德勤:解讀《網(wǎng)絡(luò)安全法》的個人信息保護(hù)要求

眾所周知,具有里程碑意義的《中國人民共和國網(wǎng)絡(luò)安全法》于2016年11月6日由全國人大正式通過并將于2017年6月1日正式生效,作為國內(nèi)第一部系統(tǒng)性提出網(wǎng)絡(luò)空間治理的法律法規(guī),特別加強(qiáng)和明確了個人信息保護(hù)方面的要求。這些要求不僅繼承現(xiàn)有法律法規(guī)的主要條款要求,例如2012年全國人大《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、2014年全國人大《刑法修正案》、2015年工商總局《侵害消費(fèi)者權(quán)益行為處罰辦法》等法律法規(guī),而且還根據(jù)新形勢、新情況和新需求,增加新內(nèi)容。

德勤風(fēng)險咨詢部門信息技術(shù)風(fēng)險團(tuán)隊認(rèn)為本次網(wǎng)絡(luò)安全法的出臺及其之前一系列國內(nèi)法律法規(guī)的勢必規(guī)范網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)空間內(nèi)搜集、處理、使用、傳輸個人信息的各類行為,將會遏制和打擊當(dāng)前存在的個人信息濫用及其衍生的詐騙等網(wǎng)絡(luò)犯罪活動,提升全社會個人信息保護(hù)的意識和管理水平,從而維護(hù)、保護(hù)網(wǎng)絡(luò)空間公民、法人和其他組織的合法權(quán)益。

A.網(wǎng)絡(luò)安全法對個人信息保護(hù)的要求

網(wǎng)絡(luò)安全法下的個人信息保護(hù)要求,德勤認(rèn)為有以下三個鮮明特點(diǎn):

1. 明確履行個人信息保護(hù)的責(zé)任主體義務(wù): 搜集、使用個人信息的網(wǎng)絡(luò)運(yùn)營者包括網(wǎng)絡(luò)所有者、網(wǎng)絡(luò)管理者和網(wǎng)絡(luò)服務(wù)提供者就是個人信息保護(hù)的責(zé)任主體,并需要接受國家網(wǎng)信部門和有關(guān)監(jiān)管部門的監(jiān)督和管理;

2. 系統(tǒng)性定義個人信息保護(hù)的要求,并與國內(nèi)外最佳實(shí)踐接軌;德勤認(rèn)為本次網(wǎng)絡(luò)安全法與國際最佳實(shí)踐、其他國家在個人信息保護(hù)的法律法規(guī)保持了相當(dāng)高的一致性。我們對網(wǎng)絡(luò)安全法下個人信息保護(hù)要求與已被廣泛接受的2005年亞太經(jīng)合組織頒布的《APEC個人隱私保護(hù)框架》進(jìn)行了比較,每個管理維度都有明確的應(yīng)對,具體如下表所示。3. 兼顧個人信息應(yīng)用方面的鼓勵創(chuàng)新和個人信息的合理保護(hù):在當(dāng)今互聯(lián)網(wǎng)、大數(shù)據(jù)時代,各種數(shù)據(jù)包括個人數(shù)據(jù)需充分處理、共享、使用才能最大化發(fā)揮其商業(yè)價值。但個人信息又需要合理保護(hù),如何合理平衡是網(wǎng)絡(luò)安全法立法時必須要考慮的問題。例如法規(guī)提出“未經(jīng)被搜集者同意,不得向他人提供個人信息,但是經(jīng)過處理無法識別特定個人且不能復(fù)原的除外”,最后說明的例外情況就是上述原則的體現(xiàn)。

B. 企業(yè)如何應(yīng)對網(wǎng)絡(luò)安全法的個人信息保護(hù)要求

德勤認(rèn)為企業(yè)需認(rèn)真評估和應(yīng)對網(wǎng)絡(luò)安全法在個人信息保護(hù)方面的上述要求,并采取積極、主動的措施應(yīng)對上述要求。我們建議企業(yè)采取如下四個步驟:

1. 計劃與信息搜集: 確認(rèn)企業(yè)是否屬于網(wǎng)絡(luò)安全法適用對象,是否屬于網(wǎng)絡(luò)運(yùn)營者?確認(rèn)企業(yè)是否或即將搜集、使用、存儲公民的個人信息?確認(rèn)企業(yè)擁有的或者正在使用的信息系統(tǒng)是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施?如果是,建議企業(yè)先應(yīng)盡快盤點(diǎn)已搜集、使用、存儲的個人信息類型、個人信息對應(yīng)的容器和載體、內(nèi)部訪問、處理、分析、使用這些個人信息對應(yīng)的人員崗位、存儲這些個人信息的信息系統(tǒng)情況(例如系統(tǒng)后臺數(shù)據(jù)庫的物理位置等)、這些個人信息是否會被內(nèi)部人員或者系統(tǒng)后臺接口的方式披露、傳輸給外部第三方?

2. 差異分析和對標(biāo):基于第一步信息搜集的結(jié)果,企業(yè)應(yīng)評估當(dāng)時業(yè)務(wù)操作與系統(tǒng)操作的現(xiàn)狀是否能滿足網(wǎng)絡(luò)安全法中的法規(guī)要求,如下表所示:3. 整改與行動:上一步差異分析的結(jié)果應(yīng)根據(jù)影響程度、整改成本等盡快明確整改策略、整改計劃與具體執(zhí)行方案,如果確實(shí)不能再2017年6月1日之前改善完成到位的企業(yè)應(yīng)考慮替代性程序或方法。

4. 持續(xù)改進(jìn):基于企業(yè)業(yè)務(wù)、管理、信息系統(tǒng)的不斷變化,其個人信息搜集、使用、存儲的范圍、生命周期的管理方式也隨之變化。因此企業(yè)不僅在2017年6月1日之前解決現(xiàn)有業(yè)務(wù)處理、信息系統(tǒng)中存在的不合規(guī)事項(xiàng),更需要考慮建立一套可持續(xù)的、完整的個人信息保護(hù)管理框架。企業(yè)從治理層包括目標(biāo)戰(zhàn)略、治理組織;管理層包括崗位職責(zé)、個人信息保護(hù)流程、個人信息保護(hù)教育培訓(xùn)、個人信息保護(hù)評估與改進(jìn)機(jī)制等維度完善企業(yè)個人信息保護(hù)的框架。從而不僅實(shí)現(xiàn)某個時間點(diǎn)上的合法合規(guī)(Make Clean),更要實(shí)現(xiàn)可持續(xù)性的合規(guī)合規(guī)(Stay Clean)并最終贏得企業(yè)消費(fèi)者和客戶的認(rèn)可、信任和期望。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2017-05-31
德勤:解讀《網(wǎng)絡(luò)安全法》的個人信息保護(hù)要求
《中國人民共和國網(wǎng)絡(luò)安全法》將于2017年6月1日正式生效,作為國內(nèi)第一部系統(tǒng)性提出網(wǎng)絡(luò)空間治理的法律法規(guī),特別加強(qiáng)和明確了個人信息保護(hù)方面的要求。

長按掃碼 閱讀全文