总第116期 个人信息安全事件应对处置及个人信息保护管理流程
编者按
个人信息合规是企业在日常经营过程中绕不开的话题,特别是个人信息的收集、存储、处理和使用已成为企业商业活动的常态,但同时也带来了个人信息泄露、信息滥用等问题,进而引发了社会大众对个人信息保护的普遍关注。因此,如何有效处理个人信息安全问题成为了每个企业都需要关注的话题。
本期专题将聚焦于个人信息的安全及保护,详细论述个人信息安全事件的分类、应对和处置流程、需注意的后续工作,以及从企业角度出发,分享个人信息保护管理的流程及要点。
目录
一、个人信息安全事件分类
个人信息安全事件是指在信息的采集、处理、存储、传输和使用等过程中,由于技术、管理等方面的问题,导致个人信息泄露、被篡改、丢失或被破坏等情况。个人信息安全事件具有多样性、复杂性和风险性,需要按照一定的分类标准进行划分和管理,并采取相对应的应对和处置措施。
个人信息安全事件可以根据事件类型、事件范围、事件后果等方面进行分类。下面作者将从不同维度对个人信息安全事件进行分类。
(一)按事件类型分
根据事件类型的不同,个人信息安全事件可以分为以下几种类型:
1. 泄露事件
泄露事件是指个人信息被非法获取或公开的情况。泄露事件主要包括以下几种类型:
1)网络攻击:黑客攻击、网络钓鱼、木马病毒等手段获取个人信息;
2)数据泄露:企业员工、服务商、供应商等人员在处理个人信息过程中,因管理不当或失误导致数据泄露;
3)社会工程学攻击:骗子通过冒充他人身份、仿冒网站等手段获取个人信息;
4)物理盗窃:窃贼通过偷窃电脑、手机等设备获取个人信息;
5)窃取事件:指个人信息被未经授权的方式获取或盗窃。
2. 篡改事件
篡改事件是指个人信息被篡改或被篡改后被使用的情况。篡改事件主要包括以下几种类型:
1)恶意篡改:黑客通过网络攻击手段篡改个人信息;
2)错误篡改:企业员工在处理个人信息过程中出现错误操作;
3)自愿篡改:用户在使用社交网络等平台时自愿修改或删除个人信息。
3. 丢失事件
丢失事件是指个人信息在处理或传输过程中丢失的情况。丢失事件主要包括以下几种类型:
1)设备丢失:电脑、手机等存储个人信息的设备丢失;
2)数据传输丢失:个人信息在传输过程中丢失;
3)系统故障:系统故障导致个人信息丢失。
4. 破坏事件
破坏事件指个人信息被破坏或损坏。这种类型的事件通常由恶意攻击者或者内部员工不慎的操作导致,会对个人信息的完整性和可用性造成影响。破坏事件可以分为以下几种类型:
1)数据删除或损坏:攻击者通过恶意代码或攻击手段删除或破坏个人信息,或者通过物理攻击或天灾等原因导致数据损坏;
2)数据加密或锁定:攻击者通过勒索软件等手段加密或锁定个人信息,迫使被攻击方支付赎金或达成其他目的;
3)服务停止:攻击者通过攻击或者其他手段停止个人信息所在的服务,导致用户无法正常访问、使用或操作个人信息;
4)硬件损坏:物理设备受到破坏或损坏,如硬盘、服务器等受到攻击导致个人信息丢失或受损。
(二)按事件范围分
按个人信息安全事件的范围不同,可以分为以下几种:
1. 个人事件
个人事件指的是仅涉及单个个人的个人信息安全事件。这种事件通常是由于个人安全措施不足或不当,导致个人的个人信息被攻击者获取、篡改或破坏。例如,个人电子邮件账户密码泄露、社交媒体账户被黑客攻击、个人移动设备被盗或丢失等。
个人信息安全事件对受害者的影响通常是较小的,但在一些情况下可能会导致严重的后果,例如在个人账户泄露的情况下,攻击者可以利用这些信息进行诈骗、身份盗窃或恶意行为。
2. 企业事件
企业事件指的是涉及到企业的个人信息安全事件,通常涉及到企业内部员工的个人信息泄露、企业客户数据被黑客攻击获取等,企业事件的发生通常会对企业的声誉和经济造成严重的影响。
3. 行业事件
行业事件指的是某一行业中发生的个人信息安全事件。不同行业面临的安全威胁是不同的,例如医疗行业面临的安全威胁通常涉及到病人的个人信息泄露,金融行业面临的威胁通常涉及到客户账户被黑客攻击等。
4. 全球事件
全球事件指的是全球范围内的个人信息安全事件,通常这些事件规模较大,影响范围广泛,可能涉及多个国家和地区。全球性的个人信息安全事件对整个互联网生态系统和全球经济发展都可能造成巨大的影响,其后果可能会更加严重和复杂。
全球性个人信息安全事件的形式多样,包括黑客攻击、网络病毒、勒索软件、恶意代码等等。这些事件可能会导致大量个人信息被窃取、泄露、篡改和破坏,造成个人信息和财产的损失,同时也会影响到公司的声誉和信誉,进而影响到公司的市值和商业活动。此外,还有可能造成国家安全和国际关系的危机,引发政治和经济上的风险。
(三)按损害后果分
根据损害后果的不同,个人信息安全事件可以分为以下几种类型:
1. 无损事件
无损事件是指个人信息被盗取、窃取、篡改或破坏,但并没有造成任何实质性的损失。这种事件可能只是个别信息的泄露,例如手机号码、邮箱地址等,并不会导致严重的后果。无损事件虽然对个人和企业的影响较小,但仍需要采取相应的措施进行监测和处理,以保护个人信息的安全。
2. 轻微损失事件
轻微损失事件是指个人信息被盗取、窃取、篡改或破坏,但造成的损失较小,可以通过简单的措施恢复。例如,个人账户的密码被盗取,但在及时更改密码后并没有发生任何损失,或者个人信息被非法获取,但在发现后及时报警并没有造成实质性的损失。这种事件虽然造成的损失较小,但也需要采取一定的措施进行监测和处理,以避免后续的风险。
3. 中等损失事件
中等损失事件是指个人信息被盗取、窃取、篡改或破坏,造成一定的损失,需要采取一定的措施进行恢复。例如,银行账户被盗取,造成一定金额的财产损失,或者个人信用卡信息被盗取,导致恶意消费等。这种事件可能对个人和企业造成一定的影响,需要及时采取措施进行恢复,并对后续的风险进行监测和处理。
4. 严重损失事件
严重损失事件是指个人信息被盗取、窃取、篡改或破坏,造成重大的损失,需要采取紧急措施进行恢复,同时可能会对个人和企业造成长期影响。严重损失事件通常包括以下情况:
1)个人敏感信息泄露:例如个人身份证号码、银行账户、社保号码等敏感信息被泄露;
2)大规模黑客攻击:例如黑客攻击某一大型企业或政府机构,窃取大量的个人信息,导致数以百万计的人受到影响;
3)网络钓鱼攻击:例如通过伪造电子邮件或网站,骗取用户的个人信息或密码;
4)病毒攻击:例如通过病毒感染用户的电脑或手机,窃取用户的个人信息或密码;
5)数据篡改或破坏:例如黑客对企业或政府机构的数据库进行篡改或破坏,导致数据的完整性或可靠性受到严重破坏。
以上事件均可能对受影响的个人、企业或政府机构造成重大的损失和影响。严重损失事件的处理需要采取紧急措施,包括暂停服务、修复系统、通知受影响的用户等,同时需要与相关部门合作进行调查和追踪,以便找到幕后黑手并采取法律行动。
二、个人信息安全事件应对和处置流程
个人信息安全事件的应对和处置是指在个人信息安全遭受威胁或者出现问题时,采取相应的措施进行解决和处理。在面对个人信息安全事件时,正确的应对和处置方法非常重要,可以避免事件进一步扩大和恶化,保护个人信息的安全性。下面将详细介绍个人信息安全事件的应对和处置流程。
(一)制定个人信息安全事件应急预案
为有效应对个人信息安全事件,企业应制定个人信息安全事件应急预案。应急预案的具体内容可以包括:
1. 应急预案组织架构与责任分工
个人信息安全事件应急预案中应明确应急响应小组的组织架构、成员及其职责,明确事件响应的管理体系与流程,确定各个环节的责任和权限,建立健全的组织架构和责任体系,保证应急响应的顺畅和有效性。
2. 事件分类与应急响应级别
针对不同类型的事件,应该制定不同的应急响应级别,将事件分级分类处理,分别制定应对措施,以避免不必要的损失和误解。根据事件类型、事件级别,及时启动应急响应计划,制定相应的应急处置方案。
3. 应急响应流程
应急响应流程是应急预案中非常重要的一部分,它直接关系到应急响应的速度和效率。应急响应流程应包含以下环节:
1)事件发现:包括事件发生的时间、地点、事件的类型、级别、影响范围等信息;
2)事件评估:针对事件的类型、级别和影响范围进行评估,确定应急响应级别和相应的处置措施;
3)应急响应:包括应急响应的组织、启动、指挥、协调、处置等各个环节;
4)事后处理:包括恢复数据、复盘事件、整理经验教训等。
4. 应急响应措施
应急响应措施是应急预案的核心部分,具体措施应该根据事件的类型、级别和影响范围确定,应该包括以下方面:
1)信息收集:针对事件进行全面信息收集,包括事件的起因、影响范围、损失情况、攻击手段等;
2)紧急处理:采取紧急的技术和管理措施,尽快控制和解决事件,减少损失和影响;
3)数据恢复:采取数据备份、数据还原、数据恢复等技术手段,尽快恢复数据;
4)事后分析:对事件进行分析和评估,总结经验教训,改进应急预案,提高应急响应能力。
5. 应急响应设备和工具
应急响应设备和工具是应对个人信息安全事件的重要组成部分,它们可以帮助组织或个人快速有效地应对事件,减少损失。
首先,网络安全监测设备是应急响应设备的核心部分之一。这些设备包括入侵检测系统(IDS)、网络流量分析器、漏洞扫描器等。它们可以监视网络活动,检测和记录不正常的活动和攻击,并生成警报。在应急响应中,这些设备可以帮助识别和跟踪攻击源,并帮助防御者采取必要的措施。
其次,安全日志管理工具也是应急响应的重要设备之一。安全日志记录了各种系统和网络事件的详细信息,包括用户登录、文件访问、系统配置更改等。当发生安全事件时,安全日志可以帮助企业确定事件的起因、范围和影响,以便采取适当的措施。
另外,还有一些其他的应急响应工具,例如远程访问工具、漏洞修补工具、反病毒软件等。这些工具可以帮助企业识别和修复系统中的漏洞、删除恶意软件和恶意代码、清理系统等。
在确定应急响应设备和工具时,应该考虑企业的具体需求和环境。对于大型企业来说,网络安全监测设备和安全日志管理工具可能是必不可少的。对于小型企业来说,防病毒软件和防火墙可能就足够了。此外,应急响应设备和工具的选择也应该考虑到设备和工具的互操作性,不同的设备和工具之间需要有良好的兼容性和协同工作能力,以确保在应急响应中能够快速高效地工作。
6. 应急培训和演练计划
应急培训和演练是保障应急预案有效性的关键,应该制定培训和演练计划,明确培训和演练的频率和内容。通过定期的应急培训和演练,可以提高应急预案执行人员的技能和应变能力,增强应急响应的效率和质量。
7. 应急预案评估和修订机制
应急预案需要定期进行评估和修订,以确保应急预案符合当前的安全需求。评估的主要目的是确定应急预案的有效性和可行性,并提出改进建议。修订的主要目的是根据评估结果和实际情况调整应急预案内容,提高应急响应的能力和效率。
8. 应急资源清单和保障机制
应急资源清单是指在应急事件发生时需要使用的资源,包括人员、设备、物资、信息等。应急资源清单应该根据应急预案的实际需要进行制定,并定期更新。同时还需要建立应急资源保障机制,以保障应急资源的及时调配和有效使用。
9. 应急信息共享机制
应急信息共享是保障应急响应能力的关键,建立应急信息共享机制可以及时获取和传递应急信息,协调应急响应工作。应急信息共享机制应该包括信息收集、信息整合、信息分析、信息传递等环节,同时需要建立信息保密机制,保障应急信息的安全性和机密性。
10. 应急后续处理和复原机制
应急事件的后续处理和复原是保障应急响应工作顺利进行的关键,应急后续处理和复原机制包括应急事件的善后处理、数据恢复、恢复业务运营等方面,需要明确各方面的职责和具体措施。
11. 进行应急响应培训和应急演练
进行个人信息安全事件应急响应培训和应急演练是保障企业和个人信息安全的重要手段,可以提高相关人员的应急响应能力和处置效率。企业应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程。
12. 应急响应培训
应急响应培训的目的是使相关人员了解个人信息安全事件的基本概念、应急响应的流程、责任分工和具体措施,提高其应对突发事件的能力。应急响应培训应包括以下内容:
1)个人信息安全事件的基本概念和分类。培训应首先介绍个人信息安全事件的基本概念和分类,使相关人员了解个人信息安全事件的本质和特点;
2)应急响应的流程和步骤。介绍应急响应的流程和步骤,包括事件上报、应急响应组织、信息收集、分析和评估、应急响应措施制定和实施、后续监测和评估等内容;
3)应急响应的责任分工。明确应急响应的责任分工,包括应急响应组织机构和人员的职责、部门间协调和配合等内容;
4)应急响应的具体措施。介绍应急响应的具体措施,包括信息备份、网络隔离、系统修复、恢复数据、应对攻击等内容;
5)应急响应的技能培训。进行应急响应技能培训,包括网络安全技术、数据恢复技术、系统维护技术等,提高相关人员的技能水平。
13. 应急演练
应急演练是指以模拟真实事件为基础,对应急响应流程、应急响应措施进行模拟,以检验应急预案的可行性和完备性,并提高应急响应人员的处置能力。
1)常见的应急演练方法包括:
A. 桌面演练:桌面演练是在模拟真实事件的基础上,对应急预案和流程进行评估和测试,评估应急响应人员的反应和处置能力。通常在办公室或会议室内进行,参与人员包括应急响应小组成员、相关部门负责人等;
B. 功能演练:功能演练是指通过模拟一些实际操作过程,检验应急响应人员的操作能力和反应速度。例如在演练中,将计算机系统出现安全漏洞作为演练场景,然后由应急响应小组成员进行反应和处置;
C. 全流程演练:全流程演练是指将整个应急响应流程和应急措施进行全面测试和检验。例如在演练中,将某种类型的个人信息安全事件作为演练场景,然后由应急响应小组进行全流程应急响应和处置。
2)应急演练的具体内容可以包括以下方面:
A. 模拟不同类型的个人信息安全事件,例如网络攻击、数据泄露、恶意软件感染等,演练人员需要根据不同类型的事件选择不同的应急响应流程和措施;
B. 模拟不同级别的个人信息安全事件,例如轻微损失事件、中等损失事件、严重损失事件等,演练人员需要根据事件级别选择不同的应急响应级别和措施;
C. 模拟不同的应急响应场景,例如演练人员在不同时间、不同地点接到应急响应通知的情况,需要根据不同的场景选择不同的应急响应流程和措施。
3)应急演练的基本要求包括:
A. 演练人员需要了解应急响应预案中的岗位职责和责任分工,明确每个岗位的职责和权利;
B. 演练人员需要了解应急响应措施和工具的使用方法和操作步骤,例如如何使用防病毒软件、如何进行数据备份和恢复等;
C. 演练人员需要模拟协同工作,例如不同岗位之间的协作和沟通,如何协调应急响应措施,如何交接任务等;
D. 演练结束后,需要对演练过程进行总结和评估,发现不足之处并加以改进,以提高应急响应能力。
(二)个人信息安全事件的处置
发生个人信息安全事件后,企业应该如何进行处置,才能尽可能地减少损失,保护个人信息的安全。通常可遵循以下步骤:
1. 发现事件并评估风险
当企业发现个人信息安全事件时,应首先立即启动应急预案,并尽快组织应急响应小组,确定事件的性质、规模和影响范围,评估风险等级,并对事件进行分类。根据事件的紧急程度和影响范围,选择适当的应急响应级别,以便及时采取适当的应急措施。
2. 阻止进一步损失
在事件评估完风险后,应立即采取措施,阻止事件进一步扩大,避免进一步的损失。在这个阶段,应急响应小组应采取措施尽可能地隔离和控制受影响的系统或设备,停止数据的进一步传输或处理,以保护关键数据不被进一步破坏或篡改。此外,应该采取其他适当的措施,如断开网络连接、关闭受影响的系统或设备、暂停业务等。
3. 初步收集证据和信息
在阻止进一步损失之后,应急响应小组应该开始初步收集相关证据和信息,以便为后续的调查和法律程序提供支持。此外,收集证据和信息还有助于确定事件的起因和影响范围,为后续的处置提供支持。收集证据和信息的方式包括采集数据和日志、收集现场证据、调查目击者等。
4. 分析和确认事件
收集完证据和信息后,应急响应小组应该对事件进行分析和确认。在分析事件的过程中,应急响应小组需要确定事件的起因、影响范围、受影响的数据、设备和系统以及事件的严重程度。同时,应该评估事件对业务的影响,并评估事件可能对受影响方造成的潜在损失。
5. 制定应急处置方案
根据事件的严重程度和影响范围,应急响应小组应制定具体的有针对性的处置方案。处置方案应明确指出事件的处置流程和具体措施,包括恢复数据、设备和系统、重建网络架构、加固安全防御、进行安全审计等方面的措施和步骤,以及具体的责任分工和时间节点。
6. 执行处置方案
应急响应小组应根据制定的处置方案,执行具体的处置措施,包括但不限于以下内容:
1)封堵事件源头
如果个人信息泄露源头还在运行,应急响应小组需要立即采取措施封堵源头,防止继续泄露个人信息。
2)收集证据
应急响应小组应及时、全面收集和保存与本次事件有关的证据和信息,以便后续调查和追究责任。
3)通知相关方
对于严重的个人信息安全事件,应急响应小组需要及时通知相关方,包括内部相关人员、外部相关合作伙伴、客户、监管机构等。
A. 对个人信息主体的告知要求包括:应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体,难以告知个人信息主体时,应采取合理、有效的方式发布与公众有关的示警信息。
B. 对个人信息主体的告知内容应包括但不限于:
- 安全事件的内容和影响;
- 己采取或将要采取的处置措施;
- 个人信息主体自主防范和降低风险的建议;
- 针对个人信息主体提供的补救措施;
- 个人信息保护负责人和个人信息保护工作机构的联系方式。
C. 对监管机构的报告要求包括:按照《国家网络安全事件应急预案》等有关规定及时上报。
D. 对监管机构的报告内容包括但不限于:
- 个人信息主体的类型、数量、内容、性质等总体情況;
- 事件可能造成的影响;
- 已采取或将要采取的处置措施;
- 事件处置相关人员的联系方式。
4)恢复数据和系统
应急响应小组应根据应急处置方案的要求,及时采取措施恢复数据和系统,确保业务的正常运行。
5)分析事件原因
应急响应小组应结合收集到的证据和信息对个人信息安全事件进行分析和评估,找出事件发生的原因和漏洞,并采取措施加强信息安全措施,防止类似事件再次发生。
6)进行事后评估
应急响应小组应对个人信息安全事件的处置过程进行评估和总结,发现问题和不足,并改进应急响应预案和处置方案,提高应对能力。
7. 监控和评估
在处置方案实施后,需要对应急处置工作进行监控和评估。应急响应小组需要定期汇报事件处置的情况和效果,及时调整和优化应急响应措施,以保证个人信息安全事件得到全面、有效地处置。
8. 总结和改进
在事件得到彻底处置后,应急响应小组需要进行总结和改进。总结包括对事件的原因、影响和处理过程进行全面回顾和分析,以及对应急响应措施进行评估和总结。改进包括对应急预案和应急响应措施进行修订和更新,以适应不断变化的安全威胁和技术环境。同时,应将事件处理的相关记录和资料归档,作为今后应对类似事件的参考。
三、个人信息安全事件后续工作
个人信息安全事件后续工作是指在应对个人信息安全事件的过程中,需要进行的一些后续工作,包括总结经验、完善安全管理体系、加强监控和预警等。
(一)总结经验
总结经验是个人信息安全事件处置完毕后非常重要的一个环节。通过对事件的总结和分析,可以发现存在的问题和不足之处,及时制定改进措施和提高安全意识和能力的培训计划。
1. 召开总结会议。在个人信息安全事件处理完毕后,应急响应小组应该召开总结会议。会议应该由应急响应小组的领导主持,成员应该包括所有参与应急响应工作的人员。会议的主要议程包括事件的经过、处置效果、不足之处、教训和总结经验等内容。
2. 分析问题和不足之处。在总结会议中,应急响应小组应该对事件的经过、处置效果和不足之处进行分析。需要探讨的问题包括:事件的起因、影响和损失、应急响应小组的反应和处置过程、技术手段和工具的应用情况、沟通协调的效果等。分析问题和不足之处可以为今后的工作提供指导,防止类似事件的再次发生。
3. 制定改进措施。在总结会议中,应急响应小组应该根据分析结果制定相应的改进措施。改进措施应该是具体、可行、有效的,并应该有时间表和责任人。改进措施应该包括技术方面、管理方面和培训方面等,以提高个人信息安全事件应急响应的能力和水平。
4. 记录总结经验的过程和结果。总结经验的过程和结果应该记录下来,以便今后的参考。记录内容应该包括事件的经过、处置效果、不足之处、教训、改进措施和落实情况等。记录应该详细、准确、全面,以提高今后的工作效率和质量。
(二)完善安全管理体系
个人信息安全事件发生后,企业应当深入分析事件的原因和教训,总结经验教训,完善安全管理体系,以提高企业的安全保障能力。具体方法包括:
1. 加强安全管理规章制度的建设。进一步完善安全管理制度,明确各岗位职责和安全责任,推动安全文化建设;
2. 加强安全培训和教育。对企业内部员工进行安全培训和教育,进一步提高员工的安全意识和应对能力;
3. 加强安全审计和评估。定期进行安全审计和评估,发现和解决潜在的安全问题和隐患;
4. 建立安全管理责任制。明确安全管理的责任主体和工作职责,强化安全管理工作的责任制和落实力度。
(三)加强监控和预警
在个人信息安全事件后续工作中,企业应当加强安全监控和预警工作,以发现和防范潜在的安全风险和漏洞。具体方法包括:
1. 加强日志记录和分析,对系统和网络的操作、访问和异常行为进行监控和分析,及时发现异常情况并进行预警和处理;
2. 建立安全事件监测和预警机制,对于可能引发安全事件的异常情况和行为进行监测和预警,及时采取措施防范和化解风险;
3. 加强漏洞管理和修补,对系统和应用程序的漏洞进行及时修补,避免被黑客攻击利用;
4. 加强恶意代码检测和清除,对系统和网络中的恶意代码进行检测和清除,确保系统和网络的安全稳定。
(四)进一步增强员工的安全意识
在个人信息安全事件的应急响应过程中,员工是最重要的参与者和目标。因此,个人信息安全事件处置完毕后,针对该次个人信息安全事件的案例,进一步加强员工安全意识的培训和教育显得尤为重要。这有助于员工理解该事件的原因、影响和解决方案,以及日后如何防范和应对类似事件。此外,企业应该定期组织员工进行安全意识教育和培训,包括网络安全意识、信息安全政策、安全风险意识、安全管理知识等方面。同时,应该加强对员工的监督和管理,建立健全的员工信息安全责任制度。只有让员工时刻保持警惕并具备防范和应对能力,才能从根本上避免个人信息泄露等安全事件的发生。
(五)维护用户权益
个人信息安全事件发生后,企业应当积极采取措施,保护用户的权益,减少用户损失。具体方法包括:
1. 企业应当及时向受影响的客户通报事件的影响和处理情况,尤其是客户个人信息被泄露的情况下,应该告知客户泄露的信息类型、泄露的范围以及可能对客户带来的影响等。同时,企业也应该告知客户企业所采取的应对措施以及未来避免个人信息泄露的方案。通过及时通报事件的处理情况,可以增强公众对企业的信任度和可信度,避免负面影响扩大化;
2. 企业需要及时回应客户的关切和疑虑,例如客户对企业是否存在信息安全风险等方面的问题。对于客户的问题和疑虑,企业需要进行耐心解答,使客户更好地了解事件的真相,以及企业对事件的应对措施。同时,企业需要在客户关注的问题上进行深入探讨,以改进安全管理策略,加强对客户个人信息的保护和管理;
3. 企业应该在日常经营管理中加强对客户个人信息的保护和管理,采用先进的信息安全技术和管理措施,加密存储和传输客户的个人信息,保障客户的个人信息权利;
4. 加强用户申诉和投诉渠道的建设,及时回应用户的申诉和投诉,保障用户的合法权益。
四、个人信息保护管理流程
通过以上对个人信息安全事件的分类及处置流程等的分析、介绍可知,一旦发生个人信息安全事件,对企业造成的影响将不容小觑。而近年来,个人信息泄露事件不断发生,给个人的生活和工作带来严重的影响,也给各个企业带来了巨大的经济和信誉损失。因此,制定和执行完善的个人信息保护管理流程,保护个人信息安全和保密,成为现代企业必须重视的重要任务。个人信息保护管理流程涉及个人信息收集、存储、使用、共享、转让、披露、删除等各个流程的管理,具体而言应该考虑以下内容:
(一)基本原则
个人信息保护管理流程的制定应当遵循以下基本原则:
1. 合法原则
个人信息采集、处理、存储、使用、共享、转移、删除等各个环节应当符合法律法规的规定,保障个人信息的合法性和合理性。
2. 正当原则
个人信息采集、处理、存储、使用、共享、转移、删除等各个环节应当遵循合理、必要、公正、透明的原则,不得超出合理范围和目的。
3. 必要原则
个人信息采集、处理、存储、使用、共享、转移、删除等各个环节应当基于必要性原则,仅收集和使用必要的个人信息,避免过度收集和使用。
4. 自愿原则
个人信息采集、处理、存储、使用、共享、转移、删除等各个环节应当建立个人信息主体自主选择的机制,确保个人信息主体的知情权、自主权和选择权。
5. 管理和持续改进原则
企业应建立健全的管理机制,不断进行个人信息保护管理流程的监测、评估和改进,确保其持续有效。
(二)个人信息收集管理流程要点
企业应该明确收集个人信息的目的,并通过明示同意或其他合法方式来收集个人信息。同时,企业应该限制收集的信息类型和数量,避免不必要的收集。具体而言,主要需要满足以下要求:
1. 合法性
企业收集个人信息应遵循合法性原则:
1)不应以欺诈、诱骗、误导的方式收集个人信息;
2)不应隐瞒产品或服务所具有的收集个人信息的功能;
3)不应从非法渠道获取个人信息。
2. 最小必要
企业收集个人信息应遵循最小必要性原则:
1)收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;
2)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
3)间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
3. 多项业务功能的自主选择
当产品或服务提供多项需收集个人信息的业务功能时,企业不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求:
1)不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求;
2)应把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。企业应仅在个人信息主体开启该业务功能后,开始收集个人信息;
3)关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后,企业应停止该业务功能的个人信息收集活动;
4)个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意;
5)个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量;
6)不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意收集个人信息。
4. 授权同意
企业收集个人信息应获得相应的授权同意:
1)收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意;
2)收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示;
3)收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;
4)收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意;
5)间接获取个人信息时,应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。
(三)个人信息存储管理流程要点
企业应该采取必要的技术和组织措施,确保存储的个人信息安全可靠。同时,企业应该限制个人信息的存储时间,并按照相关法规和标准进行安全销毁。具体而言,主要需要满足以下要求:
1. 存储时间最小化
个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间,法律法规另有规定或者个人信息主体另行授权同意的除外。超出上述个人信息存储期限后,应对个人信息进行删除或匿名化处理。
2. 去标识化处理
收集个人信息后,企业宜立即进行去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。
3. 个人敏感信息的传输和存储
个人敏感信息的传输和存储过程中应注意以下事项:
1)传输和存储个人敏感信息时,应采用加密等安全措施;
2)个人生物识别信息应与个人身份信息分开存储;
3)原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:仅存储个人生物识别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
4. 停止运营
当企业停止运营其产品或服务时,应:
1)及时停止继续收集个人信息;
2)将停止运营的通知以逐一送达或公告的形式通知个人信息主体;
3)对其所持有的个人信息进行删除或匿名化处理。
(四)个人信息使用管理流程要点
个人信息使用是指对存储的个人信息进行查看、分析、使用等操作。企业在使用个人信息时,应该遵循相关法规和标准,并确保使用方式符合事先确定的目的。同时,企业应该采取必要的技术和组织措施,防止未经授权的使用或滥用个人信息。具体而言,主要需要满足以下要求:
1. 访问控制措施
企业应对个人信息实施访问控制:
1)对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限;
2)对个人信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操作;
3)对安全管理人员、数据操作人员、审计人员的角色进行分离设置;
4)确因工作需要,需授权特定人员超权限处理个人信息的,应经个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册;
5)对个人敏感信息的访问、修改等操作行为,宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到客户投诉,投诉处理人员才可访问该个人信息主体的相关信息。
2. 展示限制
涉及通过界面展示个人信息的(如显示屏幕、纸面),企业宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。例如,在个人信息展示时,防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。
3. 使用目的限制
企业使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。
如所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围。
4. 用户画像的使用限制
1)用户画像中对个人信息主体的特征描述,不应:包含淫秽、色情、赌博、迷信、恐怖、暴力的内容;表达对民族、种族、宗教、残疾、疾病歧视的内容;
2)在业务运营或对外业务合作中使用用户画像的,不应:侵害公民、法人和其他组织的合法权益;危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序;
3)除为实现个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。
5. 个性化展示的使用
1)在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容;
2)在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;
3)在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应:为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项;当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项;
4)在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。
(五)个人信息共享、转让管理流程要点
企业在共享、转让个人信息过程中,主要需要满足以下要求:
1. 非因收购、兼并、重组、破产原因共享、转让的
企业共享、转让个人信息时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组、破产原因的,应符合以下要求:
1)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
2)向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外;
3)共享、转让个人敏感信息前,除(2)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;
4)通过合同等方式规定数据接收方的责任和义务;
5)准确记录和存储个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;
6)企业发现数据接收方违反法律法规要求或双方约定处理个人信息的,应立即要求数据接收方停止相关行为,且采取或要求数据接收方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险;必要时个人信息控制者应解除与数据接收方的业务关系,并要求数据接收方及时删除从企业获得的个人信息;
7)因共享、转让个人信息发生安全事件而对个人信息主体合法权益造成损害的,企业应承担相应的责任;
8)帮助个人信息主体了解数据接收方对个人信息的存储、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等;
9)个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
2. 因收购、兼并、重组、破产原因共享、转让的
当企业发生收购、兼并、重组、破产等变更时,企业应:
1)向个人信息主体告知有关情况;
2)变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意;
3)如破产且无承接方的,对数据做删除处理。
(六)个人信息披露管理流程要点
个人信息原则上不应公开披露,人信息控制者经法律授权或具备合理事由确需公开披露时,应符合以下要求:
1. 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
2. 向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意;
3. 公开披露个人敏感信息前,除2)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;
4. 准确记录和存储个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;
5. 承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;
6. 不应公开披露个人生物识别信息;
7. 不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果。
(七)个人信息删除管理流程要点
信息删除是指删除已经收集、处理、存储的个人信息的过程。在个人信息达到法定保存期限或者信息主体要求删除等情况下,应当及时删除个人信息。同时,对于因技术原因无法删除的个人信息,应当采取必要的安全保护措施,保证其不被非法使用、泄露或者篡改。个人信息删除管理流程应当遵循以下规定:
1. 删除方式
企业应当采用安全、合法、公正、透明的方式进行个人信息删除,确保个人信息的安全和保密。
2. 删除范围
企业应当仅删除达到法定保存期限或者信息主体要求删除或根据相关法律规定可以删除的个人信息,并且应当限制删除的范围,避免误删重要信息。
3. 删除完整性
企业在删除个人信息时,应当确保其完整性和彻底性,不得留下任何任何痕迹或备份。
4. 删除记录
企业应当记录个人信息删除的时间、方式、内容等信息,并加强对记录的保护,防止信息泄露和滥用。
(八)个人信息安全事件管理流程要点
个人信息安全事件是指发生在个人信息收集、存储、使用、共享、转让、披露、删除等环节中的违反安全规定的事件,包括个人信息泄露、损毁、丢失等。即使企业或组织尽力遵守个人信息保护管理流程,个人信息安全事件也有可能发生。因此,企业或组织应当建立健全的个人信息安全事件管理流程,及时、有效地处理个人信息安全事件。
关于个人信息安全事件具体的应对和处置流程请参考第五章第二部分的内容,本部分仅简单论述处理个人信息安全事件应当遵循的基本原则:
1. 及时性原则
企业应当及时发现个人信息安全事件,并立即采取措施进行处理。
2. 调查核实原则
企业应当对个人信息安全事件进行调查核实,了解事件的原因和影响,避免类似事件再次发生。
3. 通知公告原则
企业应当及时向受影响的个人、有关部门和社会公众公告个人信息安全事件的情况,并告知可能造成的影响和采取的措施。
4. 应急响应原则
企业应当根据个人信息安全事件的具体情况,采取必要的应急措施,减少安全事件的影响。
5. 责任追究原则
在处置完人信息安全事件后,企业应当对个人信息安全事件的责任人进行追究,确保个人信息的安全性和保密性。
(九)个人信息保护管理流程的监督和评估
为确保个人信息保护管理流程的有效性和合规性,企业应当建立健全的监督和评估机制,确保该机制能够及时、有效地监督和评估个人信息保护管理流程的执行情况。具体应当遵循以下原则:
1. 内部监督原则
企业应当建立健全的内部监督机制,能够及时、有效地监督个人信息保护管理流程的执行情况。
2. 外部监督原则
企业应当接受有关部门、社会公众和个人对个人信息保护管理流程的监督,并及时、有效地回应监督意见。
3. 评估原则
企业应当定期进行个人信息保护管理流程的评估,了解执行情况和改进需要。
4. 持续改进原则
企业应当根据评估结果和监督意见,持续改进个人信息保护管理流程,提高个人信息保护的水平。
总之,制定和执行个人信息保护管理流程是企业保护个人信息的重要手段。通过制定合理的个人信息保护管理流程,企业能够规范个人信息的采集、处理、存储、使用、共享、转让、披露、删除等各个环节,确保个人信息的安全性和保密性,保障个人信息主体的合法权益。
同时,制定和执行个人信息保护管理流程是企业履行社会责任的重要体现,也是提高企业的竞争力和信誉度的关键环节。通过加强个人信息保护,企业能够提高客户的满意度和忠诚度,赢得更广泛的市场和社会认可,实现可持续发展的目标。
作者介绍
 |
朱凯 上海中岛律师事务所 管理合伙人/高级合伙人 zhukai@ilandlaw.com 朱凯律师,华东政法大学法学学士、英国阿伯丁大学法学硕士,中国法学会会员,IBA(国际律师协会)会员,华东政法大学兼职硕导,创合智库首席法律专家,现任中岛律师事务所管理合伙人、高级合伙人。 朱凯律师从事律师执业近20年,长期专注于汽车、互联网、新能源、创新科技、新兴服务业等行业的直接投融资、M&A、股权激励和股权治理、企业合规、数据安全合规、商事争议解决等法律服务领域。 |
相关专题
- 合规114期:企业个人信息合规制度与隐私政策编制