从年初《个人信息保护法》推进以来,多家互联网公司就陆续出台了相应措施。本月《个人信息保护法》正式生效,很多知名企业也采取了相应措施进行应对。对于还在旁观或者不知所措的企业来说,借鉴这些做法显得很有必要。“首席风控合规官”通过梳理发现,这些措施大多集中在隐私安全领域,并有效通过个人信息处理者制定内部管理制度和操作规程,对个人信息实行分类管理,进而采取相应的加密、去标识化等安全技术措施。
对《个保法》做出依据声明
11月1日,《个人信息保护法》正式施行,这是我国首部专门针对个人信息保护的系统性、综合性法律。10月30日,Apple向用户发布"已为《个人信息保护法》做好准备"邮件,其中特别提到准备了一份隐私披露补充声明,来向中国大陆用户提供更多相关信息。
苹果表示:保护用户隐私、让用户掌握个人信息是苹果设计产品和服务时一贯坚持的理念,Apple仅在有合法的法律依据的情况下才会使用个人数据。在Apple,我们尊重中国消费者在《中华人民共和国个人信息保护法》项下享有的知情、查阅、更正、转移、限制处理和删除其个人数据的权利。中国消费者有权要求 Apple 提供其个人数据的副本,并解释 Apple《隐私政策》和本说明以及其他相关的个人数据处理规则。
此外,苹果在iOS 15.2测试版中引入了应用隐私报告,该功能首次在WWDC上展示。应用隐私报告旨在向用户提供有关应用访问通过隐私权限获取敏感信息(如位置、联系人、相机、麦克风和照片)等频率的信息。Apple还会显示网络活动,让用户知道应用程序在后台访问了哪些域名。可以说,这个功能就是一面"照妖镜",让应用偷窥隐私的行为无处遁形。用户在设置中,进入隐私页面,滑到底部之后,点击应用隐私报告获取详细信息。
此外, 10 月 29 日,微信 8.0.16 新版本发布,大范围更新了隐私政策、个人信息和权限等功能,也是为了满足《个人信息保护法》的基本要求。
哪些企业可能面临《个保法》的合规风险是很多企业关心的事情。对于谁需要考虑个人信息处理的合规问题,有一种错误的理解,即只有互联网公司才应关注数据信息合规。但事实上,无论是传统行业还是新兴行业、新型商业模式,几乎任何一个企业都会涉及个人信息。举个简单的例子,公司聘用员工时收集的员工信息、提供产品和服务时收集的客户资料,均属于对个人信息的处理行为,因此,绝大多数企业都将会落入《个保法》的管辖范围。
更重要的是,该法落地,将与《网络安全法》、《数据安全法》,在国家总体安全观框架下,以《中华人民共和国国家安全法》为龙头,并驾齐驱,构成相互协调的、有机、统一的中国网络数据法律体系框架。因此这就能很好理解,为何各路企业纷纷在《个保法》来临之际纷纷做出了依据声明。
对相应信息做脱敏处理或要求
11月1日,多家电商平台0点就开了双十一购物节,但是在我们收到一个个网络快递的同时,一则"快递信息泄露成精准定向诈骗的帮凶"的话题在网上发酵,引发了网友因快递面单导致个人信息泄露的担忧。
据了解,9月23日,"UP主自述30分钟内被诈骗16万"的话题成为热搜。据受害者讲述,她当天接到了一个自称申通快递员的电话,对方表示"快递丢件要给予双倍赔偿",在电话中准确地报出了她在快递单上留的化名和快递单号,使她放松了警惕。因为快件丢失需要进行理赔,核实信息无误后,她相信了对方,开始在"客服"的指导下在支付宝"备用金"申请180元快递理赔,对方称因操作失误,备用金申请成了500元,与支付宝产生了借贷关系。为解除借贷关系,该快递"客服"要求她下载一款名为"亿联会议"的App加入会议,与一个自称是支付宝官方客服的工作人员联系。这名“官方客服”称,她的支付宝芝麻信用分不足,需向指定账户转账18万元进行信用担保,于是她在该客服引导下从名下多张银行卡陆续向指定账户转账共计16万元。"客服"要求她继续向朋友借钱2万元以补全18万元的信用额度,这时朋友发觉她被骗,陪同她前往公安局报案。
这个案例比较极端,但也无不说明了一个小小的快递面单对于一些不法分子的价值。
事实上,随着《个保法》的临近,一些购物平台的隐私新政也早早出台,以备后顾之忧。例如,今年7月6日,某宝开放平台发布了《依法加强消费者订单中敏感信息保护的公告》,要求入驻该平台的第三方开发者和商家将订单中涉及消费者姓名、手机号码、身份证、地址等敏感信息进行脱敏处理。
7月9日,某东公布了《JD用户订单隐私安全方案》,表示将对订单中手机号和座机号进行脱敏。
7月20日,某电商运营团队宣布启动消费者隐私数据加密项目,8月1日起商家将无法获得订单收获信息中用户的手机号、姓名、收货地址等信息。
这些个人信息的脱敏做法无疑对保护个人信息是有意义的。《个保法》提出需要对个人信息被滥用所可能产生的潜在风险进行防范,避免防范潜在威胁转化为现实中个人的人格隐私被侵害、经济财产受到损失的严重后果。因此,该法体现出一种前置性保护规范,更加突出了个人信息保护的预先防控,如在个人信息被处理所产生的利益层面,通过知情权、同意权,自然人应有权知道其信息被处理所产生的利益并决定是否同意这一利益的发生。在隐私利益上,对个人信息权重蕴含的人格利益的保护,避免因个人信息处理行为导致人格受损。
建立企业内部的“个保”合规机制
一些企业成立了内部合规团队和合规官,对此“首席风控合规官”之前有过解读和介绍。不过,传统法务管理是由受雇于企业的人员构成职业群体组成的部门,对企业法律事务进行管理、对企业经营行为进行法律审查、预防法律风险、处理法律纠纷的活动。与之相比,合规管理应该是企业内部以复合型法务人才为主体,以总法律顾问为主导,实现全面法律风险防控、参与企业战略制定、融合日常经营管理、合规体系建设、全员法治思维的提升以及诉讼管理等系列活动的总称。
而且,合规管理,还要符合法律、法规、政策、制度、社会道德以及价值规范的约定。要从法律角度出发告诉企业“怎么做”“如何前瞻”“建立企业的长期目标”以及“避免法律责任包括刑事法律责任”。合规管理关乎企业的生死存亡,是提高企业的竞争力、促进企业的健康持续发展的内在需要。
以央企为例,今年5月,国资委副主任在"央企建设媒体通气会"上表示:央企已全部成立合规委员会,出台管理制度,完善工作机制,其中不少企业还探索构建法治框架下的法律、合规、风险、内控协同运作机制,着力打造"法律合规大风控"管理体系。
基于这样的方向,必须匹配高级别管理人员作为专职负责个人信息保护负责人,对个人信息保护的组织架构、制度构建和流程再造等予以规划和安排。
聚焦个人信息保护领域,要结合企业的业务领域,以个人信息保护的几大基本原则进行梳理,包括诚信原则、合理原则、比例原则和权益保障原则等,作为社会主体处理个人信息的最高价值观进行普及和培训,并为社会主体内部制度和流程再造提供基本指引。
大致包括这几环节:一是要建立社会主体自己的个人信息保护风险评估机制。二是积极采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限。三是制定并组织实施个人信息安全事件应急预案等。四是涉及到知情同意的复杂规则需要结合业务具体场景进行深入研究,并一揽子修改完善。五是对一般个人信息和敏感个人信息予以区分。对业务中所涉敏感个人信息,即一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息予以识别并予以标注,结合业务流程建立更为严格的保护路径和方式。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/69904.html