3.15晚會直擊隱私安全，個(gè)人信息保護(hù)刻不容緩

今年的央視"3·15"晚會，隱私保護(hù)成了最大"亮點(diǎn)"。進(jìn)一步喚醒了消費(fèi)者的安全意識，同時(shí)也給企業(yè)敲響了法律的警鐘：隱私，不僅是消費(fèi)者維權(quán)的底線，更是法律的紅線。

近兩年，我國多個(gè)部委密集制定、頒布、出臺了一系列隱私安全和隱私保護(hù)相關(guān)法律法規(guī)，其中，中國首部個(gè)人信息保護(hù)法規(guī)——《個(gè)人信息保護(hù)法（草案）》迎來了序幕。

SGS技術(shù)專家第一時(shí)間，針對《個(gè)人信息保護(hù)法（草案）》與GDPR作出差異化分析比較。小編在上次九大差異化系列推文已經(jīng)給大家分享了立法背景的差異（點(diǎn)擊查看詳情）。下面，我們來看看還有哪些要點(diǎn)變化：

立法重點(diǎn)的差異

GDPR

盡管草案與GDPR都同時(shí)強(qiáng)調(diào)了維護(hù)自然人權(quán)利和保障個(gè)人信息自由流通兩者之間的平衡。但從法規(guī)內(nèi)容來看兩者還是有些差異。
GDPR更側(cè)重于維護(hù)自然人的權(quán)利。首先歸納和定義出自然人在個(gè)人信息處理中應(yīng)享有和被維護(hù)的權(quán)益，然后在此基礎(chǔ)上保障個(gè)人信息的自由流通。

草案

草案在定義自然人的權(quán)利之初，就已經(jīng)照顧或考慮到避免影響個(gè)人信息的自由流通，從理念上來講更側(cè)重于維護(hù)代表所有人利益的個(gè)人信息使用的情況。
這與中國當(dāng)前的國情是有關(guān)的，根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，截止2020年12月，中國當(dāng)前的網(wǎng)民數(shù)量為9.89億人，約占世界網(wǎng)民總量的五分之一，互聯(lián)網(wǎng)普及率達(dá)到了70.4%，其中網(wǎng)民增長最快的就是農(nóng)村地區(qū)。因此，個(gè)人信息的自由流通對于實(shí)現(xiàn)廣大農(nóng)村地區(qū)實(shí)現(xiàn)徹底脫貧所起到的作用是不容小覷的。

執(zhí)法機(jī)制的差異

GDPR

GDPR為了保證在歐盟區(qū)域內(nèi)實(shí)現(xiàn)執(zhí)法的一致性，要求在各成員國內(nèi)設(shè)立專門的數(shù)據(jù)保護(hù)署，統(tǒng)一執(zhí)法。
同時(shí)，對于有爭議的執(zhí)法行為，在歐盟層面GDPR也設(shè)定了相應(yīng)的投票表決機(jī)制，極大地避免在歐盟區(qū)域內(nèi)，各成員國之間因主權(quán)意識而帶來的較大的執(zhí)法差異。

草案

草案盡管提出了國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作，但是，仍然延續(xù)了之前中國大陸境內(nèi)對涉及信息安全方面執(zhí)法的慣性，即國家各個(gè)職能部門對各自職責(zé)范圍內(nèi)的行業(yè)領(lǐng)域進(jìn)行個(gè)人信息處理違規(guī)活動行使執(zhí)法權(quán)力，屬于分而治之。

主要是基于兩方面的考慮：

打破原有執(zhí)行慣性會造成法規(guī)要求在執(zhí)行過程中難于施行，而且新設(shè)立的數(shù)據(jù)保護(hù)部門并不了解各個(gè)行業(yè)的特點(diǎn)，反而會造成執(zhí)法過程的偏差；
盡管屬于分而治之，但仍處于同一主權(quán)國家管制之下，便于溝通協(xié)調(diào)，不會造成執(zhí)法的不一致性。

處理原則的差異

GDPR

GDPR提出了個(gè)人信息處理的六大原則，包括：合法，公正，透明、目的限制、數(shù)據(jù)最小化、準(zhǔn)確性、存儲限制和完整性和機(jī)密性。

草案

草案在GDPR六大處理原則的基礎(chǔ)上增加了合作治理原則（第12條）。強(qiáng)調(diào)在個(gè)人信息處理的規(guī)則方面，加強(qiáng)國際合作交流的必要性，提出了推動在國家、地區(qū)、國際組織之間建立個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)等互認(rèn)的意愿，體現(xiàn)中國大陸在個(gè)人信息處理方面極大的開放性。

個(gè)人信息的定義

GDPR

GDPR對個(gè)人信息的定義：是指任何涉及一個(gè)已識別或可識別自然人的信息。

草案

草案對個(gè)人信息的定義：是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。草案對個(gè)人信息的處理做了進(jìn)一步的明確，包括個(gè)人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。

從上可以看出，草案將GDPR實(shí)踐中頗具爭議的匿名化后信息的歸屬問題，在此做了清晰的劃分，即不屬于個(gè)人信息，對其處理已不屬于個(gè)人信息處理需要規(guī)范的范疇。

自然人權(quán)利的差異

GDPR

GDPR定義了自然人在涉及個(gè)人信息方面享有的八項(xiàng)權(quán)利，主要包括知情權(quán)、訪問權(quán)、糾正權(quán)、刪除權(quán)、限用權(quán)、可攜權(quán)、拒絕權(quán)、決定權(quán)。

草案

草案中明確定義了自然人在涉及個(gè)人信息方面享有的權(quán)利，包括知情權(quán)（第44條）、訪問權(quán)（第45條）、糾正權(quán)（第46條）、刪除權(quán)（第47條）、限用權(quán)（第44條）、拒絕權(quán)（第44條和第25條）、決定權(quán)（第44條）。但草案中沒有定義可攜權(quán)（Right to data portability）。

以上，是9大差異分析中的第2-6個(gè)要點(diǎn)解讀，后續(xù)的3大要點(diǎn)分析敬請期待。

SGS為助力企業(yè)合規(guī)的做好隱私信息安全管理，將在北京、上海開啟ISO/IEC 27701 隱私信息管理體系內(nèi)審員培訓(xùn)課程，帶領(lǐng)學(xué)員在國內(nèi)國際規(guī)范、標(biāo)準(zhǔn)和法律法規(guī)要求下學(xué)習(xí)隱私信息管理體系審核所需的知識和技巧，助力企業(yè)及個(gè)人增強(qiáng)隱私信息管理能力，有效應(yīng)對不同司法管轄區(qū)的法規(guī)和監(jiān)管要求。

課程詳情

課程天數(shù)：2天
課程排期：3月25-26日（北京）、4月15-16日（上海）

適用人員：
政府部門信息管理官員
企業(yè)高級管理層（CEO、CIO、CSO等）
DPO
企業(yè)的IT經(jīng)理
系統(tǒng)/網(wǎng)絡(luò)/應(yīng)用管理人員
信息安全管理人員
從事認(rèn)證體系管理和維護(hù)的人員
IT審計(jì)及內(nèi)部審核員
從事信息安全管理咨詢的顧問
意愿全面了解隱私信息管理的人員以及所有欲將ISO/IEC 27701引入組織的人員

課程大綱：
ISO/IEC 27701:2019標(biāo)準(zhǔn)的框架結(jié)構(gòu)以及與相關(guān)標(biāo)準(zhǔn)的關(guān)系介紹
ISO/IEC 27701:2019標(biāo)準(zhǔn)正文講解
ISO/IEC 27701:2019標(biāo)準(zhǔn)附錄講解
PIMS相關(guān)的數(shù)據(jù)處理原則和數(shù)據(jù)主體權(quán)利講解
風(fēng)險(xiǎn)評估工具和方法
隱私信息管理體系的過程方法
認(rèn)可、認(rèn)證和審核相關(guān)知識
審核技巧
審核的計(jì)劃、準(zhǔn)備和執(zhí)行

課程收益：
本培訓(xùn)課程匯集了SGS全球頂尖的信息安全專家與主任審核團(tuán)隊(duì)的實(shí)戰(zhàn)經(jīng)驗(yàn)，通過學(xué)習(xí)該課程：
能了解和掌握ISO/IEC 27701國際標(biāo)準(zhǔn)的要求
熟悉如何建立完整的PIMS
并掌握批PIMS內(nèi)部審核的實(shí)踐方法和技巧
實(shí)踐如何領(lǐng)導(dǎo)一個(gè)團(tuán)隊(duì)進(jìn)行隱私信息管理體系執(zhí)行審核
具備PIMS內(nèi)部審核員的基本技能

課程證書：學(xué)員成功完成本課程可獲SGS頒發(fā)的培訓(xùn)證書。

課程費(fèi)用：提交報(bào)名信息后，客服代表將為您提供課程價(jià)格。

課程報(bào)名：請點(diǎn)擊鏈接