? ? 《個(gè)人信息安全規(guī)范》中明確各方負(fù)責(zé)人的領(lǐng)導(dǎo)責(zé)任智听,形成良好的管理體系和個(gè)人信息保護(hù)工作機(jī)構(gòu)唤衫,并確定各方的具體職責(zé)疙教。
明確責(zé)任部門與人員
? 對個(gè)人信息控制者的要求包括:
a) ?應(yīng)明確其法定代表人或主要負(fù)責(zé)人對個(gè)人信息安全負(fù)全面領(lǐng)導(dǎo)責(zé)任候引,包括為個(gè)人信息安全工作提供人力邓尤、財(cái)力权谁、物力保障等;
b) ?應(yīng)任命個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu);
c) ?滿足以下條件之一的組織剩檀,應(yīng)設(shè)立專職的個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu),負(fù)責(zé)個(gè)人信息安全工作:
????1) ?主要業(yè)務(wù)涉及個(gè)人信息處理旺芽,且從業(yè)人員規(guī)模大于200人;
????2) ?處理超過50萬人的個(gè)人信息沪猴,或在12個(gè)月內(nèi)預(yù)計(jì)處理超過50萬人的個(gè)人信息辐啄。
d) ?個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)應(yīng)履行的職責(zé)包括但不限于:
????1) ?全面統(tǒng)籌實(shí)施組織內(nèi)部的個(gè)人信息安全工作,對個(gè)人信息安全負(fù)直接責(zé)任;
????2) ?制定运嗜、簽發(fā)壶辜、實(shí)施、定期更新隱私政策和相關(guān)規(guī)程;
????3) ?應(yīng)建立担租、維護(hù)和更新組織所持有的個(gè)人信息清單(包括個(gè)人信息的類型砸民、數(shù)量、來源奋救、接收方等)和授權(quán)訪問策略;
????4) ?開展個(gè)人信息安全影響評估;
????5) ?組織開展個(gè)人信息安全培訓(xùn);
????6) 在產(chǎn)品或服務(wù)上線發(fā)布前進(jìn)行檢測岭参,避免未知的個(gè)人信息收集、使用尝艘、共享等處理行為;
????7) 進(jìn)行安全審計(jì)演侯。
????除管理制度之外,《個(gè)人信息安全規(guī)范》還制定了相應(yīng)的技術(shù)措施利耍,其中最主要的措施為要求個(gè)人信息控制者定期對個(gè)人信息安全影響進(jìn)行評估蚌本,建立自身的評估機(jī)制。
開展個(gè)人信息安全影響評估
對個(gè)人信息控制者的要求包括:
a) ?建立個(gè)人信息安全影響評估制度隘梨,定期(至少每年一次)開展個(gè)人信息安全影響評估;
b) ?個(gè)人信息安全影響評估應(yīng)主要評估處理活動遵循個(gè)人信息安全基本原則的情況,以及個(gè)人信息處理活動對個(gè)人信息主體合法權(quán)益的影響舷嗡,內(nèi)容包括但不限于:
????1) ?個(gè)人信息收集環(huán)節(jié)是否遵循目的明確轴猎、選擇同意、最少夠用等原則;
????2) ?個(gè)人信息處理是否可能對個(gè)人信息主體合法權(quán)益造成不利影響进萄,包括處理是否會危害人身和財(cái)產(chǎn)安全捻脖、損害個(gè)人名譽(yù)和身心健康、導(dǎo)致歧視性待遇等;
????3) ?個(gè)人信息安全措施的有效性;
????4) ?匿名化或去標(biāo)識化處理后的數(shù)據(jù)集重新識別出個(gè)人信息主體的風(fēng)險(xiǎn);
????5) ?共享中鼠、轉(zhuǎn)讓可婶、公開披露個(gè)人信息對個(gè)人信息主體合法權(quán)益可能產(chǎn)生的不利影響;
????6) ?如發(fā)生安全事件,對個(gè)人信息主體合法權(quán)益可能產(chǎn)生的不利影響援雇。
c) ?在法律法規(guī)有新的要求時(shí)矛渴,或在業(yè)務(wù)模式、信息系統(tǒng)惫搏、運(yùn)行環(huán)境發(fā)生重大變更時(shí)具温,或發(fā)生重大個(gè)人信息安全事件時(shí),應(yīng)重新進(jìn)行個(gè)人信息安全影響評估;
d) ?形成個(gè)人信息安全影響評估報(bào)告筐赔,并以此采取保護(hù)個(gè)人信息主體的措施铣猩,使風(fēng)險(xiǎn)降低到可接受的水平;
e) ?妥善留存?zhèn)€人信息安全影響評估報(bào)告,確避罘幔可供相關(guān)方查閱达皿,并以適宜的形式對外公開天吓。
????最后,個(gè)人信息控制者還應(yīng)建立適當(dāng)?shù)臄?shù)據(jù)安全能力峦椰,并定期對相關(guān)人員進(jìn)行管理培訓(xùn)失仁,對建立的相關(guān)隱私政策、規(guī)程们何、安全措施的有效性進(jìn)行審計(jì)萄焦,完善自動化審計(jì)系統(tǒng)并防止審計(jì)記錄的非授權(quán)訪問、篡改或者刪除冤竹,落實(shí)必要的管理和技術(shù)措施拂封,最大程度地防范個(gè)人信息的泄露、濫用等情況發(fā)生鹦蠕。
數(shù)據(jù)安全能力:個(gè)人信息控制者應(yīng)根據(jù)有關(guān)國家標(biāo)準(zhǔn)的要求冒签,建立適當(dāng)?shù)臄?shù)據(jù)安全能力,落實(shí)必要的管理和技術(shù)措施钟病,防止個(gè)人信息的泄漏萧恕、損毀、丟失肠阱。
人員管理與培訓(xùn)
對個(gè)人信息控制者的要求包括:
a) ?應(yīng)與從事個(gè)人信息處理崗位上的相關(guān)人員簽署保密協(xié)議票唆,對大量接觸個(gè)人敏感信息的人員進(jìn)行背景審查;
b) ?應(yīng)明確內(nèi)部涉及個(gè)人信息處理不同崗位的安全職責(zé),以及發(fā)生安全事件的處罰機(jī)制;
c) ?應(yīng)要求個(gè)人信息處理崗位上的相關(guān)人員在調(diào)離崗位或終止勞動合同時(shí)屹徘,繼續(xù)履行保密義務(wù);
d) ?應(yīng)明確可能訪問個(gè)人信息的外部服務(wù)人員應(yīng)遵守的個(gè)人信息安全要求走趋,與其簽署保密協(xié)議,并進(jìn)行監(jiān)督;
e) ?應(yīng)定期(至少每年一次)或在隱私政策發(fā)生重大變化時(shí)噪伊,對個(gè)人信息處理崗位上的相關(guān)人員開展個(gè)人信息安全專業(yè)化培訓(xùn)和考核簿煌,確保相關(guān)人員熟練掌握隱私政策和相關(guān)規(guī)程。
安全審計(jì)
對個(gè)人信息控制者的要求包括:
a) 應(yīng)對隱私政策和相關(guān)規(guī)程鉴吹,以及安全措施的有效性進(jìn)行審計(jì);
b) 應(yīng)建立自動化審計(jì)系統(tǒng)姨伟,監(jiān)測記錄個(gè)人信息處理活動;
c) 審計(jì)過程形成的記錄應(yīng)能對安全事件的處置、應(yīng)急響應(yīng)和事后調(diào)查提供支撐;d) 應(yīng)防止非授權(quán)訪問豆励、篡改或刪除審計(jì)記錄;
e) 應(yīng)及時(shí)處理審計(jì)過程中發(fā)現(xiàn)的個(gè)人信息違規(guī)使用夺荒、濫用等情況。
個(gè)人信息安全規(guī)范(二):數(shù)據(jù)生命周期--個(gè)人信息收集
個(gè)人信息安全規(guī)范(三):數(shù)據(jù)生命周期--個(gè)人信息存儲
個(gè)人信息安全規(guī)范(四):數(shù)據(jù)生命周期--個(gè)人信息使用
個(gè)人信息安全規(guī)范(五):數(shù)據(jù)生命周期--個(gè)人信息對外提供
