有温度的法律新媒体

中周法律应用研究院:美国《个人隐私信息保护指南》简介

中周法律应用研究院:美国《个人隐私信息保护指南》简介

北京中周法律应用研究院

当前,互联网公司面临美国、欧盟等关于个人信息保护法律对其在国外经营的挑战。

本文主要介绍美国《个人隐私信息保护指南》,希冀对互联网公司在实践中就如何采取个人信息安全保护措施有所帮助,不仅使其符合法律要求,也使其成为公司内控保障,甚至成为法律对抗中的有利辩解。

目前,美国商务部下属的科技标准局针对个人隐私信息安全措施,已经推出一个名为《个人隐私信息保护指南》标准,以供企业遵循。该标准认为,个人隐私信息需借助各种综合措施加以保护,包含作业保护措施、隐私信息特殊保护措施以及安全管控等方面。企业应使用以风险为评估基础的方式来保护个人隐私信息,且以下所述措施可以作为企业整体信息安全系统的一部分。

一、作业保护措施

作业保护措施主要有两种类型,一是政策及程序制定,二是提示、员工训练及教育。企业在构建保护保护措施以保障客户个人信息的同时,应确保已经配置合适的人力来负责该措施实施,保证能实现预期目标。

(一)政策及程序制定

企业须制定全面的个人信息隐私保护政策及流程,包含组织层面、程序、系统等。隐私政策的种类可以包括基本隐私原则、隐私权保护行为规范、执行法定义务政策及系统政策等。基本隐私原则反映企业的隐私保障目标,也可以作为制定更多政策及程序的标准规范。隐私权保护行为规范就如何妥善处理客户个人信息,提供一套行为标准,及未遵守的后果。执行法定义务政策则涉及企业在所经营的业务范围内,如何落实法律的要求。下列主题是企业在制定个人隐私信息保护政策及流程所应当考量的:

1.在系统中,如要接触客户个人信息时所应遵守的规范;

2.客户个人资料保存的时间表及程序;

3.个人资料出现泄露或信息安全缺口时的通知;

4.在系统更新换代的过程中,客户隐私信息的保护;

5.客户个人信息搜集、使用、披露、传输的限制要求;

6.未遵守行为规范的后果。

如果企业允许借助公司外部系统等方式接触或传输客户信息的,企业必须要签订相应书面协议,规定员工的权责分工、限制广泛散布信息、发生信息安全缺口时的通知义务、信息安全管控的最低限度及其它要件。而在技术层面要求上,应应当符合互联系统安全协定的规定,该协定要求成员须遵守个人人信息处理、揭露、分享、传输、保存及使用的相关限制规定。

企业的客户信息管理也包括企业出现信息安全缺口时的应变处理流程。良好的事故应急能力,让企业得以迅速发现信息事故,将损害最小化,辨识自身弱点及迅速恢复信息系统运作。

(二)提示、员工训练及教育

提示、员工训练及教育属于独立的措施,每项都在信息安全保护几乎中扮演举足轻重的地位,以下分别予以介绍。

提示措施主要是为改变员工行为状态或强化个人信息保护措施而设,其目的在于使人注意到客户个人信息保护措施的存在。此措施需要借助引人注目的方式,将其所要表达的意旨传递到每位员工身上,例如,提醒员工关于个人信息盗取的新型诈骗手法,提供信息外泄的相关新闻极其对客户和企业的影响;提供企业员工曾因违反个人隐私信息保护规定而承担法律责任的资讯,并建议合适的隐私信息保障措施。

员工训练的目的是为使员工有足够知识和技术来保护客户资料。企业应有一套训练计划及实施步骤,且企业管理层应向员工宣传遵守个人信息保护的重要性,而企业政策本身应规范员工训练的权责分工,以及定期训练与复习制度。为降低客户资料被不当接触、使用或揭露的可能性,任何有权接触客户个人信息者皆应接受适当的训练,甚至是特殊职位的训练。员工训练中应重视下列的主题:

1.客户个人隐私信息的定义;

2.企业所应适用的法律及内部政策;

3.客户资料收集、存储、使用的限制;

4.使用及保护客户个人资料的权责分工;

5.客户个人资料的妥善处置;

6.滥用客户个人资料的制裁;

7.认识客户信息保护措施或个人信息泄露等事件;

8.客户个人信息保存时间表;

9.客户个人信息安全缺口应对、报送的权责分工。

教育则是发展出一套包含各类个人信息保护措施的知识架构,并培育信息隐私保护专业人员,由其负责落实一套完整计划,使企业得以积极应对各种信息保护的挑战。

二、隐私信息的特殊安全措施

此类措施涉及保护客户个人隐私信息的管控,在其他种类的信息(如商业信息)保护中多半属于非必要措施。本类措施帮助企业在收集、维护、使用、传播客户个人信息时,得以保护其隐私。现介绍该措施的其几种类型。

(一)减少客户个人信息的使用、收集与保存

减少客户个人信息的使用、收集与保存是一项隐私信息保护的基本原则,借助将客户信息的收集限制至开展业务所必要范围内,企业可限制因个人信息安全缺口所导致的负面影响程度。企业应考量个人信息使用、收集、维护的总量及类型,并仅于达成商业目的或业务需求的必要范围内进行收集;若客户个人信息无法达成目前的商业目的,则不应当继续收集或使用该等个人信息。

此外,企业应定期检视其所持有的客户个人信息,判断该等信息是否仍属于达成商业目的或业务所需或相关。若已不再必须或相关,则该等个人信息应依照联邦纪录法以及经国家档案纪录局核准的记录管控时程表的规定加以销毁,而针对淘汰的硬件,企业应于报废前将可能存放于硬件中的客户个人信息加以删除。依照国家档案纪录局所核准的处理时程,将客户个人信息有效管理及妥善处置,可有效降低未经授权而泄露个人信息的风险。

(二)执行隐私信息的影响评估

隐私信息的影响评估是在一套信息系统中,用以辨识并减轻隐私信息风险的流程。隐私信息影响评估是用来核查信息处理过程中的以下事项:

1.确认信息处理流程符合法律及政策的要求;

2.决定电子信息系统中收集、维护、散布可辨识个人信息的风险及效果;

3.辨识及衡量个人信息处理的替代措施,以降低可能的隐私信息风险。

如果有效使用隐私信息影响评估,其将协助企业辨识在系统开发周期中,各阶段的隐私风险,所以许多企业建立自己的模板作为执行影响评估的准则。下面是使用影响评估过程中,经常被关注的议题:

1.什么样的客户个人信息被收集;

2.为何该等信息被收集;

3.该等信息的预计用途;

4.该等信息将与何人分享;

5.该等信息如何被保护;

6.基于执行影响评估,企业就信息科技系统或个人信息收集做出如何的选择。

(三)个人信息的去识别化

去识别化信息是指资料记录已将足够的个人资料移除或模糊化,使得剩余信息无从被用来识别特定个人。去识别化信息仅得借助由密码、演算法或假名再加以识别,但该等密码、演算法或假名不得基于该个人相关信息而设,且再识别方式仅有权限者才能知悉,不得将其透露给无权知悉之人。常见的个人资料去识别化技术,是将单向密码函数适用在个人信息上。以下就此措施应注意事项加以说明:

1.再识别化的密码、演算法或假名须被保存在分开的系统中,且须有适当的管制以防止任何人未经授权接触再识别化的信息;

2.无法借助公开记录或易获得的外部记录连结到足以辨别该信息的要素。

举例来说,可借助移除财产记录的账户号、姓名、社保码及其他可辨别信息的方式达到去识别化的目的。通过去识别化的信息,趋势分析团队可就系统中的记录进行公开的审核,无需担心该团队可能因此而得以识别特定客户。举另一个例子,对于健康体检的测验结果进行研究分析时,所有可识别的个人信息都被移除,而患者的身份证号则以随机假名的方式进行隐藏与模糊化,且有关的交互对照表被存放分别的系统之中;唯一可以重建原先可识别个人信息的方式,是经授权而参阅该对照表后,交互对照以还原原先的信息。

借助上述众多去识别化的客户个人隐私信息,研究者可用来做统计分析,从各方面进行比较,了解趋势所在及开发出合适的商业模式,且不会有个人隐私信息泄露问题。

(四)匿名信息

匿名信息的定义为,原先可识别的客户个人隐私信息被去识别化,且该等信息再次识别的方法已不存在。匿名信息经常运用统计上的限制披露技术,以确保信息无法被重新识别,常见方式有以下几种:

1.信息概括化:使信息较不精确,例如,分类而形成连续值;

2.减少信息:删除全部或部分的记录;

3.引进干扰因子:将少量变异数字添加到整体信息中;

4.信息互换:将同一信息范畴中的两笔相似记录互相调换,例如,将两笔记录的邮寄地址进行交换;

5.代换成平均值:将特定数值的信息换成群体信息的平均值。

利用上述方式,可将信息改变为与客户个人隐私信息无关的信息,但仍保留其有用且实际的特征;而所保留的信息特征为何,则依照所采取的统计上限制披露技术不同而有所差异。

对需要导入程序前进行测试的新开发、新购入、新更新的系统而言,匿名信息对于系统测试相当有帮助。测试应尽可能模拟真实情况,以确保新系统得以正确且有效率地运作。当客户个人隐私信息运用在测试环境时,应将其与实际环境中个人信息保护等同,以达到测试效果。

随机制造假信息以取代原客户个人隐私信息的方式,对于系统测试而言缺乏效率。只有个人隐私信息的特征及统计分布保留,才能达到有效测试目的。然而,借助将客户个人隐私信息取代成匿名信息,可保留原个人隐私信息的特征,但匿名信息不会被认定为属于个人隐私信息。

综上所述,匿名信息替换是一种隐私信息保护的特殊安全措施,使系统测试在保护个人隐私信息的同时,得以在时间及成本较低的情况下进行。然而,并非所有信息都可完全被匿名化,比如生物识别信息就是不易被匿名化的典型例子。

未经允许不得转载:智合 » 中周法律应用研究院:美国《个人隐私信息保护指南》简介

评论 抢沙发

评论前必须登录!

 

This site is protected by wp-copyrightpro.com