最好的調研方式是委託第三方專門做數據研究的公司,因為現在有很多公司專門做一些免費的工具給人使用,然後獲取數據,然後再賣數據做分享。
還有一種跨境電商比較好的調研方式就是找一些行業相關性較強的網站,查看他們的博客之類的,裡面會有很多關於跨境電商的信息,木瓜營銷學院就有很多跨境電商調研報告,而且都是截至2016年的數據:
跨境電商如何通過facebook拓展國際市場
2、美國跨境電商需要了解哪些法律法規
雖然我國跨境電子商務形勢很好,但尚處於初級階段,還存在問題。有學者指出制約我國跨境電子商務發展的的主要問題:一是法律體系亟需建立;二是信用評價和標識需統一;三是在線支付須安全;四是物流短板;五是品牌化瓶頸;六是其它,如稅收等。解決問題的關鍵是建立相關法律體系。在缺乏相應法律法規以及相關政策的情況下,更容易使其他問題惡化,從而不利於我國跨境電子商務的發展。推動我國跨境電子商務迅猛發展的主力軍是企業,此外還有個人從業者以及發揮著重要作用的網路平台。作為跨境電子商務主要參與者的企業,也存在著諸多問題,包括:人才的匱乏、信用缺失、質量問題等。跨境電商網路平台也有著問題。第一,信用問題。第二,跨境稅收的問題。第三,第三方支付不便,成為跨境電商平台進一步做大做強的一大障礙。而境外電子商務的法律風險較之於國內的法律風險而言,可能涉及到不同的法律領域。由於我國境外電子商務的發展經驗比較的少,法律法規建設還不夠完善,因此,產生了一系列的風險問題。 (一)隱私風險
由於用戶在進行商務交易的過程中,大多數的網路經驗者都會要求消費者在交易的過程中登記個人信息資料。但是如果企業並沒有對用戶的私人信息進行保密而有所泄露,從一定程度上會引起消費者的不滿情緒,造成消費者對企業產生不滿情緒。同時在境外電子商務過程中,企業會將消費者的個人信息進行整理從而建立起消費者信息資料資料庫,並且還會通過一種有價的形式向第三方出售,這就違反了電子商務活動的相關法律制度。 (二)知識產權法風險 隨著電子商務的發展,互聯網銷售書本和報刊已經被眾多的企業所應用,從一定程度上就會隱藏著關於著作權的法律風險。由於傳統的著作權法是以實物為著作載體,而境外電子商務開始出現一種電子文檔和課件瀏覽的銷售方式。在進行電子交易過程中,企業無法從根本上保證購買者對書本和報刊信息的隨意傳播,同時也無法保證對其他用戶的復制和拷貝,極易對原作者的著作權造成一定的侵犯,從而引發著作權法律問題。 (三)商務交易風險
電子商務作為互聯網發展的產物,在交易的過程中需進行電子支付,從一定程度上就會面臨著巨大的虛擬詐騙風險。境外電子商務中的交易風險主要是一種國際性的非法交易活動,參與境外電子商務的企業,並沒有按照合法的方式來進行貿易交易,造成企業與用戶之間經濟利益的損害。根據實際數據資料顯示,大約有1億的境內在線消費者受到虛假信息的侵害,所騙取的金額也是相當的高。由於跨境電子商務在國際上並沒有建立一個統一的信用評判標准,從一定程度上給許多的不法企業以及個人提供了洗錢的可能性。由於我國第三方支付的平台比較多,從而給個別機構提供了詐騙和違法違規的機會,使得銀行和第三方支付平台在跨境消費上存在較大的安全漏洞,導致境外電子商務交易存在法律風險。 (四)貨物稅收風險
由於跨境電子商務在郵遞物品的過程中會存在個體小,以及總量大和種類比較分散的現象。企業為了能夠逃避稅收問題,開始進行多次郵遞以及螞蟻搬家的形式進行運送大量的貨物。而小型電商開始以混淆自用物品與代購物品的方式來逃避稅收。從整體問題上來看使得海關征稅難度系數變高,導致國家的征稅問題存在較大的漏洞。針對規模較大的企業,為了能夠減少生產成品,降低稅費,不惜採取一種走私的方式來進行逃避稅收,導致國家稅款流失現象越來越嚴重,對整個國家經濟運行安全會產生巨大的影響。
3、跨境電商數據在哪個官網查
跨境電商數據建議可以去正統網上看下。正統網是福建省互聯網經濟統計公共服務平台。這個其中就有關於跨境電商的介紹,還有相關的調查信息與數據統計。
跨境電商特徵
跨境電子商務是基於網路發展起來的,網路空間相對於物理空間來說是一個新空間,是一個由網址和密碼組成的虛擬但客觀存在的世界。網路空間獨特的價值標准和行為模式深刻地影響著跨境電子商務,使其不同於傳統的交易方式而呈現出自己的特點。
網路是一個沒有邊界的媒介體,具有全球性和非中心化的特徵。依附於網路發生的跨境電子商務也具有了全球性和非中心化的特性。電子商務與傳統的交易方式相比,特點在於電子商務是一種無邊界交易,喪失了傳統交易所具有的地理因素。互聯網用戶不需要考慮跨越國界就可以把產品尤其是高附加值產品和服務提交到市場。
4、數據安全有哪些案例?
「大數據時代,在充分挖掘和發揮大數據價值同時,解決好數據安全與個人信息保護等問題刻不容緩。」中國互聯網協會副秘書長石現升在貴陽參會時指出。
員工監守自盜數億條用戶信息
今年初,公安部破獲了一起特大竊取販賣公民個人信息案。
被竊取的用戶信息主要涉及交通、物流、醫療、社交和銀行等領域數億條,隨後這些用戶個人信息被通過各種方式在網路黑市進行販賣。警方發現,幕後主要犯罪嫌疑人是發生信息泄漏的這家公司員工。
業內數據安全專家評價稱,這起案件泄露數億條公民個人信息,其中主要問題,就在於內部數據安全管理缺陷。
國外情況也不容樂觀。2016年9月22日,全球互聯網巨頭雅虎證實,在2014年至少有5億用戶的賬戶信息被人竊取。竊取的內容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登陸密碼。
企業數據信息泄露後,很容易被不法分子用於網路黑灰產運作牟利,內中危害輕則竊財重則取命,去年8月,山東高考生徐玉玉被電信詐騙9900元學費致死案等數據安全事件,就可見一斑。
去年7月,微軟Window10也因未遵守歐盟「安全港」法規,過度搜集用戶數據而遭到法國數據保護監管機構CNIL的發函警告。
上海社會科學院互聯網研究中心發布的《報告》指出,隨著數據資源商業價值凸顯,針對數據的攻擊、竊取、濫用和劫持等活動持續泛濫,並呈現出產業化、高科技化和跨國化等特性,對國家和數據生態治理水平,以及組織的數據安全能力都提出了全新挑戰。
當前,重要商業網站海量用戶數據是企業核心資產,也是民間黑客甚至國家級攻擊的重要對象,重點企業數據安全管理更是面臨嚴峻壓力。
企業、組織機構等如何提升自身數據安全能力?
企業機構亟待提升數據安全管理能力
「大數據安全威脅滲透在數據生產、流通和消費等大數據產業的各個環節,包括數據源、大數據加工平台和大數據分析服務等環節的各類主體都是威脅源。」上海社科院信息所主任惠志斌向記者分析稱,大數據安全事件風險成因復雜交織,既有外部攻擊,也有內部泄密,既有技術漏洞,也有管理缺陷,既有新技術新模式觸發的新風險,也有傳統安全問題的持續觸發。
5月27日,中國互聯網協會副秘書長石現升稱,互聯網日益成為經濟社會運行基礎,網路數據安全意識、能力和保護手段正面臨新挑戰。
今年6月1日即將施行的《網路安全法》針對企業機構泄露數據的相關問題,重點做了強調。法案要求各類組織應切實承擔保障數據安全的責任,即保密性、完整性和可用性。另外需保障個人對其個人信息的安全可控。
石現升介紹,實際早在2015年國務院就發布過《促進大數據發展行動綱要》,就明確要「健全大數據安全保障體系」、「強化安全支撐,提升基礎設施關鍵設備安全可靠水平」。
「目前,很多企業和機構還並不知道該如何提升自己的數據安全管理能力,也不知道依據什麼標准作為衡量。」一位業內人士分析稱,問題的症結在於國內數據安全管理尚處起步階段,很多企業機構都沒有設立數據安全評估體系,或者沒有完整的評估參考標准。
「大數據安全能力成熟度模型」已提國標申請
數博會期間,記者從「大數據安全產業實踐高峰論壇」上了解到,為解決此問題,全國信息安全標准化技術委員會等職能部門與數據安全領域的標准化專家學者和產業代表企業協同,著手制定一套用於組織機構數據安全能力的評估標准——《大數據安全能力成熟度模型》,該標準是基於阿里巴巴提出的數據安全成熟度模型(Data Security Maturity Model, DSMM)進行制訂。
阿里巴巴集團安全部總監鄭斌介紹DSMM。
作為此標准項目的牽頭起草方,阿里巴巴集團安全部總監鄭斌介紹說,該標準是阿里巴巴基於自身數據安全管理實踐經驗成果DSMM擬定初稿,旨在與同行業分享阿里經驗,提升行業整體安全能力。
「互聯網用戶的信息安全從來都不是某一家公司企業的事。」鄭斌稱,《大數據安全能力成熟度模型》的制訂還由中國電子技術標准化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安三所、清華大學和阿里雲計算有限公司等業內權威數據安全機構、學術單位企業等共同合作提出意見。
5、誰有深度整理的歐盟《一般數據保護法案》(GDPR)核心要點中文內容
前言:
整理本文的原因有三:
1、 網上很多關於GDPR的文章並不全面,甚至有誤
2、 以此機會在公司內部開展關於GDPR的專項培訓
3、 青蓮雲的部分客戶業務在未來會受到GDPR的影響
之後,我們計劃編寫一系列相關文章,更多的是站在企業角度來思考法案對物聯網行業的影響以及應對措施,一來希望與同行企業可以就GDPR進行更多的互動討論;二來也是希望傳播國際法案對於安全和隱私的態度,共同提高物聯網安全意識。
以下您將了解到:
1、 什麼是GDPR(重要)
2、 GDPR的發展歷程
3、 GDPR的關鍵術語定義(重要)
4、 GDPR會影響哪些企業(重要)
5、 GDPR不適用於哪些情況
6、 GDPR約束了哪些數據(重要)
7、 GDPR中數據主體的權利(重要)
8、 GDPR中處理個人數據的基本原則(重要)
9、 GDPR中對合法處理數據的定義
10、 GDPR中針對兒童數據的處理規定
11、 GDPR中數據控制者與數據處理者的義務(重要)
12、 GDPR中針對特別類型個人數據的處理規定
13、 GDPR中關於數據主體被遺忘權的規定(重要)
14、 GDPR中關於數據主體可攜帶權的規定(重要)
15、 GDPR中關於個人數據泄露通知的規定(重要)
16、 GDPR中關於設立數據保護官的規定
17、 GDPR關於執法和處罰的規定(非常重要)
18、 總結
什麼是GDPR
2016年4月14日,歐洲議會投票通過了商討四年的《一般數據保護法案》(General Data Protection Regulation (GDPR)),新法案由11章共99條組成,該法案將於2018年5月25日正式生效,將取代現有的《數據保護指示》(Data Protection Directive 95/46/EC),統一歐盟成員國關於數據保護的法律法規。
此外,GDPR新規是在28個歐盟成員國統一實施生效的,這將使28個歐盟及歐洲經濟共同體成員國的隱私保護法更具有一致性和現代性。
GDPR作為一套用來保護歐盟公民個人隱私和數據的新法規,其頒布意味著歐盟對個人信息的保護及監管達到了前所未有的高度,堪稱史上最嚴格的數據保護法案
GDPR的發展歷程
(圖片來自網路)
GDPR的關鍵術語定義
個人數據:是指任何指向一個已識別或可識別的自然人(數據主體)的信息。該可識別的自然人能夠被直接或間接地識別,尤其是通過參照諸如姓名、身份證號、定位數據、在線身份識別這列標識,或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經濟、文化或社會身份的要素。
處理:是指針對個人數據或個人數據集合的任何一個或一系列操作,諸如收集、記錄、組織、建構、存儲、自適應或修改、檢索、咨詢、使用、披露、傳播或其他利用、排列、組合、限制、刪除或銷毀,無論此操作是否採用自動化手段。
匿名化:是一種使個人數據在不使用額外信息的情況下不指向特定數據主體對待個人數據的處理方式。該處理方式將個人數據與其他額外信息分別存儲,並且使個人數據因技術和組織手段而無法指向一個可識別和已識別的自然人。
數據控制者:能單獨或聯合決定個人數據的處理目的和方式的自然人、法人、公共機構、行政機關或其他非法人組織。
數據處理者:是指為數據控制者處理個人數據的自然人、法人、公共機構、行政機關或其他非法人組織。
數據接受者:只是接收到被傳遞的個人數據的主體,無論其是否是第三方的自然人、法人、公共機構、行政機關或其他非法人組織。政府因在歐盟或其成員國法律框架內特定調查接收到的個人數據,不得視為「數據接受者」。
個人數據外泄:是指個人數據在傳輸、存儲或進行其他處理時的由安全問題引發的個人數據被意外或非法破壞、損失、變更、未經授權披露或訪問。
GDPR會影響哪些企業
歐盟GDPR法案具有域外效應。也就是說,GDPR賦予了歐盟在個人信息安全方面的域外管轄權。
主要受影響的企業為以下四類:
l 設立在歐盟境內的企業(控制者、處理者)
l 未在歐盟境內設立,但向歐盟境內的數據主體(自然人)提供產品和服務的企業(控制者、處理者)
l 未在歐盟境內設立,但涉及監控歐盟境內數據主體(自然人)行為的企業(控制者、處理者)
l 未在歐盟境內設立,但在歐洲成員國法律適用的地方設立的企業(控制者、處理者)
總結來說,GDPR不僅適用於位於歐盟境內的企業組織機構,也適用於位於歐盟以外的企業組織機構,無論機構所在地位於哪裡,只要其向歐盟數據主體提供產品、服務或者監控相關行為,或處理和持有居住在歐盟境內的數據主體的個人數據,都將受到GDPR法案的監管。
GDPR法案同樣適用於「數據控制者」和「數據處理者」。如果是數據處理者涉案,數據控制者也無法免除責任,GDPR規定控制者需要承擔更多的責任,以確保和數據處理者之間的合同能夠嚴格遵守GDPR的規定。
GDPR不適用於哪些情況
GDPR更多的是監管企業對數據的使用行為。以下4個方面的數據使用情況不適用於GDPR:
l 為了預防、調查、偵查或起訴刑事犯罪,主管當局為執行刑事處罰目的而產生的數據處理行為
l 基於國家安全目的而產生的數據處理行為
l 自然人在純粹的個人或家庭活動中產生的數據處理行為
l 歐盟法律規定范圍之外的活動過程中產生的數據處理行為
GDPR約束了哪些數據
個人數據:
可以通過某個標識直接或間接識別某一自然人的信息。
不管是採用自動化手段還是人工進行歸類的數據,包括按時間順序排列的包含個人數據的記錄集合。
已經被匿名化的個人數據,取決於用已有標識來識別特定個體的困難程度。
敏感個人數據:
也被稱為「特殊種類的個人數據」。
包括揭示種族或民族出身、政治觀點、宗教或哲學信仰、工會成員的個人數據。
包括遺傳數據和經過處理可以唯一識別個體的生物特徵數據。
不包括涉及刑事定罪和罪行的個人數據,但該類數據的處理和保存有特殊要求。
GDPR中數據主體的權利(第三章)
l 知情權
l 訪問權
l 反對權
l 可攜帶權
l 糾正權
l 刪除權/被遺忘權
l 限制處理權
l 免受數據畫像影響
GDPR中處理個人數據的基本原則
l 合法、正當、透明
l 處理數據的目的是有限的
l 僅處理為達到目的的最少數據
l 確保數據准確、及時更新
l 存儲數據的期限不得長於為達到目的所需要的時間
l 採取技術和管理措施以保護數據的安全
l 數據控制者有責任並應能夠證明做到了以上幾點
GDPR中對合法處理數據的定義
至少滿足一下中的某一項,處理數據才是合法的
l 數據主體同意為了特定目的處理其數據
l 處理數據是為了簽訂或履行合同的需要
l 處理數據是為了遵守法定義務的需要
l 處理數據是為了保護數據主體或其他自然人的至關重要的利益
l 處理數據是為了公共利益或形式政府授受的權力
l 處理數據是為了追求數據控制者的合理利益,但不得損害數據主體的利益
GDPR中針對兒童數據的處理規定
處理16歲以下兒童的個人數據,必須獲得該兒童父母或監護人的同意或授權。各成員國可以對上述年齡進行調整,但是不得低於13歲
GDPR中數據控制者與數據處理者的義務
設置DPO(數據保護官)
文檔化管理
數據保護影響評估
事先咨詢機制
數據泄露報告機制
安全保障措施
遵守數據跨境轉移規則
GDPR中針對特別類型個人數據的處理規定
禁止收集處理反映個人種族或民族起源、政治觀點、宗教和哲學信仰、是否是工會組織成員的數據、個人基因識別數據、生物數據、或涉及健康、性生活或性取向的數據。但在例外的情況下也可以收集加工以上數據,如已獲得個人的明示同意,或數據控制者因處理勞動關系、社會保險之需要並在法律允許的范圍內且已採取了適當的保護手段等。
GDPR中關於數據主體被遺忘權的規定(重要)
當個人數據已和收集處理的目的無關、數據主體不希望其數據被處理或數據控制者已沒有正當理由保存該數據時,數據主體可以隨時要求收集其數據的企業或個人刪除其個人數據。
如果該數據被傳遞給了任何第三方(或第三方網站),數據控制者應通知該第三方刪除該數據。
GDPR中關於數據主體可攜帶權的規定(重要)
數據主體可向數據控制者索要其數據,也可將其個人數據轉移至另一個數據控制者。
GDPR中關於個人數據泄露通知的規定(重要)
數據控制者應在72小時之內向監管機構報告個人數據的泄露情況。當數據泄露可能會給數據主體的權利或自由帶來巨大風險時,數據控制者必須毫不延誤的通知數據主體,以便數據主體及時採取措施。
GDPR中關於設立數據保護官的規定
為確保數據保護合規並處理數據保護相關事務,數據控制者和數據處理者需設置數據保護官(DPO)。
控制者和處理者應當對數據保護官不下達任何指令,DPO不能因為執行任務的原因被解僱或者受到刑事處罰。
數據保護官直接向最高管理者報告工作。
根據聯盟法律或者成員國法律規定,數據保護官應當對其執行任務的內容進行保密。
數據保護官也可以執行其他任務,履行其他職責。
GDPR關於執法和處罰的規定(非常重要)
不遵守信的數據隱私法規的後果就是會受到嚴厲的制裁和巨額的罰款。
GDPR的處罰並不是像網上傳的那樣直接就罰全球營收的4%。而是有兩個等級的徵收行政性罰款的規定:
對於一般性的違法,罰款上限是1000萬歐元,或者在承諾的情況下,最高為上一個財政年度全球全年營業收入的2%(兩者中取數額大者);
對於嚴重的違法,罰款上限是2000萬歐元,或者在承諾的情況下,最高為上一個財政年度全球全年營業收入的4%(兩者中取數額大者);
判罰的嚴重程度是基於以下因素:
l 違規的性質、嚴重程度和違規的持續時間
l 違規是故意的還是因疏忽造成的
l 對個人身份信息的責任心和控製程度
l 違規是單個事件還是重復事件
l 受到影響的個人資料的種類范圍
l 數據主體遭遇的損害程度
l 為了減輕損害而採取的行動
l 由違規產生的財務預期或收益
GDPR核心旨在保護隱私數據,並通過法案約束來建立企業和公民之間的信任關系,違反GDPR的代價遠不止財務層面,還將給企業聲譽造成極大破壞,並且導致企業和消費者之間產生信任危機
總結
由於青蓮雲所在的物聯網行業也處於GDPR法案的約束之中,故此整理出法案中的重點思想與業界分享。GDPR此次改革以保護公民的基本權利為理念,在提高個人數據保護標準的同時,也會增加企業的合規成本。法案的背後是對隱私和安全的需求,法案生效後會成為國際數據隱私保護標准。
對於物聯網行業的相關企業(硬體、軟體、製造、數據分析等)來說,從此刻開始提升物聯網安全意識,關注數據安全和用戶隱私安全,積極的採取相應的整改或強化措施刻不容緩。青蓮雲安全團隊也將在不斷提升自身安全攻防能力和安全合規意識的同時,與客戶企業建立長期持續的安全咨詢合作關系,共同建設安全、自主、可信的物聯網安全新業態。
6、相關公司拒絕執行個人信息安全法第十五條規定怎麼處理?
《個人信息保護法》三讀通過,標志著我國對個人信息的立法保護方面上升到了新的高度;但相對應的是,作為「信息處理者」的企業也有了法律上新的義務。
作者 | 呂長軍 中國傳媒大學法律碩士校外導師
編輯 | 布魯斯
2021年8月, 我國《個人信息保護法》三讀通過 ,標志著我國對個人信息的立法保護方面上升到了新的高度;但相對應的是,作為「信息處理者」[1]的企業也有了法律上新的義務,包括:制度完備義務、安全保障義務、個人信息分級分類義務、內部許可權管理義務、信息質量與演算法合規義務、信息主體權益保障義務、事前風險評估義務(例如事前個人信息保護影響評估)、合規審計義務、以及特殊處理者的義務等,因此需要依法建立起符合法律要求的個人信息及數據[2]合規體系。
一、企業建立個人信息及數據合規體系的價值
《個人信息保護法》中對企業提出了建立個人信息保護合規體系的要求,似乎企業負擔加重,但實際上企業按照《個人信息保護法》的要求來進行合規操作有諸多的價值:
其一,合規價值。我國先後出台的《網路安全法》、《數據安全法》和《個人信息保護法》三部法律不僅構建起個人信息和數據保護的基本框架, 而且均明確要求企業建立數據(或個人信息)合規制度,而《個人信息保護法》更是要求大型互聯網平台、業務類型復雜的企業 「應當按照國家規定建立健全個人信息合規制度體系」[3];同時,諸多境外數據保護法律法規如GDPR等也要求企業建立數據及個人信息保護合規體系。可以說,建立個人信息及數據合規體系已經成為現代企業的一項重要法律義務。
其二, 品牌價值和市場競爭力。在強調個人數據與隱私保護的大環境下,企業在數據安全和隱私保護方面的有效努力,最終會得到合作方的認可,更為重要的是可以得到消費者的最後認同,這無疑將提升企業的品牌價值和市場競爭力。
其三,降低企業風險及減少損失。任何企業在個人信息及數據方面不合規的行為,均有可能產生行政調查、侵權訴訟、媒體曝光、甚至刑事案件等後果,將可能會為企業帶來重大的經濟和聲譽損失,包括行政處罰、訴訟賠償、刑事處罰、客戶流失等。
其四,有助於應對行政監管或訴訟。企業的個人信息及數據合規體系的完備,可以在一定程度上證明企業已充分盡到數據及個人信息保護的義務,可以有效助力企業應對監管執法和訴訟抗辯。
二、《個人信息保護法》第51條下企業的合規義務
在《個人信息保護法》中,第51條集中闡述了個人信息處理者的主要合規義務,包括制度建設、信息分類、技術措施、人員管理和應急預案五個基本方面以及兜底的其他措施。
第51條規定:
個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,採取下列措施確保個人信息處理活動符合法律、行政法規的規定,並防止未經授權的訪問以及個人信息泄露、篡改、丟失:
(一)制定內部管理制度和操作規程;
(二)對個人信息實行分類管理;
(三)採取相應的加密、去標識化等安全技術措施;
(四)合理確定個人信息處理的操作許可權,並定期對從業人員進行安全教育和培訓;
(五)制定並組織實施個人信息安全事件應急預案;
(六)法律、行政法規規定的其他措施。
1、制定公司內部管理制度和操作規程
《個人信息保護法》要求個人信息處理者(企業)內部應建立完善的個人信息保護制度以及操作規程。
1)健全內部管理制度
對企業而言,了解和梳理企業個人信息處理活動的目的、范圍和方式,是進行信息處理管理的基礎。在此基礎上,需要整理、制定適應企業內部的個人信息相關制度,包括但不限於:(1)個人信息收集、傳輸及處理制度;(2)個人用戶信息收集及處理告知制度;(3)個人信息安全保護制度(包括傳輸、使用及資料庫安全等);(4)信息分級分類管理制度;(5)個人信息風險評估制度 ;(6)審計制度等。
除上述重要制度外,企業內部管理制度中還應有應急預案制度、個人信息出境管理制度等。(詳見下文)
內部制度應具有合規性、可行性、完備性;也即既要符合法律法規要求,又要從企業自身實際情況出發,可操作,同時應注意全面覆蓋相應各個業務條線, 具有完備性。
2)制定個人信息收集、傳輸、存儲及處理操作流程
流程與制度相輔相成。企業應注意「個人信息處理全流程管理」的重要性,實施從個人信息收集、傳輸、存儲到處理、刪除等各環節的銜接和涵蓋全流程的管理,並在流程中應注意嚴格的許可權管理。
3)設置網路安全負責人、個人信息保護負責人等專職人員
《網路安全法》要求網路運營者設置專門安全管理機構和安全管理負責人,《信息安全技術 個人信息安全規范》規定了個人信息控制者應當設置個人信息保護負責人,而GDPR則要求設置數據保護官。
《個人信息保護法》沒有硬性要求所有的企業均設立「個人信息保護負責人」,而是要求如果處理個人信息達到一定」數量」, 則應設置個人信息保護負責人[4],但「數量」並未予以明確標准。當涉及的個人信息數據量較大時,企業應當考慮設定個人信息保護負責人,由其進行相關工作的統籌和管理,在有必要的情況下可以考慮成立相關部門,負責建立內部合規管理制度和相關措施乃至推行制度及措施的實施。
2、個人信息實行分級分類管理
《網路安全法》、《數據保護法》和《個人信息保護法》都提出要將數據進行分級分類管理。無論從合規或管理效率而言, 企業都有必要對數據進行分級分類管理。
首先,梳理企業信息庫存。搞清企業目前擁有哪些個人信息(數據)、承載個人信息的數據位於何處、如何流動以及與哪些部門相關,是在企業中創建個人信息保護合規框架的基礎。
其次,明確所需信息, 去除非必要信息。對個人信息的處理,應滿足《個人信息法》第6條提出的 「明確合理目的」以及「個人權益影響最小」兩個原則。因此,企業應當明確其需要哪些類型的個人信息,通過清單等形式將所需信息的內容和目的進行陳列,同時,應在企業系統中去除非必要的信息,並嚴格要求各部門不再進行收集或儲存。
再次,對需要處理的信息進行分級分類,以便進一步的管理,包括處理許可權、流程等工作的區分。
其中,企業應對以下兩類信息進行甄別並加以特別關註:
1)敏感個人信息。敏感個人信息包括種族、民族、宗教信仰、個人生物特徵、醫療健康、金融賬戶、個人行蹤等信息。這類信息多與人身、財產安全相關,因此受到法律特別保護,相關的程序和保護措施要求較之一般個人信息要嚴格。
2)未成年人(未滿十四周歲)個人信息。我國法律要求對該類信息的處理應依法取得其監護人的同意。
需要注意的是, 企業收集的個人信息, 不僅僅指收集的外部個人信息, 也包括對內部員工的個人信息。雖然《個人信息保護法》提出因對內部員工「人力資源管理」從而可以進行各種個人信息的收集、處理, 但絕不意味著可以忽略內部員工個人信息權益的保護。
3、個人信息安全保護措施
在網路環境下,數據安全是個人信息保護的基礎,而保障數據安全是個人信息處理者的一項重要且基礎的工作,同時也是一項法律義務。我國《網路安全法》要求網路運營者保障網路安全、維護網路數據的完整性、保密性和可用性[5];《數據安全法》強制性規定了數據處理者保障數據安全的法律義務[6], 《個人信息保護法》則要求企業採用安全技術措施來保護其所處理的個人信息。
匿名化後的數據,不需要遵守有關個人信息保護的條款, 但仍應遵守數據保護的法律規定。
4、個人信息處理許可權及安全教育與培訓
個人信息處理許可權制度經過多年企業界的實踐, 被證明是一項較好的對個人信息及數據管理的機制,《個人信息保護法》將該機制直接列為企業的一項法律義務。該機制的要點在於:
1)設立內部分工和許可權制度。將個人信息的收集、儲存、使用等處理環節,以及風險監控、合規等工作進行明確的分工,並根據分工和信息分級分類情況,對不同員工設置對應級別的許可權。
2) 全員參與(而非重點人員參與)安全與許可權培訓。通過個人信息與數據的安全教育與培訓,牢固樹立數據安全意識,明確各自許可權所在, 防止人為造成數據泄露。
5、個人信息安全事件應急制度
合規工作雖能防患於未然,但並不能完全排除風險。隨著技術進步和企業產品迭代,安全漏洞總難以避免,因此企業應當制定數據安全事件應急預案並定期演練,以備不時之需。我國《網路安全法》中已規定網路運營者應當制定網路安全事件應急預案[9],及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,及時啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
《個人信息保護法》再次強調企業應建立個人信息安全事件應急預案並定期進行演練,並將此作為企業的一項法律義務。
三、《個人信息保護法》下企業的其他合規義務
除第51條外,《個人信息保護法》還在其他條文中規定了企業的一些重要的合規義務, 主要包括:
1、收集、處理個人信息的充分告知義務
《個人信息保護法》再次強調了個人信息收集與處理的「告知-同意」原則。對於需要收集個人信息的企業而言,應制定出明確的個人信息保護政策(《隱私政策》),真實、完整的向用戶告知企業的基本情況、個人信息收集、使用目的、范圍及場景、個人信息處理方式及規則、對外共享及披露情形、個人信息主體權利保障機制、投訴處理渠道等。
個人信息保護政策應公開發布且應送達個人信息主體, 由用戶在注冊或首次運行產品時閱讀並勾選同意後才可繼續使用。如涉及個人信息會被用於用戶畫像和個性化展示的,則應在《隱私政策》中徵得用戶的同意,充分保障用戶知情權;而在進行自動化決策前,應當就自動化決策的透明和公平性做好充分說明。
需要特別注意的是,《個人信息保護法》要求對於收集個人敏感信息的,應取得用戶的單獨同意[10],因此企業不能採取過去的概約性、打包式的同意,而應單獨提示用戶勾選同意方可。
2、信息主體權益保障義務(應提供個人信息查閱復制、修正、移轉及刪除服務)
《個人信息保護法》明確了在個人信息處理活動中個人的各項權利,包括知情權、決定權、限制權、拒絕權、查閱、復制權、可攜權、更正、補充權、刪除權。既然個人享有一系列個人信息權利,也意味著個人信息處理者負有配合個人權利行使的義務。企業需要根據用戶個人的需求,靈活和准確地響應數據主體訪問查詢、更正、刪除、移轉等要求。
1)接受信息主體的要求,提供個人信息查閱、復制的途徑及服務
長期以來,不少互聯網平台將用戶信息視為重要的財產性權益,而用戶想了解平台到底掌握自己哪些信息卻有時連查詢的渠道、途徑都沒有。GDPR開了個人信息嚴格保護的先河,確認個人有查詢權,即有權要求互聯網公司(信息控制者)提供掌握本人信息的明細清單。
《個人信息保護法》也規定了企業應為用戶提供個人信息查閱、復制的法律義務,因此企業也應制定相應的接受用戶要求、核實身份、匯總信息、提供信息的制度和流程。
2)接受信息主體的要求, 提供個人信息修正的途徑及服務
《個人信息保護法》第十五條規定了信息主體對個人信息的修改權,企業應為個人信息處理者提供修正的途徑和服務。相應的,企業應建立起修正溝通渠道、內部修正機制等。
3)接受信息主體的要求,提供移轉的途徑及服務
《個人信息保護法》第十五條規定了信息主體對個人信息的可攜帶權,即個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。該規定不僅有利於個人自由處理其個人信息,也有利於打破數據壟斷和數據孤島現象。而作為企業也應就此制定移轉的內部操作流程。
4)接受信息主體的要求,提供便捷刪除服務
《個人信息保護法》第十五條規定了「基於個人同意而進行的個人信息處理活動,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式」。
撤回同意,是個人信息主體處分自身權利的一種方式。企業應確定撤回方式、撤回渠道等響應機制,並應保證用戶行使權力的便利性,符合「便捷原則」。
雖然法律未解釋何為「便捷」, 但按照通常的理解,「撤回」的難度不應大於「同意」的難度。
因此,企業可在企業主網頁、APP登錄入口等顯著頁面安置「撤回」的鏈接或選項, 並提供明晰的操作指導。企業內部因數據的修改和刪除有可能涉及多個部門,故應建立一系列的操作流程,並應研判其中的風險。
3、數據與演算法的合規義務
1)數據質量的檢查和審視,防止因數據質量引發歧視
演算法以數據為基礎, 數據不準確,則演算法結果、數據分析結論則基本不會准確,有可能會對相關數據主體帶來負面評價,從而導致其合法權益受到影響。
《個人信息保護法》第8條規定:
「處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響。」
《個人信息保護法》將保證個人信息質量作為企業的法定義務,從企業的角度說,則應建立檢查和審視數據的相應制度和流程, 以保障數據獲取的准確度。
2)保證演算法公平合理, 防止不合理差別待遇
互聯網時代「演算法為王」。演算法推薦是搜索引擎、社交軟體、電子商務等幾乎所有平台的標配。平台用代碼、演算法替代了傳統的內容分發過程中編輯的角色,提高了服務效率的同時,也會導致例如大數據殺熟、劣質內容泛濫等一系列侵犯用戶權利的現象。也正因為演算法推薦下的社會問題層出不窮,國家開始通過立法手段進行干預,並在《個人信息保護法》下初步確立了演算法問責制,這在我國還是首次。
《個人信息保護法》第二十四條規定,
個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正。
演算法的透明性、公平及公正性本屬於倫理范疇, 《個人信息保護法》將它上升到了法律的高度, 成為相關企業的法律義務。它要求個人信息處理者必須對所用演算法進行檢查和審視,保證自動化決策的透明度和結果的公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
3) 自動化決策(演算法),需遵循「明確合理目的」以及「個人權益影響最小」兩個原則
《個人信息保護法》第六條規定,企業進行自動化決策,需遵循「明確合理目的」以及「個人權益影響最小」兩個原則,而且在自動化決策對個人權益造成重大影響時,應「向個人提供便捷的拒絕方式」, 也即賦予個人主體拒絕權。這對於長期以來通過個性化推薦、通過用戶畫像為用戶提供各種信息服務的企業來說,產生較強的影響和制約。
4、事前風險評估義務[11]
根據《個人信息保護法》的規定,在下列情況中,企業應當進行事前風險評估,且應將風險評估報告和處理情況記錄至少保存三年:
1)處理敏感個人信息;
2)利用個人信息進行自動化決策;
3) 委託處理個人信息、向他人提供個人信息、公開個人信息;
4) 向境外提供個人信息;
5)其他對個人有重大影響的個人信息處理活動。
我國《數據安全法》中僅規定「重要數據」的處理者應當對其數據活動定期開展風險評估,並向有關主管部門報送風險評估報告[12];《個人信息保護法》則明確在涉及「敏感個人信息」、「自動化決策」、「委託處理」、「向第三方提供」、「對外公開」、「跨境提供」等情形下賦予所有的個人信息處理者以「事前評估」的義務。
因此,風險評估將成為作為信息處理者的企業的一項經常性工作, 應將其制度化、常態化,在保證評估質量的情況下盡量實現高效、快捷。
筆者認為,風險評估報告應當包括本組織涉及的個人信息種類、數量, 收集、存儲、使用、委託、提供等的情況,面臨的安全風險及其應對措施等。
5、合規審計義務
《個人信息保護法》要求定期對企業處理個人信息遵守法律、行政法規的情況進行合規審計[13]。但由誰審計、具體審計內容、審計標准尚未有明確規定,企業應未雨綢繆,參照《個人信息保護法》、《網路安全法》、《數據保護法》三部基本法律中相對具體的規定,制定出應對審計的方案。筆者認為,主要內容應包括:
1) 審查內部管理制度和個人信息備忘錄的完備性和合規性;
2) 定期審計個人信息處理和管理工作;
3) 審計履行個人信息查閱復制、修正、移轉及刪除義務情況(信息主體權益保障情況);
4) 審核風險評估報告及記錄情況;
5) 審核個人信息相關的合同及其他法律文書;
6) 根據個人信息及數據相關法律法規的更新,及時調整內部制度的情況。
6、委託外部進行個人信息處理的合規義務
《個人信息保護法》並非不允許進行個人信息的外部委託處理, 但是應區分「共同處理」與「委託處理」, 其中,共同處理應取得信息主體的充分授權。
在數字經濟發展迅猛的今天, 數據外部委託處理已經極為常見, 比如雲服務,SAAS服務等, 均需要數據的外部存儲與處理。委託處理雖不必取得信息主體的授權,但是,《個人信息保護法》生效後,在對委託第三方(受託人)處理的情況下,委託處理個人信息之前,應事先進行個人信息保護影響評估,並對處理情況進行記錄。
雙方應簽訂書面委託合同, 其中應清楚載明委託事項、受託人許可權、期間等事項, 尤其是委託受託人進行信息處理不應超過個人權利主體的授權許可權或相關法律授予的許可權。
7、跨境數據傳輸的合規義務
《個人信息保護法》並非禁止個人信息跨境傳輸,而是規定了實現數據跨境傳輸的必要條件以及制度性框架,並引入了國際上一些較為成熟的做法,如標准合同機制等。但是,在操作層面還有待於進一步的制度以及有關部門的指導性意見去進行細化,包括標准合同模板、國家網信部門的評估流程及標准、認證部門及認證標准、不對等國家的清單等[14]。因此,在跨境數據流動場景中,企業應嚴格按照《個人信息保護法》、《網路安全法》與《數據安全法》的規定, 慎重處理跨境數據傳輸的問題。
對於企業(尤其是互聯網企業)而言,《個人信息保護法》要求的企業合規內容多而雜,可能涉及企業多個部門,因此企業應根據自身實際情況有一個完整的應對思路和方案, 所有部門都應當做好調整和配合的准備。
我國的《個人信息保護法》吸收了國外立法的優秀做法以及過往國內實踐寶貴經驗,可謂是「集大成者」,真正把我國對個人信息保護提升到了新的水平;但「徒法不足以自行」,個人信息保護法還有待於包括企業在內的各方一起努力,才能真正起到保護公民個人信息、維護公民網路空間權益以及促進信息合理利用的作用。
相關鏈接:
全文 | 《中華人民共和國個人信息保護法》
每周速覽 | 個人信息保護法草案三審
注釋:
[1] 個人信息處理者不僅僅包括企業,也包括政府部門、事業單位等;本文主要討論企業的合規義務。
[2] 數據是信息的載體, 個人信息在網路環境下通常以數據形式存在,故在網路時代個人信息保護和數據保護不可分離。
[3] 參見《個人信息保護法》第58條。
[4] 參見《個人信息保護法》第五十二條:處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及採取的保護措施等進行監督。個人信息處理者應當公開個人信息保護負責人的聯系方式,並將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。
[5] 參見《網路安全法》第10條。
[6] 參見《數據安全法》 第25條。
[9] 參見《網路安全法》第 25 條。
[10] 參見《個人信息保護法》第 29 條。
[11] 參見《個人信息保護法》第 55 條。
[12] 參見《數據安全法》 第28條.
[13] 《個人信息保護法》第54條規定:個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
[14] 參見《個人信息保護法》第38條、第40條、第43條。