“企业在境内运营活动中收集的数据应存储在境内”、“企业对个人信息收集应遵循最小必要原则”、“企业收集信息应征得用户明示同意”……
在7月15日召开的2021中国互联网大会“数字化治理论坛”中,三六零(股票代码:601360.SH,以下简称360)与中国信息通信研究院便联合披露了一份《企业个人信息保护合规思路与实践报告》,意在对企业场景中的个人信息保护规范提供有益参考。
360对此表示,公司愿与各界共同深度研析个人信息治理和数据安全的全球态势与中国因应,探讨实现数据安全和个人信息保护相关的各项权益,规范数据处理活动,促进数据资源合理利用的制度建构图景。
立足企业场景 报告提供个人信息保护指南
伴随产业数字化发展的不断深入,各类企业在利用软件工具服务大众的同时,亦获取了大量个人信息,其不仅帮助企业获得用户画像,亦构成了行业大数据的重要组成部分。
但由于近期的几起网络安全事件,公众对于个人信息的保护意识显著增强,企业该如何规范对用户信息的处理,已成为业界的核心关切。
对此,360和信通院联合发布的这份报告似乎来的及时,并给出了诸多可参考建议。据介绍,本报告立足于个人信息保护领域我国现行政策战略、法律法规和其他规范,从处理的个人信息类型与要求、处理的原则要求、处理行为要求、个人信息安全工程、组织制度技术要求、监管动向与法律后果以及常见问题等七个方面,全面系统建构企业关于个人信息的全流程保护体系,是企业业务场景下有关个人信息保护合规风控工作的实操凝炼和理论总结。
一方面,报告对企业收集个人信息的合法基础做出了内容明确,企业不仅应向用户告知收集、使用个人信息的目的、方式和范围,还需征得用户的明示同意。
在具体方案上,企业应采用一般告知、增强告知、即时提示三个层次来操作;而当收集的目的、方式、范围等重要因素发生变化时,企业方面还应再次告知并征得同意。
另一方面,企业还应遵循对个人信息“收集的最小必要原则”,其不能非法收集、违法收集,亦不能强制捆绑。
而针对近期备受关注的个人信息储存,《报告》认为,隐私政策需要说明存储的目的、方式、范围、存放地域,存放期限以及超期处理方式。企业在境内运营活动中收集的数据应存储在境内,出境需要按法规要求评估,并以即将出台的《个人信息保护法》,已生效的《网络安全法》、《数据安全法》等法规的最新要求为准。
此外,关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据,也应当在境内存储;特殊领域的信息乃至所涉个人信息应存储在境内,出境需主管部门评估。
历经业务检验 360为个人信息保护提供实操样板
针对这份报告的重要意义,其不仅为企业场景中的个人信息保护提供权威范例,更顺应了官方加码网络安全保护的潜在需要。
据梳理,今年6月,《数据安全法》正式被表决通过,意味着“数据”作为一种新型的、独立的保护对象,已经获得了立法上的认可。
7月12日,工信部亦公开征求对《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》的意见,其中明确,针对数据防泄露、防篡改、防窃取等传统数据安全保障需求,要进一步优化数据安全管理、分类分级安全防护等产品功能和性能,提升数据安全智能防护和管理水平。
也正是基于这样的背景,360历经三年打磨,结合丰富的实践经验和最新不断增强的法律法规,与信通院共同推出了这份报告。据360介绍,公司从2019年着手准备报告内容,2020年通过了核心业务团队的检验,2021年在信通院的指导与支持下,提炼总结了其中具有共性的成果部分,向社会公开发布。
值得一提的是,报告中不仅提示了明确的规范建议,亦穿插了诸多应用场景示例,例如智能家居产品(例如扫地机)在用户下载 App 后并注册之前,企业应如何规范获取用户的个人信息;社交 App 更新隐私政策中的收集使用规则后,应跳出弹窗提示用户阅读等。与此同时,报告专门提供了开发设计实践参考,提供了细节全面、操作性较高的《产品个人信息合规评估清单》,整体提升了其实际应用价值。
360对此表示,该报告既是一次创新模式总结,又是不断探索、创新治理模式的开始,为打造良好数据保护生态提出了可操作的实践思路,期待成为各类型企业遵从监管要求、建设完善个人信息保护制度体系、打造企业良好品牌形象的有益参考文件。