的,法律要求相关数据(含有个人信息)至少保存一段时间,二者之间存在一定张力。企业应当在遵守上述法律要求的前提下,根据企业以及所收集的数据的实际情况确定存储时间,并在隐私政策中进行说明。
(4)信息存储地域
隐私政策中应说明原则上在境内收集和产生的个人信息,将存储在中华人民共和国境内,如果用户的个人信息可能会被转移到用户使用产品的区域,如境外,则企业需要事先获得用户的同意。
3. 用户权利
隐私政策应明确说明用户享有的权利,包括但不限于以下方面:
(1)访问和修改个人信息的权利
隐私政策应说明用户有权访问和修改个人信息的权利,以及如何行使这些权利。
(2)取消或限制使用个人信息的权利
隐私政策应说明用户有权要求取消或限制企业使用个人信息的权利,以及如何行使这些权利。
(3)删除信息及注销账户的权利
隐私政策应说明在符合一定条件的情况下,用户有权要求企业删除相应的个人信息,企业应及时删除。以及用户有权要求注销账户,企业应向用户提供注销账户的方法,且方法简便易操作。
(4)投诉和反馈的权利
隐私政策应说明用户有权投诉和反馈的权利,以及如何行使这些权利,包括告知企业的名称、地址、电话号码和电子邮件地址,以及隐私政策相关负责人员的信息。
4. 其他内容
除了以上内容之外,隐私政策一般还应当包含以下内容:
(1)未成年人信息的保护
隐私政策应该说明对于18周岁以下的未成年人的个人信息将如何收集、存储、使用、共享、转让或披露,对于14周岁以下的儿童个人信息将如何收集、存储、使用、共享、转让或披露,以及将采取哪些保障措施。
(2)Cookie和其他技术的使用
隐私政策应该说明是否使用Cookie和其他技术,以及如何使用这些技术。
(3)免责声明
隐私政策应说明该网站、应用程序或在线服务提供商对用户个人信息的使用所带来的风险和责任,以及如何限制其责任。
(4)法律依据
隐私政策应说明该网站、应用程序或在线服务提供商收集、使用和保护用户信息的法律依据,如个人信息法律、数据保护法律、电子商务法律等。
(5)隐私政策的更新和修改
隐私政策应说明该网站、应用程序或在线服务提供商如何更新和修改隐私政策,以及如何通知用户。
5. 条款示例
关于隐私政策需要包含的具体内容、相应法律要求以及条款示例,作者为各位读者梳理了如下表格供读者参考对照:
| 条款 | 法律法规 | 条款示例 |
| 隐私政策适用范围 | • 《APP违法违规收集使用个人信息自评估指南》第17条 | “本政策适用于某某公司以网站、客户端、小程序以及随技术发展出现的新形态向您提供的各项产品和服务。如我们及关联公司的产品或服务中使用了我们的产品或服务,但未设独立隐私权政策的,则本政策同样适用于该部分产品或服务。我们及关联公司就其向您提供的产品或服务单独设有隐私政策的,则相应产品或服务适用相应隐私政策。” |
| 我们如何收集您的个人信息 | • 《民法典》第111、1034、1035、1036条 • 《个人信息保护法》第4-10、13-32条 • 《数据安全法》第32条 • 《网络安全法》第24、40、41、44、61、64条 • 《电子商务法》第23、25、27、32、33、35、36、76条 • 《消费者权益保护法》第29、56条 • 《信息安全技术 个人信息安全规范(2020)》第5、7、9条 • 《APP违法违规收集使用个人信息自评估指南》第5-8、11、14、20-29条 |
“在您使用我们的产品/服务时,我们需要/可能需要收集和使用的您的个人信息包括如下两种: 1.为实现向您提供我们产品及/或服务的基本功能,您须授权我们收集、使用的必要的信息。如您拒绝提供相应信息,您将无法正常使用我们的产品及/或服务; 2.为实现向您提供我们产品及/或服务的附加功能,您可选择单独同意或不同意我们收集、使用的信息。如您拒绝提供,您将无法正常使用相关附加功能或无法达到我们拟达到的功能效果,不会影响您使用我们的基本功能。 我们会为您提供的各项具体功能场景以及需要收集的和使用的个人信息包括:(一)…;(二)…;(三)…。 若您提供的信息中含有其他用户的个人信息,在向我们提供这些个人信息之前,您需确保您已经取得合法的授权。 若我们将信息用于本政策未载明的其他用途,或者将基于特定目的收集而来的信息用于其他目的,均会事先获得您的同意。 我们会根据本隐私政策的内容,为实现我们的产品与/或服务功能对所收集的个人信息进行使用。 在收集您的个人信息后,我们将通过技术手段对数据进行去标识化处理。 当我们展示您的个人信息时,我们会采用包括去标识化或者匿名化处理方式对您的信息进行脱敏,以保护您的信息安全。 为统计我们的产品/服务使用情况,我们会对经过技术处理的用户数据进行汇总、分析和使用,并与第三方共享处理后的统计信息。我们会通过安全加密的技术处理方式以及其他方式保障信息接收方无法重新识别特定个人。” |
| 我们如何使用您的个人信息 | ||
| 我们如何委托处理、共享、转移、公开披露您的个人信息 | “委托处理 我们可能委托授权合作伙伴处理您的个人信息,以便向您提供相应的产品或服务。但我们仅会出于合法、正当、必要、特定、明确的目的共享您的个人信息,并且只会共享提供产品或服务所必要的个人信息。如果我们的合作伙伴将您的个人信息用于我们未委托的用途,其将单独征得您的同意。 我们的合作伙伴包括以下类型:……。” “共享 我们不会与其他的任何公司、组织和个人共享您的个人信息,但以下情况除外:……。 为向您提供相关产品或服务,向您展示可能感兴趣的内容,保护您的账号与交易安全,我们可能会将您的个人信息与我们的关联方或者合作伙伴共享,共享内容及目的详见此处。我们的关联方或者合作伙伴如要改变个人信息的处理目的,将再次征求您的授权同意。 请您注意,您在使用我们服务时自愿共享甚至公开分享的信息,可能会涉及您或他人的个人信息甚至敏感个人信息。请您共享时谨慎考虑并决定。” “转移 在因合并、分立、解散、被宣告破产等原因需要转移个人信息的,我们会向您告知接收方的名称或者姓名和联系方式,要求接收您个人信息的公司、组织继续受本隐私政策的约束,否则,我们将要求该公司、组织重新向您征求授权同意。” “公开披露 我们仅会在以下情况,且在采取符合业界标准的安全防护措施的前提下,才会公开披露您的个人信息:……。” |
|
| 我们如何保护和保存您的个人信息 | • 《民法典》1038条 • 《个人信息保护法》第9、11、38-40条 • 《数据安全法》第29、30、31条 • 《网络安全法》第22、37条 • 《个人信息出境安全评估办法(征求意见稿)》 全文 • 《消费者权益保护法》第29、56条 • 《信息安全技术 个人信息安全规范(2020)》第6条、第9条第8款、第10、11条 • 《APP违法违规收集使用个人信息自评估指南》第10、12条 |
“我们保护您个人信息的技术与措施 1.数据安全技术措施:……。 2.其他安全措施:……。 3.安全事件处置:……。 “我们如何保存您的个人信息 1.您的个人信息将存储于中华人民共和国境内。如您使用跨境交易服务,且需要向境外传输您的个人信息完成交易的,我们会单独获取您的授权同意并要求接收方按照双方签署的数据保护协议、本隐私政策以及相关法律法规要求来处理您的个人信息。 2.在您使用我们的产品与/或服务期间,您的个人信息将在为了实现本政策所述目的之期限内保存,同时将结合法律有强制的留存要求期限的规定确定。在超出保存期间后,我们会根据适用法律的要求删除您的个人信息,或进行匿名化处理。 3.请您注意,当您成功注销账号后,我们会根据适用法律的要求删除您的个人信息,或进行匿名化处理。 4.如果我们终止服务或运营,我们会至少提前三十日向您通知,并在终止服务或运营后对您的个人信息进行删除或匿名化处理。” |
| 您的权利 | • 《民法典》第1037条 • 《个人信息保护法》第15、16、44-50条 • 《网络安全法》第43、64条 • 《电子商务法》第18、24、27、76条 • 《信息安全技术 个人信息安全规范(2020)》第8条 • 《APP违法违规收集使用个人信息自评估指南》第15、16、30、31、32条 |
“访问和更正您的个人信息 除法律法规规定外,您有权随时访问和更正您的个人信息,具体包括:……。” “删除您的个人信息 在以下情形中,您可以向我们提出删除个人信息的请求:……。” “改变您授权同意的范围或撤回您的授权 您可以通过删除信息、关闭设备功能、在我们的网站或软件中进行隐私设置改变您授权我们继续收集个人信息的范围或撤回您的授权。您也可以通过注销账号的方式,撤回我们继续收集您个人信息的全部授权。” “注销账号 您可以在我们的产品中直接申请注销账号。您可以通过移动端APP访问“我的-账户设置-账户与安全-注销账户”完成账号注销;您还可以通过PC端访问“我的-账户设置-账户安全-注销账号”完成账号注销。关于您注销账号的方式以及您应满足的条件,请详见我们的《账号注销须知》。您注销账号后,我们将停止为您提供产品与/或服务,并根据适用法律的要求删除您的个人信息,或进行匿名化处理。” “获取您的个人信息副本 您有权获取您的个人信息副本。如您需要获取我们收集的您的个人信息副本,您随时联系我们。在符合相关法律规定且技术可行的前提下,我们将根据您的要求向您提供相应的个人信息副本。” “响应您的请求 如果您无法通过上述方式访问、更正或删除您的个人信息,或您需要访问、更正或删除您在使用我们产品与/或服务时所产生的其他个人信息或者获取个人信息副本,或您认为我们存在任何违反法律法规或与您关于个人信息的收集或使用的约定,您均可以发送电子邮件至……,或通过本隐私政策中的其他方式与我们联系。为了保障安全,我们可能需要您提供书面请求,或提供您的身份证明文件,我们将在收到您反馈并验证您的身份后的15天内答复您的请求。对于您合理的请求,我们原则上不收取费用,但对多次重复、超出合理限度的请求,我们将视情收取一定成本费用。对于那些无端重复、需要过多技术手段、给他人合法权益带来风险或者非常不切实际的请求,我们可能会予以拒绝。” |
| 我们如何处理未成年人的个人信息 | • 《个人信息保护法》第31条 • 《儿童个人信息网络保护规定》第1-4、7-28条 |
“我们非常重视对未成年人个人信息的保护。若您是18周岁以下的未成年人,在使用我们的产品与/或服务前,应事先取得您监护人的同意。我们根据国家相关法律法规的规定保护未成年人的个人信息。 我们不会主动直接向未成年人收集其个人信息。对于经监护人同意而收集未成年人个人信息的情况,我们只会在受到法律允许、监护人同意或者保护未成年人所必要的情况下使用、共享、转让或披露此信息。 如果有事实证明未成年人在未取得监护人同意的情况下注册使用了我们的产品与/或服务,我们会与相关监护人协商,并设法尽快删除相关个人信息。 对于可能涉及的不满14周岁的儿童个人信息,我们进一步采取以下措施予以保障:……。” |
| 本政策如何更新 | • 《个人信息保护法》第14、17条 • 《电子商务法》第34条 • 《APP违法违规收集使用个人信息自评估指南》第17、18条 |
“为给您提供更好的服务以及随着我们业务的发展,本隐私政策也会随之更新。但未经您明确同意,我们不会削减您依据本隐私政策所应享有的权利。我们会通过在我们的网站、移动端上发出更新版本并在生效前通过网站公告或以其他适当方式提醒您相关内容的更新,也请您访问我们以便及时了解最新的隐私政策。 对于重大变更,我们还会提供更为显著的通知。本隐私政策所指的重大变更包括但不限于:……。 我们还会将本隐私政策的旧版本存档,供您查阅。 为了您能及时接收到通知,建议您在联系方式更新时及时通知我们。如您在本政策更新生效后继续使用我们的服务,即代表您已充分阅读、理解并接受更新后的政策并愿意受更新后的政策约束。我们鼓励您在每次使用我们服务时都查阅本政策。您可以在我们的网站底部“隐私政策”中查看本政策,或在我们的APP通过“我的-账户设置-关于我们-隐私政策”中查看本政策。” |
| 如何联系我们 | • 《个人信息保护法》第17、65条 • 《网络安全法》第49条 • 《电子商务法》第59条 • 《APP违法违规收集使用个人信息自评估指南》第9、16、32条 |
“如您对本隐私政策或您个人信息的相关事宜或者投诉、举报、有任何问题、意见或建议,请通过以下方式与我们联系:……。 一般情况下,我们将在15天内回复。如果您对我们的回复不满意,特别是我们的个人信息处理行为损害了您的合法权益,您还可以向网信、电信、公安及工商监管部门进行投诉或举报。” |
(五)隐私政策的公示和更新要求
1. 公示方式
隐私政策可以通过以下方式进行公示:
(1)网站或应用的注册页面或登录页面上公示
在用户进行注册或登录操作时,可以在注册页面或登录页面上直接展示隐私政策或以弹窗等形式展示隐私政策,以引导用户了解和接受隐私政策。这是一种直接的方式,可以让用户在注册或登录前就清楚地知道个人信息的收集和使用情况。
(2)在网站或应用的主页上链接至隐私政策页面
在网站或应用的主页上设置明显的链接,将用户引导至隐私政策页面。这样用户在进入网站或应用时可以方便地找到隐私政策,了解其个人信息的使用方式。
(3)在网站或应用的其他页面上链接至隐私政策页面
除了主页外,网站或应用的其他页面如设置页面、个人信息管理页面等也可以设置链接至隐私政策页面,但必须是能通过四次以内的点击可以查阅到(如:我的—设置—关于我们—隐私政策),以便用户在使用过程中随时查看隐私政策。
(4)通过邮件、短信或其他通讯方式向用户发送隐私政策
网站或应用也可以通过向用户发送邮件、短信或其他通讯方式,将隐私政策直接发送给用户,以便用户在使用过程中了解个人信息的处理方式。
以上不同的公示方式企业可以相互结合使用,确保用户在使用网站或应用时能够方便地了解隐私政策的内容。
2. 更新时机
随着法律法规的变化以及企业、网站和应用的业务调整,隐私政策的内容可能需要进行调整和修改。企业应当在以下情况下更新隐私政策:
(1)个人信息收集方式或目的发生变化时
如果企业在收集个人信息的方式或目的发生了变化,例如开始收集新的个人信息类别、采用新的数据收集方法或将个人信息用于新的业务目的,应当及时更新隐私政策,明确说明新的收集方式和目的,并征得用户的同意。
(2)个人信息使用方式或范围发生变化时
如果企业在使用个人信息的方式或范围发生了变化,例如改变个人信息的处理方式、用于新的数据处理活动或与合作伙伴共享个人信息的方式发生变化,应当更新隐私政策,明确说明新的使用方式或范围,并征得用户的同意。
(3)个人信息保护措施发生变化时
如果企业在个人信息的保护措施上发生了变化,例如加强了数据安全措施、更新了数据存储方式或提高了数据处理的技术水平,应当更新隐私政策,详细说明改进后的保护措施,以保障用户的个人信息安全。
(4)个人信息共享方式或范围发生变化时
如果企业在个人信息的共享方式或范围发生了变化,例如新增或减少了与第三方共享个人信息的合作伙伴、共享目的发生了变化或共享方式发生了变化,应当更新隐私政策,明确说明新的共享方式或范围,并征得用户的同意。
(5)相关法律法规发生变化时
如果相关的个人信息保护法律法规发生了变化,例如国家、地区或行业的个人信息法律法规更新或修订,企业应当及时更新隐私政策,确保其合规性,并根据新的法律法规要求对个人信息的处理进行调整。
(6)其他可能影响个人信息保护的情况发生变化时
除了以上情况外,如果其他可能影响个人信息保护的情况发生了变化,例如企业的组织结构发生了变化、业务调整导致个人信息处理方式发生变化等,应当更新隐私政策,保障用户的权益。
3. 更新要求
企业在进行隐私政策变更时,需要满足以下要求:
(1)提前通知用户
企业在变更隐私政策前,应当提前通知用户,告知用户隐私政策的变更内容、变更原因、变更时间等信息,通知方式可以通过电子邮件、短信、站内信、弹窗等方式进行,让用户有足够的时间来了解变更内容并做出相应的决策。
(2)明确告知变更内容
企业应当明确告知用户隐私政策的变更内容,包括对个人信息收集、使用、保护、共享、保留和变更等方面的修改,并说明变更的影响。
(3)考虑用户权益
企业在变更隐私政策时,应当考虑用户的权益,确保变更内容不会损害用户的合法权益,如未经用户同意,不得收集、使用、共享、披露用户的个人信息。
(4)给予用户选择权
企业应当给予用户选择权,即让用户自主选择是否同意变更后的隐私政策,或者拒绝继续使用企业提供的服务。
(5)更新公示
企业应当及时更新隐私政策公示内容,以体现变更后的内容,并在网站、应用程序等易于查阅的位置,明确告知用户隐私政策的变更情况。
(6)检测和评估
企业应当定期检测和评估隐私政策的变更情况,对变更后的隐私政策进行个人信息安全影响评估,确保变更后的隐私政策符合相关法律法规和规范性文件的要求。
(六)应注意的问题
制定隐私政策时,应注意以下问题:
1. 做好格式条款的重点提示
隐私政策条款的底层逻辑是默认同意,因此隐私政策文本在内容上难免会涉及个人信息采集权限的授权问题,我国相关法律法规反复强调采集个人信息应通过明示的方式获取授权。前文作者已经提到过,隐私政策是企业制定的应用于所有用户的格式合同,法律对格式合同规定了特殊的提示要求。因此,为了避免格式条款受到否定性评价,导致企业收集、处理个人信息等活动的合法性受到挑战,进而遭受不必要的损失的,建议企业在隐私政策中应当采取一定的措施,如:对于需要用户重点阅读的内容通过加粗、下划线、加大字号等各种形式进行强调,确保用户能清晰阅读;此外还可以要求用户阅读隐私政策达到要求的时间,并且下拉至协议底端才可以进行注册或登录操作等。
2. 符合所在行业的特殊监管要求
《个人信息保护法》出台前后,人民银行、工信部、卫健委等部门均已在各自领域内出台了各类适用于各自行业的特殊规则,旨在监管本行业内企业对个人信息的保护行为。因此,企业除了需遵守《民法典》《个人信息保护法》《数据安全法》等通用的数据保护法律法规的要求外,还需要遵守相关行业的特殊规定。企业在正式文本起草之前,应当在专业人士的指导下完整收集、整理个人信息保护领域的行业规定,并在隐私政策中予以体现,避免出现疏漏。
3. 可以制作简化版隐私政策或隐私政策摘要
隐私政策由于法律法规的规定而需要对个人信息处理规则进行“全量告知”,难免冗长繁琐,对于普通用户而言,阅读友好性较差。因此,企业可以考虑制作简化版隐私政策或者隐私政策摘要,与完整版的隐私政策一同展示。如选择制作简化版隐私政策或隐私政策摘要的,企业在制作时可以考虑通过以下步骤梳理思路:
(1)在内容上
企业在制作简化版隐私政策或者隐私政策摘要时,应优先提炼隐私政策的核心规则,即用户最关心的问题,包括但不限于:主要业务功能收集和使用的必要个人信息、敏感个人信息情况以及用户关心的权限调用情况等。
(2)在呈现形式上
企业可以考虑将简化版隐私政策或者隐私政策摘要放到完整版隐私政策正文的顶部,或与完整版隐私政策以并列超链接的形式在弹窗中展示。
(3)在风险控制上
企业需要在简化版隐私政策或者隐私政策摘要的显著位置说明该文本仅为简化版隐私政策或者隐私政策摘要,不应被视为对用户进行告知的完整文件,关于企业的个人信息处理规则以完整版隐私政策中告知的内容为准。
4. 对所收集的个人信息类型必须一一列举
即使企业需要收集的个人信息类型很多,包括姓名、性别、出生日期、居住地、手机号、昵称、头像等,且企业业务功能也很多,不同的业务功能所要收集的个人信息类型和收集目的又不尽相同,在此等情形下,隐私政策中企业收集和使用的个人信息类型、目的、方式仍需要逐项进行一一列举,切勿使用“等”“例如”“包括但不限于”之类的词语来概括。对于这一点,《个人信息保护法》第十七条已进行了明确规定,企业应当严格遵守。
5. 市面上的自动化合规检测工具无法确保隐私政策的合规性
隐私政策合规属于产品合规的重要部分,仅凭隐私政策的文本内容的表面合规并不能确保企业充分履行了个人信息保护合规义务。隐私政策的合规,依赖于业务流、个人信息流的梳理工作,过程中需要进行充分的调查,确保摸清每个业务、功能或场景下的个人信息处理情况。通过套用行业标杆的模板,或简单地仅通过自动化工具进行检测,并不能保证企业的隐私政策符合法律法规的基本要求。因此,企业可以通过自动化工具初步审查隐私政策可能存在的问题,但是最终还是需要在法律专业人士的指导下通过多种核查手段进行深入、彻底的内部调查,方能实现撰写一份合格的隐私政策的目标。
综上所述,隐私政策是保护个人信息的重要工具,企业应认真制定和执行隐私政策,以最大程度地保护用户个人信息和企业的商业利益。
三、员工个人信息保护管理
个人信息合规制度的有效实施需要员工以及第三方合作伙伴等的积极参与和配合,只有员工和第三方合作伙伴个人信息保护意识和能力提高,才能有助于企业建立良好的个人信息合规制度并确保个人信息合规制度的有效实施。
员工个人信息保护管理是对企业内部人员进行管理,而第三方合作伙伴个人信息保护管理则是对企业外部人员进行管理,二者在所能采取的具体措施方面会存在一些差异,故本部分将分开论述员工个人信息保护管理与第三方合作伙伴个人信息保护管理。
(一)员工个人信息保护管理措施
为了提高员工的个人信息保护意识和能力,企业可以采取以下管理措施:
1. 签署保密协议
大多数企业与员工签署的保密协议都仅是为了保护企业的商业秘密,如相应的技术资料、客户名单等,很少有企业和员工会签署关于个人信息保护方面的保密协议。但在目前的经济环境下,要求员工签署个人信息保护方面的保密协议是十分重要和必要的。
为保护个人信息,企业应该要求所有能够接触到个人信息的员工在入职时签署关于个人信息保护的保密协议,明确规定员工在工作中对接触到的个人信息的保密义务和责任,以及泄露个人信息所带来的后果和惩罚。该等保密协议除了常规的保密协议中需要具备的基本条款外,还应当额外至少包括以下内容:
(1)定义个人信息:明确哪些信息属于个人信息,包括但不限于个人身份信息、财务信息、个人照片、个人健康信息等;
(2)使用限制:规定个人信息只能用于特定目的,禁止泄露、传播或透露给未经授权的第三方;
(3)保密义务:明确员工的保密义务,包括但不限于不得复制、转移、修改、泄露、披露个人信息;
(4)个人信息收集和使用:明确个人信息的收集和使用方式、范围、目的,并要求员工必须遵守相关法律法规和企业的规定;
(5)个人信息安全:规定个人信息应采取合理、安全的方式进行存储、传输和处理,包括但不限于加密、访问控制、备份等;
(6)个人信息泄露的应对措施:明确员工在发现或怀疑个人信息泄露时应采取的应对措施,包括报告公司安全管理负责人、立即采取措施防止扩散等;
(7)个人信息安全培训和监督:规定公司将会对员工进行个人信息保护方面的培训和监督,以提高员工的个人信息保护意识和能力;
(8)违约责任:明确违反保密协议的后果和责任,包括但不限于赔偿损失、承担法律责任、受到其他惩罚等;
(9)协议的有效期限和更新:明确保密协议的有效期限和更新规定。企业应该定期检查和更新保密协议,以适应不断变化的市场环境和公司的需求;
(10)其他条款:包括但不限于协议的签署和生效方式、争议解决方式等。
2. 个人信息保护意识培训
定期开展个人信息保护培训是提高员工个人信息保护意识和能力的一种有效方法。为了取得最佳效果,企业需要制定一套完整的培训方案,包括培训的内容、培训的形式、培训的周期和培训的对象等。
(1)培训内容
企业对员工的个人信息保护培训内容应当包括以下方面:
A. 个人信息保护的概念和意义。通过介绍个人信息保护的概念和意义,让员工了解个人信息保护的重要性,形成保护个人信息的观念;
B. 个人信息的分类和保护标准。通过介绍个人信息的分类和保护标准,让员工了解不同类型的敏感信息需要采取的不同保护方式,以及如何合理处理个人信息;
C. 个人信息泄露和数据安全的风险。通过介绍个人信息泄露和数据安全的风险,让员工了解个人信息泄露所带来的后果和风险,从而更加重视个人信息的保护;
D. 数据安全的技术和工具。通过介绍数据安全的技术和工具,让员工了解如何使用加密技术、访问控制、网络安全技术等,从而提高员工的技能和知识;
E. 个人信息保护的法律法规。通过介绍个人信息保护的法律法规,让员工了解个人信息保护的法律框架和要求,从而合法合规地保护个人信息。
(2)培训形式
企业对员工进行个人信息保护培训的形式可以包括以下几种:
A. 讲座式培训。讲座式培训是一种传统的培训方式,适合于讲解较为基础的概念和知识,具有简单易行、易于组织的特点;
B. 案例式培训。通过案例式培训,让员工了解实际案例中的个人信息保护问题和处理方式,增强培训的互动性和实效性;
C. 演练式培训。通过演练式培训,让员工通过实践来学习和掌握个人信息保护的技能和措施,更加贴近实际工作。
(3)培训周期
定期开展个人信息保护培训的周期应该适合企业的实际情况和员工的学习需要,通常可以分为以下几种:
A. 新员工培训。针对新员工,可以在入职后的第一周或第二周安排一次个人信息保护培训,让新员工了解企业的个人信息保护政策和要求;
B. 定期培训。企业可以根据自身情况和员工的学习需求,每年或每季度定期开展个人信息保护培训,以便员工能够保持对个人信息保护的关注和了解;
C. 应急培训。在企业发生重大个人信息泄露事件或数据安全问题时,应及时组织员工进行应急培训,提醒员工注意信息安全和个人信息保护。
(4)培训对象
个人信息保护培训的对象应该包括所有与个人信息处理有关的员工,例如负责信息系统的技术人员、负责个人信息采集、存储、处理的业务人员、负责信息安全管理的人员等等。不同岗位的员工在个人信息处理中面临不同的风险和挑战,需要针对性地进行培训。
3. 建立个人信息保护制度
企业可以建立完善的个人信息保护制度,明确员工个人信息保护的责任和义务。个人信息保护制度是指一系列的规章制度、流程、控制措施等,用于保护个人信息和防止个人信息泄露。建立健全的个人信息保护制度可以促进企业遵守法律法规,提高信息安全水平,增强员工对个人信息保护的重视程度。
建立个人信息保护制度主要包括以下内容:
(1)建立个人信息保护管理制度
个人信息保护管理制度是企业个人信息保护制度的核心,主要包括管理体系、流程和控制措施。企业可以参照国内外相关标准和最佳实践,制定符合企业自身情况的个人信息保护管理制度,明确个人信息保护的目标、职责、流程和控制措施等,确保个人信息保护的全面、有效实施。
(2)制定个人信息保护政策和规定
个人信息保护政策和规定是指企业制定的关于个人信息保护的具体规定和措施。个人信息保护政策和规定应当体现企业的个人信息保护理念、规范个人信息处理流程、保护个人信息的原则、明确个人信息保护的责任和义务等,可以有效地保护个人信息,防止个人信息泄露。
(3)实施个人信息安全影响评估
个人信息安全影响评估是指对企业的个人信息处理流程和系统进行安全性和个人信息性评估。通过评估,可以发现企业的个人信息风险点和薄弱环节,为制定有效的个人信息保护措施提供支持。
(4)加强内部管理和监督
加强内部管理和监督是个人信息保护制度的重要环节,企业应当建立健全的内部管理和监督机制,确保个人信息保护制度的全面实施。具体而言,可以采取以下措施:
A. 明确个人信息保护的职责和义务,建立个人信息保护的内部管理制度,规定内部处理个人信息的流程和要求,明确责任人员和部门;
B. 制定个人信息保护的监督控制机制,包括内部审核、评估、监测等。定期开展内部个人信息保护检查,对可能存在的个人信息风险点和安全漏洞进行排查和修复;
C. 加强对员工行为的监督和管理,建立严格的个人信息使用、保管和销毁制度,对不当行为和违规行为进行追责和惩处;
D. 建立响应机制,对可能发生的个人信息泄露和安全事件进行及时响应和处置,包括制定应急预案、组织应急响应和恢复等;
E. 持续改进个人信息保护制度,不断优化个人信息保护机制和流程,使其适应企业发展和个人信息保护法律法规的变化。
4. 实施访问控制和权限管理
企业应该建立和实施访问控制和权限管理机制,限制员工对个人信息的访问和使用权限,确保只有授权的人员才能获取个人信息。具体方法主要包括:
(1)制定访问控制策略,限制员工访问个人信息的权限。对于不同的员工,应该制定不同的访问控制策略,根据员工的职责和工作需要分配不同的访问权限;
(2)建立权限管理机制,控制员工对个人信息的操作权限。对于不同的操作,应该设定不同的权限级别,并授予相应的权限。例如,对于敏感信息的访问和操作,应该设定更高的权限级别;
(3)定期审查权限分配情况,根据需要进行调整。企业应该定期审查权限分配情况,发现和处理不当的权限分配和使用行为,及时调整权限分配;
(4)建立访问日志记录和审计机制,监测员工对个人信息的访问和使用行为。企业应该建立访问日志记录和审计机制,记录员工对个人信息的访问和使用行为,及时发现和处理异常行为。
5. 建立个人信息保护审查机制
企业应该建立个人信息保护审查机制,对员工对个人信息的使用行为进行审查,防止恶意操作和滥用个人信息的情况。具体而言可以采取以下措施:
(1)制定审查标准和流程
企业应该制定明确的个人信息保护审查标准和流程,明确审查的范围、方式、周期和目的。审查标准可以根据企业的实际情况和法律法规制定,例如审查员工对个人信息的访问、使用、存储和传输等方面的行为,审查的方式可以采用抽样、全面、定向等不同的方式,审查周期应该根据企业的实际情况和风险程度来确定,通常可以定期进行或针对特定事件进行不定期审查。
(2)确定审查责任人和流程
企业应该明确审查责任人和流程,制定明确的审查流程和职责分工。审查责任人可以由个人信息保护管理人员、信息安全管理人员、人力资源管理人员等负责,他们应该对审查标准和流程有深入的了解,并负责具体的审查工作。审查流程应该包括审查的前期准备、审查的实施、审查结果的反馈和整改等环节,审查责任人应该对每个环节进行严格的管理和控制。
(3)采用技术手段进行审查
企业可以采用各种技术手段就员工对个人信息的使用行为进行审查。例如,可以采用日志审计、审计工具、数据挖掘等技术手段,对员工的行为进行监控和分析,发现异常行为和风险隐患。同时,企业还可以采用安全防护系统和安全监控系统等技术手段,加强对个人信息的保护和安全管理。
(4)整改和改进
企业应该及时对发现的问题进行整改和改进,确保个人信息的安全和保护。对于发现的问题,应该及时向相关人员反馈,并制定整改计划,按照计划进行整改。同时,企业还应该对审查结果进行分析和总结,不断改进和完善个人信息保护审查机制,提高个人信息的保护水平。
6. 建立信任机制
企业和组织还可以建立信任机制,鼓励员工参与个人信息保护,具体而言,企业可以考虑以下措施:
(1)建立举报制度
企业应该建立个人信息泄露举报制度,让员工可以自由地举报泄露个人信息的行为。企业应该为员工提供便捷的举报渠道,并对员工的举报进行及时核实和处理。同时,企业应该保护员工的举报权益,确保员工不会因为举报而受到报复。
(2)建立奖励制度
企业可以通过建立奖励制度等方式,激励员工积极参与个人信息保护。例如,企业可以设立个人信息保护优秀员工奖,对表现优秀的员工进行表彰和奖励,激发员工的积极性和创造力。
(3)加强沟通和交流
企业应该加强对员工的沟通和交流,让员工了解企业的个人信息保护政策和措施,并鼓励员工提出意见和建议。企业应该建立良好的企业文化和信任关系,让员工感到自己的个人信息得到了保护,并愿意积极参与个人信息保护工作。
(4)落实责任和惩罚机制
企业应该建立相应的责任和惩罚机制,对违反个人信息保护规定的员工进行惩罚和纠正。企业应该明确员工应该如何处理个人信息,以及在处理个人信息时应该遵守的规则和标准,让员工充分认识到自己的责任和义务。同时,企业应该对个人信息泄露行为进行严肃处理,保护员工的个人信息权益。
(二)员工个人信息保护意识和能力的评估
为了评估员工个人信息保护意识和能力的提高情况,企业可以采取以下措施:
1. 调查问卷调查
企业可以通过调查问卷的形式,了解员工对个人信息保护的认知和态度。通过问卷调查,可以掌握员工对个人信息保护的了解程度、认识到的风险和威胁,以及他们采取的保护措施等方面的情况。
2. 个人信息保护技能测试
企业和组织可以通过技能测试的形式,测试员工在个人信息保护方面的实际能力。例如,可以通过模拟测试的方式,让员工识别数据泄露风险和避免数据泄露的方法。测试结果可以为企业制定更有针对性的培训和教育计划提供数据支持。
3. 监测员工数据泄露情况
企业可以通过数据监测和分析的方式,了解员工数据泄露的情况。通过监测和分析,可以及时发现数据泄露问题,并采取措施进行处理,避免情况进一步恶化。
需要注意的是,在监测员工的数据泄露情况时,企业需要尊重员工的个人信息权,不能越界侵犯员工的个人信息,否则会适得其反,引起员工的反感和不满,甚至导致员工的离职等问题。因此,在实施监测措施时,企业需要制定明确的个人信息保护政策和规定,对监测范围、监测方式等进行规范和限制。
总之,员工个人信息保护管理是企业不可忽视的重要问题,企业应根据自身实际情况,选择并采取有效措施,促进员工个人信息保护意识和能力的提高,确保相关个人信息得到有效保护。
四、第三方合作伙伴个人信息保护管理
随着信息技术的不断发展和普及,企业需要与越来越多的第三方合作伙伴进行业务合作,以实现业务的拓展和创新。然而,在与第三方合作伙伴进行业务合作的过程中,个人信息保护问题越来越受到关注。由于第三方合作伙伴通常需要获取企业的敏感信息,如客户信息、交易信息、产品设计信息、员工个人信息等,因此如何提高第三方合作伙伴的个人信息保护意识和能力,已经成为企业面临的一个重要挑战。
(一)第三方合作伙伴个人信息保护管理措施
为了提高第三方合作伙伴的个人信息保护意识和能力,加强对第三方合作伙伴的个人信息保护管理,企业可以采取以下管理措施:
1. 加强对第三方合作伙伴的选择和审核
企业在与第三方合作伙伴合作之前,首先要对其进行严格的选择和审核。在选择合作伙伴时,企业需要了解其个人信息保护意识和能力情况,特别是对于可能涉及个人信息的合作伙伴,企业更要谨慎选择。在审核合作伙伴时,企业需要对其进行全面的背景调查,包括了解其经营范围、资质、信誉度等情况。对于可能涉及个人信息的合作伙伴,企业还需要了解其数据处理流程和数据安全管理制度,以确保其对个人信息的保护符合相关法律法规和标准要求。具体而言:
(1)制定第三方合作伙伴审核标准
企业应该制定明确的第三方合作伙伴审核标准,包括但不限于合作伙伴的信誉度、合法性、安全保障能力、个人信息保护意识和能力等方面。审核标准应该综合考虑各种因素,并且根据企业实际情况进行定制化,以确保选择的第三方合作伙伴具备足够的能力和资质来保护企业的个人信息。
(2)进行合同签署前的尽职调查
在与第三方合作伙伴签署合同之前,企业应该进行尽职调查。这些调查应该包括但不限于合作伙伴的信用记录、历史记录、资质证明、个人信息保护能力、数据安全措施等。例如:
A. 核实第三方合作伙伴的资质和信誉。企业应该核实第三方合作伙伴的营业执照、经营范围、注册地址、税务登记证等资质,确保其具有正规的法律地位和经营资格。同时,企业也应该了解第三方合作伙伴的信誉和口碑,避免与不良的合作伙伴进行合作;
B. 审查第三方合作伙伴的个人信息保护措施。企业在选择第三方合作伙伴时,也应该审查其个人信息保护措施。例如,第三方合作伙伴是否具备个人信息保护的技术手段和措施,是否有相应的个人信息保护管理制度和操作流程等。企业也可以要求第三方合作伙伴提供相关的个人信息保护证明和报告,以确保其具备良好的个人信息保护能力;
C. 识别和评估潜在风险。在选择第三方合作伙伴之前,企业应该进行风险识别和评估,以便找出潜在的风险因素。企业应该采取专业的风险评估工具和方法来评估合作伙伴的安全状况,以避免出现个人信息泄露和安全漏洞等问题。
总之,企业在选择第三方合作伙伴时应该确保第三方合作伙伴能够满足企业的个人信息保护要求,并且将这些要求写入合同中,以确保第三方合作伙伴理解和遵守这些要求。
2. 签署保密协议和个人信息协议
在与第三方合作伙伴合作之前,企业需要与其签署保密协议和个人信息协议。保密协议明确规定合作伙伴在工作中获取的商业秘密和其他机密信息的保密义务和责任,以及泄露机密信息所带来的后果和惩罚。
个人信息协议则明确规定合作伙伴在处理企业的个人信息时的责任和义务,以及对个人信息的保护措施和安全要求。具体而言可以包括以下内容:
(1)明确个人信息的范围。企业应明确规定哪些信息属于个人信息,并将其详细列出,通常包括个人身份信息、财务信息、交易信息等;
(2)规定个人信息的使用目的。企业应该规定第三方合作伙伴收集个人信息的目的,并确保合作伙伴不得将个人信息用于其他用途,这样可以避免合作伙伴利用个人信息从事不正当的商业活动;
(3)规定个人信息的保护措施。企业应该规定第三方合作伙伴在收集、存储、处理、传输和销毁个人信息时必须采取的措施,例如加密、备份、防火墙等,以确保个人信息的保密性、完整性和可用性;
(4)规定个人信息的访问权限。企业应该规定谁可以访问个人信息,以及何时可以访问。只有需要使用个人信息的工作人员才能够访问,同时还需要明确记录访问日志。
(5)规定个人信息的存储和保留期限。企业应该规定第三方合作伙伴如何存储个人信息,并规定保留期限,以便于后续的审查和监督。
(6)个人信息的销毁方式。协议中应明确第三方合作伙伴如何销毁个人信息,包括销毁方式、销毁时间和销毁证明等。
(7)约定违约责任和赔偿方式。在协议中应该约定违约责任和赔偿方式,以便在发生违约行为时进行处罚和赔偿。同时,应该明确规定相关的法律适用和争议解决方式。
(8)定期检查和更新。企业应该定期检查和更新个人信息协议,以适应不断变化的业务需求和法律法规。
(9)教育和培训。企业应该对第三方合作伙伴进行个人信息保护意识和能力的教育和培训,以确保他们能够遵守个人信息协议并保护个人信息。
总之,签署保密协议和个人信息协议不仅能够明确双方的责任和义务,还能够加强对第三方合作伙伴的约束,确保其能够遵守相关法律法规和标准要求,有效保护企业的商业秘密和个人信息。
3. 限制第三方合作伙伴的访问和使用权限
企业应该建立和实施访问控制和权限管理机制,限制第三方合作伙伴对个人信息的访问和使用权限,确保只有授权的人员才能获取个人信息。具体而言:
(1)建立访问控制机制
企业应该根据个人信息的保密等级,建立不同的访问控制级别,确定不同级别的个人信息应该分配给哪些第三方合作伙伴,并分配相应的访问权限。
(2)实施权限管理
企业应该制定权限管理策略,确保只有得到授权的第三方合作伙伴才能访问和使用相关个人信息。权限管理包括用户身份认证、访问控制、数据加密等措施,以保护个人信息不被非法获取或篡改。
(3)定期审查权限分配情况
企业应该定期审查第三方合作伙伴的权限分配情况,并根据需要进行调整。审查应包括权限的分配和取消情况、权限的使用情况、权限的变更记录等。
(4)谨慎授权
企业应该谨慎地授权第三方合作伙伴的访问和使用权限。授权前应该对第三方合作伙伴的信誉和安全性进行评估,确保其有能力和意愿遵守个人信息保护要求。
(5)建立追责机制
企业应该建立追责机制,对违反访问控制和权限管理要求的第三方合作伙伴进行追责和惩罚,包括中止或终止合作、追究法律责任等。
总之,限制第三方合作伙伴的访问和使用权限是保护企业个人信息安全的重要措施,企业应该根据实际情况采取相应的措施并加强管理和监督。
4. 限制数据的共享和传输
企业应该限制第三方合作伙伴对个人信息的共享和传输,确保数据的安全性和完整性。企业应该明确规定第三方合作伙伴能够共享的信息范围和共享条件,并建立数据传输安全机制,对数据传输进行加密和验证,确保数据的安全传输。具体而言:
(1)确定共享的信息范围和条件
企业应该明确规定第三方合作伙伴能够共享的信息范围和共享条件,例如,只共享必要的信息,共享目的必须符合法律法规等。同时,企业应该对共享的信息进行分类,根据敏感程度和重要性等级别进行分级管理,确保共享信息的安全和完整性。
(2)建立数据传输安全机制
企业应该采取加密和验证等安全措施,确保数据在传输过程中的安全性和完整性。例如,采用SSL/TLS协议对数据进行加密,建立数字签名机制对数据进行验证等。
(3)限制共享方的权限和使用范围
企业应该根据共享方的职责和工作需要,分配不同的访问和使用权限,并对共享方的行为进行监控和审查。同时,企业应该限制共享方将共享信息用于其他用途,防止共享方滥用信息。
(4)定期检查和更新共享协议
企业应该定期检查和更新共享协议,确保协议内容符合法律法规和标准要求。同时,企业应该对共享方的合规性进行监测和评估,及时发现和纠正不规范的行为。
(5)限制第三方合作伙伴的数据存储权限
企业应该限制第三方合作伙伴对个人信息的数据存储权限,并要求其建立安全存储机制,包括物理和逻辑安全措施,以防止未经授权的人员访问和窃取数据。
通过限制数据的共享和传输,企业能够有效保护个人信息的安全和完整性,避免数据泄露和滥用的风险。
5. 定期监督和检查第三方合作伙伴的个人信息保护措施
企业应该定期检查第三方合作伙伴的个人信息保护措施,确保第三方合作伙伴能够按照规定使用个人信息,并对发现的问题及时进行整改和修正。企业应该根据第三方合作伙伴的信誉和保密等级来定期检查其个人信息保护措施,加强对第三方合作伙伴的监督和管理。
(1)制定监督检查计划
企业应该制定监督检查计划,明确检查的内容、时间、方式等,制定检查标准和评估指标,确定检查的频次和检查的具体流程。检查要点包括但不限于:个人信息保护措施是否符合法律法规和合同约定;是否有未经授权的访问和使用行为;是否有未经授权的数据共享和传输行为;是否有丢失或泄露个人信息的情况等。
(2)实施现场检查和文件审查
企业应该采取现场检查和文件审查相结合的方式进行个人信息保护措施的检查。现场检查主要针对第三方合作伙伴的物理环境和技术措施进行检查,包括但不限于:数据中心的安全措施、网络和系统安全措施、数据备份和恢复措施等。文件审查主要针对第三方合作伙伴的个人信息保护政策和流程进行审查,包括但不限于:个人信息政策的公开和透明度、个人信息保护流程的合理性和完整性、个人信息保护措施的有效性和执行情况等。
(3)记录和报告检查结果
企业应该记录和报告检查结果,对于发现的问题及时进行整改和修正。检查结果应该包括但不限于:检查时间、检查人员、检查要点、检查结果和处理措施等。对于发现的问题,应该及时采取相应的整改和修正措施,并建立跟踪机制,确保问题得到彻底解决。
(4)撤销访问权限
如果第三方合作伙伴的个人信息保护措施无法满足要求或发生重大违规行为,企业应该及时撤销其对个人信息的访问权限,并对其进行整改或终止合作等措施。
定期监督和检查第三方合作伙伴的个人信息保护措施可以帮助企业及时发现并解决个人信息泄露、滥用和恶意操作等问题,保护个人信息的安全和保密。
6. 建立个人信息保护响应机制
企业应该建立个人信息保护响应机制,及时应对第三方合作伙伴个人信息泄露和安全事件。具体而言:
(1)明确应急处理流程
企业应该建立一套应急处理流程,包括第三方合作伙伴个人信息泄露和安全事件的发现、报告、处理和恢复等步骤。应急处理流程应该考虑到各种可能的情况,例如数据泄露、数据丢失、黑客攻击等,并指定专人负责应急处理工作,及时采取措施阻止进一步的泄露。
(2)采取应急措施
一旦发生第三方合作伙伴个人信息泄露和安全事件,企业应该与第三方合作伙伴积极合作配合,及时采取应急措施,防止进一步的泄露和损失。应急措施可以包括立即停止相关业务活动、限制系统的访问权限、采取补救措施等,以减少损失和影响。
(3)向有关部门报告
企业应该及时向有关部门报告第三方合作伙伴个人信息泄露和安全事件,包括相关部门和当地政府。报告内容应该包括事件的时间、地点、影响范围、采取的应急措施等信息,并按照有关规定履行报告程序。
(4)调查和处理
企业应该与第三方合作伙伴一起对第三方合作伙伴个人信息泄露和安全事件进行调查和处理,查明事实,评估损失和影响,并采取措施进行整改和修正。企业应该建立问题反馈机制,及时接收和处理相关投诉和反馈。
(5)通知和补救
企业应该向受影响的客户和其他利益相关者提供详细信息,包括泄露的信息类型和数量、泄露的原因和范围、采取的措施和应对措施等,并采取措施补救损失和影响。
建立个人信息保护响应机制可以有效地提高企业应对第三方合作伙伴个人信息泄露和安全事件的能力和效率,保障个人信息的安全和完整。
(二)第三方合作伙伴个人信息保护意识和能力的评估
为了评估第三方合作伙伴个人信息保护意识和能力的提高情况,企业和组织可以采取以下措施:
1. 问卷调查
企业可以向第三方合作伙伴发送问卷,了解其个人信息保护制度、政策、技术手段、人员和培训等情况,以及其是否遵守相关法律法规和标准等。问卷调查可以帮助企业快速了解第三方合作伙伴的情况,但也存在问卷填写者不诚实等问题。
调查问卷可以包括以下内容:
1)对个人信息保护的重视程度;
2)是否制定了个人信息保护相关的政策和措施;
3)是否有专门的人员负责个人信息保护工作;
4)是否对员工进行过个人信息保护培训;
5)是否定期对个人信息保护政策和措施进行检查和更新;
6)是否能够及时发现和应对个人信息泄露事件等。
2. 实地考察
企业可以实地考察第三方合作伙伴的办公场所和技术设备,了解他们的个人信息保护措施是否得到了有效的落实。现场检查可以深入了解第三方合作伙伴的情况,但也可能需要消耗较多的时间和资源。
考察的内容可以包括以下方面:
1)网络安全设施是否得到了有效的保护,是否存在安全漏洞;
2)是否使用了加密等技术手段对个人信息进行保护;
3)是否存在未授权的数据访问行为;
4)是否存在对个人信息的滥用和泄露行为;
5)是否制定了应对个人信息泄露事件的应急预案。
3. 第三方合作伙伴的信誉度评估
企业可以了解第三方合作伙伴的信誉度,是否有过个人信息泄露等不良记录。评估的方法可以包括以下方面:
1)查阅第三方合作伙伴的资质证书和行业认证;
2)查阅第三方合作伙伴的历史业绩和客户反馈;
3)查询第三方合作伙伴的不良记录和处罚情况。
4. 第三方合作伙伴的安全漏洞评估
企业可以通过对第三方合作伙伴的网络和系统进行安全漏洞评估,检查第三方合作伙伴的安全性能和个人信息保护措施的有效性,了解其存在的安全风险和漏洞。但该等评估可能需要专业的测试人员和工具,并且需要第三方合作伙伴的全力配合与信任。
评估的方法可以包括以下方面:
1)扫描第三方合作伙伴的网络和系统,查找存在的安全漏洞;
2)通过模拟攻击等方式测试第三方合作伙伴的安全防护能力;
3)检查第三方合作伙伴的操作系统、应用程序、数据库等是否存在安全问题。
5. 第三方评估机构
企业可以委托第三方评估机构对第三方合作伙伴进行评估,以获取独立的、客观的评估结果。第三方评估机构通常具有更专业的技术和方法,可以提供更深入的评估和分析。但是,第三方评估机构的评估费用可能较高。
以上评估方法可以单独使用,也可以结合使用,以达到更全面和准确的评估结果。通过对企业的第三方合作伙伴进行个人信息保护意识和能力评估,可以帮助企业确定合作伙伴的个人信息保护水平,并及时发现合作伙伴存在的个人信息保护风险。
综上所述,加强对员工和第三方合作伙伴的个人信息保护管理,提高员工和第三方合作伙伴的个人信息保护意识和能力,将有效减少个人信息的泄露风险,确保企业个人信息的安全和保密,保证企业符合相关法律法规关于个人信息保护的要求。
作者介绍
 |
朱凯 上海中岛律师事务所 管理合伙人/高级合伙人 zhukai@ilandlaw.com 朱凯律师,华东政法大学法学学士、英国阿伯丁大学法学硕士,中国法学会会员,IBA(国际律师协会)会员,华东政法大学兼职硕导,创合智库首席法律专家,现任中岛律师事务所管理合伙人、高级合伙人。 朱凯律师从事律师执业近20年,长期专注于汽车、互联网、新能源、创新科技、新兴服务业等行业的直接投融资、M&A、股权激励和股权治理、企业合规、数据安全合规、商事争议解决等法律服务领域。 |
相关专题
- 合规116期:个人信息安全事件应对处置及个人信息保护管理流程