2022年11月1日,就在《个人信息保护法》实施一周年之际,由国家市场监督管理总局、国家标准化管理委员会发布的新国家标准《信息安全技术移动互联网应用程序(APP)收集个人信息基本要求(GB/ T 41391-2022)》(以下简称《基本要求》)正式实施。
作为新的国家标准,《基本要求》聚焦APP违法违规收集使用个人信息的突出问题,将成为现阶段监管侧及企业侧在移动APP方向上的个人信息治理实施过程中的重要参考依据。
中国贸促会全国企业合规委员会专家、北京丹华盛管理咨询有限公司首席合规专家丁继华在接受中国经济时报记者采访时表示,在移动互联网时代,数据是重要的资产,个人数据更是核心的资产,特别是APP对个人数据的过度收集、滥用及侵犯个人隐私的行为,需要引入司法治理。2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,并于当年11月1日正式施行。该法案要求企业建立个人信息保护合规管理体系。此次发布的《基本要求》更有针对性和操作性,主要是针对APP运营者提供的个人信息安全合规管理的指引,帮助运营APP的企业建立个人信息保护合规管理体系。
当前,大量APP运营都制定了本企业的个人信息保护安全管理规范,从收集、存储、使用、共享、转让等行为进行规范。本报记者了解到,某企业制定了个人信息保护合规管理规定。按照该规定,该企业成立了网络安全与信息化领导小组,指导与监督本企业的个人信息保护合规工作,对个人信息收集、存储、使用、共享、转让、删除等存在的合规风险进行评估,并结合业务场景进行具体的分析和提出相应的合规管理措施。
中国企业管理研究会副理事长、博联智库理事长赵永辉在接受本报记者采访时表示,企业作为个人信息保护的责任主体,依法保护个人信息已经成为企业必须要履行的强制性合规责任和合规义务。为此,企业要做好个人信息保护工作的合规建设,需要重点从以下几方面发力。
一是加快构建企业个人信息保护的制度体系。严格按照《个人信息保护法》和《基本要求》的规定,制定适应本企业的个人信息保护制度、流程和工作指引,在个人信息收集、存储、使用、加工、传输、提供、公开、删除等关键节点要明确责任人、明确底线和红线要求;同时,还要加强个人信息保护定期评估制度,评估合规风险,对风险事项提前预警,做到防患于未然。
二是建立健全组织领导机制。企业的负责人要高度重视,特别是互联网平台型企业,企业主要负责人要亲自“挂帅”。
三是开展普法培训和合规文化建设。加强《个人信息保护法》和《基本要求》的全员学习,尤其企业负责人要带头学,要把法治精神和要求融入到企业个人信息保护具体管理工作中去。
四是加强对个人信息保护的考核评估。从制度、组织、流程、关键控制、权责等方面,采用访谈、测试、检查巡查、抽样调查、审计等多种形式对个人信息保护的工作成效进行综合评估。同时,积极引入第三方评估机构,确保评估报告真实、可靠、公允。
丁继华表示,对于企业来说,做好个人信息保护合规管理工作,是一件必须要做而且要做好的事情。
随时随地了解最新ICT产业资讯,请扫描二维码,或搜索"chnsourcing",关注中国外包网官方微信。
作者:赵姗 编辑:崔蕾
官方微信
手机版
