近日，《個人信息保護(hù)法（草案）》正式全文發(fā)布，并開始向社會征集意見。作為我國首部個人信息保護(hù)專項(xiàng)立法，該草案的亮相備受關(guān)注。
強(qiáng)化個人信息保護(hù)已是大勢所趨，數(shù)據(jù)合規(guī)性將成為企業(yè)競爭力的重要考量，而即將出臺的《個人信息保護(hù)法》，也就成為所有企業(yè)與從業(yè)者必須參考的重中之重。
其中。針對企業(yè)內(nèi)部個人信息安全已存在或可能面臨的安全問題，為應(yīng)對行業(yè)監(jiān)管要求，提升個人信息整體安全防護(hù)效果，應(yīng)從頂層建設(shè)著手，制定關(guān)于個人信息保護(hù)的管理措施。觀安信息通過多年數(shù)據(jù)安全治理經(jīng)驗(yàn)，建議企業(yè)對個人信息保護(hù)措施主要從以下幾方面進(jìn)行：
1、個人信息梳理是基礎(chǔ)
個人信息梳理是企業(yè)厘清個人信息保護(hù)工作在企業(yè)內(nèi)部所應(yīng)覆蓋的廣度和深度的基礎(chǔ)和前提。通過個人信息梳理工作，企業(yè)得以建立個人信息數(shù)據(jù)清單和數(shù)據(jù)流圖，劃定個人信息處理全生命周期（收集、使用、保存、傳輸、處置等）所涉及的業(yè)務(wù)和運(yùn)營流程、信息系統(tǒng)及基礎(chǔ)架構(gòu)等，明確相關(guān)管控措施所應(yīng)落實(shí)的具體范圍。
2、治理架構(gòu)是保障
企業(yè)應(yīng)建立健全數(shù)據(jù)安全治理架構(gòu)，定義各個層級、各個部門和人員的數(shù)據(jù)安全角色、分工和職責(zé)，建立恰當(dāng)?shù)目冃Ш涂荚u機(jī)制，實(shí)現(xiàn)有效的資源配置，以保障數(shù)據(jù)安全管理工作能夠有效建立和持續(xù)施行。
3、“內(nèi)外兼修”是核心
不可否認(rèn)，考慮到目前較高的國內(nèi)外監(jiān)管要求和企業(yè)自身較低的隱私管理成熟度，對于大多數(shù)企業(yè)而言，實(shí)現(xiàn)完全的個人信息保護(hù)合規(guī)必將是一個龐雜而長遠(yuǎn)的工程，涉及的戰(zhàn)略層面、流程層面、執(zhí)行層面和技術(shù)層面的變更也是復(fù)雜多樣的。這其中，確有幾項(xiàng)關(guān)鍵工作任務(wù)，企業(yè)應(yīng)考慮盡快開展：
“對外”部分，一方面，對外溝通的各類文件，如適用于客戶個人信息收集和處理的隱私聲明、適用于員工個人信息收集和處理的員工手冊或勞動合同、適用于業(yè)務(wù)合作伙伴個人信息收集和處理的業(yè)務(wù)合同等，應(yīng)盡快依據(jù)相關(guān)要求進(jìn)行修訂和更新，以確保涵蓋關(guān)于個人信息主體合法權(quán)益的各項(xiàng)聲明；另一方面，應(yīng)盡快建立有效的數(shù)據(jù)安全事件應(yīng)急處置和報(bào)告機(jī)制，根據(jù)企業(yè)業(yè)務(wù)特點(diǎn)和管控流程，制定有效的評估、響應(yīng)、通報(bào)流程，確保數(shù)據(jù)安全事件能夠得到恰當(dāng)?shù)奶幹茫⑴c監(jiān)管部門、個人信息主體進(jìn)行有效及時地溝通。特定行業(yè)還應(yīng)關(guān)注通報(bào)的規(guī)則和時效性等。
“對內(nèi)”部分，一方面，個人信息保護(hù)應(yīng)與企業(yè)原有的信息安全管理工作有機(jī)結(jié)合，進(jìn)一步建立健全企業(yè)信息安全管理體系，并輔以有效的技術(shù)支撐，如數(shù)據(jù)防篡改、數(shù)據(jù)防泄漏、數(shù)據(jù)去標(biāo)識化、數(shù)據(jù)備份與恢復(fù)等；另一方面，個人信息保護(hù)特有的管控機(jī)制也應(yīng)逐步建立和落實(shí)，如個人信息安全影響評估、個人信息跨境傳輸安全評估、通過設(shè)計(jì)保護(hù)隱私等，自上而下，全方位搭建企業(yè)的數(shù)據(jù)安全管控體系，以合理確保個人信息安全。
個人信息保護(hù)任重而道遠(yuǎn)，企業(yè)應(yīng)立即行動，以有效防控與之相關(guān)的合規(guī)風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)和運(yùn)營風(fēng)險(xiǎn)。
網(wǎng)站安全，云高防必不可少：http://www.xinnet.com/cs/ddosip.html