本文介绍了个人信息保护的法规背景,强调了建设企业或组织个人信息保护管理体系的重要性。提出了从识别监管要求、嵌入全流程的合规管理、前端工具合规评估、个人信息使用中的风险管控、建立安全事件处置机制和持续进行安全影响评估六个方面进行个人信息保护的实践方法。强调了技术辅助在合规过程中的关键作用,以及在设计、研发、发布和运营阶段的管理策略。
建设实践方法
(一)识别监管要求建立企业或组织合规体系
首先,企业或组织应充分理解监管要求。2021 年 11 月 1 日 起,《个人信息保护法》正式颁布实施,标志着我国个人信息保护 立法体系进入新的阶段。《个人信息保护法》的出台为个人信息权 益保护、信息处理者的义务以及主管机关的职权范围提供了全面 的、体系化的法律依据,涵盖个人信息收集、存储、使用、加工、 传输、提供、公开、删除等多个环节以及自动化决策、个人信息、 跨境提供等特定场景,与《民法典》《网络安全法
》《数据安全 法》等共同构成了我国个人信息保护的法律框架。5 月,国家网信 办等四部委联合制定的《常见类型移动互联网应用程序必要个人信 息范围规定》正式实施,明确 App不得强制收集非必要个人信息。 11 月,国家网信办会同相关部门研究起草的《网络数据安全管理条 例》公开征求意见,其中“个人信息保护”章节详细规定了知情同 意、最小必要、权利保障、生物特征信息等方面的要求,并明确提 出处理一百万人以上个人信息应视为重要数据处理者进行管理。
现有法律法规和标准规范已提出了较为系统全面的个人信息保 护要求。企业或组织处理个人信息的过程包括收集、存储、使用、 加工、传输、提供、公开、销毁等每个生命周期过程中充分考虑合 规制度的建设及落实。企业或组织收集个人信息的主要工具包
括 App、小程序、网站等,在构建这些收集工具的时候,应当在设计、开发、运维等阶段将合规活动嵌入进去,如 App强制要求用户打开 非必要权限问题、App超范围收集个人信息的问题、知情同意前收 集个人信息或频繁、误导收集个人信息等问题、隐私政策不合规问 题、收集敏感个人信息未进行明示问题、SDK越权收集问题等。企 业或组织需要对自身的个人信息保护成熟度和个人信息现状进行识 别,并在产品或服务功能设计阶段进行个人信息收集使用相关的合 规评审活动,并充分考虑到第三方 SDK准入审核要求,提升整体个 人信息保护工作落地的质量和有效性。
随着监管机构对合规问题越来越重视,未来会有更多的个人信 息处理服务会被纳入监管的检测、通报和下架的范围之中,如何在 业务持续不断开拓创新与为用户提供更好更安全更尊重的个人信息
保护体验之间,建立有力的可落地完备的个人信息保护管理体系是 当前合规的主要目标,通常,建设企业或组织的个人信息保护管理 体系首先应建立个人信息保护管理组织,组织由企业或组织高层管 理者牵头,安全团队、业务团队、法务合规团队共同组成。该组织 的工
最低0.47元/天 解锁文章
扫一扫
1442
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
