《解析新版(个人信息安全规范)中的个人信息保护负责人制度.docx》由会员分享,可在线阅读,更多相关《解析新版(个人信息安全规范)中的个人信息保护负责人制度.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、解析新版(个人信息安全规范)中的个人信息保护负责人制度解析新版(个人信息安全规范)中的个人信息保护负责人制度2020-08-03(网络安全法)出台后,十分是2022年5月1日(信息安全技术个人信息安全规范)“旧版规范生效以来,不少企业已经搭建起个人信息保护制度框架。数据合规体系是动态的有机体,需要静态的制度框架,更需要合规人员的动态推动,将制度融入商业决策与交易中。即将于2020年10月1日生效的(信息安全技术个人信息安全规范)“新版规范或“(安全规范)针对个人信息保护负责人的规定,较旧版规范而言更为详细且务实。一、为什么要建立个人信息保护负责人制度个人信息保护负责人是指全面施行统筹组织公司个
2、人信息保护工作、对个人信息安全负直接责任的公司人员。设立个人信息保护负责人对企业落地数据合规制度至关重要。详细而言,科学有效的个人信息保护负责人制度既可提高企业法律风险防御能力,亦可加强其核心竞争力。一提高企业风险防御能力个人信息保护不力会给企业带来宏大损失:政府调查与处罚轻则迫使企业整改、重则颠覆既有商业形式、甚至导致企业与主要负责人承当刑事责任;个人信息安全事件假如不能及时、妥善处理,企业所面对的信任危机可能比处罚带来的社会影响更为深远;广大民众不断觉悟的个人信息保护意识更是促使企业时刻不得松懈。个人信息保护负责人既能够帮助企业在日常工作中未雨绸缪又可能在危机事件中力挽狂澜,提高企业防御风
3、险的综合能力。2021年3月,有消费者以为其个人信息遭到泄露而将某航空公司起诉至法院。法院综合认定被告存在泄露个人信息的高度可能,同时以为法律对经营者采取技术措施和其他必要措施保护消费者个人信息施以强迫规定。但是,被告未能证实其已履行法定的个人信息保护义务。12022年12月,同一家航空公司因类似事由被起诉,但法院以为被告在本身把握信息阶段不存在泄露个人信息的事实。原因在于,航空公司不仅对可查看订单信息的管理系统进行数据脱敏设置,还建立起严密的数据安全管理制度、就数据存储安全进行专门认证、与专业第三方进行合作。2根据公开信息,前述航空公司于2022年任命首席数据官,全面负责企业的数据保护与合规
4、运营工作。该航空公司也由此成为国内首家设立数据保护官的企业。3固然任命首席数据官与两份截然相反的判决没有直接关系,但从判决书中航空公司的举证来看,其在一两年间确实就个人信息保护采取了系列技术措施与组织措施,而任命首席数据官不仅是一种合规宣示,对于推动保护措施的落地显然也至关重要。二加强企业核心竞争力中国企业传统上将法律合规定位为后台支持部门,该等定位在业务拓展十分是开发海外市场时的局限性日益凸显。有能力的个人信息保护负责人有助于树立良好的企业形象,在与监管机构、合作伙伴、甚至竞争对手打交道的经过中,给人以专业、可信的印象,对于加强企业核心竞争力大有脾益。怎样在各国纷繁复杂的法律规定下实现合规,
5、需要个人信息保护负责人的统筹规划。对敏感个人数据加紧审查的国际趋势,尤其是中美经贸摩擦下的监管升级,4更是要求企业出海前审慎开展合规评估。华为、蚂蚁金服、360奇虎等大型企业纷纷设立个人信息保护专家岗位,讲明在合规工作进入“深水区的今天,企业数据合规的水安然平静深度将直接决定商业时机的获得。二、怎样建立个人信息保护负责人制度(网络安全法)规定网络运营者应确定网络安全负责人,关键信息基础设施运营者应设置专门的安全管理机构和安全管理负责人。网络安全事关国家安全,而隐私权保护本来侧重私法法益的保护,延展为个人信息保护后则具备更多的公共利益属性,但与网络安全相较仍更突出自主性。在(个人信息保护法)尚未
6、出台的阶段,推荐性的(安全规范)提出设置个人信息保护负责人制度,起到标准示范作用的同时亦在帮助企业为应对个人信息保护的强迫立法做准备。一设置个人信息保护负责人的条件根据新版规范,当企业1主要业务涉及个人信息处理,且从业人员规模大于200人;2处理超过100万人的个人信息,或估计在12个月内处理超过100万人的个人信息;或3处理超过10万人的个人敏感信息的,应设置专职的个人信息保护负责人和个人信息保护工作机构。与旧版规范相比,新版规范对于设置个人信息保护负责人的门槛要求体现出与时俱进和风险导向的趋势。首先,新版规范将处理50万人的个人信息提升为100万人,与数字经济下企业快速提升的数据处理规模相
7、一致。其次,旧版规范并未将处理个人敏感信息作为标准之一,而新版规范则规定处理超过10万人的个人敏感信息即应设立专职的个人信息保护负责人。纵观近年的重点数据执法,往往涉及个人财产信息、生物识别信息、精准的网络阅读记录等个人敏感信息的泄露、非法提供或滥用,故在考虑设置个人信息保护岗位时企业应将能否处理个人敏感信息作为重要参考根据。前述设置要求亦体现出平衡企业发展与保护法益的合理考虑。第1点要求从业人员大于200人,讲明主要针对中型及以上企业。5这样的设定给小微企业的发展留出空间,同时积极引导大中型企业在拓展业务时需愈加合规、稳健。第2点中的100万人构成大城市的常住人口量,6采集、处理100万人以
8、上的个人信息讲明业务已具有相当规模,设置个人信息保护负责人有必要性。二个人信息保护负责人的资质要求旧版规范生效以来,实务界普遍关注的问题之一是:个人信息保护负责人需要具备何等资质。新版规范分别从经历背景和决策地位两方面,对个人信息保护负责人的资质提出两项指引:1由具有相关管理工作经历和个人信息保护专业知识的人员担任;2介入有关个人信息处理活动的重要决策直接向组织主要负责人汇报工作。根据实践,个人信息保护负责人需要具备法律专业背景,同时能够理解技术、安全对个人信息保护的重要作用。个人信息保护的出发点是确保公司产品及服务符合国内、国际的数据保护法律合规框架,因而对法律的理解是第一准则。由于个人信息
9、保护也涉及数据安全治理,个人信息保护负责人应同时具备国际、国内格局安全观,日常工作中能够与安全和技术人员充分沟通并交换意见。显然,传统上此类人才相当稀少,令人欣喜的是近年来出现了一批对数据保护抱有热忱的专业人士,逐步构成了中国第一代数据保护人才库。就决策地位而言,个人信息保护负责人应当具备管理职能,能够介入重要决策。个人信息保护负责人不能仅承当执行责任,也要介入到管理决策,能够与业务部门平等合作、甚至在为公司合规利益把关上有更高的话语权。(中共中央国务院关于构建愈加完善的要素市场化配置体制机制的意见)中,“数据已经被纳入市场化配置改革的五大基础生产要素,7业务部门为追求盈利,难免在个人信息保护
10、和市场时机的平衡中更偏向市场。同时,相较于业务部门直观反映于短期业绩中的绩效,合规管控更为长远、前瞻,需要时间沉淀才能凸显其价值。因而,个人信息保护负责人需具备管理、决策地位的必要性不言而喻。三个人信息保护负责人的职责新版规范明确规定了个人信息保护负责人的职责,与旧版规范相比有如下变化:1增加的职责为组织制定个人信息保护工作计划并监督落实、公布投诉、举报方式等信息并及时受理投诉举报,以及与监管部门保持沟通,报告个人信息保护和事件处理情况;2加强的职责为组织开展个人信息安全影响评估后,还需提出个人信息保护的对策建议,催促整改安全隐患。由此可见,新版规范增加了个人信息保护负责人对外沟通联络的职能,
11、就内部职责而言则愈加强调数据合规制度的落地施行。同时,(安全规范)也非常贴心地为各项职能的详细落实提供建议。其中,新版规范增加的两项内容为个人信息安全工程和个人信息处理活动记录。个人信息安全工程有些类似GDPR项下的PrivacybyDesign,即在企业开发具有处理个人信息功能的产品或服务时,根据国家有关标准在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。由于个人信息安全工程涵盖产品从需求到发布的完好周期,由谁来详细做评估、谁来监督评估、谁来制作个人信息安全影响评估报告等,都由企业根据本身情况决定。不可否认的是
12、,个人信息保护负责人在此经过中会起到重要的作用。(安全规范)建议开展个人信息安全工程时参照国家有关标准,具有很强的现实意义。例如,中国人民银行和全国金融标准化技术委员会发布的(个人金融信息保护技术规范)即要求金融业机构有效隔离开发测试环境和生产环境,在实际开发测试中对个人金融信息进行虚构或者去标识化,且在产品或服务上线发布前进行技术检测。个人信息处理活动记录与GDPR第30条的要求较为类似,(安全规范)要求企业建立、维护和更新所采集、使用的个人信息处理活动记录,包括个人信息的类型、数据、来源;根据业务功能和受权情况区分个人信息的目的、使用场景;个人信息出境情况;以及与个人信息处理活动各环节相关
13、的信息系统、组织或人员。个人信息保护负责人的职能之一即为建立、维护和更新个人信息清单和受权访问策略,正是对应个人信息处理活动记录中的核心部分。三、完善个人信息保护负责人制度的瞻望新版规范完善了个人信息保护负责人制度,企业能够根据本身情况选择适用,为建立数据合规体系奠定基础。我们基于企业的良好实践,为个人信息保护负责人制度、个人信息保护责任体系提出两点瞻望。一设立个人信息保护工作机构(安全规范)除要求任命个人信息负责人外,也提到了个人信息保护工作机构。但是,尚未就个人信息保护工作机构给出详细指引。实践中,合规人员在推动数据保护决策时常面临各方阻力,执行中也有不少困难。部分大型公司已经设立数据保护
14、委员会,作为企业数据治理工作的协调机构与最高决策机构,通常由安全技术部、法务部、风险管理部、业务运营部和公共关系部相关管理人员组成。该等设置有助于强化数据保护决策的合意基础,确保决策的顺利推行。十分是当出现安全事件时,数据保护委员会可统筹处理响应、对外进行沟通、适时复盘整改合规措施。二加强个人信息保护负责人的独立地位新版规范除了开宗明义要求“法定代表人或主要负责人应对个人信息安全负全面领导责任外,还就个人信息保护负责人的独立性加强了制度保障,即:“应为个人信息保护负责人和个人信息保护工作机构提供必要资源,保障其独立履行职责。固然与GDPR下DPO的独立性仍有所差距,8但结合我国的情况以及企业的治理架构,(安全规范)的要求更容易落地施行。企业设计人力制度时,怎样确保个人信息保护负责人独立、专业、不受无关干扰做出正确合理的决策,是企业长远发展的一项重要考量。