于2021年11月1日正式施行的《个人信息保护法》处罚的首要责任人不仅是法律合规或信息安全部门的负责人,主要处罚的是业务、产品、运营、技术人员,而且还是产品、个人、企业三重处罚。
罚产品:对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
罚员工:直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款,情节严重的,处十万元以上一百万元以下罚款,可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
罚企业:没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。
针对上述法律规定,可以明确看到个人信息保护问题覆盖了企业的方方面面,在企业的业务经营的主要环节,每个环节的管理者及员工,都应当履行个人信息保护的义务。
从共性上看,所有的涉及互联网的业务都存在收集、使用个人信息包括姓名、电话、地址等方面的需求和动作,所以都需要按照“个保法”的要求做好个人信息和敏感个人信息的治理和管理工作,并针对不同重要程度的信息进行相应的安全保护控制设计。
从差异性来说,以互联网营销或者数字化营销举例,需要在不同的场景下进行获客、转化、分析。“个保法”明确要求了对个人信息和敏感个人信息管理要求,如最小收集原则,用户同意授权等。若是授权设计不妥,要么是影响业务转化效果,要么就是数据违规造成处罚,不妥善保管用户数据,可能会造成数据泄漏,造成的影响甚至可能会关系用户主体的人身安全。
在精准营销、客户画像应用下,还要考虑如何保证数据算法的公开透明。
在短视频应用下,会用到人脸,这是生物识别的个人信息,也是敏感个人信息。
在不同应用场景、行业下,只要是涉及互联网因素,存在个人信息的,都应该去了解、掌握个人信息保护的要求,这是基础,然后再去考虑数据应用价值的提升。
企业和企业管理层、业务、产品、运营、技术、法律合规、信息安全不同流程阶段的同事们,在“个保法”下,几乎都要面对的问题:
如何获得“数据授权”?
尤其在电商、保险、银行、证券、广告业表现最为明显,原本多渠道聚合的数据已经不能用了,向集团内,或者生态链上的企业或供应商、其他合作方进行‘数据转授权’已经变得困难,需要一定的用户敏感数据才能展开的业务,接下来该如何开展?特别是保险、证券、银行等金融领域。原有数据授权体系是不是合规,满足个保法的要求?数据可用而不可见的转化怎么样才是合规、高效?都需要去重新设计。
如何避免“不合规就受罚,一合规就受死”?
“个保法”下法律的处罚覆盖了企业、个人、和产品,只要涉及到个人信息的环节,都有可能存在法律的风险,都需要去落实个人信息保护的要求。这种零星、散点、多面的风险情况下,不要让局部问题扩到整体,不要让个别人员的问题扩散到整个业务线,乃至管理层。光合规肯定不行,业务增长才是企业最核心的目标。要避免“不合规就受罚,一合规就受死”的矛盾冲突。这就需要如何建一个有价值、高效的个人信息保护管理框架体系,怎么去在每个业务环节都如何明确个人信息保护的职能和义务,如何建设使用数据的SOP,怎么样投入和使用工具、管理制度、技术方法去实现增长,都是必须要深入考虑的问题。
个人信息保护法的时代下,监管执法的趋势已经明朗,不做投入可能就会面临处罚,时间会淘汰一批没有能力,或者意识上不想去做个人信息保护落地行动的从业者和企业。
在此背景下,中国网络安全审查技术与认证中心(CCRC)推出了DPO数据保护官认证课程,助力企业及从业者在数字时代竞争力的提升。
课程内容详见海报
关注我们
了解更多
