讲到“工业和信息化部24号令”,不少企业的首个反应或许是既晓得又生疏。这个正式称呼为《电信和互联网用户个人信息保护规定》的部门规章,自2013年9月1日开始施行以来,一直是监管部门执法的核心依据之一咧。简言之,它阐明了电信和互联网企业在搜集、运用用户个人信息之际,必定得依照合法、正当、必要的准则,并且对用户个人信息的安全承担责任哒。近期,三部门联合印发了《网络安全标识管理办法》之后,个人信息保护和产品安全能力的结合越发紧密了,这也给企业带来了新的关于合规的思考。这天,我们从实务的角度开始,说一说这项规定究竟查些什么、罚些什么,以及企业应当怎样有效应对。
哪些信息受到严格保护
有不少企业管理者持有这样的看法,只要不将用户的身份证号予以泄露,那就不算违规,然而这种认知实际上是并不全面的。按照24号令第四条的规定,用户个人信息不但涵盖用户的姓名、身份证件号码、电话号码、账号以及密码等工业和信息化部24号令,这些能够单独或者与其他信息相结合从而识别用户的信息,而且还包含用户使用服务的时间、地点等使用记录。这也就表明,即便是用户的地理位置轨迹、使用App的时长频率等看上去较为普通的数据,同样是受到严格保护的,绝对不可以凭借“不属于敏感信息”这个理由来放松管理。
企业需要落实哪些安全措施
仅仅晓得保护范围是远远不足够的,企业还得把安全措施切实落实到位。24号令第十三条提出了八项具体要求,其中有确定各部门、岗位的用户个人信息安全管理责任,对批量导出、复制、销毁信息施行审查,对储存信息的信息系统进行接入审查并采取防入侵、防病毒举措,以及依照电信管理机构的规定开展通信网络安全防护工作等。在工信部对2026年质量工作作出部署这样的情形之下,企业理应尽快去自行检查制度是不是健全,技术防护是不是做到位,以此来保证每一个环节都有相应的规章可以遵循。
如何应对潜在的合规风险
合规并非是那种做一次就永远不用再管的事儿,企业 requisite 去构建起一种常态化的应对机制。按照 24 号令第十五条给出的规定,企业得针对其工作人员开展用户个人信息保护相关知识、技能以及安全责任方面的培训。除此以外,企业还得搭建用户投诉处理机制,而且在接到投诉的那一日开始计算的十五天之内答复投诉人。当用户个人信息出现了或者有可能出现泄露、毁损、丢失的情况时,企业应当即刻采取补救举措,要是造成了严重后果那就得马上向电信管理机构报告。这些规定所蕴含的意义是,企业应当经由日常运营的过程,把合规意识融入进去,而并非仅仅是在面临检查之时工业和信息化部24号令,才匆忙地临时抱佛脚。
广大读者们,您身处的企业于个人信息保护合规这块儿,究竟有没有切实执行到位呢?欢迎于评论区域分享您曾有的困惑以及积累的经验。
