近日，《個人信息保護法（草案）》正式全文發(fā)布，并開始向社會征集意見。作為我國首部個人信息保護專項立法，該草案的亮相備受關注。
強化個人信息保護已是大勢所趨，數(shù)據(jù)合規(guī)性將成為企業(yè)競爭力的重要考量，而即將出臺的《個人信息保護法》，也就成為所有企業(yè)與從業(yè)者必須參考的重中之重。
其中。針對企業(yè)內(nèi)部個人信息安全已存在或可能面臨的安全問題，為應對行業(yè)監(jiān)管要求，提升個人信息整體安全防護效果，應從頂層建設著手，制定關于個人信息保護的管理措施。觀安信息通過多年數(shù)據(jù)安全治理經(jīng)驗，建議企業(yè)對個人信息保護措施主要從以下幾方面進行：
1、個人信息梳理是基礎
個人信息梳理是企業(yè)厘清個人信息保護工作在企業(yè)內(nèi)部所應覆蓋的廣度和深度的基礎和前提。通過個人信息梳理工作，企業(yè)得以建立個人信息數(shù)據(jù)清單和數(shù)據(jù)流圖，劃定個人信息處理全生命周期（收集、使用、保存、傳輸、處置等）所涉及的業(yè)務和運營流程、信息系統(tǒng)及基礎架構(gòu)等，明確相關管控措施所應落實的具體范圍。
2、治理架構(gòu)是保障
企業(yè)應建立健全數(shù)據(jù)安全治理架構(gòu)，定義各個層級、各個部門和人員的數(shù)據(jù)安全角色、分工和職責，建立恰當?shù)目冃Ш涂荚u機制，實現(xiàn)有效的資源配置，以保障數(shù)據(jù)安全管理工作能夠有效建立和持續(xù)施行。
3、“內(nèi)外兼修”是核心
不可否認，考慮到目前較高的國內(nèi)外監(jiān)管要求和企業(yè)自身較低的隱私管理成熟度，對于大多數(shù)企業(yè)而言，實現(xiàn)完全的個人信息保護合規(guī)必將是一個龐雜而長遠的工程，涉及的戰(zhàn)略層面、流程層面、執(zhí)行層面和技術(shù)層面的變更也是復雜多樣的。這其中，確有幾項關鍵工作任務，企業(yè)應考慮盡快開展：
“對外”部分，一方面，對外溝通的各類文件，如適用于客戶個人信息收集和處理的隱私聲明、適用于員工個人信息收集和處理的員工手冊或勞動合同、適用于業(yè)務合作伙伴個人信息收集和處理的業(yè)務合同等，應盡快依據(jù)相關要求進行修訂和更新，以確保涵蓋關于個人信息主體合法權(quán)益的各項聲明；另一方面，應盡快建立有效的數(shù)據(jù)安全事件應急處置和報告機制，根據(jù)企業(yè)業(yè)務特點和管控流程，制定有效的評估、響應、通報流程，確保數(shù)據(jù)安全事件能夠得到恰當?shù)奶幹?，并與監(jiān)管部門、個人信息主體進行有效及時地溝通。特定行業(yè)還應關注通報的規(guī)則和時效性等。
“對內(nèi)”部分，一方面，個人信息保護應與企業(yè)原有的信息安全管理工作有機結(jié)合，進一步建立健全企業(yè)信息安全管理體系，并輔以有效的技術(shù)支撐，如數(shù)據(jù)防篡改、數(shù)據(jù)防泄漏、數(shù)據(jù)去標識化、數(shù)據(jù)備份與恢復等；另一方面，個人信息保護特有的管控機制也應逐步建立和落實，如個人信息安全影響評估、個人信息跨境傳輸安全評估、通過設計保護隱私等，自上而下，全方位搭建企業(yè)的數(shù)據(jù)安全管控體系，以合理確保個人信息安全。
個人信息保護任重而道遠，企業(yè)應立即行動，以有效防控與之相關的合規(guī)風險、財務風險和運營風險。
網(wǎng)站安全，云高防必不可少：http://www.xinnet.com/cs/ddosip.html