德勤：解讀《網(wǎng)絡(luò)安全法》的個人信息保護要求

眾所周知，具有里程碑意義的《中國人民共和國網(wǎng)絡(luò)安全法》于2016年11月6日由全國人大正式通過并將于2017年6月1日正式生效，作為國內(nèi)第一部系統(tǒng)性提出網(wǎng)絡(luò)空間治理的法律法規(guī)，特別加強和明確了個人信息保護方面的要求。這些要求不僅繼承現(xiàn)有法律法規(guī)的主要條款要求，例如2012年全國人大《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》、2014年全國人大《刑法修正案》、2015年工商總局《侵害消費者權(quán)益行為處罰辦法》等法律法規(guī)，而且還根據(jù)新形勢、新情況和新需求，增加新內(nèi)容。

德勤風(fēng)險咨詢部門信息技術(shù)風(fēng)險團隊認(rèn)為本次網(wǎng)絡(luò)安全法的出臺及其之前一系列國內(nèi)法律法規(guī)的勢必規(guī)范網(wǎng)絡(luò)運營者網(wǎng)絡(luò)空間內(nèi)搜集、處理、使用、傳輸個人信息的各類行為，將會遏制和打擊當(dāng)前存在的個人信息濫用及其衍生的詐騙等網(wǎng)絡(luò)犯罪活動，提升全社會個人信息保護的意識和管理水平，從而維護、保護網(wǎng)絡(luò)空間公民、法人和其他組織的合法權(quán)益。

A．網(wǎng)絡(luò)安全法對個人信息保護的要求

網(wǎng)絡(luò)安全法下的個人信息保護要求，德勤認(rèn)為有以下三個鮮明特點：

1. 明確履行個人信息保護的責(zé)任主體義務(wù)： 搜集、使用個人信息的網(wǎng)絡(luò)運營者包括網(wǎng)絡(luò)所有者、網(wǎng)絡(luò)管理者和網(wǎng)絡(luò)服務(wù)提供者就是個人信息保護的責(zé)任主體，并需要接受國家網(wǎng)信部門和有關(guān)監(jiān)管部門的監(jiān)督和管理；

2. 系統(tǒng)性定義個人信息保護的要求，并與國內(nèi)外最佳實踐接軌；德勤認(rèn)為本次網(wǎng)絡(luò)安全法與國際最佳實踐、其他國家在個人信息保護的法律法規(guī)保持了相當(dāng)高的一致性。我們對網(wǎng)絡(luò)安全法下個人信息保護要求與已被廣泛接受的2005年亞太經(jīng)合組織頒布的《APEC個人隱私保護框架》進行了比較，每個管理維度都有明確的應(yīng)對，具體如下表所示。3. 兼顧個人信息應(yīng)用方面的鼓勵創(chuàng)新和個人信息的合理保護：在當(dāng)今互聯(lián)網(wǎng)、大數(shù)據(jù)時代，各種數(shù)據(jù)包括個人數(shù)據(jù)需充分處理、共享、使用才能最大化發(fā)揮其商業(yè)價值。但個人信息又需要合理保護，如何合理平衡是網(wǎng)絡(luò)安全法立法時必須要考慮的問題。例如法規(guī)提出“未經(jīng)被搜集者同意，不得向他人提供個人信息，但是經(jīng)過處理無法識別特定個人且不能復(fù)原的除外”，最后說明的例外情況就是上述原則的體現(xiàn)。

B． 企業(yè)如何應(yīng)對網(wǎng)絡(luò)安全法的個人信息保護要求

德勤認(rèn)為企業(yè)需認(rèn)真評估和應(yīng)對網(wǎng)絡(luò)安全法在個人信息保護方面的上述要求，并采取積極、主動的措施應(yīng)對上述要求。我們建議企業(yè)采取如下四個步驟：

1. 計劃與信息搜集： 確認(rèn)企業(yè)是否屬于網(wǎng)絡(luò)安全法適用對象，是否屬于網(wǎng)絡(luò)運營者？確認(rèn)企業(yè)是否或即將搜集、使用、存儲公民的個人信息？確認(rèn)企業(yè)擁有的或者正在使用的信息系統(tǒng)是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施？如果是，建議企業(yè)先應(yīng)盡快盤點已搜集、使用、存儲的個人信息類型、個人信息對應(yīng)的容器和載體、內(nèi)部訪問、處理、分析、使用這些個人信息對應(yīng)的人員崗位、存儲這些個人信息的信息系統(tǒng)情況（例如系統(tǒng)后臺數(shù)據(jù)庫的物理位置等）、這些個人信息是否會被內(nèi)部人員或者系統(tǒng)后臺接口的方式披露、傳輸給外部第三方？

2. 差異分析和對標(biāo)：基于第一步信息搜集的結(jié)果，企業(yè)應(yīng)評估當(dāng)時業(yè)務(wù)操作與系統(tǒng)操作的現(xiàn)狀是否能滿足網(wǎng)絡(luò)安全法中的法規(guī)要求，如下表所示：3. 整改與行動：上一步差異分析的結(jié)果應(yīng)根據(jù)影響程度、整改成本等盡快明確整改策略、整改計劃與具體執(zhí)行方案，如果確實不能再2017年6月1日之前改善完成到位的企業(yè)應(yīng)考慮替代性程序或方法。

4. 持續(xù)改進：基于企業(yè)業(yè)務(wù)、管理、信息系統(tǒng)的不斷變化，其個人信息搜集、使用、存儲的范圍、生命周期的管理方式也隨之變化。因此企業(yè)不僅在2017年6月1日之前解決現(xiàn)有業(yè)務(wù)處理、信息系統(tǒng)中存在的不合規(guī)事項，更需要考慮建立一套可持續(xù)的、完整的個人信息保護管理框架。企業(yè)從治理層包括目標(biāo)戰(zhàn)略、治理組織；管理層包括崗位職責(zé)、個人信息保護流程、個人信息保護教育培訓(xùn)、個人信息保護評估與改進機制等維度完善企業(yè)個人信息保護的框架。從而不僅實現(xiàn)某個時間點上的合法合規(guī)（Make Clean），更要實現(xiàn)可持續(xù)性的合規(guī)合規(guī)（Stay Clean）并最終贏得企業(yè)消費者和客戶的認(rèn)可、信任和期望。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。