中国国家标准化管理委员会于2018年1月2日发布了个人信息安全的国家标准——《信息安全技术个人信息安全规范》。这些自愿和无约束力的标准已于2018年5月1日生效。
新标准与此前的《信息安全技术公共及商用服务信息系统个人信息保护指南》(2012年指南)覆盖的范围类似。不过,新标准适用于所有个人信息控制者,而2012年指南可能在范围方面有更多限制,虽然该等指南的范围不完全清晰。
根据新标准,个人信息控制者是指“有权决定个人信息处理目的和方式”的所有私人或公共组织,这可能会包括为了工作或者业务相关目的收集员工个人信息的单位。
新标准包括比2012年指南更加具体和全面的指南并列明了新的收集、保存、使用、共享、转让、公开披露和处理个人信息的最佳实践做法。根据这些最佳实践做法,个人信息控制者应当:
- 在传输或存储个人敏感信息时,采用加密等安全措施;
- 要求从事个人信息处理的任何人员签署保密协议;
- 定期(至少每年一次)对个人信息处理活动是否满足新的安全指南标准进行评估,并评估个人信息处理活动对个人信息主体合法权益的影响;
- 在中国收集的个人信息向境外提供时,进行安全评估;
- 要求其法定代表人或主要负责人对个人信息安全承担责任。
《商法摘要》由贝克·麦坚时律师事务所协助提供,内容仅供参考之用。读者如欲开展与本栏内容相关之工作,须寻求专业法律意见。读者可通过以下电邮与贝克·麦坚时联系:张大年(上海)danian.zhang@bakermckenzie.com
