【樂思網(wǎng)絡(luò)輿情監(jiān)測】:hr泄露員工信息 企業(yè)應(yīng)重視員工隱私信息安全
樂思網(wǎng)絡(luò)輿情監(jiān)測發(fā)現(xiàn),5月27日,有網(wǎng)友爆料疑似網(wǎng)易互動(dòng)娛樂有限公司的HR徐博,在朋友圈發(fā)布了“幫忙撩”“幫忙下藥”等歧視女性的言論,引發(fā)熱議。27日晚間,互娛發(fā)布聲明,表示經(jīng)調(diào)查后決定對涉事HR給予解除勞動(dòng)合同處分。
企業(yè)如何重視員工隱私信息安全
一、密切關(guān)注政策及立法導(dǎo)向
從《全國人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》到《網(wǎng)安法》《電商法》,還有尚未正式頒布的《個(gè)人信息保護(hù)法》,短短幾年我國就實(shí)現(xiàn)了個(gè)人信息保護(hù)領(lǐng)域從原則性規(guī)則到正式的普適性立法的迅速轉(zhuǎn)變,這些制度安排必將影響各行各業(yè)對個(gè)人信息的控制和處理。
相信未來還會(huì)出現(xiàn)更加細(xì)化的行業(yè)立法或具有本地化的地方性立法,而企業(yè)有必要對此加以重視,因?yàn)閭€(gè)人信息一定是未來立法保護(hù)的主要目標(biāo),因此企業(yè)的數(shù)據(jù)合規(guī)整改的著力點(diǎn)必須落到個(gè)人信息安全。
這就要求企業(yè)必須保持對法律的敏感,對相關(guān)法律規(guī)定和基本規(guī)范要有一定的理解和認(rèn)識(shí),并且要將相關(guān)制度融入企業(yè)內(nèi)部的運(yùn)營中。
二、積極完善并及時(shí)更新隱私政策
2017年,由中央網(wǎng)信辦、工信部、公安部、國家標(biāo)準(zhǔn)委指導(dǎo)開展的隱私條款專項(xiàng)行動(dòng),針對微信、淘寶網(wǎng)、支付寶、滴滴出行、京東商城等十款互聯(lián)網(wǎng)應(yīng)用的隱私條款進(jìn)行了審核并提出了整改意見。
如今,隱私條款的更新設(shè)計(jì)已經(jīng)是企業(yè)自律的主要手段。例如微信、百度、知乎、淘寶等不同領(lǐng)域的互聯(lián)網(wǎng)頭部企業(yè),已經(jīng)更新并完善了各自的隱私政策。新的隱私政策最主要的變化在于向微觀個(gè)體賦予更大的個(gè)人信息保護(hù)權(quán),也就是說個(gè)人信息主體在享受互聯(lián)網(wǎng)服務(wù)的同時(shí),對自身產(chǎn)生的數(shù)據(jù)有了更大的掌控權(quán)、更透明的數(shù)據(jù)收集、處理規(guī)則和行權(quán)路徑。企業(yè)隱私政策設(shè)計(jì)要合乎自身基本情況和所處的行業(yè)特征,不能套路式地生搬硬套。
首先,企業(yè)隱私政策的主要功能是告知客戶企業(yè)如何收集、利用及保護(hù)用戶個(gè)人信息,同時(shí)給予用戶對個(gè)人數(shù)據(jù)的選擇權(quán)。
其次,要用淺顯易懂的表達(dá)方式明確告知用戶正在收集何種數(shù)據(jù)以及使用目的,在明確獲得用戶許可的情況下,才能進(jìn)行相關(guān)的數(shù)據(jù)操作。
再次,還要告知用戶如何避免這種收集以及如何刪除個(gè)人數(shù)據(jù),為用戶提供一定的選擇空間,對用戶個(gè)人數(shù)據(jù)的保護(hù)提供一定的背書,比如保證數(shù)據(jù)是集團(tuán)內(nèi)部使用或者在向第三方傳輸時(shí)進(jìn)行了脫敏處理。
最后,還必須告知用戶發(fā)生爭議時(shí)的詢問和投訴的渠道,以及發(fā)生糾紛后的爭議解決機(jī)制。
以立法傾向來看,企業(yè)保證個(gè)人信息不受侵害必將成為一項(xiàng)附加義務(wù),因此隱私政策必須將相關(guān)責(zé)權(quán)進(jìn)行清晰的界定。
三、對處理個(gè)人信息的員工加以約束
首先,公司針對不同崗位中需要處理個(gè)人信息的員工,應(yīng)該在雇傭前或雇傭后明確其信息安全職責(zé),例如,招聘時(shí)的崗位描述和公司相關(guān)政策中規(guī)定的此類員工應(yīng)盡安全職責(zé)培訓(xùn)等。
其次,對授權(quán)訪問個(gè)人信息的內(nèi)部數(shù)據(jù)操作人員的訪問權(quán)限必須進(jìn)行限制,目的是使其只能訪問職責(zé)所需的最少夠用個(gè)人信息。對個(gè)人信息的重要操作,例如批量修改、拷貝、下載等,必須設(shè)立內(nèi)部審批流程,如因業(yè)務(wù)工作需要,特定人員需授權(quán)進(jìn)行超權(quán)限處理個(gè)人信息的,個(gè)人信息保護(hù)責(zé)任人或個(gè)人信息保護(hù)工作機(jī)構(gòu)必須對流程進(jìn)行審批和記錄,而且這里的安全管理人員、數(shù)據(jù)操作人員、審計(jì)人員等角色的設(shè)置必須是分離的。
最后,公司必須有自己的數(shù)據(jù)安全政策或者與處理個(gè)人信息員工簽署相應(yīng)的標(biāo)準(zhǔn)保密條款,它可以在員工手冊中規(guī)定或單獨(dú)規(guī)定安全政策。針對那些違反安全職責(zé)或公司相關(guān)安全政策的員工,公司必須對相關(guān)人員進(jìn)行相應(yīng)處罰政策。即使在個(gè)人信息處理崗位的相關(guān)人員離崗離職,公司也必須通過合同等方式約束他們繼續(xù)履行保密義務(wù)。如果有可能訪問個(gè)人信息的外部服務(wù)人員,公司也必須與他們簽署保密協(xié)議。
四、將個(gè)人信息保護(hù)融入運(yùn)營流程
企業(yè)數(shù)據(jù)合規(guī)整改應(yīng)該是內(nèi)生的,在缺乏有效的數(shù)據(jù)交易市場的情況下,為了規(guī)避嚴(yán)苛的法律制裁,企業(yè)有必要預(yù)先對自身情況進(jìn)行核查,將明顯有悖于新立法規(guī)則的地方進(jìn)行整頓。從行業(yè)內(nèi)部開始整改,通過研究行業(yè)內(nèi)的技術(shù)標(biāo)準(zhǔn)和技術(shù)趨勢進(jìn)行差距分析和自我評估。
首先,在產(chǎn)品及服務(wù)設(shè)計(jì)中應(yīng)該預(yù)先進(jìn)行風(fēng)險(xiǎn)預(yù)測,將必要的隱私設(shè)計(jì)納入產(chǎn)品及服務(wù)的最初設(shè)計(jì)中。
其次,必須通過隱私政策說明個(gè)人信息在企業(yè)關(guān)聯(lián)方和合作機(jī)構(gòu)之間的流轉(zhuǎn)、通知和拒絕方式。
最后,《網(wǎng)安法》雖然沒有明確要求企業(yè)設(shè)立數(shù)據(jù)保護(hù)官一職,但是要求企業(yè)設(shè)立“網(wǎng)絡(luò)負(fù)責(zé)人”對信息安全技術(shù)進(jìn)行把關(guān),因此部門和人員結(jié)構(gòu)的再組織是非常必要的。
企業(yè)內(nèi)部的整改應(yīng)該涉及多個(gè)方面,包括產(chǎn)品及服務(wù)設(shè)計(jì)、關(guān)聯(lián)及合作關(guān)系、人員及組織架構(gòu)、技術(shù)應(yīng)用標(biāo)準(zhǔn)的轉(zhuǎn)換等。
五、定期進(jìn)行個(gè)人信息安全影響評估
公司內(nèi)部或者外聘第三方公司定期對公司開展個(gè)人信息安全影響評估并形成個(gè)人信息安全影響評估報(bào)告,并以此為根據(jù)采取保護(hù)個(gè)人信息主體的措施,使風(fēng)險(xiǎn)降低到可接受的水平,妥善留存?zhèn)€人信息安全影響評估報(bào)告,有必要的話應(yīng)該定期對外輸出個(gè)人信息安全影響評估報(bào)告,確保可供相關(guān)方查閱。
在法律法規(guī)有新的要求時(shí),在業(yè)務(wù)模式、信息系統(tǒng)、運(yùn)行環(huán)境發(fā)生重大變更時(shí),或發(fā)生重大個(gè)人信息安全事件時(shí),公司應(yīng)該重新進(jìn)行個(gè)人信息安全影響評估。
六、聘任數(shù)據(jù)保護(hù)官
我國企業(yè)對個(gè)人信息的保護(hù)已經(jīng)從人員組織上開始轉(zhuǎn)變。2018年6月,東航正式任命總法律顧問郭俊秀為企業(yè)數(shù)據(jù)保護(hù)官(DPO),全面負(fù)責(zé)企業(yè)的數(shù)據(jù)保護(hù)與合規(guī)運(yùn)營工作。至此,東航已成為國內(nèi)首家設(shè)立數(shù)據(jù)保護(hù)官的企業(yè)。
根據(jù)歐盟、美國等國家或地區(qū)法律,企業(yè)必須設(shè)置數(shù)據(jù)保護(hù)官來保障企業(yè)內(nèi)數(shù)據(jù)合規(guī)運(yùn)營。因此,有涉及對外業(yè)務(wù)的國內(nèi)企業(yè)設(shè)置數(shù)據(jù)保護(hù)官不僅僅是為了迎合相關(guān)國家或地區(qū)的合規(guī)需求,更是對我國用戶數(shù)據(jù)權(quán)的重視。隨著我國對個(gè)人信息保護(hù)標(biāo)準(zhǔn)同國際逐漸接軌,設(shè)置數(shù)據(jù)保護(hù)官必將是我國企業(yè)內(nèi)部數(shù)據(jù)合規(guī)的重要一步。
400-603-8000
