最容易忽视的个人信息保护权利

2021年8月20日,全国人大常委会表决通过《中华人民共和国个人信息保护法》,自2021年11月1日起施行。该法明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制……对此,昆明亭长朗然科技有限公司信息安全专员董志军表示:这部专门法律及时充分地回应了社会关切的热点,也让往年面对各种个人信息非法收集、使用、提供、买卖或者公开等活动时,“没有专门的个人信息保护立法”的说辞和借口成为历史。

法律出台后,社会关注的热点问题主要局限在过度收集信息、大数据杀熟的问题,以及滥用人脸识别技术的问题,这些问题当然很重要,尤其与消费者权益保护及公平公正的商业环境密切相关。然而,仅仅局限于社会关注热点的问题并不足够,既然是个人信息保护,视角似乎应该从社会层面转向个人层面,而这就需要让公司在个人信息保护方法“知法”、“懂法”、“用法”。通过海量公民在个人层面的“依法维权”,来驱动社会层面的“执法”和“守法”。唯有这样,法律才会有执行力,法律才会有威严。

四川德阳旌阳区法院审理的那起知名的案件,消费者在火锅店就餐时被要求扫码点餐,消费者认为该店获取的诸如手机号、生日、姓名、通讯录等信息与餐饮消费无关,侵犯其个人信息。法院审理后,判决餐厅停止侵权。该案虽然不是什么大案要案,但是无疑应该成为公民个人信息保护方面的经典普法案例。个人信息保护有一些重要的原则,包括:合法、正当、诚信原则;必要和目的特定原则;适量和最小范围原则;知情同意原则等等。火锅店老板要么不懂法,不知道法规中的这些基本原则,要么心存侥幸甚至漠视这些原则。不管如何,作为个人信息的处理者,您若不懂或不法,个人信息的所有者(公民、消费者)就可以对你采取法律行动。这种法律行动多起来,就会在全社会层面形成一种知法守法的良好法制环境。

需知,这种“依法维权”行动不一定非要严重到“对簿公堂”,公民在日常工作、日常生活中,面对个人信息保护疑虑或问题时,简单的沟通、质疑或向其个人信息处理者提出权利要求,即是正向的能量。那么,公民需知的个人信息保护权利有哪些呢?知情权、同意权,这些是最基本的权利,相信大家都不陌生,包括查询隐私保护政策、个人信息处理规则等文件,点击“同意”,以及对敏感个人信息及出境个人信息的单独同意。如果个人信息处理者没有这些文书和流程,比如某APP收集个人信息却没有这方面的文书告知,或者某网站没有个人信息处理方面的疑问沟通渠道,则是违法无疑,公民可以积极维权。

接下来,就是不为大家所熟知的,个人信息所有者的更正权和删除权,甚至还有可携带权(转移权),如果说知情权、同意权只是“表面工作”的话,那么,更正权、删除权和转移权则是公民在以“实际触摸”的方式履行个人信息的“所有权”。“更正权”好理解,数据主体有权更正错误的个人数据,通常是通过编辑或更新个人信息的等方式来实现。“删除权”的典型场景包括:用户有撤回同意、注销账号的权利,控制者有配合删除其个人数据的义务。“可携带权(转移权)”的意思是数据主体有权要求将自己的数据,转移到另一家数据控制者,数据控制者应当配合。例子包括用户将某服务平台中所有的个人数据打包,转移到另一家竞争者的服务平台中。

在此,我们强烈倡议、大声号召、热切呼吁国民重视个人信息的更正权、删除权和可携带权(转移权),因为这些权利的保障,如果能够得到系统自动化的实施,无疑是给数据处理者(数据控制者、平台、商家等)的一记“重棒”,因为这些才是真正体现处理者尊重用户数据“所有权”的根本核心所在。

说了这么多,我们自己又做的怎么样呢?除了展示“个人信息及隐私安全保护政策”以彰显对用户的知情权、同意权之外,我们的在线学习应用允许学员“编辑个人资料”(更正权),“联系隐私官和进行数据请求”(知情权),还允许学员“导出我所有的个人数据”(转移权)以及“删除我的账号”(删除权)。

非常好的消息是,有一些学员开始主张自己的权利,这种态势非常好,虽然这种既重视个人信息保护,又懂得“维权”的用户占比还比较低。但是有了这个好的开端,我们就有理由相信:关于个人信息的保护,未来不再迷茫,航向已定,前程会越来越文明。

昆明亭长朗然科技有限公司推出了大量的网络安全与保密意识宣传教育内容,包括动画视频、平面图片和电子课件资源,其中也有个人信息安全与隐私保护相关的法规科普,以及员工们需知的数据安全保护知识,欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

企业网络安全合规的九个步骤

勒索软件、网络犯罪、人工智能黑客、高仿换脸变声……这些话让所有计算设备的用户心生恐惧,但是许多小企业却并未实施足够的网络安全方法,以便来保护企业数据免受网络攻击。对此,昆明亭长朗然科技有限公司网络安全专业人员董志军表示:很多中小企业的老板和经理们是业务专家,然而并不是IT专家,即使知道一些IT的重要性,也局限于业务流程方面,对于网络安全几乎是没有任何经验和方法,而竞争激烈的大多数中小企业显然又没法吸引网络安全专业人员加盟的兴趣,就是现有的IT管理员往往也是力量薄弱,和财大气粗的大型企业和政府机关相比,也没几个预算来搞网络安全工程项目。

所以,作为良心的网络安全企业,有必要考虑到中小企业的困难,为其提供技术和管理方面的帮助,特别是实施网络安全计划的最佳实践。我们并不是指搞一些免费的杀毒软件,这些业内已经有一些“羊毛出在猪身上”的做法,尽管多数网络安全专家对此嗤之以鼻,但是谁也没法打破这些僵局。

网络安全与黑客方面的头条大新闻不断刷新历史,黑客攻击致使超过数亿人的个人数据遭受泄露,并通过难以监管的P2P、暗网等渠道传播。有些行业面临着独特的挑战,一些欺诈者炮制很多场景,入侵对方的电子邮件、窃取邮箱、假借身份要求支付款项到另一账号,给很多贸易型企业造成了数百万甚至数千万的损失。对此,专家称:随着技术不断渗透到我们的生活,从联网汽车到交易中的区块链技术,再到云计算的增长,技术将为企业带来新的风险。

企业不仅需要跟上新技术,还需要应对每一项新技术发展带来的风险。与保护计算机防止病毒等恶意程序破坏,需要强化防病毒技术相比,新时代网络安全更多需要的是管理,实施安全程序的关键一步是创建数据安全程序、更新安全政策。国家出台了不少法令,对未能保护消费者个人信息数据的企业采取执法行动。对此,董志军补充说:为了帮助企业保持国家安全及消费者的个人数据安全,国家出台了《网络安全法》、《数据安全法》和《个人信息保护法》,并且细化了很多可执行的数据保护实践指南。

即使算不上国家的领导干部,中小企业的管理者们也是时间金贵,让我们简要说一说如何能够快速达到合规。先说一个问题,有人可能会说,国家的数据安全保护相关法律还看不到中小企业,或者说执法时会有选择性的差异,也会考虑实际,不会重点关注非关键信息基础设施领域,这是有道理,但是不要大意,消费者隐私意识觉醒,中小企业本身就不容易,再面临客户丢失甚至受到诉讼的风险?

第一步是一个关键原则,就是搞出来数据安全或隐私保护政策,其中安全注意事项指导并告知用户数据收集实践。有人说根本没有什么人会去看那些文字,如同使用协议一样的,点“接受”或“同意”就过去了。这人就是不懂,那是法律条款,你接受了,就表示同意了,相当于一个微型的合约就达成了,不出事儿倒好,出事儿了,有合约在,权利才能得到保障,即使是电子记录形式的合约。

第二步,包括中小企业在内的所有机构,都应仅收集相关的个人信息,并仅在需要时保留这些信息,并制定销毁不必要数据的流程。这要说到做到,有章法可以向监管机关展示,有执行记录可以做证明,就是大道昭昭,合规守法经营,黑帮也不敢惹你,鬼都不敢上身。

第三步,明智地控制对数据的访问。当网络上有敏感数据(例如工资或客户订单、联系信息)时,请仅允许需要使用这些信息的人访问。控制谁可以访问所有类型的信息,刚入职的新员工,在还不够稳重可靠时,不要马上给他/她访问这些数据的权限。

第四步,需要安全密码和身份验证,大多数黑客通过坏密码或弱密码破坏网络。确保用户创建强密码(现在建议使用长短语)并将所有密码保存在安全位置。这个安全位置,通常指的是大脑,或者密码管理器,不是随意写在纸条上,贴出去,或者写在博客网站里可供世界上任何人查看。

第五步,安全地存储敏感的个人信息并在传输过程中对其进行保护。如果需要传输数据,请确保使用经过验证的安全方法,例如加密,这是必须的,WEB不搞SSL证书、邮箱不弄个TLS/SSL支持(HTTPS、SMTPS、IMAPS协议),现在就没法混电子商务,因为黑客会通过网络窃听未加密的明文密码和信息。

第六步,分割工作网络并监控网络进出流量。没必要过于限制员工们个人的互联网访问权限,但是得防万一出现网络安全问题,警察来要访问记录并进行查案。此外,对内部关键数据的访问,关系着业务生存和发展,只给各部门人员他们需要访问的网络权限。例如,销售人员应无法访问公司的财务数据或其他销售人员的帐户。分割网络访问有助于限制违规造成的损害。

此外,强化安全远程访问也很必要,架设VPN太容易了,而且保护在外人员安全的效果非常好,可以确保远程访问网络的每个人都拥有强大且安全的连接,因为只需一个容易发生数据泄露的点,即可让整个公司受到重大损失。在外工作的人员经常性的,也会越来越多地使用智能手机,一不小心连接到开放式无线网络,如果没有VPN的话,可能导致数据轻易泄露。

第七步,在开发新产品时应用健全的安全实践,此步骤是企业在开发自己的软件产品(例如应用程序)时应采用的标准策略。当然啦,有不少中小企业是将这些软件开发外包的,那就要确保服务提供商实施合理的安全措施,对于经常依赖供应商存储其数据的小型企业来说,这是非常重要的措施,提出这项,会让服务供应商另眼相看,重视数据安全。

确保供应商通过测试他们的合规性来正确保护数据,并在合同中加入要求供应商保持一定安全级别的条款。谁不想等到出现数据泄露时才发现供应商没有采用良好的安全措施,这不仅是责任的归属问题,更是在危难之时保障自身权利的必备!

第八步,制定程序以保持安全最新并解决可能出现的漏洞,保持软件最新,启用防恶意软件程序,这是个安全管理最基本的实践,也是IT安全必备技能,因为系统安全更新对于保护网络和数据安全很重要。

第九步,保护纸张、物理介质和设备,这些比较传统的信息容易被电子时代的管理者们所忽略,比如打印出来的合同、订单、发票自留页等,别大意,大型机构有保密部门,中小企业就用与保护电子数据相同的步骤保护其他形式的载体。所有的信息都需要以安全的方式存储,当业务目的结束时,应丢弃不需要的信息。当然啦,使用WIKI或更为良好的文档管理系统将帮助跟踪所有数据,包括非电子格式的数据。

总之,信息安全不仅仅是政策、程序、标准和指南,还包括对合规审计或行业要求的回应。对于大多数员工来说,这是一个需要进行文化变革的业务流程。在要求任何人遵守安全措施之前,他们必须首先了解需求和流程。这是一个持续的过程,从新员工入职培训开始,一直持续到离职后的离职面谈。它必须至少每年进行一次,并包括定期提醒。

信息安全意识不需要庞大的预算。但是,它确实需要花费管理者和员工们一些时间。对于管理者来说,在实施上述安全程序(步骤)之前,您必须将其应用给自己,然后向全员进行推广,其中的沟通涉及意识计划,必须使用理性和逻辑的声音。从小处着手并扩展。当员工意识到有一个安全计划时,它已经成为文化的一部分。昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com