作者：通力律师事务所   杨迅

《安全规范》全文将在本月底于国家标准化委员会网站公布。本文现根据已有信息摘要了值得企业注意的二十个要点。

1、约束力。《安全规范》虽然不是法律, 不具有直接法律约束力, 但在一定程度上是政府部门判断企业是否勤勉地履行《网络安全法》和其他法律下个人信息保护责任的判断标准。比如, “不符合《安全规范》精神”就是国家网信办近期约谈“支付宝”的依据之一。对企业而言, 《安全规范》仍是指导个人信息保护实践的依据。

2、责任人。《安全规范》要求企业高管, 如法定代表人或其它主要管理人员牵头管理信息安全。如果企业收集使用个人信息达一定规模的, 必须组成专门负责信息安全的机构。《安全规范》对信息安全责任人和机构的职责做出了规定。这就表明, 维护信息安全不仅仅是IT部门的责任, 企业未尽保护之责可能归咎于企业高管违反勤勉责任。

3、安全自审。《安全规范》要求企业开展每年一次的安全评估, 全面审查企业的个人信息保护实践、可能存在的风险和安全保护措施。企业的安全自审不仅能够实现防范风险, 还可以作为出现安全事故时企业的抗辩。

4、关键岗位管理。《安全规范》要求企业从人员管理角度保障接触和处理个人信息的关键岗位人员具有良好的安全保护素养、知识和能力, 如开展背景审查、培训以及与相关人员签订保密合同。

5、间接收集的同意。直接收集个人信息固然需要获得信息主体的知情同意。如果企业从第三方渠道间接收集, 也应当核实该第三方收集和转让个人信息的合法性。这就要求企业, 不仅仅要在合同上对信息转让人转让信息的合法性做出约束, 还要对信息的合法来源进行必要的尽职调查。

6、公开渠道收集的例外。《安全规范》第一次明确从合法公开渠道, 如新闻发布和政府公示, 收集个人信息的合法性, 为企业拓展了信息收集的渠道。但是《安全规范》并没有说明“公开合法渠道”的确切范围。

7、信息主体的知情。在寻求收集个人信息的同意时, 收集者应当向信息主体披露其个人信息保护政策, 包括收集的范围、目的和信息安全保护措施等。《安全规范》详细列举了要求政策必须具备的内容、撰写规范和发布方式。尤其值得企业注意的是, 该政策一方面必须详尽地说明必须披露的内容, 另一方面必须以摘要提示等方式保证其明确、易读和足以引起信息主体注意。

8、去标识化信息的隔离。《安全规范》对企业控制的个人信息的储存提出了一系列要求, 尤其是, 对于去个人标识的信息应当与个人标识采取物理、技术和管理上的隔离, 避免重新标识化。

9、停止运营。《安全规范》要求, 企业停止运营有关产品和服务的, 应当通知信息主体, 并且删除为该产品和服务收集的个人信息, 不应擅自挪作他用。

10、使用方式。《安全规范》要求在使用个人信息过程中应尽可能少地披露个人信息。尤其是, 如果不需要了解个人识别信息的, 应当在提供企业内部或外部使用时进行去识别化处理。

11、注销账户和撤销同意。《安全规范》要求信息主体有注销账户和撤销同意的权利, 信息控制者必须提供注销账户和撤销同意的途径。这就增加了使用个人信息的企业的管理责任。

12、免费提供副本。《安全规范》赋予信息主体要求信息控制者提供其掌握的个人信息的副本的权利, 而信息控制者原则上应当免费提供。这对企业而言, 将是一项行政负担, 但是如果有合理理由, 经过公示说明, 也可以制定合理的收费标准。

13、自动决策的申诉方法。《安全规范》要求, 如果企业根据所获得的个人信息做出自动的决策, 如信用评定, 必须给予信息主体提出申诉的渠道。

14、共享方的安全审查。《安全规范》对信息控制者转让信息提出一系列合同和管理上的责任。企业不仅要在合同上约束共享方使用个人信息的行为, 还要在披露之前审查共享方的安全保护能力。

15、敏感信息的披露。对于敏感信息的披露和共享, 《安全规范》要求知会信息主体该等披露和共享以及信息共享方的安全保护能力。这就要求, 企业在信息收集阶段对敏感信息的披露有所预见, 并且能够兼顾灵活性和明确性地对信息共享方做出描述。

16、收购兼并时的信息转让。《安全规范》要求企业发生收购兼并时, 继受相关业务的企业对与该业务有关的个人信息负责, 并且承担信息主体表达同意时的信息安全责任。但是, 《安全规范》没有明确收购兼并是个人信息发生转让的, 是否需要信息主体同意。这就要求作为转让方企业, 在信息收集时考虑今后可能的业务出售, 也要求收购方企业, 在尽职调查中, 考虑所收购业务相关的个人信息保护水准。

17、共同控制者。对于共同收集和控制个人信息的企业(如电子商务平台和入驻商户)应当约定双方保护信息安全的义务和责任划分。这就要求在相关业务协议(如平台入驻协议)中加入关于个人信息安全保护的内容。

18、安全预案。《安全规范》要求信息控制者针对可能的信息安全事件制定预案, 并根据预案开展每年至少一次演练。该预案和演练不仅可以防范安全风险, 并且在一定程度上证明了企业对信息安全履行勤勉义务。

19、危机处理及其记录。《安全规范》要求企业按照安全预案处理安全事件, 并且真是妥善记录处理过程。该记录可能成为日后判断企业责任的重要依据。

20、及时通知相关当事人。当发生信息安全事件时, 信息控制者应当及时将事件和处理进展通报给受影响的信息主体。这要求企业, 在通报时, 把握通报内容的充分性避免过度揣摩、维护公众信心和企业形象以及避免“自证其罪”之间的平衡。

作者简介：

长按下图识别二维码关注我们

© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。

▼ 更多信息及专业文章，请点击下方“阅读原文”。