信息权|正式施行｜美创科技浅谈《个人信息保护法》企业合规建设指南( 三 )_侦查|数据库|无锡市公安局锡山

在职责层面，赋有对个人信息保护的部门需要对个人信息处理者进行宣传教育、指导监督，并提供信息保护评估和认证服务；在事后补救层面，制定补救措施，可及时查明信息发生泄漏或者被非法使用的原因，尽可能减轻所产生的对个人权益的损害；在追责层面，赋有个人信息保护职责部门可对其进行警告、整改、没收、罚款、记录信用档案、吊销业务许可、吊销营业执照等惩罚措施，当情节严重、侵害了众多个人权益的，人民检察院、履行个人信息保护职责部门、国家网信办可提起民事及刑事诉讼，来维护个人信息主体合法权益。

三、基于《个人信息保护法》内涵企业应重点强化内容
《中华人民共和国个人信息保护法》正式施行，标志着我国对个人信息的立法保护方面上升到了新的高度，作为“个人信息处理者”的企业同样有了法律上的“新的任务”，美创科技专家认为需要以该法律为个人信息安全抓手，在制度完备性、个人信息分类分级及权限管理、个人信息安全保护措施、个人信息安全教育培训、个人信息安全事件应急制度、个人信息事前风险评估义务上建立符合法律要求的个人信息及数据合规体系。
1、制度完备性
● 首先，制定符合企业内部个人信息相关制度，包括：对个人信息收集传输及处理制度、个人用户信息收集及处理制度、个人信息安全保护制度、信息分级分类管理制度、个人信息风险评估制度、审计制度等，使其具有合规性、可行性、完备性，全面覆盖企业各个业务条线；
● 其次，制定个人信息数据全生命周期操作流程，使其与建立的内部制度互相辅助，并在流程中注意严格的权限管理；
● 再次，当个人信息达到一定数量时，落实个人信息保护负责人使其可责任到人，由其进行相关工作的统筹和管理，有必要时可考虑成立相关部门，专门负责建立内部合规管理制度和相关措施，并负责推进制度及措施的实施。
2、个人信息分类分级
● 首先，摸清家底、了解现状、梳理企业信息库存，梳理清楚企业拥有哪些个人信息（包括外部个人信息、内部个人信息）、承载个人信息数据位于何处、数据如何流动等；
● 其次，明确所需个人信息，以“个人权益影响最小”为原则，尽可能多的去除非必要信息；
● 再次，对个人信息进行分类分级、处理权限划分等，当需要处理个人信息时进行比对，确定处理个人信息级别及权重。
3、企业合规建设，建立相应保护措施
● 美创科技专家建议企业需要采用安全技术措施来对个人信息进行保护，可采用建立访问控制、审计、匿名化（使个人信息主体无法被识别或者关联，处理后的信息不能被复原）、加密、去标识化（对标识进行处理，处理后的信息无法识别到特定个人信息主体的数据处理方式）等技术对个人信息开展防护。
4、持续开展个人信息安全教育培训
● 以假定“敌已在内、敌将在内”为核心，持续定期开展全员个人信息安全教育培训，树立安全意识，明确各自权限及边界，防止人为造成数据泄露。
5、建立个人信息安全事件应急机制
● 企业应当针对个人信息安全事件定期开展应急演练，并形成应急预案，持续动态进行预案调整，不断排除针对个人信息的安全风险。
6、个人信息事前风险评估
● 企业针对个人信息的事前风险评估设定为一项经常性工作，将其制度化、常态化，风险评估报告应涵盖个人信息种类、数量、收集、存储、使用、委托、提供等情况及可能面对的风险和应对措施，持续保证评估质量的情况下尽量实现高效、快捷。