中文字幕无码av不卡一区,亚洲综合AV永久无码精品一区二区,黑人巨大白妞出浆,黄色高清无码免费看,久久久久免费精品国产,久久无码人妻丰满熟妇区毛片,欧美日韩国产综合草草,久久福利网站,亚洲一区二区三区中文字幕在线,av国内精品久久久久影院

編輯導(dǎo)語：個人信息保護(hù)法實(shí)施了，針對個人信息安全問題的復(fù)雜性和多樣性，結(jié)合實(shí)際情況，相關(guān)立法部門在個人信息保護(hù)法中首次賦予個人充分權(quán)利，并在國內(nèi)立法中首次出現(xiàn)“個人敏感信息”這個概念。在這個背景之下，互聯(lián)網(wǎng)平臺應(yīng)該如何做好自身工作？本文作者深入解析了相關(guān)規(guī)定，推薦各位互聯(lián)網(wǎng)人閱讀。

“有前款規(guī)定的違法行為，情節(jié)嚴(yán)重的，由省級以上履行個人信息保護(hù)職責(zé)的部門責(zé)令改正，沒收違法所得，并處5000萬元以下或者上一年度營業(yè)額5%以下罰款。”

相比數(shù)安法，個信法保護(hù)的個人信息一旦泄漏和被非法使用，極易導(dǎo)致自然人的人格尊嚴(yán)受到侵害，或者人身，財產(chǎn)安全受到危害，其中一些大型平臺的個人信息，因?yàn)橛脩袅烤薮?，業(yè)務(wù)類型復(fù)雜，被管制時缺乏競爭對手，一旦發(fā)生信息泄露或?yàn)E用，可能導(dǎo)致嚴(yán)重后果，甚至關(guān)系到國家經(jīng)濟(jì)和國家安全。

因此，相比數(shù)安法，個信法對相關(guān)企業(yè)的處罰要重得多、波及的受眾要廣得多、治理起來的難度要復(fù)雜地多，可謂是全民關(guān)注的第一部信息安全法律。

然樹欲靜而風(fēng)不止，在個信法正式實(shí)施前的一個月里，大家忙于大考的關(guān)鍵月，不少互聯(lián)網(wǎng)平臺企業(yè)卻感受到了個人信息保護(hù)的“棘手”。

一、今天之前，風(fēng)雨暗藏

個信法正式實(shí)施前的一個月里，互聯(lián)網(wǎng)平臺圈并不太平。

10月8日，有網(wǎng)友開啟iOS 15 的隱私新特性“記錄App活動”時，發(fā)現(xiàn)微信、淘寶、QQ等多款國產(chǎn)App均存在后臺頻繁讀取用戶相冊的行為，次日騰訊發(fā)出了《微信「快捷發(fā)圖」功能到底發(fā)生了什么事》來技術(shù)解釋；

10月10日，一網(wǎng)友在社交網(wǎng)絡(luò)上發(fā)布了一段視頻，視頻中顯示美團(tuán) App 從 10 月 6 日起便開始獲取位置信息，頻率高達(dá)每 5 分鐘一次，24小時內(nèi)完全沒有間斷。次日美團(tuán)工程師雖就“頻繁定位”回應(yīng)稱：建議謹(jǐn)慎下載某境外隱私軟件，常用App權(quán)限開啟時檢測結(jié)果基本一致。

但我們看到，美團(tuán)雖然有所回應(yīng)，但是不了解視頻中定位行為背后原理的用戶依然沒有100%解開自己心中的疑惑；美團(tuán)定位視頻的同一天，王思聰在微博發(fā)文，稱自己的大眾點(diǎn)評被別人改綁手機(jī)號并質(zhì)問：“這就是上萬億市值公司的安全系統(tǒng)嗎？” ，次日，就有熱心網(wǎng)友發(fā)出技術(shù)文推理還原——《猜猜王思聰是怎么被盜號的》？

誠然，大家可以看到，一些互聯(lián)網(wǎng)平臺已經(jīng)針對個人信息保護(hù)法的合規(guī)做了不少“能先做”的動作，比如近期幾乎所有App都有更新的隱私條款，部分App剛剛上線的青少年模式，部分快遞平臺開始隱匿一些明文個人郵寄的信息。

但，個人信息保護(hù)法作為一部直接針對個人的法律，因在其頒布前已經(jīng)有諸起大型互聯(lián)網(wǎng)平臺數(shù)據(jù)泄漏、數(shù)據(jù)濫用的大規(guī)模事件，其治理迫切程度已經(jīng)到了“不得不治”的地步。典型的事件，包括某快遞公司40W個人信息被內(nèi)鬼泄漏引發(fā)央視點(diǎn)名批評，某微博5億用戶數(shù)據(jù)在暗網(wǎng)售賣被媒體曝光，某酒店數(shù)億條酒店用戶信息泄漏涉及1.3億人身份及開房信息數(shù)據(jù)。

每每想到隨手一個大型互聯(lián)網(wǎng)平臺，積累了盈萬累億的個人信息，其一舉一動都可能對個人人身財產(chǎn)安全產(chǎn)生直接危害，對產(chǎn)業(yè)市場造成巨大沖擊，對國民經(jīng)濟(jì)和社會活動產(chǎn)生深遠(yuǎn)影響，不管是個人還是國家，都沒辦法對這些事關(guān)國民經(jīng)濟(jì)安全，國家數(shù)據(jù)安全的平臺置若罔聞。

二、首次直面 “守門人”義務(wù)

針對上述實(shí)際情況，我們可以看到，針對個人信息安全問題的復(fù)雜性和多樣性，相關(guān)立法部門在個信法中首次賦予個人充分權(quán)利，并在國內(nèi)立法中首次出現(xiàn)“個人敏感信息”這個概念。另外，相關(guān)立法部門，還在個信法第五十八條首創(chuàng)“守門人”義務(wù)——明言對于提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者，應(yīng)當(dāng)履行下列義務(wù)：

1. 按照國家規(guī)定建立健全個人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個人信息保護(hù)情況進(jìn)行監(jiān)督；
2. 遵循公開、公平、公正的原則，制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護(hù)個人信息的義務(wù)；
3. 對嚴(yán)重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；
4. 定期發(fā)布個人信息保護(hù)社會責(zé)任報告，接受社會監(jiān)督。

上述4項(xiàng)“守門人”義務(wù)中，相關(guān)律所在解讀個信法時，都有著重提到“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個人信息保護(hù)情況進(jìn)行監(jiān)督” 、“定期發(fā)布個人信息保護(hù)社會責(zé)任報告，接受社會監(jiān)督?！?這兩項(xiàng)，它們都是明言強(qiáng)調(diào)“借”用外部獨(dú)立機(jī)構(gòu)或者外部社會監(jiān)督力量來彰顯個人信息安全治理的決心，以及尋求最大力度地把個人信息保護(hù)拉回正軌的舉措。

三、它們遇到的難與痛

1. 互聯(lián)網(wǎng)平臺 “守門人” 遇到的問題一樣嗎？

據(jù)360大數(shù)據(jù)安全協(xié)同技術(shù)國家工程實(shí)驗(yàn)室專家童磊介紹，“從共性問題來說，所有的互聯(lián)網(wǎng)平臺都會收集個人信息包括姓名、電話、地址等，所以都需要按照‘個保法’的要求做好個人信息和敏感個人信息的治理和管理工作，并針對不同重要程度的信息進(jìn)行相應(yīng)的安全控制設(shè)計”。從差異性問題來說：

以社交網(wǎng)絡(luò)App舉例，“近期出現(xiàn)了很多社交網(wǎng)絡(luò)App違規(guī)收集個人信息的安全事件。針對社交軟件的使用場景，‘個保法’明確要求了的對個人信息和敏感個人信息管理要求，如最小收集原則，用戶同意授權(quán)等。一個社交網(wǎng)絡(luò)App在收集了大量個人信息后若不妥善保管用戶數(shù)據(jù)，可能會造成數(shù)據(jù)泄漏，造成的影響甚至可能會關(guān)系用戶主體的人身安全電商這邊，“會涉及到一些金融財務(wù)包括數(shù)據(jù)流轉(zhuǎn)相關(guān)的場景，偏向于金融安全和金融數(shù)據(jù)保護(hù)。

比如，一個手機(jī)App的互聯(lián)網(wǎng)金融產(chǎn)品，涉及到股票或者貸款保險，只要涉及到金融屬性，就要在‘個保法’的基礎(chǔ)上遵從人行和銀保監(jiān)會相關(guān)的要求。” 所以，主要的考慮場景涉及到金額交易。

游戲的問題側(cè)重點(diǎn)，“則在未成年人。因?yàn)樵凇畟€保法’中一個重要的信息提到針對未成年人在收集和處理個人信息時，需要有單獨(dú)的考慮，重點(diǎn)要放在未成年人是否要達(dá)到14歲。” 如未達(dá)到14歲則需要獲得監(jiān)護(hù)人個人信息的授權(quán)和使用。

外賣這邊，“重點(diǎn)會涉及到這個人購買食品的偏好，比如是否有精準(zhǔn)營銷、客戶畫像、大數(shù)據(jù)殺熟，當(dāng)然殺熟這個場景在其他的情況下可能也會有，比如出行中也會有殺熟的問題?！?這類問題主要考慮的是，如何保證數(shù)據(jù)的算法的公開透明。

短視頻涉及到“個保法”的內(nèi)容和相關(guān)性比較有特點(diǎn)的，是在生物識別的個人信息?！笆紫人敲舾袀€人信息，在視頻播放的時候，其實(shí)不但要考慮到‘個保法’，還要考慮到廣電總局視頻播放的相關(guān)要求，包括視頻的主題?！?所以，在以往的項(xiàng)目或者視頻實(shí)施過程中，會體現(xiàn)需要結(jié)合實(shí)際應(yīng)用場景所涉及到的行業(yè)去遵從和設(shè)計相應(yīng)的個人信息保護(hù)的相關(guān)要求。

招聘求職也是一樣的，“一些大型招聘網(wǎng)站會涉及到一些比較敏感的行業(yè)特色的信息，這里面只說差異性的。比如人員履歷還有相應(yīng)的薪酬，無論是企業(yè)角度包括個人角度，可能有人進(jìn)行客戶的畫像，比如它是一個高管，收入很高，則他的個人信息的敏感度和薪酬數(shù)據(jù)的屬性是要保護(hù)的。也有一些特殊行業(yè)是涉密的，招聘網(wǎng)站就需要對這些行業(yè)進(jìn)行涉及，這些都是在‘個保法’的管控原則里都有提到?！?/p>

網(wǎng)絡(luò)尖刀的創(chuàng)始人曲子龍則補(bǔ)充到，“據(jù)了解，一般相同的，都是圍繞數(shù)據(jù)授權(quán)、數(shù)據(jù)使用范圍進(jìn)行治理；相對不同的是不同類型的平臺，所‘必須’的數(shù)據(jù)并不一樣，對治理的方案有一定的差異化，比如電商、外賣、快遞、出行相對來說都是訂單數(shù)據(jù)及收件信息還有一定的位置數(shù)據(jù)；社交、直播、搜索則更偏向于廣告畫像。”

2. 此刻 “守門人” 最關(guān)注哪些難題？

根據(jù)中國信息通信研究院互聯(lián)網(wǎng)法律研究中心高級研究員楊婕表示，目前超級大型互聯(lián)網(wǎng)平臺在應(yīng)對個信法合規(guī)的過程中，系統(tǒng)性地在關(guān)注，可以概括為：

• 對外：接受外部獨(dú)立機(jī)構(gòu)監(jiān)督；定期發(fā)布社會責(zé)任報告。
• 對內(nèi)：按照國家規(guī)定，建立健全個人信息保護(hù)合規(guī)制度體系；制訂平臺規(guī)則，明確平臺內(nèi)部規(guī)范和義務(wù)；對平臺內(nèi)部產(chǎn)品或者服務(wù)提供者的監(jiān)督。

跟客戶數(shù)據(jù)接觸較多的明略科技高雅則表示，“從公司實(shí)際執(zhí)行方的角度，一般會先看企業(yè)中處理的數(shù)據(jù)是不是個人信息范疇，是不是屬于敏感個人信息范疇，這會影響后面數(shù)據(jù)的分類分級和具體管理方式?！?/p>

3. 實(shí)踐時，具體的業(yè)務(wù)和技術(shù)痛點(diǎn)在哪？

據(jù)網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍的觀察，“首先面臨最大的問題是‘?dāng)?shù)據(jù)授權(quán)’問題，尤其在電商、金融、廣告業(yè)表現(xiàn)最為明顯，原本多渠道聚合的數(shù)據(jù)已經(jīng)不能用了，自身也不能向自己生態(tài)的企業(yè)或服務(wù)商進(jìn)行‘?dāng)?shù)據(jù)轉(zhuǎn)授權(quán)’，行業(yè)里中下游企業(yè)已經(jīng)出現(xiàn)數(shù)據(jù)斷供問題。另外就是原本需要一定的用戶敏感數(shù)據(jù)才能展開的業(yè)務(wù)，接下來該如何開展，也會成為企業(yè)最大的問題，目前原有的數(shù)據(jù)授權(quán)體系可能并不能完全合規(guī)，急需實(shí)現(xiàn)數(shù)據(jù)可用而不可見的轉(zhuǎn)化，比如金融業(yè)?！?/p>

還有就是，淘寶、京東、抖音都陸續(xù)對訂單信息及消費(fèi)者信息采取脫敏加密，不再向商家、ISV提供消費(fèi)者敏感信息，“沒有了消費(fèi)者隱私數(shù)據(jù)后，下游企業(yè)如果不依托大廠商僅在廣告這件事兒上就已經(jīng)很難實(shí)現(xiàn)精準(zhǔn)投放，銷售成本自然就會跟著變高，掌握精準(zhǔn)數(shù)據(jù)的頭部企業(yè)，很可能通過數(shù)據(jù)壟斷形成更高的壁壘?！?/p>

360大數(shù)據(jù)安全協(xié)同技術(shù)國家工程實(shí)驗(yàn)室專家童磊則表示，近期大家非常關(guān)注數(shù)據(jù)安全合規(guī)的問題，因?yàn)?，?strong>大多數(shù)平臺對自己平臺產(chǎn)品和相關(guān)供應(yīng)商產(chǎn)品很難做到有效的的管理和監(jiān)督。這其實(shí)也是一個行業(yè)痛點(diǎn)問題，從目前的可行性方案來說，業(yè)內(nèi)傾向于有技術(shù)積累優(yōu)勢的大平臺去統(tǒng)一管理，憑借自身平臺的研發(fā)能力，安全能力，能夠?qū)ζ髽I(yè)業(yè)務(wù)邊界、數(shù)據(jù)安全的邊界，做到更有效的管控。

比較通用的一個建議，是在管理制度職能上包括職責(zé)上需要更新相應(yīng)的服務(wù)條款，比如通過DPA（Data Protection Assessment）或者其它的條款，去進(jìn)行雙方關(guān)于個人信息保護(hù)重新的職能劃分，明確保護(hù)的義務(wù)，使用數(shù)據(jù)的場景，這樣至少于一些有意識或者想進(jìn)行更好服務(wù)的App廠商來說，能更有自驅(qū)力去做好數(shù)據(jù)安全和個人信息保護(hù)的工作?！?/p>

最后，要準(zhǔn)備好在這個過程中，“不做投入可能就會面臨處罰，以及時間會淘汰一批沒有能力，或者意識上不想去做上述行動的從業(yè)者。”

安恒信息上?？偛渴紫茖W(xué)家周亞超則表示，從一些廠商自己都沒意識到的角度來說：“出于好奇，有時候我個人會使用一些信息隱私追蹤類小工具測試，看看當(dāng)搜索引擎或者App內(nèi)的搜索功能拿了我們的數(shù)據(jù)之后，會用在哪里？

打開這些工具時會發(fā)現(xiàn)，雖然用戶只是在搜索引擎中或者App內(nèi)的搜索功能中，輸入一個簡單信息，但是這個信息會給到平臺當(dāng)中幾十甚至上百個關(guān)聯(lián)方。這可能是App的安全問題，也可能是App沒有做到合規(guī)。如果是安全問題，安恒安全需求分析與設(shè)計平臺就是針對App具體功能業(yè)務(wù)進(jìn)行安全需求與設(shè)計，在App成形前檢測可能存在的安全風(fēng)險點(diǎn)，在開發(fā)的同時提高App的安全保障能力。”

有些廠商可能都沒注意到隱私政策條款這些細(xì)節(jié)或者可能對這些問題有模糊的認(rèn)知，但措施還不到位。另外，從她本人的實(shí)踐經(jīng)驗(yàn)看：

“個人信息是很復(fù)雜的，大家暫時能夠解決的結(jié)構(gòu)化數(shù)據(jù)有一定規(guī)則，非結(jié)構(gòu)性的那些數(shù)據(jù)，它的隱患可能外部目前沒把它監(jiān)測出來，具體的非結(jié)構(gòu)性數(shù)據(jù)，需要具體的什么工具什么解決技術(shù)，這個需要長期探索。”

另外，從其它一些廠商自己都沒注意到的角度來說，上述涉及到相關(guān)信息會給到平臺當(dāng)中幾十甚至上百個關(guān)聯(lián)方這種情形，用戶如果遇到信息泄露很明顯的情況，各種排查找不出原因，可以回過頭仔細(xì)閱讀它的隱私政策條款，這些隱私條款可能還有可待商榷的地方，但用戶自己確實(shí)選擇了同意。

4. 守門人3類分法，哪一類根據(jù)個信法處理對應(yīng)需求，難度最大，任務(wù)最重？

個信法中提到“大型互聯(lián)網(wǎng)平臺判定條件有提供重要互聯(lián)網(wǎng)平臺服務(wù)，用戶數(shù)量巨大，業(yè)務(wù)類型復(fù)雜”，關(guān)于“業(yè)務(wù)類型復(fù)雜”，根據(jù)金杜律師事務(wù)所的分法，以下3類模式可能被認(rèn)定為“業(yè)務(wù)類型復(fù)雜”

• 超級App+小程序，第三方小程序可能存在大量個人信息收集，共享，處理活動。
• 內(nèi)嵌多種業(yè)務(wù)的單一App，比如同時提供外賣，在線旅行，移動出行，社區(qū)團(tuán)購，金融服務(wù)等等。
• 通過多種渠道提供在線服務(wù)。不同服務(wù)之間可能出現(xiàn)交互，構(gòu)成體系性的復(fù)雜業(yè)務(wù)網(wǎng)絡(luò)。

「那哪一類近期根據(jù)個人信息保護(hù)處理對應(yīng)需求，難度最大，任務(wù)最重？」

據(jù)360大數(shù)據(jù)安全協(xié)同技術(shù)國家工程實(shí)驗(yàn)室專家童磊的看法，按以上維度來分的話，“第三種跨實(shí)體的，并且跨品牌的最難，因?yàn)樯婕暗搅诉吔绻芸睾蛿?shù)據(jù)交換，因?yàn)橄嚓P(guān)方數(shù)量越多，場景就越復(fù)雜，數(shù)據(jù)安全風(fēng)險就越大，整改成本也越大。”

網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍則認(rèn)為，看似不同的業(yè)務(wù)屬性，實(shí)際上從合規(guī)角度來講，“需要的都是從原始的一次性授權(quán)，轉(zhuǎn)向分批次授權(quán)的轉(zhuǎn)變，用到哪個業(yè)務(wù)時再申請哪個權(quán)限，用戶沒有使用就不需要對此授權(quán)，在自己的業(yè)務(wù)內(nèi)這樣重新定義權(quán)限的使用和獲取其實(shí)并不難，以微信小程序?yàn)槔?，小程序的開發(fā)者本身就是需要向微信申請權(quán)限再使用的。

依托先申請授權(quán)再使用原則，其實(shí)能解決大部分隱私授權(quán)問題，而被廣泛關(guān)注的‘大數(shù)據(jù)殺熟’、‘個人信息濫用’ 這些問題本身就是違法違規(guī)的作惡問題，不存在怎么整改這一說，本身就是必須立即停止不能做的事情?！?/p>

四、11月始，如何避免再次“踏雷”

從法律層面，除了市面上眾多律所根據(jù)《個人信息保護(hù)法》第五章個人信息處理者義務(wù)規(guī)定的九大義務(wù)：

1. 制定內(nèi)部管理制度和操作規(guī)程；
2. 對個人信息實(shí)行分類管理；
3. 采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施；
4. 定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn)；
5. 制定信息安全事件應(yīng)急預(yù)案；
6. 處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的義務(wù)；
7. 處理境外（有境外業(yè)務(wù)）企業(yè)的特殊業(yè)務(wù)；
8. 定期合規(guī)審計；
9. 對特殊情形的個人信息處理活動事前進(jìn)行個人信息保護(hù)影響評估。

互聯(lián)網(wǎng)平臺守門人要額外謹(jǐn)記上述針對互聯(lián)網(wǎng)平臺“守門人”的特殊對外，對內(nèi)5小義務(wù)：

• 對外：接受外部獨(dú)立機(jī)構(gòu)監(jiān)督；定期發(fā)布社會責(zé)任報告。
• 對內(nèi)：按照國家規(guī)定，建立健全個人信息保護(hù)合規(guī)制度體系；制訂平臺規(guī)則，明確平臺內(nèi)部規(guī)范和義務(wù)；對平臺內(nèi)部產(chǎn)品或者服務(wù)提供者的監(jiān)督。

從企業(yè)層面，據(jù)網(wǎng)絡(luò)安全廠商反饋，360大數(shù)據(jù)安全協(xié)同技術(shù)國家工程實(shí)驗(yàn)室專家童磊基于自己上述所提的多數(shù)平臺對自己平臺內(nèi)部產(chǎn)品或者服務(wù)提供者的監(jiān)督治理這個問題，表示360已經(jīng)有一些成熟的方案和產(chǎn)品實(shí)驗(yàn)室憑借多年在行業(yè)、企業(yè)的實(shí)踐積累與國家監(jiān)管機(jī)構(gòu)，包括與網(wǎng)信辦，工信部，公安部相關(guān)部門開展合作，建立了多個大數(shù)據(jù)安全技術(shù)技術(shù)平臺，可以解決大部分行業(yè)痛點(diǎn)難點(diǎn)問題。

而從整個行業(yè)視角看，要避免再次踏雷 ：

“從業(yè)務(wù)視角來說，第一個要做企業(yè)業(yè)務(wù)個人信息資產(chǎn)盤點(diǎn)。在11月1號之前，企業(yè)至少心里有底，若真的出現(xiàn)問題，我們能夠達(dá)到一個心理預(yù)期和心理準(zhǔn)備，知道某一個App某個業(yè)務(wù)開發(fā)團(tuán)隊(duì)沒有做這塊內(nèi)容，所以才泄露了，比如手機(jī)驗(yàn)證隨便修改，大家要快速下線或整改這個業(yè)務(wù)。

第二個對管理層，盤點(diǎn)之后要進(jìn)行整個企業(yè)業(yè)務(wù)發(fā)展方向的一個重新的設(shè)計，在現(xiàn)有的企業(yè)戰(zhàn)略規(guī)劃中加入個人信息的相關(guān)內(nèi)容，最快最簡單的就是在企業(yè)內(nèi)部，把相應(yīng)的人找到，管理者找到，比如CIO或者CISO，去承擔(dān)這塊的業(yè)務(wù)。其一是讓大家現(xiàn)在做一個查漏補(bǔ)缺快速自查，其二就是委托職能部門或者高管推行或者承擔(dān)這件事情，要持續(xù)投入人員精力或者需要一個部門。

第三個在相應(yīng)的其他單位，比如審計或者第三方監(jiān)管機(jī)制，需要有人去做承擔(dān)和執(zhí)行。執(zhí)行的方式，有兩點(diǎn)建議，一是要有專業(yè)的人，專業(yè)的機(jī)構(gòu)去做，律所，或者我們這種專業(yè)機(jī)構(gòu)，售賣產(chǎn)品的廠商，籍由專業(yè)咨詢機(jī)構(gòu)或者有咨詢服務(wù)能力的團(tuán)隊(duì)或者找現(xiàn)有的供應(yīng)商廠商，要求它在合同里去進(jìn)行這方面的產(chǎn)品輸入，并在下一年的IT規(guī)劃和整個戰(zhàn)略規(guī)劃里要去同步。

第四個要做數(shù)據(jù)安全委員會出發(fā)的應(yīng)急響應(yīng)機(jī)制，把企業(yè)的法務(wù)部門、內(nèi)控部門、公關(guān)部門、政府關(guān)系部門拉攏去規(guī)避突發(fā)事件，因?yàn)榘踩袠I(yè)永遠(yuǎn)不變的主題就是永遠(yuǎn)會有事件。”

安恒信息上?？偛渴紫茖W(xué)家周亞超則鼓勵大家從態(tài)度層面正視：“隨著法律的正式實(shí)施肯定還會有一波熱點(diǎn)，這些問題暴露出來，其實(shí)是一件好事。我們這兩年來圍繞App的治理行動，包括圍繞違規(guī)行為，對于保障用戶權(quán)益的個人信息治理典范，其實(shí)是一個很好的合作者管理體系。整個大的治理體系，光靠用戶，運(yùn)營商，監(jiān)管機(jī)構(gòu)可能也不太夠，實(shí)際過程中可能需要一個推動政府、企業(yè)以及社會公眾共同參與共治的過程，以及明確在這個過程中，大家各自的角色以及在相關(guān)問題上，各自的主體責(zé)任的邊界?！?/p>

另外，在正式實(shí)施的“熱點(diǎn)”來臨之前，“其實(shí)企業(yè)內(nèi)部通過一些風(fēng)險評估的工作，也能夠及時規(guī)避掉不少這類內(nèi)部風(fēng)險。我覺得這個可能不是方法而是需求驅(qū)動的，比如一些熱點(diǎn)行業(yè)屬于監(jiān)管的重點(diǎn)領(lǐng)域，企業(yè)可能會有抱團(tuán)意識，形成行業(yè)內(nèi)部的監(jiān)管協(xié)會。以人工智能為例，圍繞生物特征、生物信息等領(lǐng)域，它自身存在較大需求，就會推動一個參與共治的機(jī)構(gòu)或是機(jī)制來做這方面的加強(qiáng)?！?/p>

從實(shí)操層面，明略科技高雅也反饋，“首先需要做內(nèi)部的管理制度和操作規(guī)程的要求。如果搜集了個人信息，對于一些敏感程度比較高的，要做單獨(dú)的處理和管理。技術(shù)方面，需要采用更嚴(yán)密的加密或者去標(biāo)識化，安全的措施。規(guī)定、處理這些接觸個人信息的人，有操作權(quán)限的限制和安全教育培訓(xùn)，另外可能有一些應(yīng)急預(yù)案?！?/p>

從第三方監(jiān)督層面，相關(guān)專家表示：

“首先，目前法律規(guī)定的確有模糊的地方，這對企業(yè)合規(guī)帶來了挑戰(zhàn)。因此企業(yè)需要密切關(guān)注下一步的細(xì)則文件出臺。

其次，目前很多企業(yè)都在按照個保法的要求進(jìn)行整改，但這種整改是自發(fā)的，事實(shí)上在很多企業(yè)內(nèi)部也存在著法務(wù)部們和業(yè)務(wù)部門“角力”的情況，因此，出現(xiàn)一些整改不徹底甚至沒有整改的空間，這是正常的。當(dāng)出現(xiàn)‘角力’ 的時候，業(yè)務(wù)部分要需要充分尊重法務(wù)意見，因?yàn)楹弦?guī)是生命線。而法務(wù)部門也要深刻、正確理解法律條文的含義，不是機(jī)械照搬。

另外，關(guān)于最近用戶維權(quán)意識的覺醒的問題，這是好事，是一個社會形成健康的數(shù)據(jù)安全文化的前提條件。以前，用戶不是不重視自己的權(quán)益保護(hù)，但重視了也沒用，訴求得不到滿足，甚至被置之不理。在法律威懾下，現(xiàn)在企業(yè)的態(tài)度改變了，用戶因此增強(qiáng)了維權(quán)意愿。但對企業(yè)而言，有時候也會遇到濫訴，這不可避免，但總體的影響是正面的。

最后要注意的是，企業(yè)層面，除了上述提到的個人信息保護(hù)法相關(guān)個人信息處理者的直接義務(wù)，另外還要注意確保個人信息處理規(guī)則合規(guī)，并有效保護(hù)用戶個人信息信息權(quán)的行使也是企業(yè)要重視的‘必然義務(wù)’ 。” 中國信息安全研究院副院長左曉棟建議到。

信通院云大所副所長魏凱則補(bǔ)充總結(jié)：“要注意個人信息保護(hù)合規(guī)審計是個保法的要求，在企業(yè)在進(jìn)行風(fēng)險治理的工作時，除了內(nèi)部具體實(shí)施者從業(yè)務(wù)層面和操作層面落實(shí)一道防線；企業(yè)管理者從法務(wù)，安全合規(guī)，內(nèi)控等角度落實(shí)管理的二道防線；還應(yīng)該積極接受外部監(jiān)督者的審計第三道防線。”

之所以要重視審計的價值，是因?yàn)閷徲嬆軌驇椭髽I(yè)了解個人信息保護(hù)合規(guī)的現(xiàn)狀和不足，完善閉環(huán)管理機(jī)制，實(shí)現(xiàn)個人信息保護(hù)合規(guī)的持續(xù)改進(jìn)。其具體作用體現(xiàn)在：

• 發(fā)現(xiàn)問題：以獨(dú)立視角監(jiān)督個人信息保護(hù)體系合規(guī)性，審計發(fā)現(xiàn)合規(guī)問題。
• 提出改進(jìn)建議：針對合規(guī)問題，提出專業(yè)合規(guī)改進(jìn)建議，實(shí)現(xiàn)閉環(huán)管理機(jī)制。
• 持續(xù)評價：針對審計整改結(jié)果持續(xù)評價，實(shí)現(xiàn)個人信息保護(hù)合規(guī)的持續(xù)改進(jìn)?！?/li>

另外當(dāng)雷鋒網(wǎng)咨詢相關(guān)部門負(fù)責(zé)本領(lǐng)域的數(shù)據(jù)安全個人信息安全的監(jiān)管職責(zé)的負(fù)責(zé)人會不會覺得監(jiān)督技術(shù)門檻比較高，魏凱對此表示，“工信部或者銀行或者其它監(jiān)督部門技術(shù)能力其實(shí)是很強(qiáng)的，銀行管網(wǎng)絡(luò)金融行業(yè)，電信管電信行業(yè)，工業(yè)管工業(yè)行業(yè)，幾十年一直在管，互聯(lián)網(wǎng)監(jiān)管實(shí)際上就是這個方式。這些年這么多這么長時間，他們的監(jiān)管技術(shù)是不斷提升的，大家不用擔(dān)心監(jiān)督技術(shù)問題以及抱太多僥幸心理。”

五、總結(jié)

對于11月1日正式實(shí)施的個人信息保護(hù)法，不用等到那天也可以預(yù)見，在接下來的幾個月，緣于個人用戶的監(jiān)督，外部機(jī)構(gòu)的監(jiān)督，相關(guān)手機(jī)廠商推出的各種追蹤小工具，一定會讓整個市場“熱鬧”非凡——相較于小心翼翼地祈禱企業(yè)平臺自身不要再次“踏雷”，更靠譜的方法，反而如上述專家們所言，把它看作是一個“好事”的愚公心態(tài)反而更能安全，具體怎么防止再次踏雷，結(jié)合上述多方專家意見的綜合，我們應(yīng)該力所能及的：

其一，法律義務(wù)層面，互聯(lián)網(wǎng)平臺要系統(tǒng)做好上述十大直接義務(wù)，還要做好確保個人信息處理規(guī)則合規(guī)和有效保護(hù)用戶個人信息信息權(quán)的行使的二大應(yīng)當(dāng)義務(wù)。

具體措施側(cè)層面：

其二，對于個信法第五章規(guī)定的直接義務(wù)，積極整改并主動向大眾同步動作和進(jìn)度。

其三，對于來自個人用戶和第三方追蹤工具體驗(yàn)者的投訴和監(jiān)督，大膽接受用戶指正，并可以對一些追蹤工具采取“師夷長技以律己”的小妙招，利用這些小App進(jìn)一步督促自己，當(dāng)然也可以利用網(wǎng)絡(luò)安全廠商的各種專業(yè)工具和平臺啟動更高維度的自我監(jiān)督。

其四，對于其它不確定的風(fēng)險盲區(qū)提前做個人風(fēng)險評估，特別危害是涉及國家安全層面高度的。

其五，制定短期防踏雷措施和長期防踏雷措施。

其六，要想徹底長治久安，注意借助審計很重要。

作者：李宗仁；公眾號：雷鋒網(wǎng)

原文鏈接：https://mp.weixin.qq.com/s/VGgsHUnGFy142MiS5c4chQ

本文由 @雷鋒網(wǎng) 授權(quán)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載。

題圖來自 Pixabay，基于CC0協(xié)議。