个人信息安全规范-通力律师事务所.pdf

公司及并购法律评述 20 18 年1 月 国家推荐标准《个人信息安全规范》的二十个要点 作者: 杨迅 2017 年 12 月29 日, 由全国信息安全标准化技术委员会归口负责的 《信息安全技术•个人信息安全规范》( “《安全规范》”)批准通过, 并 将在2018 年5 月1 日正式施行。该《安全规范》在很大程度上澄清 了个人信息保护相关的问题, 也在事实上对企业的个人信息保护提 出了更高的要求。 《安全规范》全文将在本月底于国家标准化委员会网站公布。本文 现根据已有信息摘要了值得企业注意的二十个要点。 总体效力 If you would like an English version 1、 约束力。《安全规范》虽然不是法律, 不具有直接法律约束力, of this publication, please contact: 但在一定程度上是政府部门判断企业是否勤勉地履行《网络安 Roy Guo: (86 21) 3135 8756 Publication@ 全法》和其他法律下个人信息保护责任的判断标准。比如, “不 符合《安全规范》精神”就是国家网信办近期约谈“支付宝” 如您需要了解我们的出版物, 请与下列人员联系: 的依据之一。对企业而言, 《安全规范》仍是指导个人信息保 护实践的依据。 郭建良: (86 21) 3135 8756 Publication@ 通力律师事务所 信息安全管理 1 国家推荐标准《个人信息安全规范》的二十个要点 2、 责任人。《安全规范》要求企业高管, 如法定代表人或其它主要管理人员牵头管理信息安全。如果企 业收集使用个人信息达一定规模的, 必须组成专门负责信息安全的机构。《安全规范》对信息安全责 任人和机构的职责做出了规定。这就表明, 维护信息安全不仅仅是IT 部门的责任, 企业未尽保护之 责可能归咎于企业高管违反勤勉责任。 3 、 安全自审。《安全规范》要求企业开展每年一次的安全评估, 全面审查企业的个人信息保护实践、可 能存在的风险和安全保护措施。企业的安全自审不仅能够实现防范风险, 还可以作为出现安全事故 时企业的抗辩。 4 、 关键岗位管理。《安全规范》要求企业从人员管理角度保障接触和处理个人信息的关键岗位人员具有 良好的安全保护素养、知识和能力, 如开展背景审查、培训以及与相关人员签订必威体育官网网址合同。 信息收集 5、 间接收集的同意。直接收集个人信息固然需要获得信息主体的知情同意。如果企业从第三方渠道间 接收集, 也应当核实该第三方收集和转让个人信息的合法性。这就要求企业, 不仅仅要在合同上对信 息转让人转让信息的合法性做出约束, 还要对信息的合法来源进行必要的尽职调查。 6、 公开渠道收集的例外。《安全规范》第一次明确从合法公开渠道, 如新闻发布和政府公示, 收集个人 信息的合法性, 为企业拓展了信息收集的渠道。但是《安全规范》并没有说明“公开合法渠道”的确切 范围。 7、 信息主体的知情。在寻求收集个人信息的同意时,