第九部分:個人信息處理者的主要義務
個人信息處理者的主要義務,從企業的角度來看,可以扼要理解為,組織在處理個人信息時候,需要根據適用的數據保護法律的要求,提供和制定各項內部與外部的個人信息保護與管理制度,以及安全技術保障措施,以便更好地遵守數據保護法律的規定,這也是各個企業在數據合規工作中特別重要的部分。
(一)我國個人信息保護法解讀:
本次個保法在第五章中比較系統地規定了個人信息處理者的基本法律義務,從組織保障、制度建設、以及安全技術措施等角度,為企業在個人信息處理的實操中,提供了更為清晰的、確定性的義務性要求與規范。在本系列文章中前面第六至第八部分的篇章中,也提及了一些關于個人信息處理者的義務要求,例如事前的數據影響與風險評估要求、發生安全事件時的數據泄露通知、以及設立個人信息保護負責人的要求等。
在下面的內容中,我們將從企業合規的角度,為企業扼要梳理其作為個人信息處理者需要遵守的我國個保法規定的基本義務:
1. 制定企業內部的管理制度和操作規程
我國個保法要求企業應當制定屬于企業內部的個人信息保護與管理制度與操作規程。關于個人信息的合規制度體系的搭建,可以龐大而復雜,也可以麻雀雖小但五臟俱全。
因此,企業應當結合自身的業務發展情況,特別是業務開展過程中所涉及到的個人信息處理活動的具體情況,將個人信息保護的基本要求嵌入到業務流程中去,以制定出一套適合公司特有業務場景的內部管理制度,并通過執行性強的操作程序,進一步清晰地明確和落實個人信息全生命周期中的各個合規細節和要求,以實現通過制度和管理達到有效保障個人信息安全的目的。
2. 建立個人信息分級、分類的管理制度
確保個人信息的安全角度考慮,我國個保法要求企業對個人信息進行分級、分類的管理,這是企業進行個人信息安全風險防范與管理的技術方案之一。
我國《網絡安全法》要求網絡運營者應當采取數據分類、重要數據備份和加密等措施;《數據安全法》也以立法的形式確認了國家通過建立數據分類分級制度來實現對數據的保護。
因此,企業應當結合不同的業務場景和數據本身的屬性,就所收集到的個人信息制定個人信息的分級分類目錄、技術標準,并采取對應的安全管理措施。
3. 建立數據安全制度并采取安全技術措施
同樣也是從技術安全的角度著手,我國個保法要求企業采取相應的加密、去標識化等安全技術措施。在35273-2020規范中,也要求企業在傳輸和存儲個人敏感信息時,應采用加密等安全措施的要求;以及提出了要求企業在收集個人信息后,應立即進行去標識化處理的建議。
因此,一方面,企業需要根據其所處理的個人信息的屬性、種類、敏感程度等特征,采取不同級別的加密措施,特別是涉及敏感信息的處理時候,應采用符合國家標準的密碼管理技術;另一方面,在涉及需要通過界面進行個人信息展示的時候,或其他需要進行對外轉讓、披露的情況下,企業應該根據個人信息的性質,采取去標識化處理、匿名化處理的技術措施,以達到可以有效降低個人信息泄露風險的目的。與此同時,企業應當注意將不同類別的敏感信息進行分開存儲,例如,企業需要將可用于恢復識別個人的信息,與去標識化后的信息進行分開存儲;將個人生物識別信息應與個人身份信息分開存儲等。
4. 建立個人信息權限管理、安全教育與培訓制度
企業在進行個人信息保護工作的過程中,如何對內部人員進行有效的管理,特別是對大量處理和接觸用戶個人信息的人員,是合規工作中非常重要的一環。我國個保法要求企業通過設立權限管理制度,合理確定內部人員對個人信息處理的操作權限,并定期對從業人員進行安全教育和個人信息合規培訓。
因此,企業應當對個人信息,特別是個人敏感信息的控制(如個人信息的訪問、查看、修改、刪除、復制、銷毀等操作行為),建立合理、有效的個人信息權限管理制度。例如:
(1)按照業務流程的需求作為授權操作的觸發條件;
(2)對被授權訪問個人信息的人員,建立最小授權的訪問控制策略(使其只能訪問職責所需的最小必要的個人信息);
(3)對個人信息的重要操作設置內部審批流程;
(4)對大量接觸個人敏感信息的從業人員進行背景審查,簽署保密協議;(5)對企業內部員工進行定期進行安全教育和個人信息合規培訓,幫助員工,特別是從事個人信息處理崗位的相關人員熟悉,個人信息保護工作的處理原則和合法、合規地處理用戶個人信息的方式。
5. 制定并落實個人信息安全事件應急機制
我國個保法規定,企業應當制定、并組織實施個人信息安全事件的應急預案,在安全事件發生后,企業應當根據應急預案采取如下措施,包括:
01
對個人信息安全事件進行記錄;
02
對個人信息安全事件可能造成的影響進行評估;
03
采取及時、必要、有效的措施對個人信息安全事件可能造成的影響進行有效的控制、及時止損;
04
根據《國家網絡安全事件應急預案》等相關規定,對個人信息安全事件及時上報給監管部門等。
在日常的企業經營中,企業也應注意對個人信息安全事件和應急預案進行演練,以保證在發生類似事件時候可以及時進行響應和處理。
另外,關于個保法規定,當發生個人信息泄露事件后,企業應當履行個人信息泄露的通知和補救義務。關于此點,具體請見本系列文章的第七部分:#7 發生安全事件時數據泄露通知的要求
6. 任命個人信息保護負責人
關于此點,具體請見本系列文章的第八部分:#8 數據保護官(DPO/個人信息保護負責人)任命要求
7. 定期進行合規審計
我國個保法對個人信息的處理活動和合規保護工作提出了定期開展合規審計的要求。因此,為了保證個人信息處理活動的持續合規性,企業應當建立定期的合規審計制度,并重點對個人信息處理活動、個人信息保護政策、個人信息保護的管理制度與操作規程、技術安全措施等部分,進行有效的合規審計。
8. 進行事前風險評估與建立數據影響評估制度
關于此點,具體請見本系列文章的第六部分:#6 數據影響評估(DPIA/PIA)要求。
9. 關于“守門人規則”
我國個保法就“提供基礎型互聯網平臺服務、用戶量巨大、業務復雜的重要互聯網企業”提出了特殊的合規義務。這主要是因為平臺型企業涉及到多種類型的個人信息處理者主體,且涉及了大量的用戶個人信息的處理,因此,個保法對此類重要的互聯網平臺企業,賦予了要求其對平臺內的產品或服務提供者進行管理的法律義務,俗稱“守門人規則”。
因此,對于涉及大量用戶個人信息處理的頭部互聯網平臺企業,應特別注意:
01
建立健全個人信息保護合規制度體系,成立獨立機構對個人信息保護情況進行監督,且該獨立機構需要由例如獨立董事、外部咨詢機構、獨立律所專業人員、外聘專家等外部獨立人士組成。
02
遵循公開、公平、公正的原則,制定合理的平臺規則,對平臺內的產品或服務提供者關于“處理個人信息的規范”和“保護個人信息的義務”進行明確。例如,要求平臺內的服務提供者配備獨立的隱私政策、提供足夠的安全技術保護措施等。
03
發現平臺內的產品或服務提供者出現嚴重違反法律、法規去處理個人信息的情況時,應對其采取必要的處罰措施、并停止為其提供服務。
04
定期發布個人信息保護社會責任報告,接受社會監督。
10. 法律、行政法規規定的其他措施
最后,個保法采取了兜底條款,以向企業明確,企業還需要遵守除個保法以外的其他相關法律、行政法規的規定,以應對未來個人信息合規法律體系構建過程中可能出現的各類新情況、新要求。
(二) 海外主要個人信息保護法律對比:
鑒于,在不同國家和地區的數據保護法律中,個人信息處理者需要遵守的法律義務均有非常具體、細致的規定,對于特殊的情況或場景也可能會有特別的規定,且一些國家和地區的數據保護法律中,會對個人信息控制者與處理者(controller)的角色、責任和義務進行區分,考慮到本問題的復雜性及本文的篇幅問題,我們在下面的表格中,僅就企業在個人信息處理活動中,需要注意的部分基礎義務進行扼要列示。
總體來說
大部分國家和地區的數據保護法律中,都會對個人信息處理者的基礎法律義務進行比較充分、全面的規定,并根據其自身的的特殊國情,提供對應的特別規定。對于出海企業而言,充分了解和認識適用國家的個人信息保護法律中關于個人信息處理者的基礎義務和責任,是企業在個人信息處理活動中掌握合規要點的關鍵。
