《个人信息安全规范》中明确各方负责人的领导责任,形成良好的管理体系和个人信息保护工作机构,并确定各方的具体职责。
明确责任部门与人员
对个人信息控制者的要求包括:
a) 应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
b) 应任命个人信息保护负责人和个人信息保护工作机构;
c) 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
1) 主要业务涉及个人信息处理,且从业人员规模大于200人;
2) 处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息。
d) 个人信息保护负责人和个人信息保护工作机构应履行的职责包括但不限于:
1) 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
2) 制定、签发、实施、定期更新隐私政策和相关规程;
3) 应建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
4) 开展个人信息安全影响评估;
5) 组织开展个人信息安全培训;
6) 在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
7) 进行安全审计。
除管理制度之外,《个人信息安全规范》还制定了相应的技术措施,其中最主要的措施为要求个人信息控制者定期对个人信息安全影响进行评估,建立自身的评估机制。
开展个人信息安全影响评估
对个人信息控制者的要求包括:
a) 建立个人信息安全影响评估制度,定期(至少每年一次)开展个人信息安全影响评估;
b) 个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于:
1) 个人信息收集环节是否遵循目的明确、选择同意、最少够用等原则;
2) 个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括处理是否会危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等;
3) 个人信息安全措施的有效性;
4) 匿名化或去标识化处理后的数据集重新识别出个人信息主体的风险;
5) 共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;
6) 如发生安全事件,对个人信息主体合法权益可能产生的不利影响。
c) 在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应重新进行个人信息安全影响评估;
d) 形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平;
e) 妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。
最后,个人信息控制者还应建立适当的数据安全能力,并定期对相关人员进行管理培训,对建立的相关隐私政策、规程、安全措施的有效性进行审计,完善自动化审计系统并防止审计记录的非授权访问、篡改或者删除,落实必要的管理和技术措施,最大程度地防范个人信息的泄露、滥用等情况发生。
数据安全能力:个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失。
人员管理与培训
对个人信息控制者的要求包括:
a) 应与从事个人信息处理岗位上的相关人员签署保密协议,对大量接触个人敏感信息的人员进行背景审查;
b) 应明确内部涉及个人信息处理不同岗位的安全职责,以及发生安全事件的处罚机制;
c) 应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务;
d) 应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,与其签署保密协议,并进行监督;
e) 应定期(至少每年一次)或在隐私政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握隐私政策和相关规程。
安全审计
对个人信息控制者的要求包括:
a) 应对隐私政策和相关规程,以及安全措施的有效性进行审计;
b) 应建立自动化审计系统,监测记录个人信息处理活动;
c) 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;d) 应防止非授权访问、篡改或删除审计记录;
e) 应及时处理审计过程中发现的个人信息违规使用、滥用等情况。
