個(gè)人信息保護�,企業(yè)如何做好合規管理���?
發(fā)布時(shí)間:2021-11-05
來(lái)源:人民郵電報
《個(gè)人信息保護法》于2021年11月1日起正式施行����,作為個(gè)人信息保護領(lǐng)域的基本法�����,其全面規定了企業(yè)等個(gè)人信息處理者的義務(wù)及責任����,并在三處明確提出合規要求�。隨著(zhù)《個(gè)人信息保護法》的出臺與實(shí)施�����,其與《數據安全法》《網(wǎng)絡(luò )安全法》《刑法》中相關(guān)條款共同構成公法視角下的個(gè)人信息保護法律體系��。一方面���,面對強制合規義務(wù)及責任��,企業(yè)應當建立合規管理體系�����,以履行處理個(gè)人信息的法定義務(wù)�����,避免因違法處理個(gè)人信息而受到處罰�。另一方面����,與強制合規并存的合規激勵機制��,如合規爭取寬大行政或刑事處理���,則使企業(yè)主動(dòng)建立健全個(gè)人信息保護合規體系��。
為貫徹落實(shí)相關(guān)要求�����,規范相關(guān)行為���,提高相關(guān)企業(yè)的合規意識和水平�,相關(guān)部門(mén)在企業(yè)境外經(jīng)營(yíng)�����、金融���、反壟斷等領(lǐng)域編制了相關(guān)管理指引���,如國家發(fā)改委等七部委印發(fā)《企業(yè)境外經(jīng)營(yíng)合規管理指引》���,為企業(yè)在具體領(lǐng)域的合規工作提供指引和參考��。借鑒這些領(lǐng)域合規實(shí)踐��,根據《個(gè)人信息保護法》《數據安全法》《網(wǎng)絡(luò )安全法》及《刑法》�����,制定“個(gè)人信息保護合規指引”���,具體內容包括以下八個(gè)方面�����。
擬定規章制度�。根據個(gè)人信息保護的法律法規變化和監管動(dòng)態(tài)���,建立健全并不斷更新個(gè)人信息保護合規管理制度����,闡明個(gè)人信息保護合規目的與內涵��,明確處理個(gè)人信息的行為規范及違規后果���,將外部有關(guān)合規要求轉化為內部規章制度�����。一是形成個(gè)人信息安全管理基礎性制度��。二是在個(gè)人信息收集���、存儲�、使用�����、加工����、傳輸�、提供�、公開(kāi)����、刪除等各個(gè)處理環(huán)節履行個(gè)人信息保護的義務(wù)�����。三是明確違規行為的內部處理流程和責任承擔方式���,簽署承諾性書(shū)面聲明���,企業(yè)員工違規按既定方式處理��。
建立組織機構����。設立個(gè)人信息保護內部合規機制的組織機構�����,明確個(gè)人信息保護合規主管部門(mén)���、負責人及職責���。合規部門(mén)負責具體起草本企業(yè)個(gè)人信息保護合規管理計劃和管理制度�����;組織開(kāi)展或者參與個(gè)人信息保護合規審計�����、檢查與考核等相關(guān)工作��,及時(shí)發(fā)現薄弱環(huán)節�����,督促違規整改和持續改進(jìn)�����;落實(shí)本企業(yè)個(gè)人信息保護合規宣傳計劃�����,定期和不定期組織或協(xié)助人事部門(mén)�、業(yè)務(wù)部門(mén)開(kāi)展合規培訓����、宣傳等工作����;指導各業(yè)務(wù)單位做好個(gè)人信息保護合規����,為各業(yè)務(wù)單位提供合規咨詢(xún)和支持��;就個(gè)人信息保護合規舉報進(jìn)行登記和受理�����,并對舉報進(jìn)行調查和審核��,判斷是否存在違規行為并提出處理建議����。
開(kāi)展教育培訓��。組織開(kāi)展個(gè)人信息安全教育培訓����,定期對從業(yè)人員進(jìn)行教育和培訓����。一是培訓內容�。明確個(gè)人信息保護的概念與重要意義�、本企業(yè)合規政策和相關(guān)管理辦法�、員工自身的個(gè)人信息保護合規職責�、違規相關(guān)風(fēng)險等����。二是培訓實(shí)效��。通過(guò)不定期抽查或現場(chǎng)考試等形式加大培訓督查力度���,并納入員工年度考核內容�,保留培訓及考核記錄�����。
建設合規文化�����。建設個(gè)人信息保護合規文化����,將合規文化融入企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)��,形成全員認可的合規文化理念����。對內暢通溝通渠道���,員工可就合規問(wèn)題進(jìn)行咨詢(xún)或發(fā)表意見(jiàn)并形成反饋機制���;對外宣傳合規文化���,展示企業(yè)合規形象�����,為企業(yè)發(fā)展營(yíng)造良好的合規輿論及監管環(huán)境�。
進(jìn)行影響評估��。在處理敏感個(gè)人信息����,利用個(gè)人信息進(jìn)行自動(dòng)化決策�����,委托處理個(gè)人信息�、向其他個(gè)人信息處理者提供個(gè)人信息����、公開(kāi)個(gè)人信息���,向境外提供個(gè)人信息時(shí)��,進(jìn)行個(gè)人信息影響評估��。評估內容包括個(gè)人信息處理目的��、處理方式等是否合法����、正當����、必要��,對個(gè)人權益的影響及安全風(fēng)險�,所采取的保護措施是否合法����、有效并與風(fēng)險程度相適應����。評估基本方法有訪(fǎng)談��、檢查���、測試等���。評估報告和處理情況記錄應當至少保存三年���。
加強風(fēng)險監測����。從人員���、流程��、技術(shù)等安全要素出發(fā)�����,加強風(fēng)險監測���。人員方面���,組建一支專(zhuān)業(yè)的協(xié)同團隊��,消除安全風(fēng)險�����,避免安全事件����;流程方面����,形成良好的管理流程��,確保人員發(fā)揮作用��、監測措施能夠落地�����;技術(shù)方面����,完善監測技術(shù)體系�����,不斷優(yōu)化升級新型技術(shù)工具�。
制定應急措施���。制定并組織實(shí)施個(gè)人信息安全事件應急機制�。一是采取補救措施�����。評估事件帶來(lái)的影響和損害����,抑制事件的影響進(jìn)一步擴大�����,并恢復數據與服務(wù)�。二是通知相關(guān)部門(mén)和個(gè)人�。通知應當包括個(gè)人信息泄露�、篡改��、丟失的信息種類(lèi)�、原因和可能造成的危害���,采取的補救措施和個(gè)人可以采取的減輕危害的措施��,個(gè)人信息處理者的聯(lián)系方式�����。
定期合規審計�。對個(gè)人信息保護合規機制的合理性�����、可行性�����、有效性等進(jìn)行審計���,評估具體流程合規操作的規范性���。由企業(yè)自發(fā)進(jìn)行的定期審計�,可以由企業(yè)內部專(zhuān)人進(jìn)行��,也可以聘請外部第三方機構進(jìn)行����;由個(gè)人信息保護職責部門(mén)要求進(jìn)行的外部審計��,適用于企業(yè)在處理個(gè)人信息時(shí)面臨較大風(fēng)險或者發(fā)生個(gè)人信息安全事件�。審計完成后形成審計報告�,總結內部合規機制運行狀況以及提出整改方向�����。
編輯:薛姣
