合规之外 企业如何落实数据安全社会责任?CCIA拟发指南
最新信息
合规之外 企业如何落实数据安全社会责任?CCIA拟发指南
2022-09-10 12:06:00
9月8日,CCIA数据安全委员会组织委员单位公布《数据安全和个人信息保护社会责任指南》(征求意见稿)(以下简称“《指南》”),同时面向社会征求意见,截止时间为9月30日24时。
《指南》拟提出,组织宜指定具体的高管担任数据安全和个人信息保护社会责任工作的牵头人,为履行数据安全和个人信息保护社会责任提供专门、充足的财务预算等。
另外,组织还需为社会公众提供参与预防、举报、惩治数据安全和个人信息保护相关侵权行为的制度、渠道。
有专家表示,许多数据安全问题,从根源分析是企业缺乏社会责任担当所产生的。合规只是底线、及格线,企业要在此基础上追求更好的发展,需要承担社会责任,而一些头部企业、行业龙头,自然要有更多的担当。
“合规是及格线”
据了解,为落实《数据安全法》《个人信息保护法》等法律法规中所提出关于数据安全和个人信息保护社会责任的要求,放大数据处理和个人信息使用的社会价值,由中国网络安全产业联盟归口,CCIA数据安全委员会组织委员单位编制了联盟技术文件《数据安全和个人信息保护社会责任指南》(征求意见稿)。
《指南》为组织理解数据安全和个人信息保护社会责任和实施相关活动提供指南,帮助组织在遵守法律法规和基本道德规范的基础上实现更高的组织社会价值 。起草单位有中国电子技术标准化研究院、中国科学院信息工程研究所、百度、快手、蚂蚁集团等。
《指南》将数据安全和个人信息保护社会责任划分为五个主题和24个议题,分别从组织治理和内部管理、合规性、创新性和价值体现;公平运行、竞争与合作、消费者权益保护、公益参与和社会发展等方面来提出数据安全和个人信息保护社会责任事项及优先事项。
同时,《指南》强调,这些主题并不完全适用于所有组织,组织在满足适用的法律法规要求的基础上,可结合所在地区的经济、社会和环境发展水平、自身特点和发展阶段及利益相关方期望,识别确定每项社会责任主题中适用的具体内容。
数据安全法规定,开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德。个人信息保护法规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当定期发布个人信息保护社会责任报告,接受社会监督。
《指南》的主要起草人、CCIA数据工作委员会副主任何延哲表示,在数据安全和个人信息保护领域,大家更多关注技术类、管理类的法律条文,但从社会责任角度切入较为少见。许多数据安全问题,首先违反了法规的相关规定,但是从根源上分析,其实是因为没有社会责任担当而产生的。
“我们经常打比方说合规是及格线,但是这就可以了吗?我们要追求更好的发展。”何延哲认为,在个人信息保护和数据安全方面,法律要求的是合规,但合规只是底线、及格线,企业要在此基础上追求更好的发展,需要承担社会责任。而一些头部企业、行业龙头,自然要有更多的担当。
提供惩治个人信息侵权行为的制度
在组织治理和内部管理章节中,《指南》拟提出,组织宜指定具体的高管担任数据安全和个人信息保护社会责任工作的牵头人。担任牵头人的高管职务、姓名、联系方式至少在组织层面予以公开。
同时,组织宜在相关部门或人员的工作职责中明确需定期向社会披露社会责任履行情况,包括发布包含数据安全和个人信息保护的社会责任报告等形式。另外,组织宜为履行数据安全和个人信息保护社会责任提供专门、充足的财务预算。
从《指南》可以了解到,企业的合规性主要表现形式为:组织开展制度、文档、策略、流程的建设,完成内审、自评估、 第三方评估、第三方审计、权威机构认证等。
具体而言,组织宜采取的行动和达到的期望包括: 通过组织内自行发起或引入独立第三方对产品或服务遵循法律法规、规章、强制性标准的情况进行评估或审计,并形成评估或审计记录、结论或报告以指导产品或服务持续改进;评估或审计的依据还包括了推荐性的国家标准、行业标准、团体标准等,以及业界广泛认可的技术规范等。
在社会治理的价值体现方面,《指南》拟提出,为社会公众提供参与预防、举报、惩治数据安全和个人信息保护相关侵权行为的制度、渠道;对可能造成用户数据安全和个人信息保护不利影响的行为、信息等能快速响应、及时处置等。
另外,《指南》还强调了数字包容与特殊保护。组织应为保障多元人群的数据安全及个人信息保护所开展的技术活动,使得多元人群能公平、自由的获取和享受技术变革和产业发展提供的便利,能无差别的体验数字化生活。
其中提及,组织宜制定特殊人群(如青少年、残障人士、老年人等)个人信息保护方面的处理规则,并为特殊人群提供专门的服务界面、服务渠道,以确保其能感知、获取个人信息保护方面的信息。
社会责任评价等级分为三星级
个人信息保护法规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。
充分知情则离不开数据处理规则的透明性。《指南》拟提出,处理规则的透明性是指个人信息处理者应以适当方式公开其对个人信息处理的处理规则,明示处理的目的、方式和范围,从而确保个人信息被处理的情况对于个人信息处理活动的相关方是清晰透明、容易获知的。
“无论是我国的数据安全法、个人信息保护法,还是放眼整个世界范围内关于数据保护的法律法规,都有一个共通的原则,即透明性原则。”北京市环球律师事务所合伙人孟洁作为《指南》的主要起草人说道。
《指南》强调,数据处理规则影响范围十分广泛,或有关法律法规规定的,组织可通过公开征求意见等方式进一步确认具体条款内容的合理性。同时,组织向利益相关方提供数据处理规则问询、答疑的渠道,针对复杂、难懂、关注度高的数据处理规则,可进一步解释说明以增进理解。
孟洁解释,当前有些企业的隐私政策可能非常冗长,同时使用了大量的专业术语,对用户并不友好。对此,为用户建立一个有效的答疑渠道或沟通路径就成为了企业的社会责任。
她认为,企业在与个人主体之间就数据处理订立规则时,不应当首先站在企业是否获利的角度考虑问题,而应当评估用户和相关方的重大权益是否被这一规则纳入考量。
在构建有效平台规定方面,《指南》建议,组织宜形成适应于社会责任绩效的计算框架用以衡量平台规则的执行效果,推动执行效果在计算框架内的执行规则、评估标准、评估规范落地;鼓励将数据安全和个人信息保护相关平台规则执行效果面向社会公开,如定期发布相关的执行效果的报告等。
孟洁表示,平台应当秉持诚信的态度,确保其推出的规则可以执行,并且能够被纳入合规审计流程当中。同时在规则实施之后,适时地评价其效果和社会影响。在此过程中,企业可以引入权威的第三方机构进行评估,并向社会公布评估报告。正向的案例可以为其他组织提供参考。
同时,在指南的附录中列出了数据安全和和个人信息保护社会责任评价方法。具体而言,评价等级分为一星级(基础级) 、二星级(系统级) 以及三星级(成熟级) 。
一星级的标准是遵守法律法规要求,满足数据安全和个人信息保护社会责任的基本管理要求;二星级为在达到一星级指标要求的基础上,建立良好的社会责任管理体系,并取得更高的社会责任绩效;三星级为在达到了二星级指标要求的基础上,持续改进社会责任管理绩效,主动承担更多社会责任,在五项核心主题的一项或多项指标上不断实现更高的社会责任绩效。
此外,若企业在重点关注项中出现可疑行为或不道德事件,受到相关平台或机关的曝光,则在原本所拥有评级的基础上,降低一个等级,若原等级为一星级,则停止评价活动。若企业在重点关注项上出现严重违法事件,受到政府相应行政处罚或被媒体曝光,造成恶劣社会影响,应停止评价活动。
重点关注事件包括泄露消费者个人信息、侵犯知识产权行为、发生不正当竞争行为、管理者存在违法行为、妨碍社区稳定(如公共安全等方面)。
(文章来源:南方都市报)
《指南》拟提出,组织宜指定具体的高管担任数据安全和个人信息保护社会责任工作的牵头人,为履行数据安全和个人信息保护社会责任提供专门、充足的财务预算等。
另外,组织还需为社会公众提供参与预防、举报、惩治数据安全和个人信息保护相关侵权行为的制度、渠道。
有专家表示,许多数据安全问题,从根源分析是企业缺乏社会责任担当所产生的。合规只是底线、及格线,企业要在此基础上追求更好的发展,需要承担社会责任,而一些头部企业、行业龙头,自然要有更多的担当。
“合规是及格线”
据了解,为落实《数据安全法》《个人信息保护法》等法律法规中所提出关于数据安全和个人信息保护社会责任的要求,放大数据处理和个人信息使用的社会价值,由中国网络安全产业联盟归口,CCIA数据安全委员会组织委员单位编制了联盟技术文件《数据安全和个人信息保护社会责任指南》(征求意见稿)。
《指南》为组织理解数据安全和个人信息保护社会责任和实施相关活动提供指南,帮助组织在遵守法律法规和基本道德规范的基础上实现更高的组织社会价值 。起草单位有中国电子技术标准化研究院、中国科学院信息工程研究所、百度、快手、蚂蚁集团等。
《指南》将数据安全和个人信息保护社会责任划分为五个主题和24个议题,分别从组织治理和内部管理、合规性、创新性和价值体现;公平运行、竞争与合作、消费者权益保护、公益参与和社会发展等方面来提出数据安全和个人信息保护社会责任事项及优先事项。
同时,《指南》强调,这些主题并不完全适用于所有组织,组织在满足适用的法律法规要求的基础上,可结合所在地区的经济、社会和环境发展水平、自身特点和发展阶段及利益相关方期望,识别确定每项社会责任主题中适用的具体内容。
数据安全法规定,开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德。个人信息保护法规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当定期发布个人信息保护社会责任报告,接受社会监督。
《指南》的主要起草人、CCIA数据工作委员会副主任何延哲表示,在数据安全和个人信息保护领域,大家更多关注技术类、管理类的法律条文,但从社会责任角度切入较为少见。许多数据安全问题,首先违反了法规的相关规定,但是从根源上分析,其实是因为没有社会责任担当而产生的。
“我们经常打比方说合规是及格线,但是这就可以了吗?我们要追求更好的发展。”何延哲认为,在个人信息保护和数据安全方面,法律要求的是合规,但合规只是底线、及格线,企业要在此基础上追求更好的发展,需要承担社会责任。而一些头部企业、行业龙头,自然要有更多的担当。
提供惩治个人信息侵权行为的制度
在组织治理和内部管理章节中,《指南》拟提出,组织宜指定具体的高管担任数据安全和个人信息保护社会责任工作的牵头人。担任牵头人的高管职务、姓名、联系方式至少在组织层面予以公开。
同时,组织宜在相关部门或人员的工作职责中明确需定期向社会披露社会责任履行情况,包括发布包含数据安全和个人信息保护的社会责任报告等形式。另外,组织宜为履行数据安全和个人信息保护社会责任提供专门、充足的财务预算。
从《指南》可以了解到,企业的合规性主要表现形式为:组织开展制度、文档、策略、流程的建设,完成内审、自评估、 第三方评估、第三方审计、权威机构认证等。
具体而言,组织宜采取的行动和达到的期望包括: 通过组织内自行发起或引入独立第三方对产品或服务遵循法律法规、规章、强制性标准的情况进行评估或审计,并形成评估或审计记录、结论或报告以指导产品或服务持续改进;评估或审计的依据还包括了推荐性的国家标准、行业标准、团体标准等,以及业界广泛认可的技术规范等。
在社会治理的价值体现方面,《指南》拟提出,为社会公众提供参与预防、举报、惩治数据安全和个人信息保护相关侵权行为的制度、渠道;对可能造成用户数据安全和个人信息保护不利影响的行为、信息等能快速响应、及时处置等。
另外,《指南》还强调了数字包容与特殊保护。组织应为保障多元人群的数据安全及个人信息保护所开展的技术活动,使得多元人群能公平、自由的获取和享受技术变革和产业发展提供的便利,能无差别的体验数字化生活。
其中提及,组织宜制定特殊人群(如青少年、残障人士、老年人等)个人信息保护方面的处理规则,并为特殊人群提供专门的服务界面、服务渠道,以确保其能感知、获取个人信息保护方面的信息。
社会责任评价等级分为三星级
个人信息保护法规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。
充分知情则离不开数据处理规则的透明性。《指南》拟提出,处理规则的透明性是指个人信息处理者应以适当方式公开其对个人信息处理的处理规则,明示处理的目的、方式和范围,从而确保个人信息被处理的情况对于个人信息处理活动的相关方是清晰透明、容易获知的。
“无论是我国的数据安全法、个人信息保护法,还是放眼整个世界范围内关于数据保护的法律法规,都有一个共通的原则,即透明性原则。”北京市环球律师事务所合伙人孟洁作为《指南》的主要起草人说道。
《指南》强调,数据处理规则影响范围十分广泛,或有关法律法规规定的,组织可通过公开征求意见等方式进一步确认具体条款内容的合理性。同时,组织向利益相关方提供数据处理规则问询、答疑的渠道,针对复杂、难懂、关注度高的数据处理规则,可进一步解释说明以增进理解。
孟洁解释,当前有些企业的隐私政策可能非常冗长,同时使用了大量的专业术语,对用户并不友好。对此,为用户建立一个有效的答疑渠道或沟通路径就成为了企业的社会责任。
她认为,企业在与个人主体之间就数据处理订立规则时,不应当首先站在企业是否获利的角度考虑问题,而应当评估用户和相关方的重大权益是否被这一规则纳入考量。
在构建有效平台规定方面,《指南》建议,组织宜形成适应于社会责任绩效的计算框架用以衡量平台规则的执行效果,推动执行效果在计算框架内的执行规则、评估标准、评估规范落地;鼓励将数据安全和个人信息保护相关平台规则执行效果面向社会公开,如定期发布相关的执行效果的报告等。
孟洁表示,平台应当秉持诚信的态度,确保其推出的规则可以执行,并且能够被纳入合规审计流程当中。同时在规则实施之后,适时地评价其效果和社会影响。在此过程中,企业可以引入权威的第三方机构进行评估,并向社会公布评估报告。正向的案例可以为其他组织提供参考。
同时,在指南的附录中列出了数据安全和和个人信息保护社会责任评价方法。具体而言,评价等级分为一星级(基础级) 、二星级(系统级) 以及三星级(成熟级) 。
一星级的标准是遵守法律法规要求,满足数据安全和个人信息保护社会责任的基本管理要求;二星级为在达到一星级指标要求的基础上,建立良好的社会责任管理体系,并取得更高的社会责任绩效;三星级为在达到了二星级指标要求的基础上,持续改进社会责任管理绩效,主动承担更多社会责任,在五项核心主题的一项或多项指标上不断实现更高的社会责任绩效。
此外,若企业在重点关注项中出现可疑行为或不道德事件,受到相关平台或机关的曝光,则在原本所拥有评级的基础上,降低一个等级,若原等级为一星级,则停止评价活动。若企业在重点关注项上出现严重违法事件,受到政府相应行政处罚或被媒体曝光,造成恶劣社会影响,应停止评价活动。
重点关注事件包括泄露消费者个人信息、侵犯知识产权行为、发生不正当竞争行为、管理者存在违法行为、妨碍社区稳定(如公共安全等方面)。
(文章来源:南方都市报)
免责申明:
本站部分内容转载自国内知名媒体,如有侵权请联系客服删除。