數據安全話題熱度不減 360聯合信通院推個人信息保護權威報告

在7月15日召開的2021中國互聯網大會“數字化治理論壇”中，三六零(股票代碼：601360.SH，以下簡稱360)與中國信息通信研究院便聯合披露了一份《企業個人信息保護合規思路與實踐報告》，意在對企業場景中的個人信息保護規範提供有益參考。

360對此表示，公司願與各界共同深度研析個人信息治理和數據安全的全球態勢與中國因應，探討實現數據安全和個人信息保護相關的各項權益，規範數據處理活動，促進數據資源合理利用的制度建構圖景。

立足企業場景 報告提供個人信息保護指南

伴隨產業數字化發展的不斷深入，各類企業在利用軟件工具服務大眾的同時，亦獲取了大量個人信息，其不僅幫助企業獲得用户畫像，亦構成了行業大數據的重要組成部分。

但由於近期的幾起網絡安全事件，公眾對於個人信息的保護意識顯著增強，企業該如何規範對用户信息的處理，已成為業界的核心關切。

對此，360和信通院聯合發佈的這份報告似乎來的及時，並給出了諸多可參考建議。據介紹，本報告立足於個人信息保護領域我國現行政策戰略、法律法規和其他規範，從處理的個人信息類型與要求、處理的原則要求、處理行為要求、個人信息安全工程、組織制度技術要求、監管動向與法律後果以及常見問題等七個方面，全面系統建構企業關於個人信息的全流程保護體系，是企業業務場景下有關個人信息保護合規風控工作的實操凝鍊和理論總結。

一方面，報告對企業收集個人信息的合法基礎做出了內容明確，企業不僅應向用户告知收集、使用個人信息的目的、方式和範圍，還需徵得用户的明示同意。

在具體方案上，企業應採用一般告知、增強告知、即時提示三個層次來操作；而當收集的目的、方式、範圍等重要因素髮生變化時，企業方面還應再次告知並徵得同意。

另一方面，企業還應遵循對個人信息“收集的最小必要原則”，其不能非法收集、違法收集，亦不能強制捆綁。

而針對近期備受關注的個人信息儲存，《報告》認為，隱私政策需要説明存儲的目的、方式、範圍、存放地域，存放期限以及超期處理方式。企業在境內運營活動中收集的數據應存儲在境內，出境需要按法規要求評估，並以即將出台的《個人信息保護法》，已生效的《網絡安全法》、《數據安全法》等法規的最新要求為準。

此外，關鍵信息基礎設施運營者在境內運營中收集和產生的個人信息和重要數據，也應當在境內存儲；特殊領域的信息乃至所涉個人信息應存儲在境內，出境需主管部門評估。

歷經業務檢驗 360為個人信息保護提供實操樣板

針對這份報告的重要意義，其不僅為企業場景中的個人信息保護提供權威範例，更順應了官方加碼網絡安全保護的潛在需要。

據梳理，今年6月，《數據安全法》正式被表決通過，意味着“數據”作為一種新型的、獨立的保護對象，已經獲得了立法上的認可。

7月12日，工信部亦公開徵求對《網絡安全產業高質量發展三年行動計劃(2021-2023年)(徵求意見稿)》的意見，其中明確，針對數據防泄露、防篡改、防竊取等傳統數據安全保障需求，要進一步優化數據安全管理、分類分級安全防護等產品功能和性能，提升數據安全智能防護和管理水平。

也正是基於這樣的背景，360歷經三年打磨，結合豐富的實踐經驗和最新不斷增強的法律法規，與信通院共同推出了這份報告。據360介紹，公司從2019年着手準備報告內容，2020年通過了核心業務團隊的檢驗，2021年在信通院的指導與支持下，提煉總結了其中具有共性的成果部分，向社會公開發布。

值得一提的是，報告中不僅提示了明確的規範建議，亦穿插了諸多應用場景示例，例如智能家居產品(例如掃地機)在用户下載 App 後並註冊之前，企業應如何規範獲取用户的個人信息；社交 App 更新隱私政策中的收集使用規則後，應跳出彈窗提示用户閲讀等。與此同時，報告專門提供了開發設計實踐參考，提供了細節全面、操作性較高的《產品個人信息合規評估清單》，整體提升了其實際應用價值。

360對此表示，該報告既是一次創新模式總結，又是不斷探索、創新治理模式的開始，為打造良好數據保護生態提出了可操作的實踐思路，期待成為各類型企業遵從監管要求、建設完善個人信息保護制度體系、打造企業良好品牌形象的有益參考文件。