解读“电信和互联网用户个人信息保护规定”

不管什么行业以及规模如何,各类型的组织机构都面临一大批和信息安全以及隐私保护相关的法规遵循的挑战。自2013年9月1日起施行的“电信和互联网用户个人信息保护规定”便是一个典型的例子。

实际上,和综合全面的ISO/IEC 27001 & 27002相比,多数行业的信息安全及隐私保护合规要求从内容数量上看要少得多,所以实施起来也相对比较简单,只是要整理这些必要的东西出来任务还是相当繁琐,特别是针对最终用户的合规安全意识教育方面。

回到“电信和互联网用户个人信息保护规定”这个例子中,近些年,电信运营商中的少数工作人员非法获取和出售客户信息的案例被一再曝光,而数量众多的网站用户数据库被“脱裤”更是让互联网信息服务提供者面临重重压力。

尽管个人信息保护相关的法规对经营者违反规定的惩罚力度不过区区三万块,但相关工作人员可能被行政处理甚至起诉,抛开大型的管理制度相对完善的电信运营商不谈,众多要求用户登记注册的网站不得不注意了。

规定定义了“个人信息”,这让人想起PII,Personal Identity Information,包括用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等,当然,如果不收集这些信息,则肯定可以“逍遥法外”。不过,运营商需要用户实名,多数大中型互联网服务商也需要这些“个人信息”来进行用户行为的数据分析和深度挖掘,以便提供更有针对性和个性化的服务。

总体上讲,服务商收集和使用用户个人信息应当遵守“合法、正当、必要的原则”,并且为用户个人信息的安全负责。

而详细的信息收集和使用规范以及安全保障措施则要求服务商做更多的行动,要确认或补救的一些动作包括:

1.公布个人信息收集和使用的规则,让用户知晓,并且在用户同意的情况下收集;
2.提供注销号码或者账号的服务,而且在用户终止使用服务后,停止个人信息的收集和使用;
3.特别强调了信息的保密,不得人为泄露、篡改或者毁损,也不得出售或者非法向他人提供;
4.对第三方代理人收集和使用个人信息保护工作进行安全保密相关知识的培训、监督和管理;
5.建立一个用户投诉沟通渠道、公布联系方式和处理机制,要有人员在特定时间内答复投诉人;
6.创建和更新“用户个人信息安全保护工作流程和管理制度”并进行必要的沟通培训;
7.记录对用户个人信息进行操作的人员、时间、地点、事项等信息;
8.建立个人信息保护相关的安全事故报告流程和处理机制;
9.向工作人员提供相关知识、技能和安全责任的培训;
10.建立自查流程,并记录下每年自查和整改的情况;

实际上,我们简单看一看,除了依据法规来完善和细化流程文档和记录文件之外,主要在沟通,与用户的沟通,与员工的沟通,与第三方代理人的沟通,以及与监管机关——电信管理机构的沟通。

记录文件和与用户的大量沟通可以通过在线的系统比如网站页面、注册和帮助网页等地方强调,其它的沟通比如向工作人员宣传相关职责、知识和技能则需要通过培训方式来进行。

昆明亭长朗然科技有限公司开发制作了简单的在线个人信息安全保护培训课程,可以帮助各电信运营商以及互联网服务提供商快速而有效地实施个人信息安全保护合规培训,以帮助达到合规运营的目标。

Similar Posts: