国产片在线观看播放-国产片在线观看狂喷潮bt天堂-国产片在线看-国产片在线免费观看-国产片子

　　2020年3月6日，國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布了全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（“信安標(biāo)委”）編制的《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T35273-2020）（“新標(biāo)準(zhǔn)”），該新標(biāo)準(zhǔn)已于2020年10月1日實(shí)施，并即將取代已經(jīng)實(shí)施了快兩年的GB/T35273-2017（“原標(biāo)準(zhǔn)”）。

　　《網(wǎng)絡(luò)安全法》出臺(tái)后，特別是2018年5月1日《信息安全技術(shù)個(gè)人信息安全規(guī)范》（“舊版規(guī)范”）生效以來(lái)，不少企業(yè)已經(jīng)搭建起個(gè)人信息保護(hù)制度框架。數(shù)據(jù)合規(guī)體系是動(dòng)態(tài)的有機(jī)體，需要靜態(tài)的制度框架，更需要合規(guī)人員的動(dòng)態(tài)推動(dòng)，將制度融入商業(yè)決策與交易中。于2020年10月1日生效的《信息安全技術(shù)個(gè)人信息安全規(guī)范》（“新版規(guī)范”或“《安全規(guī)范》”）針對(duì)個(gè)人信息保護(hù)負(fù)責(zé)人的規(guī)定，較舊版規(guī)范而言更為具體且務(wù)實(shí)。
　　
　　一、為什么要建立個(gè)人信息保護(hù)負(fù)責(zé)人制度
　　
　　個(gè)人信息保護(hù)負(fù)責(zé)人是指全面實(shí)施統(tǒng)籌組織公司個(gè)人信息保護(hù)工作、對(duì)個(gè)人信息安全負(fù)直接責(zé)任的公司人員。設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人對(duì)企業(yè)落地?cái)?shù)據(jù)合規(guī)制度至關(guān)重要。具體而言，科學(xué)有效的個(gè)人信息保護(hù)負(fù)責(zé)人制度既可提高企業(yè)法律風(fēng)險(xiǎn)防御能力，亦可增強(qiáng)其核心競(jìng)爭(zhēng)力。
　　
　　（一）提高企業(yè)風(fēng)險(xiǎn)防御能力
　　
　　個(gè)人信息保護(hù)不力會(huì)給企業(yè)帶來(lái)巨大損失：政府調(diào)查與處罰輕則迫使企業(yè)整改、重則顛覆既有商業(yè)模式、甚至導(dǎo)致企業(yè)與主要負(fù)責(zé)人承擔(dān)刑事責(zé)任；個(gè)人信息安全事件如果不能及時(shí)、妥善處理，企業(yè)所面對(duì)的信任危機(jī)可能比處罰帶來(lái)的社會(huì)影響更為深遠(yuǎn)；廣大民眾不斷覺(jué)醒的個(gè)人信息保護(hù)意識(shí)更是促使企業(yè)時(shí)刻不得松懈。個(gè)人信息保護(hù)負(fù)責(zé)人既可以幫助企業(yè)在日常工作中未雨綢繆又可能在危機(jī)事件中力挽狂瀾，提高企業(yè)防御風(fēng)險(xiǎn)的綜合能力。
　　
　　2017年3月，有消費(fèi)者認(rèn)為其個(gè)人信息遭到泄露而將某航空公司起訴至法院。法院綜合認(rèn)定被告存在泄露個(gè)人信息的高度可能，同時(shí)認(rèn)為法律對(duì)經(jīng)營(yíng)者采取技術(shù)措施和其他必要措施保護(hù)消費(fèi)者個(gè)人信息施以強(qiáng)制規(guī)定。但是，被告未能證明其已履行法定的個(gè)人信息保護(hù)義務(wù)。[1]2019年12月，同一家航空公司因類似事由被起訴，但法院認(rèn)為被告在自身掌握信息階段不存在泄露個(gè)人信息的事實(shí)。原因在于，航空公司不僅對(duì)可查看訂單信息的管理系統(tǒng)進(jìn)行數(shù)據(jù)脫敏設(shè)置，還建立起嚴(yán)密的數(shù)據(jù)安全管理制度、就數(shù)據(jù)存儲(chǔ)安全進(jìn)行專門認(rèn)證、與專業(yè)第三方進(jìn)行合作。[2]
　　
　　根據(jù)公開信息，前述航空公司于2018年任命首席數(shù)據(jù)官，全面負(fù)責(zé)企業(yè)的數(shù)據(jù)保護(hù)與合規(guī)運(yùn)營(yíng)工作。該航空公司也由此成為國(guó)內(nèi)首家設(shè)立數(shù)據(jù)保護(hù)官的企業(yè)。[3]雖然任命首席數(shù)據(jù)官與兩份截然相反的判決沒(méi)有直接關(guān)系，但從判決書中航空公司的舉證來(lái)看，其在一兩年間確實(shí)就個(gè)人信息保護(hù)采取了系列技術(shù)措施與組織措施，而任命首席數(shù)據(jù)官不僅是一種合規(guī)宣示，對(duì)于推動(dòng)保護(hù)措施的落地顯然也至關(guān)重要。
　　
　　（二）增強(qiáng)企業(yè)核心競(jìng)爭(zhēng)力
　　
　　中國(guó)企業(yè)傳統(tǒng)上將法律合規(guī)定位為后臺(tái)支持部門，該等定位在業(yè)務(wù)拓展特別是開發(fā)海外市場(chǎng)時(shí)的局限性日益凸顯。有能力的個(gè)人信息保護(hù)負(fù)責(zé)人有助于樹立良好的企業(yè)形象，在與監(jiān)管機(jī)構(gòu)、合作伙伴、甚至競(jìng)爭(zhēng)對(duì)手打交道的過(guò)程中，給人以專業(yè)、可信的印象，對(duì)于增強(qiáng)企業(yè)核心競(jìng)爭(zhēng)力大有裨益。
　　
　　如何在各國(guó)紛繁復(fù)雜的法律規(guī)定下實(shí)現(xiàn)合規(guī)，需要個(gè)人信息保護(hù)負(fù)責(zé)人的統(tǒng)籌規(guī)劃。對(duì)敏感個(gè)人數(shù)據(jù)加緊審查的國(guó)際趨勢(shì)，尤其是中美經(jīng)貿(mào)摩擦下的監(jiān)管升級(jí)，[4]更是要求企業(yè)出海前審慎開展合規(guī)評(píng)估。華為、螞蟻金服、360奇虎等大型企業(yè)紛紛設(shè)立個(gè)人信息保護(hù)專家崗位，說(shuō)明在合規(guī)工作進(jìn)入“深水區(qū)”的今天，企業(yè)數(shù)據(jù)合規(guī)的水平和深度將直接決定商業(yè)機(jī)會(huì)的獲得。
　　
　　二、如何建立個(gè)人信息保護(hù)負(fù)責(zé)人制度
　　
　　《網(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)確定網(wǎng)絡(luò)安全負(fù)責(zé)人，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)設(shè)置專門的安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人。網(wǎng)絡(luò)安全事關(guān)國(guó)家安全，而隱私權(quán)保護(hù)原本側(cè)重私法法益的保護(hù)，延展為個(gè)人信息保護(hù)后則具備更多的公共利益屬性，但與網(wǎng)絡(luò)安全相較仍更突出自主性。在《個(gè)人信息保護(hù)法》尚未出臺(tái)的階段，推薦性的《安全規(guī)范》提出設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人制度，起到標(biāo)準(zhǔn)示范作用的同時(shí)亦在幫助企業(yè)為應(yīng)對(duì)個(gè)人信息保護(hù)的強(qiáng)制立法做準(zhǔn)備。
　　
　　（一）設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人的條件
　　
　　根據(jù)新版規(guī)范，當(dāng)企業(yè)（1）主要業(yè)務(wù)涉及個(gè)人信息處理，且從業(yè)人員規(guī)模大于200人；（2）處理超過(guò)100萬(wàn)人的個(gè)人信息，或預(yù)計(jì)在12個(gè)月內(nèi)處理超過(guò)100萬(wàn)人的個(gè)人信息；或（3）處理超過(guò)10萬(wàn)人的個(gè)人敏感信息的，應(yīng)設(shè)置專職的個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)。
　　
　　與舊版規(guī)范相比，新版規(guī)范對(duì)于設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人的門檻要求體現(xiàn)出與時(shí)俱進(jìn)和風(fēng)險(xiǎn)導(dǎo)向的趨勢(shì)。首先，新版規(guī)范將處理50萬(wàn)人的個(gè)人信息提升為100萬(wàn)人，與數(shù)字經(jīng)濟(jì)下企業(yè)快速提升的數(shù)據(jù)處理規(guī)模相一致。其次，舊版規(guī)范并未將處理個(gè)人敏感信息作為標(biāo)準(zhǔn)之一，而新版規(guī)范則規(guī)定處理超過(guò)10萬(wàn)人的個(gè)人敏感信息即應(yīng)設(shè)立專職的個(gè)人信息保護(hù)負(fù)責(zé)人。縱觀近年的重點(diǎn)數(shù)據(jù)執(zhí)法，往往涉及個(gè)人財(cái)產(chǎn)信息、生物識(shí)別信息、精準(zhǔn)的網(wǎng)絡(luò)瀏覽記錄等個(gè)人敏感信息的泄露、非法提供或?yàn)E用，故在考慮設(shè)置個(gè)人信息保護(hù)崗位時(shí)企業(yè)應(yīng)將是否處理個(gè)人敏感信息作為重要參考依據(jù)。
　　
　　前述設(shè)置要求亦體現(xiàn)出平衡企業(yè)發(fā)展與保護(hù)法益的合理考慮。第（1）點(diǎn)要求從業(yè)人員大于200人，說(shuō)明主要針對(duì)中型及以上企業(yè)。[5]這樣的設(shè)定給小微企業(yè)的發(fā)展留出空間，同時(shí)積極引導(dǎo)大中型企業(yè)在拓展業(yè)務(wù)時(shí)需更加合規(guī)、穩(wěn)健。第（2）點(diǎn)中的100萬(wàn)人構(gòu)成大城市的常住人口量，[6]收集、處理100萬(wàn)人以上的個(gè)人信息說(shuō)明業(yè)務(wù)已具有相當(dāng)規(guī)模，設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人有必要性。
　　
　　（二）個(gè)人信息保護(hù)負(fù)責(zé)人的資質(zhì)要求
　　
　　舊版規(guī)范生效以來(lái)，實(shí)務(wù)界普遍關(guān)注的問(wèn)題之一是：個(gè)人信息保護(hù)負(fù)責(zé)人需要具備何等資質(zhì)。新版規(guī)范分別從經(jīng)驗(yàn)背景和決策地位兩方面，對(duì)個(gè)人信息保護(hù)負(fù)責(zé)人的資質(zhì)提出兩項(xiàng)指引：
　　
　　（1）由具有相關(guān)管理工作經(jīng)歷和個(gè)人信息保護(hù)專業(yè)知識(shí)的人員擔(dān)任；（2）參與有關(guān)個(gè)人信息處理活動(dòng)的重要決策直接向組織主要負(fù)責(zé)人匯報(bào)工作。
　　
　　根據(jù)實(shí)踐，個(gè)人信息保護(hù)負(fù)責(zé)人需要具備法律專業(yè)背景，同時(shí)能夠理解技術(shù)、安全對(duì)個(gè)人信息保護(hù)的重要作用。個(gè)人信息保護(hù)的出發(fā)點(diǎn)是確保公司產(chǎn)品及服務(wù)符合國(guó)內(nèi)、國(guó)際的數(shù)據(jù)保護(hù)法律合規(guī)框架，因此對(duì)法律的理解是第一準(zhǔn)則。由于個(gè)人信息保護(hù)也涉及數(shù)據(jù)安全治理，個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)同時(shí)具備國(guó)際、國(guó)內(nèi)格局安全觀，日常工作中能夠與安全和技術(shù)人員充分交流并交換意見。顯然，傳統(tǒng)上此類人才相當(dāng)稀少，令人欣喜的是近年來(lái)出現(xiàn)了一批對(duì)數(shù)據(jù)保護(hù)抱有熱忱的專業(yè)人士，逐漸形成了中國(guó)第一代數(shù)據(jù)保護(hù)人才庫(kù)。
　　
　　就決策地位而言，個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)當(dāng)具備管理職能，能夠參與重要決策。個(gè)人信息保護(hù)負(fù)責(zé)人不能僅承擔(dān)執(zhí)行責(zé)任，也要參與到管理決策，能夠與業(yè)務(wù)部門平等合作、甚至在為公司合規(guī)利益把關(guān)上有更高的話語(yǔ)權(quán)。《中共中央國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》中，“數(shù)據(jù)”已經(jīng)被納入市場(chǎng)化配置改革的五大基礎(chǔ)生產(chǎn)要素，[7]業(yè)務(wù)部門為追求盈利，難免在個(gè)人信息保護(hù)和市場(chǎng)機(jī)會(huì)的平衡中更偏向市場(chǎng)。同時(shí)，相較于業(yè)務(wù)部門直觀反映于短期業(yè)績(jī)中的績(jī)效，合規(guī)管控更為長(zhǎng)遠(yuǎn)、前瞻，需要時(shí)間沉淀才能凸顯其價(jià)值。因此，個(gè)人信息保護(hù)負(fù)責(zé)人需具備管理、決策地位的必要性不言而喻。
　　
　　（三）個(gè)人信息保護(hù)負(fù)責(zé)人的職責(zé)
　　
　　新版規(guī)范明確規(guī)定了個(gè)人信息保護(hù)負(fù)責(zé)人的職責(zé)，與舊版規(guī)范相比有如下變化：（1）增加的職責(zé)為組織制定個(gè)人信息保護(hù)工作計(jì)劃并監(jiān)督落實(shí)、公布投訴、舉報(bào)方式等信息并及時(shí)受理投訴舉報(bào)，以及與監(jiān)管部門保持溝通，報(bào)告?zhèn)€人信息保護(hù)和事件處理情況；（2）增強(qiáng)的職責(zé)為組織開展個(gè)人信息安全影響評(píng)估后，還需提出個(gè)人信息保護(hù)的對(duì)策建議，督促整改安全隱患。由此可見，新版規(guī)范增加了個(gè)人信息保護(hù)負(fù)責(zé)人對(duì)外溝通聯(lián)絡(luò)的職能，就內(nèi)部職責(zé)而言則更加強(qiáng)調(diào)數(shù)據(jù)合規(guī)制度的落地實(shí)施。
　　
　　同時(shí)，《安全規(guī)范》也非常貼心地為各項(xiàng)職能的具體落實(shí)提供建議。其中，新版規(guī)范增加的兩項(xiàng)內(nèi)容為個(gè)人信息安全工程和個(gè)人信息處理活動(dòng)記錄。
　　
　　個(gè)人信息安全工程有些類似GDPR項(xiàng)下的PrivacybyDesign,即在企業(yè)開發(fā)具有處理個(gè)人信息功能的產(chǎn)品或服務(wù)時(shí)，根據(jù)國(guó)家有關(guān)標(biāo)準(zhǔn)在需求、設(shè)計(jì)、開發(fā)、測(cè)試、發(fā)布等系統(tǒng)工程階段考慮個(gè)人信息保護(hù)要求，保證在系統(tǒng)建設(shè)時(shí)對(duì)個(gè)人信息保護(hù)措施同步規(guī)劃、同步建設(shè)和同步使用。因?yàn)閭€(gè)人信息安全工程涵蓋產(chǎn)品從需求到發(fā)布的完整周期，由誰(shuí)來(lái)具體做評(píng)估、誰(shuí)來(lái)監(jiān)督評(píng)估、誰(shuí)來(lái)制作個(gè)人信息安全影響評(píng)估報(bào)告等，都由企業(yè)根據(jù)自身情況決定。不可否認(rèn)的是，個(gè)人信息保護(hù)負(fù)責(zé)人在此過(guò)程中會(huì)起到重要的作用。《安全規(guī)范》建議開展個(gè)人信息安全工程時(shí)參照國(guó)家有關(guān)標(biāo)準(zhǔn)，具有很強(qiáng)的現(xiàn)實(shí)意義。例如，中國(guó)人民銀行和全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》即要求金融業(yè)機(jī)構(gòu)有效隔離開發(fā)測(cè)試環(huán)境和生產(chǎn)環(huán)境，在實(shí)際開發(fā)測(cè)試中對(duì)個(gè)人金融信息進(jìn)行虛構(gòu)或者去標(biāo)識(shí)化，且在產(chǎn)品或服務(wù)上線發(fā)布前進(jìn)行技術(shù)檢測(cè)。
　　
　　個(gè)人信息處理活動(dòng)記錄與GDPR第30條的要求較為類似，《安全規(guī)范》要求企業(yè)建立、維護(hù)和更新所收集、使用的個(gè)人信息處理活動(dòng)記錄，包括個(gè)人信息的類型、數(shù)據(jù)、來(lái)源；根據(jù)業(yè)務(wù)功能和授權(quán)情況區(qū)分個(gè)人信息的目的、使用場(chǎng)景；個(gè)人信息出境情況；以及與個(gè)人信息處理活動(dòng)各環(huán)節(jié)相關(guān)的信息系統(tǒng)、組織或人員。個(gè)人信息保護(hù)負(fù)責(zé)人的職能之一即為建立、維護(hù)和更新個(gè)人信息清單和授權(quán)訪問(wèn)策略，正是對(duì)應(yīng)個(gè)人信息處理活動(dòng)記錄中的核心部分。
　　
　　三、完善個(gè)人信息保護(hù)負(fù)責(zé)人制度的展望
　　
　　新版規(guī)范完善了個(gè)人信息保護(hù)負(fù)責(zé)人制度，企業(yè)可以根據(jù)自身情況選擇適用，為建立數(shù)據(jù)合規(guī)體系奠定基礎(chǔ)。我們基于企業(yè)的良好實(shí)踐，為個(gè)人信息保護(hù)負(fù)責(zé)人制度、個(gè)人信息保護(hù)責(zé)任體系提出兩點(diǎn)展望。
　　
　　（一）設(shè)立個(gè)人信息保護(hù)工作機(jī)構(gòu)
　　
　　《安全規(guī)范》除要求任命個(gè)人信息負(fù)責(zé)人外，也提到了個(gè)人信息保護(hù)工作機(jī)構(gòu)。但是，尚未就個(gè)人信息保護(hù)工作機(jī)構(gòu)給出具體指引。實(shí)踐中，合規(guī)人員在推動(dòng)數(shù)據(jù)保護(hù)決策時(shí)常面臨各方阻力，執(zhí)行中也有不少困難。部分大型公司已經(jīng)設(shè)立數(shù)據(jù)保護(hù)委員會(huì)，作為企業(yè)數(shù)據(jù)治理工作的協(xié)調(diào)機(jī)構(gòu)與最高決策機(jī)構(gòu)，通常由安全技術(shù)部、法務(wù)部、風(fēng)險(xiǎn)管理部、業(yè)務(wù)運(yùn)營(yíng)部和公共關(guān)系部相關(guān)管理人員組成。該等設(shè)置有助于強(qiáng)化數(shù)據(jù)保護(hù)決策的合意基礎(chǔ)，確保決策的順利推行。特別是當(dāng)出現(xiàn)安全事件時(shí)，數(shù)據(jù)保護(hù)委員會(huì)可統(tǒng)籌處理響應(yīng)、對(duì)外進(jìn)行溝通、適時(shí)復(fù)盤整改合規(guī)措施。
　　
　　（二）增強(qiáng)個(gè)人信息保護(hù)負(fù)責(zé)人的獨(dú)立地位
　　
　　新版規(guī)范除了開宗明義要求“法定代表人或主要負(fù)責(zé)人應(yīng)對(duì)個(gè)人信息安全負(fù)全面領(lǐng)導(dǎo)責(zé)任”外，還就個(gè)人信息保護(hù)負(fù)責(zé)人的獨(dú)立性增強(qiáng)了制度保障，即：“應(yīng)為個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)提供必要資源，保障其獨(dú)立履行職責(zé)”。雖然與GDPR下DPO的獨(dú)立性仍有所差距，[8]但結(jié)合我國(guó)的情況以及企業(yè)的治理架構(gòu)，《安全規(guī)范》的要求更容易落地實(shí)施。企業(yè)設(shè)計(jì)人力制度時(shí)，如何確保個(gè)人信息保護(hù)負(fù)責(zé)人獨(dú)立、專業(yè)、不受無(wú)關(guān)干擾做出正確合理的決策，是企業(yè)長(zhǎng)遠(yuǎn)發(fā)展的一項(xiàng)重要考量。