本文旨在梳理制造业企业在运营过程中需遵循的个人信息保护法律规范,建立个人信息保护体系的框架,以及应采用的相关技术。后续专栏将对具体的法律、规范和体系技术进行逐一解读。
一.制造业企业主要需遵守的个人信息保护法律/规范
1.法律
1.1 中华人民共和国民法典 第六章 隐私权和个人信息保护
1.2 中华人民共和国个人信息保护法
1.3 中华人民共和国网络安全法 第四章
2. 国家标准
2.1 GB/T 35273 信息安全技术 个人信息安全规范
2.2 GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南
2.3 GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南
2.4 网信办个人信息保护合规审计管理办法
2.5 公共安全视频图像信息系统管理条例(中华人民共和国国务院令 第799号)
3. 个人信息出境相关规范
3.1 数据出境安全评估申报指南
3.2 个人信息出境标准合同备案指南
3.3 促进和规范数据跨境流动规定(网信办第16号令)
4. 欧盟地区法规规范(数据出境欧盟地区相关)
4.1 通用数据保护条例
(General Data Protection Regulation, GDPR)
4.2 关于通过视频设备处理个人数据的指南
(Guidelines 3/2019)
4.3 ISO 27701
个人信息管理体系(PIMS)
二.制造业企业内部需建立的个人信息保护体系
1.个人信息保护方针
企业应根据上一章节列举的法律和规范,结合自身实际情况,制定个人信息保护方针。该方针需由高层管理团队签署并公示,明确企业对个人信息管理措施和承诺。
2.个人信息收集规范
2.1 个人信息收集流程
2.1.1 个人信息收集审批流程
2.1.2 个人信息收集确认函(员工/访客/再次征得单独同意情况)
3.个人信息存储规范
3.1 个人信息存储流程
3.1.1 个人信息资产清单
3.1.2 个人信息数据流向图(Data Mapping)
3.2 个人信息备份流程
3.3 非电子记录个人信息存储流程
3.3.1 非电子记录个人信息资产清单
4.个人信息使用规范
4.1 个人信息使用流程
4.1.1 个人信息使用审批流程
4.1.2 个人信息访问权限管理流程
4.1.3 闭路电视系统使用规范
4.2 公司内部个人信息处理者培训流程
4.2.1 公司内部个人信息处理者保密协议(NDA)
5.个人信息传输 & 提供规范
5.1 个人信息传输&提供流程
5.1.1 接收方个人信息安全影响评估流程
5.1.2 个人信息处理权转让/保密协议
5.1.3 接收方个人信息处理活动监督审计流程
5.2 个人信息跨境传输&提供流程
5.2.1 境外接收方个人信息安全影响评估流程
5.2.2 个人信息出境申报流程
5.2.3 境外接收方个人信息处理活动监督审计流程
5.3 个人信息传输&提供用户告知流程
6.个人信息删除/更正规范
6.1 个人信息删除/撤回流程
6.2 个人信息查询更正流程
6.2.1 个人信息查询流程
6.2.2 个人信息主体获取个人信息副本流程
7.个人信息安全管理规范
7.1 个人信息安全事件应急处置流程
7.1.1 个人信息事件投诉受理流程
7.2 个人信息保护影响评估(PIA)流程
7.3 个人信息保护合规审计流程
三.制造业企业应使用的个人信息保护技术
1. 服务器端技术
1.1 访问审计技术
针对个人信息服务器的访问进行审计。
1.2 存储加密技术
适用于个人信息服务器和人脸指纹设备及其服务器。
1.3 本地化备份技术
针对非豁免敏感个人信息进行本地化备份和异地容灾。
2. 网络端技术
2.1 网络隔离
针对个人信息保护服务器及人脸指纹设备及其服务器实施网络隔离。
2.2 传输加密技术
确保客户端到个人信息保护服务器及人脸指纹设备到其服务器的数据传输安全。
3. 客户端技术
3.1 个人信息泄露预防技术(DLP)
应用客户端数据丢失防护技术,防止个人信息泄露。
版权声明:本文为本人原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25094037/article/details/147198093
扫一扫
1166
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
