德勤：解讀《網絡安全法》的個人信息保護要求

眾所周知，具有里程碑意義的《中國人民共和國網絡安全法》于2016年11月6日由全國人大正式通過并將于2017年6月1日正式生效，作為國內第一部系統(tǒng)性提出網絡空間治理的法律法規(guī)，特別加強和明確了個人信息保護方面的要求。這些要求不僅繼承現有法律法規(guī)的主要條款要求，例如2012年全國人大《關于加強網絡信息保護的決定》、2014年全國人大《刑法修正案》、2015年工商總局《侵害消費者權益行為處罰辦法》等法律法規(guī)，而且還根據新形勢、新情況和新需求，增加新內容。

德勤風險咨詢部門信息技術風險團隊認為本次網絡安全法的出臺及其之前一系列國內法律法規(guī)的勢必規(guī)范網絡運營者網絡空間內搜集、處理、使用、傳輸個人信息的各類行為，將會遏制和打擊當前存在的個人信息濫用及其衍生的詐騙等網絡犯罪活動，提升全社會個人信息保護的意識和管理水平，從而維護、保護網絡空間公民、法人和其他組織的合法權益。

A．網絡安全法對個人信息保護的要求

網絡安全法下的個人信息保護要求，德勤認為有以下三個鮮明特點：

1. 明確履行個人信息保護的責任主體義務： 搜集、使用個人信息的網絡運營者包括網絡所有者、網絡管理者和網絡服務提供者就是個人信息保護的責任主體，并需要接受國家網信部門和有關監(jiān)管部門的監(jiān)督和管理；

2. 系統(tǒng)性定義個人信息保護的要求，并與國內外最佳實踐接軌；德勤認為本次網絡安全法與國際最佳實踐、其他國家在個人信息保護的法律法規(guī)保持了相當高的一致性。我們對網絡安全法下個人信息保護要求與已被廣泛接受的2005年亞太經合組織頒布的《APEC個人隱私保護框架》進行了比較，每個管理維度都有明確的應對，具體如下表所示。3. 兼顧個人信息應用方面的鼓勵創(chuàng)新和個人信息的合理保護：在當今互聯(lián)網、大數據時代，各種數據包括個人數據需充分處理、共享、使用才能最大化發(fā)揮其商業(yè)價值。但個人信息又需要合理保護，如何合理平衡是網絡安全法立法時必須要考慮的問題。例如法規(guī)提出“未經被搜集者同意，不得向他人提供個人信息，但是經過處理無法識別特定個人且不能復原的除外”，最后說明的例外情況就是上述原則的體現。

B． 企業(yè)如何應對網絡安全法的個人信息保護要求

德勤認為企業(yè)需認真評估和應對網絡安全法在個人信息保護方面的上述要求，并采取積極、主動的措施應對上述要求。我們建議企業(yè)采取如下四個步驟：

1. 計劃與信息搜集： 確認企業(yè)是否屬于網絡安全法適用對象，是否屬于網絡運營者？確認企業(yè)是否或即將搜集、使用、存儲公民的個人信息？確認企業(yè)擁有的或者正在使用的信息系統(tǒng)是否屬于關鍵信息基礎設施？如果是，建議企業(yè)先應盡快盤點已搜集、使用、存儲的個人信息類型、個人信息對應的容器和載體、內部訪問、處理、分析、使用這些個人信息對應的人員崗位、存儲這些個人信息的信息系統(tǒng)情況（例如系統(tǒng)后臺數據庫的物理位置等）、這些個人信息是否會被內部人員或者系統(tǒng)后臺接口的方式披露、傳輸給外部第三方？

2. 差異分析和對標：基于第一步信息搜集的結果，企業(yè)應評估當時業(yè)務操作與系統(tǒng)操作的現狀是否能滿足網絡安全法中的法規(guī)要求，如下表所示：3. 整改與行動：上一步差異分析的結果應根據影響程度、整改成本等盡快明確整改策略、整改計劃與具體執(zhí)行方案，如果確實不能再2017年6月1日之前改善完成到位的企業(yè)應考慮替代性程序或方法。

4. 持續(xù)改進：基于企業(yè)業(yè)務、管理、信息系統(tǒng)的不斷變化，其個人信息搜集、使用、存儲的范圍、生命周期的管理方式也隨之變化。因此企業(yè)不僅在2017年6月1日之前解決現有業(yè)務處理、信息系統(tǒng)中存在的不合規(guī)事項，更需要考慮建立一套可持續(xù)的、完整的個人信息保護管理框架。企業(yè)從治理層包括目標戰(zhàn)略、治理組織；管理層包括崗位職責、個人信息保護流程、個人信息保護教育培訓、個人信息保護評估與改進機制等維度完善企業(yè)個人信息保護的框架。從而不僅實現某個時間點上的合法合規(guī)（Make Clean），更要實現可持續(xù)性的合規(guī)合規(guī)（Stay Clean）并最終贏得企業(yè)消費者和客戶的認可、信任和期望。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。