【樂思網(wǎng)絡(luò)輿情監(jiān)測】:hr泄露員工信息 企業(yè)應(yīng)重視員工隱私信息安全
樂思網(wǎng)絡(luò)輿情監(jiān)測發(fā)現(xiàn)���,5月27日�����,有網(wǎng)友爆料疑似網(wǎng)易互動娛樂有限公司的HR徐博,在朋友圈發(fā)布了“幫忙撩”“幫忙下藥”等歧視女性的言論�����,引發(fā)熱議。27日晚間�����,互娛發(fā)布聲明,表示經(jīng)調(diào)查后決定對涉事HR給予解除勞動合同處分�����。
企業(yè)如何重視員工隱私信息安全
一�、密切關(guān)注政策及立法導(dǎo)向
從《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》到《網(wǎng)安法》《電商法》�,還有尚未正式頒布的《個人信息保護法》,短短幾年我國就實現(xiàn)了個人信息保護領(lǐng)域從原則性規(guī)則到正式的普適性立法的迅速轉(zhuǎn)變���,這些制度安排必將影響各行各業(yè)對個人信息的控制和處理。
相信未來還會出現(xiàn)更加細化的行業(yè)立法或具有本地化的地方性立法�,而企業(yè)有必要對此加以重視�����,因為個人信息一定是未來立法保護的主要目標�,因此企業(yè)的數(shù)據(jù)合規(guī)整改的著力點必須落到個人信息安全����。
這就要求企業(yè)必須保持對法律的敏感,對相關(guān)法律規(guī)定和基本規(guī)范要有一定的理解和認識�����,并且要將相關(guān)制度融入企業(yè)內(nèi)部的運營中���。
二�����、積極完善并及時更新隱私政策
2017年����,由中央網(wǎng)信辦、工信部�����、公安部�、國家標準委指導(dǎo)開展的隱私條款專項行動,針對微信、淘寶網(wǎng)��、支付寶��、滴滴出行��、京東商城等十款互聯(lián)網(wǎng)應(yīng)用的隱私條款進行了審核并提出了整改意見���。
如今�����,隱私條款的更新設(shè)計已經(jīng)是企業(yè)自律的主要手段。例如微信、百度���、知乎�����、淘寶等不同領(lǐng)域的互聯(lián)網(wǎng)頭部企業(yè)���,已經(jīng)更新并完善了各自的隱私政策���。新的隱私政策最主要的變化在于向微觀個體賦予更大的個人信息保護權(quán)�,也就是說個人信息主體在享受互聯(lián)網(wǎng)服務(wù)的同時�,對自身產(chǎn)生的數(shù)據(jù)有了更大的掌控權(quán)、更透明的數(shù)據(jù)收集����、處理規(guī)則和行權(quán)路徑����。企業(yè)隱私政策設(shè)計要合乎自身基本情況和所處的行業(yè)特征�����,不能套路式地生搬硬套。
首先,企業(yè)隱私政策的主要功能是告知客戶企業(yè)如何收集���、利用及保護用戶個人信息,同時給予用戶對個人數(shù)據(jù)的選擇權(quán)����。
其次�,要用淺顯易懂的表達方式明確告知用戶正在收集何種數(shù)據(jù)以及使用目的����,在明確獲得用戶許可的情況下,才能進行相關(guān)的數(shù)據(jù)操作��。
再次�����,還要告知用戶如何避免這種收集以及如何刪除個人數(shù)據(jù)��,為用戶提供一定的選擇空間,對用戶個人數(shù)據(jù)的保護提供一定的背書�,比如保證數(shù)據(jù)是集團內(nèi)部使用或者在向第三方傳輸時進行了脫敏處理����。
最后,還必須告知用戶發(fā)生爭議時的詢問和投訴的渠道�����,以及發(fā)生糾紛后的爭議解決機制�。
以立法傾向來看,企業(yè)保證個人信息不受侵害必將成為一項附加義務(wù)�,因此隱私政策必須將相關(guān)責(zé)權(quán)進行清晰的界定����。
三����、對處理個人信息的員工加以約束
首先����,公司針對不同崗位中需要處理個人信息的員工����,應(yīng)該在雇傭前或雇傭后明確其信息安全職責(zé)����,例如,招聘時的崗位描述和公司相關(guān)政策中規(guī)定的此類員工應(yīng)盡安全職責(zé)培訓(xùn)等。
其次���,對授權(quán)訪問個人信息的內(nèi)部數(shù)據(jù)操作人員的訪問權(quán)限必須進行限制,目的是使其只能訪問職責(zé)所需的最少夠用個人信息。對個人信息的重要操作��,例如批量修改����、拷貝���、下載等���,必須設(shè)立內(nèi)部審批流程���,如因業(yè)務(wù)工作需要�,特定人員需授權(quán)進行超權(quán)限處理個人信息的,個人信息保護責(zé)任人或個人信息保護工作機構(gòu)必須對流程進行審批和記錄����,而且這里的安全管理人員�����、數(shù)據(jù)操作人員�����、審計人員等角色的設(shè)置必須是分離的�。
最后,公司必須有自己的數(shù)據(jù)安全政策或者與處理個人信息員工簽署相應(yīng)的標準保密條款����,它可以在員工手冊中規(guī)定或單獨規(guī)定安全政策�。針對那些違反安全職責(zé)或公司相關(guān)安全政策的員工,公司必須對相關(guān)人員進行相應(yīng)處罰政策。即使在個人信息處理崗位的相關(guān)人員離崗離職��,公司也必須通過合同等方式約束他們繼續(xù)履行保密義務(wù)。如果有可能訪問個人信息的外部服務(wù)人員,公司也必須與他們簽署保密協(xié)議�����。
四�����、將個人信息保護融入運營流程
企業(yè)數(shù)據(jù)合規(guī)整改應(yīng)該是內(nèi)生的��,在缺乏有效的數(shù)據(jù)交易市場的情況下,為了規(guī)避嚴苛的法律制裁,企業(yè)有必要預(yù)先對自身情況進行核查���,將明顯有悖于新立法規(guī)則的地方進行整頓�。從行業(yè)內(nèi)部開始整改�����,通過研究行業(yè)內(nèi)的技術(shù)標準和技術(shù)趨勢進行差距分析和自我評估���。
首先����,在產(chǎn)品及服務(wù)設(shè)計中應(yīng)該預(yù)先進行風(fēng)險預(yù)測�����,將必要的隱私設(shè)計納入產(chǎn)品及服務(wù)的最初設(shè)計中。
其次����,必須通過隱私政策說明個人信息在企業(yè)關(guān)聯(lián)方和合作機構(gòu)之間的流轉(zhuǎn)�����、通知和拒絕方式�。
最后�,《網(wǎng)安法》雖然沒有明確要求企業(yè)設(shè)立數(shù)據(jù)保護官一職��,但是要求企業(yè)設(shè)立“網(wǎng)絡(luò)負責(zé)人”對信息安全技術(shù)進行把關(guān),因此部門和人員結(jié)構(gòu)的再組織是非常必要的����。
企業(yè)內(nèi)部的整改應(yīng)該涉及多個方面�����,包括產(chǎn)品及服務(wù)設(shè)計����、關(guān)聯(lián)及合作關(guān)系、人員及組織架構(gòu)��、技術(shù)應(yīng)用標準的轉(zhuǎn)換等�����。
五、定期進行個人信息安全影響評估
公司內(nèi)部或者外聘第三方公司定期對公司開展個人信息安全影響評估并形成個人信息安全影響評估報告����,并以此為根據(jù)采取保護個人信息主體的措施����,使風(fēng)險降低到可接受的水平��,妥善留存?zhèn)€人信息安全影響評估報告����,有必要的話應(yīng)該定期對外輸出個人信息安全影響評估報告,確??晒┫嚓P(guān)方查閱���。
在法律法規(guī)有新的要求時���,在業(yè)務(wù)模式�、信息系統(tǒng)�����、運行環(huán)境發(fā)生重大變更時���,或發(fā)生重大個人信息安全事件時��,公司應(yīng)該重新進行個人信息安全影響評估�����。
六��、聘任數(shù)據(jù)保護官
我國企業(yè)對個人信息的保護已經(jīng)從人員組織上開始轉(zhuǎn)變�。2018年6月,東航正式任命總法律顧問郭俊秀為企業(yè)數(shù)據(jù)保護官(DPO),全面負責(zé)企業(yè)的數(shù)據(jù)保護與合規(guī)運營工作。至此,東航已成為國內(nèi)首家設(shè)立數(shù)據(jù)保護官的企業(yè)。
根據(jù)歐盟�����、美國等國家或地區(qū)法律,企業(yè)必須設(shè)置數(shù)據(jù)保護官來保障企業(yè)內(nèi)數(shù)據(jù)合規(guī)運營。因此���,有涉及對外業(yè)務(wù)的國內(nèi)企業(yè)設(shè)置數(shù)據(jù)保護官不僅僅是為了迎合相關(guān)國家或地區(qū)的合規(guī)需求��,更是對我國用戶數(shù)據(jù)權(quán)的重視����。隨著我國對個人信息保護標準同國際逐漸接軌�����,設(shè)置數(shù)據(jù)保護官必將是我國企業(yè)內(nèi)部數(shù)據(jù)合規(guī)的重要一步。
400-603-8000
