国产片在线观看播放-国产片在线观看狂喷潮bt天堂-国产片在线看-国产片在线免费观看-国产片子

　　2020年3月6日，國家市場監(jiān)督管理總局、國家標準化管理委員會發(fā)布了全國信息安全標準化技術委員會（“信安標委”）編制的《信息安全技術個人信息安全規(guī)范》（GB/T35273-2020）（“新標準”），該新標準已于2020年10月1日實施，并即將取代已經(jīng)實施了快兩年的GB/T35273-2017（“原標準”）。

　　《網(wǎng)絡安全法》出臺后，特別是2018年5月1日《信息安全技術個人信息安全規(guī)范》（“舊版規(guī)范”）生效以來，不少企業(yè)已經(jīng)搭建起個人信息保護制度框架。數(shù)據(jù)合規(guī)體系是動態(tài)的有機體，需要靜態(tài)的制度框架，更需要合規(guī)人員的動態(tài)推動，將制度融入商業(yè)決策與交易中。于2020年10月1日生效的《信息安全技術個人信息安全規(guī)范》（“新版規(guī)范”或“《安全規(guī)范》”）針對個人信息保護負責人的規(guī)定，較舊版規(guī)范而言更為具體且務實。
　　
　　一、為什么要建立個人信息保護負責人制度
　　
　　個人信息保護負責人是指全面實施統(tǒng)籌組織公司個人信息保護工作、對個人信息安全負直接責任的公司人員。設立個人信息保護負責人對企業(yè)落地數(shù)據(jù)合規(guī)制度至關重要。具體而言，科學有效的個人信息保護負責人制度既可提高企業(yè)法律風險防御能力，亦可增強其核心競爭力。
　　
　　（一）提高企業(yè)風險防御能力
　　
　　個人信息保護不力會給企業(yè)帶來巨大損失：政府調(diào)查與處罰輕則迫使企業(yè)整改、重則顛覆既有商業(yè)模式、甚至導致企業(yè)與主要負責人承擔刑事責任；個人信息安全事件如果不能及時、妥善處理，企業(yè)所面對的信任危機可能比處罰帶來的社會影響更為深遠；廣大民眾不斷覺醒的個人信息保護意識更是促使企業(yè)時刻不得松懈。個人信息保護負責人既可以幫助企業(yè)在日常工作中未雨綢繆又可能在危機事件中力挽狂瀾，提高企業(yè)防御風險的綜合能力。
　　
　　2017年3月，有消費者認為其個人信息遭到泄露而將某航空公司起訴至法院。法院綜合認定被告存在泄露個人信息的高度可能，同時認為法律對經(jīng)營者采取技術措施和其他必要措施保護消費者個人信息施以強制規(guī)定。但是，被告未能證明其已履行法定的個人信息保護義務。[1]2019年12月，同一家航空公司因類似事由被起訴，但法院認為被告在自身掌握信息階段不存在泄露個人信息的事實。原因在于，航空公司不僅對可查看訂單信息的管理系統(tǒng)進行數(shù)據(jù)脫敏設置，還建立起嚴密的數(shù)據(jù)安全管理制度、就數(shù)據(jù)存儲安全進行專門認證、與專業(yè)第三方進行合作。[2]
　　
　　根據(jù)公開信息，前述航空公司于2018年任命首席數(shù)據(jù)官，全面負責企業(yè)的數(shù)據(jù)保護與合規(guī)運營工作。該航空公司也由此成為國內(nèi)首家設立數(shù)據(jù)保護官的企業(yè)。[3]雖然任命首席數(shù)據(jù)官與兩份截然相反的判決沒有直接關系，但從判決書中航空公司的舉證來看，其在一兩年間確實就個人信息保護采取了系列技術措施與組織措施，而任命首席數(shù)據(jù)官不僅是一種合規(guī)宣示，對于推動保護措施的落地顯然也至關重要。
　　
　　（二）增強企業(yè)核心競爭力
　　
　　中國企業(yè)傳統(tǒng)上將法律合規(guī)定位為后臺支持部門，該等定位在業(yè)務拓展特別是開發(fā)海外市場時的局限性日益凸顯。有能力的個人信息保護負責人有助于樹立良好的企業(yè)形象，在與監(jiān)管機構、合作伙伴、甚至競爭對手打交道的過程中，給人以專業(yè)、可信的印象，對于增強企業(yè)核心競爭力大有裨益。
　　
　　如何在各國紛繁復雜的法律規(guī)定下實現(xiàn)合規(guī)，需要個人信息保護負責人的統(tǒng)籌規(guī)劃。對敏感個人數(shù)據(jù)加緊審查的國際趨勢，尤其是中美經(jīng)貿(mào)摩擦下的監(jiān)管升級，[4]更是要求企業(yè)出海前審慎開展合規(guī)評估。華為、螞蟻金服、360奇虎等大型企業(yè)紛紛設立個人信息保護專家崗位，說明在合規(guī)工作進入“深水區(qū)”的今天，企業(yè)數(shù)據(jù)合規(guī)的水平和深度將直接決定商業(yè)機會的獲得。
　　
　　二、如何建立個人信息保護負責人制度
　　
　　《網(wǎng)絡安全法》規(guī)定網(wǎng)絡運營者應確定網(wǎng)絡安全負責人，關鍵信息基礎設施運營者應設置專門的安全管理機構和安全管理負責人。網(wǎng)絡安全事關國家安全，而隱私權保護原本側(cè)重私法法益的保護，延展為個人信息保護后則具備更多的公共利益屬性，但與網(wǎng)絡安全相較仍更突出自主性。在《個人信息保護法》尚未出臺的階段，推薦性的《安全規(guī)范》提出設置個人信息保護負責人制度，起到標準示范作用的同時亦在幫助企業(yè)為應對個人信息保護的強制立法做準備。
　　
　　（一）設置個人信息保護負責人的條件
　　
　　根據(jù)新版規(guī)范，當企業(yè)（1）主要業(yè)務涉及個人信息處理，且從業(yè)人員規(guī)模大于200人；（2）處理超過100萬人的個人信息，或預計在12個月內(nèi)處理超過100萬人的個人信息；或（3）處理超過10萬人的個人敏感信息的，應設置專職的個人信息保護負責人和個人信息保護工作機構。
　　
　　與舊版規(guī)范相比，新版規(guī)范對于設置個人信息保護負責人的門檻要求體現(xiàn)出與時俱進和風險導向的趨勢。首先，新版規(guī)范將處理50萬人的個人信息提升為100萬人，與數(shù)字經(jīng)濟下企業(yè)快速提升的數(shù)據(jù)處理規(guī)模相一致。其次，舊版規(guī)范并未將處理個人敏感信息作為標準之一，而新版規(guī)范則規(guī)定處理超過10萬人的個人敏感信息即應設立專職的個人信息保護負責人。縱觀近年的重點數(shù)據(jù)執(zhí)法，往往涉及個人財產(chǎn)信息、生物識別信息、精準的網(wǎng)絡瀏覽記錄等個人敏感信息的泄露、非法提供或濫用，故在考慮設置個人信息保護崗位時企業(yè)應將是否處理個人敏感信息作為重要參考依據(jù)。
　　
　　前述設置要求亦體現(xiàn)出平衡企業(yè)發(fā)展與保護法益的合理考慮。第（1）點要求從業(yè)人員大于200人，說明主要針對中型及以上企業(yè)。[5]這樣的設定給小微企業(yè)的發(fā)展留出空間，同時積極引導大中型企業(yè)在拓展業(yè)務時需更加合規(guī)、穩(wěn)健。第（2）點中的100萬人構成大城市的常住人口量，[6]收集、處理100萬人以上的個人信息說明業(yè)務已具有相當規(guī)模，設置個人信息保護負責人有必要性。
　　
　　（二）個人信息保護負責人的資質(zhì)要求
　　
　　舊版規(guī)范生效以來，實務界普遍關注的問題之一是：個人信息保護負責人需要具備何等資質(zhì)。新版規(guī)范分別從經(jīng)驗背景和決策地位兩方面，對個人信息保護負責人的資質(zhì)提出兩項指引：
　　
　　（1）由具有相關管理工作經(jīng)歷和個人信息保護專業(yè)知識的人員擔任；（2）參與有關個人信息處理活動的重要決策直接向組織主要負責人匯報工作。
　　
　　根據(jù)實踐，個人信息保護負責人需要具備法律專業(yè)背景，同時能夠理解技術、安全對個人信息保護的重要作用。個人信息保護的出發(fā)點是確保公司產(chǎn)品及服務符合國內(nèi)、國際的數(shù)據(jù)保護法律合規(guī)框架，因此對法律的理解是第一準則。由于個人信息保護也涉及數(shù)據(jù)安全治理，個人信息保護負責人應同時具備國際、國內(nèi)格局安全觀，日常工作中能夠與安全和技術人員充分交流并交換意見。顯然，傳統(tǒng)上此類人才相當稀少，令人欣喜的是近年來出現(xiàn)了一批對數(shù)據(jù)保護抱有熱忱的專業(yè)人士，逐漸形成了中國第一代數(shù)據(jù)保護人才庫。
　　
　　就決策地位而言，個人信息保護負責人應當具備管理職能，能夠參與重要決策。個人信息保護負責人不能僅承擔執(zhí)行責任，也要參與到管理決策，能夠與業(yè)務部門平等合作、甚至在為公司合規(guī)利益把關上有更高的話語權。《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》中，“數(shù)據(jù)”已經(jīng)被納入市場化配置改革的五大基礎生產(chǎn)要素，[7]業(yè)務部門為追求盈利，難免在個人信息保護和市場機會的平衡中更偏向市場。同時，相較于業(yè)務部門直觀反映于短期業(yè)績中的績效，合規(guī)管控更為長遠、前瞻，需要時間沉淀才能凸顯其價值。因此，個人信息保護負責人需具備管理、決策地位的必要性不言而喻。
　　
　　（三）個人信息保護負責人的職責
　　
　　新版規(guī)范明確規(guī)定了個人信息保護負責人的職責，與舊版規(guī)范相比有如下變化：（1）增加的職責為組織制定個人信息保護工作計劃并監(jiān)督落實、公布投訴、舉報方式等信息并及時受理投訴舉報，以及與監(jiān)管部門保持溝通，報告?zhèn)€人信息保護和事件處理情況；（2）增強的職責為組織開展個人信息安全影響評估后，還需提出個人信息保護的對策建議，督促整改安全隱患。由此可見，新版規(guī)范增加了個人信息保護負責人對外溝通聯(lián)絡的職能，就內(nèi)部職責而言則更加強調(diào)數(shù)據(jù)合規(guī)制度的落地實施。
　　
　　同時，《安全規(guī)范》也非常貼心地為各項職能的具體落實提供建議。其中，新版規(guī)范增加的兩項內(nèi)容為個人信息安全工程和個人信息處理活動記錄。
　　
　　個人信息安全工程有些類似GDPR項下的PrivacybyDesign,即在企業(yè)開發(fā)具有處理個人信息功能的產(chǎn)品或服務時，根據(jù)國家有關標準在需求、設計、開發(fā)、測試、發(fā)布等系統(tǒng)工程階段考慮個人信息保護要求，保證在系統(tǒng)建設時對個人信息保護措施同步規(guī)劃、同步建設和同步使用。因為個人信息安全工程涵蓋產(chǎn)品從需求到發(fā)布的完整周期，由誰來具體做評估、誰來監(jiān)督評估、誰來制作個人信息安全影響評估報告等，都由企業(yè)根據(jù)自身情況決定。不可否認的是，個人信息保護負責人在此過程中會起到重要的作用。《安全規(guī)范》建議開展個人信息安全工程時參照國家有關標準，具有很強的現(xiàn)實意義。例如，中國人民銀行和全國金融標準化技術委員會發(fā)布的《個人金融信息保護技術規(guī)范》即要求金融業(yè)機構有效隔離開發(fā)測試環(huán)境和生產(chǎn)環(huán)境，在實際開發(fā)測試中對個人金融信息進行虛構或者去標識化，且在產(chǎn)品或服務上線發(fā)布前進行技術檢測。
　　
　　個人信息處理活動記錄與GDPR第30條的要求較為類似，《安全規(guī)范》要求企業(yè)建立、維護和更新所收集、使用的個人信息處理活動記錄，包括個人信息的類型、數(shù)據(jù)、來源；根據(jù)業(yè)務功能和授權情況區(qū)分個人信息的目的、使用場景；個人信息出境情況；以及與個人信息處理活動各環(huán)節(jié)相關的信息系統(tǒng)、組織或人員。個人信息保護負責人的職能之一即為建立、維護和更新個人信息清單和授權訪問策略，正是對應個人信息處理活動記錄中的核心部分。
　　
　　三、完善個人信息保護負責人制度的展望
　　
　　新版規(guī)范完善了個人信息保護負責人制度，企業(yè)可以根據(jù)自身情況選擇適用，為建立數(shù)據(jù)合規(guī)體系奠定基礎。我們基于企業(yè)的良好實踐，為個人信息保護負責人制度、個人信息保護責任體系提出兩點展望。
　　
　　（一）設立個人信息保護工作機構
　　
　　《安全規(guī)范》除要求任命個人信息負責人外，也提到了個人信息保護工作機構。但是，尚未就個人信息保護工作機構給出具體指引。實踐中，合規(guī)人員在推動數(shù)據(jù)保護決策時常面臨各方阻力，執(zhí)行中也有不少困難。部分大型公司已經(jīng)設立數(shù)據(jù)保護委員會，作為企業(yè)數(shù)據(jù)治理工作的協(xié)調(diào)機構與最高決策機構，通常由安全技術部、法務部、風險管理部、業(yè)務運營部和公共關系部相關管理人員組成。該等設置有助于強化數(shù)據(jù)保護決策的合意基礎，確保決策的順利推行。特別是當出現(xiàn)安全事件時，數(shù)據(jù)保護委員會可統(tǒng)籌處理響應、對外進行溝通、適時復盤整改合規(guī)措施。
　　
　　（二）增強個人信息保護負責人的獨立地位
　　
　　新版規(guī)范除了開宗明義要求“法定代表人或主要負責人應對個人信息安全負全面領導責任”外，還就個人信息保護負責人的獨立性增強了制度保障，即：“應為個人信息保護負責人和個人信息保護工作機構提供必要資源，保障其獨立履行職責”。雖然與GDPR下DPO的獨立性仍有所差距，[8]但結(jié)合我國的情況以及企業(yè)的治理架構，《安全規(guī)范》的要求更容易落地實施。企業(yè)設計人力制度時，如何確保個人信息保護負責人獨立、專業(yè)、不受無關干擾做出正確合理的決策，是企業(yè)長遠發(fā)展的一項重要考量。