近日,《个人信息保护法(草案)》正式全文发布,并开始向社会征集意见。作为我国首部个人信息保护专项立法,该草案的亮相备受关注。
强化个人信息保护已是大势所趋,数据合规性将成为企业竞争力的重要考量,而即将出台的《个人信息保护法》,也就成为所有企业与从业者必须参考的重中之重。
其中。针对企业内部个人信息安全已存在或可能面临的安全问题,为应对行业监管要求,提升个人信息整体安全防护效果,应从顶层建设着手,制定关于个人信息保护的管理措施。观安信息通过多年数据安全治理经验,建议企业对个人信息保护措施主要从以下几方面进行:
1、个人信息梳理是基础
个人信息梳理是企业厘清个人信息保护工作在企业内部所应覆盖的广度和深度的基础和前提。通过个人信息梳理工作,企业得以建立个人信息数据清单和数据流图,划定个人信息处理全生命周期(收集、使用、保存、传输、处置等)所涉及的业务和运营流程、信息系统及基础架构等,明确相关管控措施所应落实的具体范围。
2、治理架构是保障
企业应建立健全数据安全治理架构,定义各个层级、各个部门和人员的数据安全角色、分工和职责,建立恰当的绩效和考评机制,实现有效的资源配置,以保障数据安全管理工作能够有效建立和持续施行。
3、“内外兼修”是核心
不可否认,考虑到目前较高的国内外监管要求和企业自身较低的隐私管理成熟度,对于大多数企业而言,实现完全的个人信息保护合规必将是一个庞杂而长远的工程,涉及的战略层面、流程层面、执行层面和技术层面的变更也是复杂多样的。这其中,确有几项关键工作任务,企业应考虑尽快开展:
“对外”部分,一方面,对外沟通的各类文件,如适用于客户个人信息收集和处理的隐私声明、适用于员工个人信息收集和处理的员工手册或劳动合同、适用于业务合作伙伴个人信息收集和处理的业务合同等,应尽快依据相关要求进行修订和更新,以确保涵盖关于个人信息主体合法权益的各项声明;另一方面,应尽快建立有效的数据安全事件应急处置和报告机制,根据企业业务特点和管控流程,制定有效的评估、响应、通报流程,确保数据安全事件能够得到恰当的处置,并与监管部门、个人信息主体进行有效及时地沟通。特定行业还应关注通报的规则和时效性等。
“对内”部分,一方面,个人信息保护应与企业原有的信息安全管理工作有机结合,进一步建立健全企业信息安全管理体系,并辅以有效的技术支撑,如数据防篡改、数据防泄漏、数据去标识化、数据备份与恢复等;另一方面,个人信息保护特有的管控机制也应逐步建立和落实,如个人信息安全影响评估、个人信息跨境传输安全评估、通过设计保护隐私等,自上而下,全方位搭建企业的数据安全管控体系,以合理确保个人信息安全。
个人信息保护任重而道远,企业应立即行动,以有效防控与之相关的合规风险、财务风险和运营风险。
网站安全,云高防必不可少:https://www.cdcxhl.com/ddos/
网站栏目:个人信息保护法草案发布,企业如何保障信息安全?
当前网址:
http://6mz.cn/article/sdgses.html