360攜手信通院歷時三年打造權威報告聚焦企業個人信息報告

360攜手信通院歷時三年打造權威報告聚焦企業個人信息報告 1


近段時間以來,有關網絡安全、個人信息保護的話題屢屢衝上熱門,業內對於數據安全的重視度持續加碼。在此之中,各類企業場景更是關注焦點。

“企業在境內運營活動中收集的數據應存儲在境內”、“企業對個人信息收集應遵循最小必要原則”、“企業收集信息應徵得用戶明示同意”……

在7月15日召開的2021中國互聯網大會“數字化治理論壇”中,三六零(股票代碼:601360.SH,以下簡稱360)與中國信息通信研究院便聯合披露了一份《企業個人信息保護合規思路與實踐報告》,意在對企業場景中的個人信息保護規範提供有益參考。

360攜手信通院歷時三年打造權威報告聚焦企業個人信息報告 2

360對此表示,公司願與各界共同深度研析個人信息治理和數據安全的全球態勢與中國因應,探討實現數據安全和個人信息保護相關的各項權益,規範數據處理活動,促進數據資源合理利用的製度建構圖景。

立足企業場景報告提供個人信息保護指南

伴隨產業數字化發展的不斷深入,各類企業在利用軟件工具服務大眾的同時,亦獲取了大量個人信息,其不僅幫助企業獲得用戶畫像,亦構成了行業大數據的重要組成部分。

但由于近期的几起网络安全事件,公众对于个人信息的保护意识显著增强,企业该如何规范对用户信息的处理,已成为业界的核心关切。

對此,360和信通院聯合發布的這份報告似乎來的及時,並給出了諸多可參考建議。據介紹,本報告立足於個人信息保護領域我國現行政策戰略、法律法規和其他規範,從處理的個人信息類型與要求、處理的原則要求、處理行為要求、個人信息安全工程、組織製度技術要求、監管動向與法律後果以及常見問題等七個方面,全面系統建構企業關於個人信息的全流程保護體系,是企業業務場景下有關個人信息保護合規風控工作的實操凝煉和理論總結。

一方面,報告對企業收集個人信息的合法基礎做出了內容明確,企業不僅應向用戶告知收集、使用個人信息的目的、方式和範圍,還需徵得用戶的明示同意。

在具體方案上,企業應採用一般告知、增強告知、即時提示三個層次來操作;而當收集的目的、方式、範圍等重要因素發生變化時,企業方面還應再次告知並徵得同意。

另一方面,企業還應遵循對個人信息“收集的最小必要原則”,其不能非法收集、違法收集,亦不能強制捆綁。

而針對近期備受關注的個人信息儲存,《報告》認為,隱私政策需要說明存儲的目的、方式、範圍、存放地域,存放期限以及超期處理方式。企業在境內運營活動中收集的數據應存儲在境內,出境需要按法規要求評估,並以即將出台的《個人信息保護法》,已生效的《網絡安全法》、《數據安全法》等法規的最新要求為準。

此外,關鍵信息基礎設施運營者在境內運營中收集和產生的個人信息和重要數據,也應當在境內存儲;特殊領域的信息乃至所涉個人信息應存儲在境內,出境需主管部門評估。

歷經業務檢驗360為個人信息保護提供實操樣板

針對這份報告的重要意義,其不僅為企業場景中的個人信息保護提供權威範例,更順應了官方加碼網絡安全保護的潛在需要。

據梳理,今年6月,《數據安全法》正式被表決通過,意味著“數據”作為一種新型的、獨立的保護對象,已經獲得了立法上的認可。

7月12日,工信部亦公開徵求對《網絡安全產業高質量發展三年行動計劃(2021-2023年)(徵求意見稿)》的意見,其中明確,針對數據防洩露、防篡改、防竊取等傳統數據安全保障需求,要進一步優化數據安全管理、分類分級安全防護等產品功能和性能,提升數據安全智能防護和管理水平。

也正是基於這樣的背景,360歷經三年打磨,結合豐富的實踐經驗和最新不斷增強的法律法規,與信通院共同推出了這份報告。據360介紹,公司從2019年著手準備報告內容,2020年通過了核心業務團隊的檢驗,2021年在信通院的指導與支持下,提煉總結了其中具有共性的成果部分,向社會公開發布。

值得一提的是,報告中不僅提示了明確的規范建議,亦穿插了諸多應用場景示例,例如智能家居產品(例如掃地機)在用戶下載App 後並註冊之前,企業應如何規範獲取用戶的個人信息;社交App 更新隱私政策中的收集使用規則後,應跳出彈窗提示用戶閱讀等。與此同時,報告專門提供了開發設計實踐參考,提供了細節全面、操作性較高的《產品個人信息合規評估清單》,整體提升了其實際應用價值。

360對此表示,該報告既是一次創新模式總結,又是不斷探索、創新治理模式的開始,為打造良好數據保護生態提出了可操作的實踐思路,期待成為各類型企業遵從監管要求、建設完善個人信息保護製度體系、打造企業良好品牌形象的有益參考文件。