企业如何保护个人信息?
一、事前预防 (一)建立信息保护合规制度 信息保护工作应当纳入公司治理结构之中,由公司统一领导,相关部门协同配合,共同做好信息保护工作。 公司可以制定信息安全方针和目标,明确信息保护的职责和要求,规范信息处理的流程,确立必要的奖惩措施并加以监督检查等。
二、事中控制 公司应当及时评估可能遭受的信息安全风险,进行风险辨识与风险评估,确定风险应对策略和范围,制订相应的控制措施,落实风险管理责任。
三、事后补救 对于已经发生的信息泄露事件,应该立即采取补救措施,包括调查事件的起因和经过; 分析泄露的信息是否会对客户和其他外部对象造成危害或潜在危害; 评估信息泄露事件的影响范围和程度; 判断是否需要向公安机关报案及提交相关报告; 对相关的信息系统或软硬件设备采取临时应急处理措施; 组织调查、评估、修复、整改、善后处理等。
随着社会信息化进程的加快,信息数据日益成为重要经济资源,掌握大量用户信息的企业应当落实更严格的保护要求,在数据采集、使用,特别是跨境流动过程中,切实履行好法律义务,并加强对员工宣传教育,防止信息泄露,以维护用户合法权益和国家安全。
企业事业单位应当建立健全个人信息保护制度,采取安全技术措施和其他必要措施,防止个人信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。企业事业单位和个人向境外提供个人信息,应当符合法律行政法规的规定。
企业事业单位收集、使用个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
