通力法评 | 简评《互联网个人信息安全保护指引(征求意见稿)》
作者:通力律师事务所 潘永建
2018年11月30日, 公安部网络安全保卫局发布了《互联网个人信息安全保护指引(征求意见稿)》(以下简称“《指引》”)(可点击下方“阅读原文”), 旨在规范指导互联网企业建立健全公民个人信息安全保护管理制度和技术措施。
通力网安数据业务团队经过研讨, 认为《指引》内容体系完整, 着重于指导互联网企业建立健全公民个人信息安全保护的管理制度和技术措施, 且提出了“个人信息生命周期”这一创新实用概念; 对于个人信息的使用也区分了自动与非自动的方式, 贴合个人信息安全保护的实践情况。
通力团队建议在修订并最终发布《指引》正式稿时对以下问题作进一步阐明:
1. 引言中的“互联网企业”是指互联网行业企业还是指所有利用互联网开展经营活动的企业?
2. 第4.2.1(b)条提出, 最高管理者或最高管理者应设置专门岗位从事个人信息保护的工作, 这里的“从事”和《信息系统安全等级保护基本要求》的相应内容中的“负责”概念不同, 是否明确指最高管理者需要直接从事个人信息保护工作?
3. 第5.2条“增强要求”中提及了云计算安全以及物联网安全, 此处是否有必要添加移动互联安全和工业控制系统安全的相关增强要求?
4. 第6.1(d)(1)条所指的“身份认证”机制是指计算机信息系统的身份验证机制还是实名认证机制?可否进一步进行明确, 避免歧义。该要求对于企业落实个人信息安全保护义务是否有充分的必要性?
5. 第6.2(c)条要求个人信息在超出设置的时限后予以删除, 但《GB/T 35273—2017 信息安全技术 个人信息安全规范》的第6.1条规定, 个人信息在超出设置的存储时限后, 应进行删除或匿名化处理。《指引》是否认为删除是互联网企业合规的唯一方式?
6. 第6.3(a)条的注释中明确, 经过匿名化或脱敏的方式处理的个人信息数据可用于历史、统计或科学目的, 可以超出与信息主体签署的相关使用协议和约定。该规定与《GB/T 35273—2017 信息安全技术 个人信息安全规范》的第7.3(c)的注释所规定似乎不一致。对于企业而言, 是否可以超出与信息主体的约定使用匿名化或脱敏后的个人信息数据?
联系人:
✎ 往期分享
通力法评 | 企业收集、使用员工个人信息的典型场景与合规要点
通力法评 | 企业与第三方流转个人信息的典型场景与合规要点
通力法律评述 | 国家推荐标准《个人信息安全规范》的二十个要点
通力法律评述 | 管窥《个人信息和重要数据出境安全评估办法(征求意见稿)》: 规范的梳理与探讨
通力法评 | 工信部推进《网络安全法》落地措施之一——简评工信部《2018年电信和互联网行业网络安全检查工作的通知》
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。