欧宝娱乐网址入口

一石激起千层浪:7部门入驻滴滴39类APP的数据合规应当怎么

发布时间:2022-08-08 02:44:25 | 来源:欧宝平台入口 作者:欧宝买球网址

  原标题:一石激起千层浪:7部门入驻滴滴,39类APP的数据合规应当怎么做?

  7月16日,国家网信办在其官网上通报,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司(下称“滴滴公司”),开展网络安全审查。

  这是继7月9日,“滴滴企业版”等25款App下架后,滴滴公司在数据合规上面临的一次“生死”大考。”

  从《网络安全法》和《数据安全法》的规定来看,网络安全等级保护制度是履行数据安全保护义务的基石,是避免网络受到非法干扰和破坏,以及未经授权的访问的保障,最终目的是最大限度杜绝数据被非法泄露、窃取和篡改,从而实现数据安全。

  目前,我国根据保护对象和侵害程度,将网络安全保护划分为五个等级,分别是:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级,其中用户自主保护级属于最低级别,访问验证保护级属于最高级别。

  按照《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)标准,各保护级内容主要是:

  此类等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益。

  此类等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全。

  此类等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害。

  此类等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害。

  (上表内容来源于《信息安全技术网络安全等级保护定级指南》(GB/T 22240-2020))

  互联网、大数据等IT公司应根据市场定位,结合实际,认真进行数据安全评估,并按照对应的保护级别进行数据合规建设。

  数据安全保护义务是互联网、大数据等IT高科技企业开展数据合规的核心工作,做好数据安全保护义务归纳起来主要是四个“应当”:

  《数据安全法》规定,开展数据处理活动应当建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。

  全流程数据,也称为数据全生命周期,其主要分为数据的产生、采集、存储、整合、呈现与使用、分析与应用、归档和销毁等阶段。

  全流程管理制度也就是对以上各个环节都必须有完善的数据记载和跟踪机制,确保数据可见、可用、可管理。

  为确保数据安全,采取计算机杀毒软件、网络防火墙、网络侵入检测、网络态势感知、日志管理系统等技术和设施设备,以及数据分类、数据备份、数据加密等网络安全技术措施,进一步加固对数据生命周期的安全防护。

  《数据安全法》规定,开展数据处理活动应当加强风险监测,在发生数据安全事件时,应当立即采取处置措施,并定期开展风险评估。

  其目的就是要在数据全生命周期的每一个流动过程中及时发现可能存在的缺陷和漏洞,通过事先制定的应急预案采取处置措施,防止安全事件的进一步扩大化。

  对处理的重要数据种类、数量,数据处理活动、数据安全风险以及应对措施等情况进行风险评估,动态分析数据,设置预警阈值,为数据风险点进行提前预判。

  数据安全责任主体,是落实数据安全保护责任的核心要素。互联网、大数据等IT高科技企业无论规模大小,都应当明确数据安全负责人和管理机构,并按照谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责以及谁采集谁负责的原则,在最大限度和最小粒度范围内,明确数据安全保护义务的主体责任。

  数据是数字经济时代的重要生产要素,而数据交易则是满足数据供给和需求的最主要方式,《数据安全法》第十九条将培育数据交易市场作为国家实施大数据战略、推进数据基础设施建设、促进数字经济发展的重要举措。

  但是,由于在数据交易过程中,可能因为伪数据、低质量数据等情况引发数据安全问题。所以为进一步规范数据交易行为,《数据安全法》第三十三条规定,从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

  因此,作为数据交易的中介服务机构,应当加强数据来源的把关,特别是涉及数据跨境流动的时候,就更是需要严格审核和安全评估。

  《网络安全法》第三十七条明确规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

  7月6日,国家网信办在其通报中指出“滴滴企业版”等25款App下架的直接原因是,“存在严重违法违规收集使用个人信息问题”。那么,对于互联网高科技IT公司,在App应用上可以按照以下三个原则开展自检:

  互联网公司在收集个人信息时,应确保用户充分阅读隐私政策内容,并将收集个人信息的业务功能逐项列举,特别是对涉及用户身份证号、银行账号、行踪轨迹等个人敏感信息的收集和使用采取加粗、红色字体等方式突出显示。

  隐私政策内容发生变化时,特别是增加个人信息收集范围、改变个人信息使用目的时,必须再次以明示方式向用户显示,对更改的地方予以显著标识,以便于用户阅读确认。同时,隐私政策内容应通俗易懂,避免使用晦涩难懂、冗长繁琐的表述,造成普通用户理解困难。

  国家网信办、工业和信息化部、公安部、国家市场监督管理总局联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《必要个人信息范围规定》),对相关行业收集用户个人信息必要范围进行了明确、具体的确定。

  除了表格中列举基本信息外,其他信息则为非必要个人信息,原则上不能被强制收集。但是,如果需要收集非必要个人信息又该怎么办呢?

  根据该条规定,可以从三个方面获取非必要个人信息,一是从与服务相关的业务中获取个人信息,二是按照国家法律、行政法法规的规定获取个人信息,三是在征得用户同意的基础上获取个人信息。

  但是,不管通过那种途径,都不得违反《必要个人信息范围规定》第4条的规定,即不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。

  虽然《网络安全法》没有对App应用程序收集、使用个人信息容错机制提出具体要求,但在《App违法违规收集使用个人信息行为认定方法》中的第6点对“未按法律规定提供删除或更正个人信息功能”的行为进行了明确界定。

  同样,在《个人信息安全规范》(GB/T 35273-2020)中从个人信息查询、个人信息更正、个人信息删除、个人信息主体撤回授权同意、个人信息主体注销账户、个人信息主体获取副本、响应请求、投诉管理等8个方面给出了个人信息主体权力保障的标准。

  二是,是否提供了注销账号的途径(如在线功能界面、客服电话等),并在用户注销账号后,及时删除其个人信息或进行匿名化处理。

  三是,是否构建了妥善受理并及时反馈用户申诉,原则上在15天内回复处理意见或结果的机制。

  目前, 国家网信办正在紧锣密鼓开展《网络安全审查办法》修订工作,在此次公布的修订草案征求意见稿中最抢眼的内容之一就是,对掌握超过100万用户个人信息的运营者赴国外上市,必须强制进行网络安全审查。

  虽然,国家网信办等七部门对滴滴出行科技有限公司的网络安全审查尚在进行中,但此举已对更多的互联网、大数据等高科技IT企业进行了预警,应尽早、尽快主动开展数据合规审查,在专业团队的帮助下进行数据合规自检,在国家法律法规和相关标准体系下,抢抓数据发展的新机遇,不断创新发展。返回搜狐,查看更多