一、个人隐私保护体系建设背景
随着欧盟《通用数据保护条例》(“GDPR”)于2018年5月25日正式生效,我国政府也紧跟立法潮流,于2019年出具了多部网络安全相关法规的征求意见稿。无论是GDPR还是我国隐私保护相关的立法,都有以下两方面的特征:一、极大增加企业合规成本。隐私法规都在以下几方面要求企业承担合规义务:保障用户权利及实现机制、维护信息网络安全、信息安全评估和审计、记录数据活动、符合数据跨境传输要求等。这些新增的义务无疑给企业增加巨大的合规成本和合规难度;二、企业对法律的适用有较大的自由空间。不管是GDPR还是我国法律,很多时候都提出了一个具体的要求,而企业满足该要求的手段是可以自由裁量的。例如《信息安全技术个人信息安全规范》征求意见稿中第6.2条要求企业将信息分开储存,至于采用何种技术手段和管理措施,则可根据企业自身的技术水平和内部结构而进行调整。同样,在GDPR第38(1)中对数据保护官(“DPO”)提出的要求是“在所有与个人数据保护相关的事项中,以一种恰当和及时的方式介入”。而至于DPO与公司内部各部门的合作紧密程度、权责分配等内容可由企业根据自身情形进行个性化设计。
二、隐私保护法的建设需要
面对气势汹汹的国内外隐私保护立法,企业亟需在一种充满不确定性的,动态的司法环境中作出调整。考虑到目前我国隐私保护立法还在不断完善的过程,且GDPR各监管机构也仍需给出更多的处罚案例以明确其执法标准,建议企业首先建立一套初步的个人隐私保护体系,以此为基础再去逐步追求国内外隐私相关法律法规的要求。因此,笔者在此初探企业的个人隐私保护体系的建设,从以下几个方面展开论述,以期为企业初步构建一个合规框架,供读者参考:
一、明确合规的目的
二、公司内部结构的建立与完善
三、建立公司内部隐私保护制度与流程
四、实施公司内部个人隐私保护体系工作