近段時(shí)間以來，有關(guān)網(wǎng)絡(luò)安全、個(gè)人信息保護(hù)的話題屢屢沖上熱門，業(yè)內(nèi)對(duì)于數(shù)據(jù)安全的重視度持續(xù)加碼。在此之中，各類企業(yè)場(chǎng)景更是關(guān)注焦點(diǎn)。

“企業(yè)在境內(nèi)運(yùn)營(yíng)活動(dòng)中收集的數(shù)據(jù)應(yīng)存儲(chǔ)在境內(nèi)”、“企業(yè)對(duì)個(gè)人信息收集應(yīng)遵循最小必要原則”、“企業(yè)收集信息應(yīng)征得用戶明示同意”……

在7月15日召開的2021中國(guó)互聯(lián)網(wǎng)大會(huì)“數(shù)字化治理論壇”中，三六零（股票代碼：601360.SH，以下簡(jiǎn)稱360）與中國(guó)信息通信研究院便聯(lián)合披露了一份《企業(yè)個(gè)人信息保護(hù)合規(guī)思路與實(shí)踐報(bào)告》，意在對(duì)企業(yè)場(chǎng)景中的個(gè)人信息保護(hù)規(guī)范提供有益參考。

360對(duì)此表示，公司愿與各界共同深度研析個(gè)人信息治理和數(shù)據(jù)安全的全球態(tài)勢(shì)與中國(guó)因應(yīng)，探討實(shí)現(xiàn)數(shù)據(jù)安全和個(gè)人信息保護(hù)相關(guān)的各項(xiàng)權(quán)益，規(guī)范數(shù)據(jù)處理活動(dòng)，促進(jìn)數(shù)據(jù)資源合理利用的制度建構(gòu)圖景。

立足企業(yè)場(chǎng)景 報(bào)告提供個(gè)人信息保護(hù)指南

伴隨產(chǎn)業(yè)數(shù)字化發(fā)展的不斷深入，各類企業(yè)在利用軟件工具服務(wù)大眾的同時(shí)，亦獲取了大量個(gè)人信息，其不僅幫助企業(yè)獲得用戶畫像，亦構(gòu)成了行業(yè)大數(shù)據(jù)的重要組成部分。

但由于近期的幾起網(wǎng)絡(luò)安全事件，公眾對(duì)于個(gè)人信息的保護(hù)意識(shí)顯著增強(qiáng)，企業(yè)該如何規(guī)范對(duì)用戶信息的處理，已成為業(yè)界的核心關(guān)切。

對(duì)此，360和信通院聯(lián)合發(fā)布的這份報(bào)告似乎來的及時(shí)，并給出了諸多可參考建議。據(jù)介紹，本報(bào)告立足于個(gè)人信息保護(hù)領(lǐng)域我國(guó)現(xiàn)行政策戰(zhàn)略、法律法規(guī)和其他規(guī)范，從處理的個(gè)人信息類型與要求、處理的原則要求、處理行為要求、個(gè)人信息安全工程、組織制度技術(shù)要求、監(jiān)管動(dòng)向與法律后果以及常見問題等七個(gè)方面，全面系統(tǒng)建構(gòu)企業(yè)關(guān)于個(gè)人信息的全流程保護(hù)體系，是企業(yè)業(yè)務(wù)場(chǎng)景下有關(guān)個(gè)人信息保護(hù)合規(guī)風(fēng)控工作的實(shí)操凝煉和理論總結(jié)。

一方面，報(bào)告對(duì)企業(yè)收集個(gè)人信息的合法基礎(chǔ)做出了內(nèi)容明確，企業(yè)不僅應(yīng)向用戶告知收集、使用個(gè)人信息的目的、方式和范圍，還需征得用戶的明示同意。

在具體方案上，企業(yè)應(yīng)采用一般告知、增強(qiáng)告知、即時(shí)提示三個(gè)層次來操作；而當(dāng)收集的目的、方式、范圍等重要因素發(fā)生變化時(shí)，企業(yè)方面還應(yīng)再次告知并征得同意。

另一方面，企業(yè)還應(yīng)遵循對(duì)個(gè)人信息“收集的最小必要原則”，其不能非法收集、違法收集，亦不能強(qiáng)制捆綁。

而針對(duì)近期備受關(guān)注的個(gè)人信息儲(chǔ)存，《報(bào)告》認(rèn)為，隱私政策需要說明存儲(chǔ)的目的、方式、范圍、存放地域，存放期限以及超期處理方式。企業(yè)在境內(nèi)運(yùn)營(yíng)活動(dòng)中收集的數(shù)據(jù)應(yīng)存儲(chǔ)在境內(nèi)，出境需要按法規(guī)要求評(píng)估，并以即將出臺(tái)的《個(gè)人信息保護(hù)法》，已生效的《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等法規(guī)的最新要求為準(zhǔn)。

此外，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，也應(yīng)當(dāng)在境內(nèi)存儲(chǔ)；特殊領(lǐng)域的信息乃至所涉?zhèn)€人信息應(yīng)存儲(chǔ)在境內(nèi)，出境需主管部門評(píng)估。

歷經(jīng)業(yè)務(wù)檢驗(yàn) 360為個(gè)人信息保護(hù)提供實(shí)操樣板

針對(duì)這份報(bào)告的重要意義，其不僅為企業(yè)場(chǎng)景中的個(gè)人信息保護(hù)提供權(quán)威范例，更順應(yīng)了官方加碼網(wǎng)絡(luò)安全保護(hù)的潛在需要。

據(jù)梳理，今年6月，《數(shù)據(jù)安全法》正式被表決通過，意味著“數(shù)據(jù)”作為一種新型的、獨(dú)立的保護(hù)對(duì)象，已經(jīng)獲得了立法上的認(rèn)可。

7月12日，工信部亦公開征求對(duì)《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃（2021-2023年）（征求意見稿）》的意見，其中明確，針對(duì)數(shù)據(jù)防泄露、防篡改、防竊取等傳統(tǒng)數(shù)據(jù)安全保障需求，要進(jìn)一步優(yōu)化數(shù)據(jù)安全管理、分類分級(jí)安全防護(hù)等產(chǎn)品功能和性能，提升數(shù)據(jù)安全智能防護(hù)和管理水平。

也正是基于這樣的背景，360歷經(jīng)三年打磨，結(jié)合豐富的實(shí)踐經(jīng)驗(yàn)和最新不斷增強(qiáng)的法律法規(guī)，與信通院共同推出了這份報(bào)告。據(jù)360介紹，公司從2019年著手準(zhǔn)備報(bào)告內(nèi)容，2020年通過了核心業(yè)務(wù)團(tuán)隊(duì)的檢驗(yàn)，2021年在信通院的指導(dǎo)與支持下，提煉總結(jié)了其中具有共性的成果部分，向社會(huì)公開發(fā)布。

值得一提的是，報(bào)告中不僅提示了明確的規(guī)范建議，亦穿插了諸多應(yīng)用場(chǎng)景示例，例如智能家居產(chǎn)品（例如掃地機(jī)）在用戶下載 App 后并注冊(cè)之前，企業(yè)應(yīng)如何規(guī)范獲取用戶的個(gè)人信息；社交 App 更新隱私政策中的收集使用規(guī)則后，應(yīng)跳出彈窗提示用戶閱讀等。與此同時(shí)，報(bào)告專門提供了開發(fā)設(shè)計(jì)實(shí)踐參考，提供了細(xì)節(jié)全面、操作性較高的《產(chǎn)品個(gè)人信息合規(guī)評(píng)估清單》，整體提升了其實(shí)際應(yīng)用價(jià)值。

360對(duì)此表示，該報(bào)告既是一次創(chuàng)新模式總結(jié)，又是不斷探索、創(chuàng)新治理模式的開始，為打造良好數(shù)據(jù)保護(hù)生態(tài)提出了可操作的實(shí)踐思路，期待成為各類型企業(yè)遵從監(jiān)管要求、建設(shè)完善個(gè)人信息保護(hù)制度體系、打造企業(yè)良好品牌形象的有益參考文件。