近段時間以來，有關(guān)網(wǎng)絡(luò)安全、個人信息保護的話題屢屢沖上熱門，業(yè)內(nèi)對于數(shù)據(jù)安全的重視度持續(xù)加碼。在此之中，各類企業(yè)場景更是關(guān)注焦點。

“企業(yè)在境內(nèi)運營活動中收集的數(shù)據(jù)應(yīng)存儲在境內(nèi)”、“企業(yè)對個人信息收集應(yīng)遵循最小必要原則”、“企業(yè)收集信息應(yīng)征得用戶明示同意”……

在7月15日召開的2021中國互聯(lián)網(wǎng)大會“數(shù)字化治理論壇”中，三六零（股票代碼：601360.SH，以下簡稱360）與中國信息通信研究院便聯(lián)合披露了一份《企業(yè)個人信息保護合規(guī)思路與實踐報告》，意在對企業(yè)場景中的個人信息保護規(guī)范提供有益參考。

360對此表示，公司愿與各界共同深度研析個人信息治理和數(shù)據(jù)安全的全球態(tài)勢與中國因應(yīng)，探討實現(xiàn)數(shù)據(jù)安全和個人信息保護相關(guān)的各項權(quán)益，規(guī)范數(shù)據(jù)處理活動，促進數(shù)據(jù)資源合理利用的制度建構(gòu)圖景。

立足企業(yè)場景 報告提供個人信息保護指南

伴隨產(chǎn)業(yè)數(shù)字化發(fā)展的不斷深入，各類企業(yè)在利用軟件工具服務(wù)大眾的同時，亦獲取了大量個人信息，其不僅幫助企業(yè)獲得用戶畫像，亦構(gòu)成了行業(yè)大數(shù)據(jù)的重要組成部分。

但由于近期的幾起網(wǎng)絡(luò)安全事件，公眾對于個人信息的保護意識顯著增強，企業(yè)該如何規(guī)范對用戶信息的處理，已成為業(yè)界的核心關(guān)切。

對此，360和信通院聯(lián)合發(fā)布的這份報告似乎來的及時，并給出了諸多可參考建議。據(jù)介紹，本報告立足于個人信息保護領(lǐng)域我國現(xiàn)行政策戰(zhàn)略、法律法規(guī)和其他規(guī)范，從處理的個人信息類型與要求、處理的原則要求、處理行為要求、個人信息安全工程、組織制度技術(shù)要求、監(jiān)管動向與法律后果以及常見問題等七個方面，全面系統(tǒng)建構(gòu)企業(yè)關(guān)于個人信息的全流程保護體系，是企業(yè)業(yè)務(wù)場景下有關(guān)個人信息保護合規(guī)風(fēng)控工作的實操凝煉和理論總結(jié)。

一方面，報告對企業(yè)收集個人信息的合法基礎(chǔ)做出了內(nèi)容明確，企業(yè)不僅應(yīng)向用戶告知收集、使用個人信息的目的、方式和范圍，還需征得用戶的明示同意。

在具體方案上，企業(yè)應(yīng)采用一般告知、增強告知、即時提示三個層次來操作；而當(dāng)收集的目的、方式、范圍等重要因素發(fā)生變化時，企業(yè)方面還應(yīng)再次告知并征得同意。

另一方面，企業(yè)還應(yīng)遵循對個人信息“收集的最小必要原則”，其不能非法收集、違法收集，亦不能強制捆綁。

而針對近期備受關(guān)注的個人信息儲存，《報告》認為，隱私政策需要說明存儲的目的、方式、范圍、存放地域，存放期限以及超期處理方式。企業(yè)在境內(nèi)運營活動中收集的數(shù)據(jù)應(yīng)存儲在境內(nèi)，出境需要按法規(guī)要求評估，并以即將出臺的《個人信息保護法》，已生效的《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等法規(guī)的最新要求為準(zhǔn)。

此外，關(guān)鍵信息基礎(chǔ)設(shè)施運營者在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，也應(yīng)當(dāng)在境內(nèi)存儲；特殊領(lǐng)域的信息乃至所涉?zhèn)€人信息應(yīng)存儲在境內(nèi)，出境需主管部門評估。

歷經(jīng)業(yè)務(wù)檢驗 360為個人信息保護提供實操樣板

針對這份報告的重要意義，其不僅為企業(yè)場景中的個人信息保護提供權(quán)威范例，更順應(yīng)了官方加碼網(wǎng)絡(luò)安全保護的潛在需要。

據(jù)梳理，今年6月，《數(shù)據(jù)安全法》正式被表決通過，意味著“數(shù)據(jù)”作為一種新型的、獨立的保護對象，已經(jīng)獲得了立法上的認可。

7月12日，工信部亦公開征求對《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃（2021-2023年）（征求意見稿）》的意見，其中明確，針對數(shù)據(jù)防泄露、防篡改、防竊取等傳統(tǒng)數(shù)據(jù)安全保障需求，要進一步優(yōu)化數(shù)據(jù)安全管理、分類分級安全防護等產(chǎn)品功能和性能，提升數(shù)據(jù)安全智能防護和管理水平。

也正是基于這樣的背景，360歷經(jīng)三年打磨，結(jié)合豐富的實踐經(jīng)驗和最新不斷增強的法律法規(guī)，與信通院共同推出了這份報告。據(jù)360介紹，公司從2019年著手準(zhǔn)備報告內(nèi)容，2020年通過了核心業(yè)務(wù)團隊的檢驗，2021年在信通院的指導(dǎo)與支持下，提煉總結(jié)了其中具有共性的成果部分，向社會公開發(fā)布。

值得一提的是，報告中不僅提示了明確的規(guī)范建議，亦穿插了諸多應(yīng)用場景示例，例如智能家居產(chǎn)品（例如掃地機）在用戶下載 App 后并注冊之前，企業(yè)應(yīng)如何規(guī)范獲取用戶的個人信息；社交 App 更新隱私政策中的收集使用規(guī)則后，應(yīng)跳出彈窗提示用戶閱讀等。與此同時，報告專門提供了開發(fā)設(shè)計實踐參考，提供了細節(jié)全面、操作性較高的《產(chǎn)品個人信息合規(guī)評估清單》，整體提升了其實際應(yīng)用價值。

360對此表示，該報告既是一次創(chuàng)新模式總結(jié)，又是不斷探索、創(chuàng)新治理模式的開始，為打造良好數(shù)據(jù)保護生態(tài)提出了可操作的實踐思路，期待成為各類型企業(yè)遵從監(jiān)管要求、建設(shè)完善個人信息保護制度體系、打造企業(yè)良好品牌形象的有益參考文件。