解读“电信和互联网用户个人信息保护规定”

不管什么行业以及规模如何,各类型的组织机构都面临一大批和信息安全以及隐私保护相关的法规遵循的挑战。自2013年9月1日起施行的“电信和互联网用户个人信息保护规定”便是一个典型的例子。具有里程碑意义的《中国人民共和国网络安全法》于2017年6月1日正式生效,作为国内第一部系统性提出网络空间治理的法律法规,特别加强和明确了个人信息保护方面的要求。

实际上,和综合全面的ISO/IEC 27001 & 27002相比,多数行业的信息安全及隐私保护合规要求从内容数量上看要少得多,所以实施起来也相对比较简单,只是要整理这些必要的东西出来任务还是相当繁琐,特别是针对最终用户的合规安全意识教育方面。

我们先简要看一下《网络安全法》中关于个人信息保护的主要条款:

第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。

还有一个会让不少心怀不轨之人颤抖的“贩卖50条公民个人信息可入罪”,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确对于行踪轨迹信息、通信内容、征信信息、财产信息,非法获取、出售或者提供50条以上即算“情节严重”,构成犯罪。

回到“电信和互联网用户个人信息保护规定”这个例子中,近些年,电信运营商中的少数工作人员非法获取和出售客户信息的案例被一再曝光,而数量众多的网站用户数据库被“脱裤”更是让互联网信息服务提供者面临重重压力。

尽管个人信息保护相关的法规对经营者违反规定的惩罚力度不过区区三万块,但相关工作人员可能被行政处理甚至起诉,抛开大型的管理制度相对完善的电信运营商不谈,众多要求用户登记注册的网站不得不注意了。

规定定义了“个人信息”,这让人想起PII,Personal Identity Information,包括用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等,当然,如果不收集这些信息,则肯定可以“逍遥法外”。不过,运营商需要用户实名,多数大中型互联网服务商也需要这些“个人信息”来进行用户行为的数据分析和深度挖掘,以便提供更有针对性和个性化的服务。

总体上讲,服务商收集和使用用户个人信息应当遵守“合法、正当、必要的原则”,并且为用户个人信息的安全负责。

而详细的信息收集和使用规范以及安全保障措施则要求服务商做更多的行动,要确认或补救的一些动作包括:

1.公布个人信息收集和使用的规则,让用户知晓,并且在用户同意的情况下收集;
2.提供注销号码或者账号的服务,而且在用户终止使用服务后,停止个人信息的收集和使用;
3.特别强调了信息的保密,不得人为泄露、篡改或者毁损,也不得出售或者非法向他人提供;
4.对第三方代理人收集和使用个人信息保护工作进行安全保密相关知识的培训、监督和管理;
5.建立一个用户投诉沟通渠道、公布联系方式和处理机制,要有人员在特定时间内答复投诉人;
6.创建和更新“用户个人信息安全保护工作流程和管理制度”并进行必要的沟通培训;
7.记录对用户个人信息进行操作的人员、时间、地点、事项等信息;
8.建立个人信息保护相关的安全事故报告流程和处理机制;
9.向工作人员提供相关知识、技能和安全责任的培训;
10.建立自查流程,并记录下每年自查和整改的情况;

实际上,我们简单看一看,除了依据法规来完善和细化流程文档和记录文件之外,主要在沟通,与用户的沟通,与员工的沟通,与第三方代理人的沟通,以及与监管机关——电信管理机构的沟通。

记录文件和与用户的大量沟通可以通过在线的系统比如网站页面、注册和帮助网页等地方强调,其它的沟通比如向工作人员宣传相关职责、知识和技能则需要通过培训方式来进行。

昆明亭长朗然科技有限公司开发制作了简单实用的在线个人信息安全保护培训课程,可以帮助各电信运营商以及互联网服务提供商快速而有效地实施个人信息安全保护合规培训,以帮助达到合规运营的目标。

位于春城的昆明亭长朗然科技有限公司专注于安全、合规与保密意识的培训资源设计开发和服务交付,我们有大量的动画视频和课件模块以供选择及组合使用。欢迎联系我们索取资源清单,和洽谈采购。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

相似的文章 Similar Posts: