電網(wǎng)企業(yè)應(yīng)如何規(guī)范處理并保護(hù)個(gè)人信息

　　核心提示 11月1日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》正式施行，明確了個(gè)人信息和敏感個(gè)人信息的處理規(guī)則，完善個(gè)人信息保護(hù)投訴、舉報(bào)工作機(jī)制，從嚴(yán)懲治違法行為，全方位保護(hù)個(gè)人信息安全。電網(wǎng)企業(yè)在為千家萬(wàn)戶(hù)提供服務(wù)的過(guò)程中，需要處理大量個(gè)人信息。應(yīng)從內(nèi)外兩方面著手落實(shí)個(gè)人信息保護(hù)法相關(guān)要求，對(duì)內(nèi)深化個(gè)人信息保護(hù)的組織、機(jī)制和流程建設(shè)；對(duì)外明確并落實(shí)個(gè)人信息的處理規(guī)則，規(guī)范個(gè)人信息處理者的數(shù)據(jù)處理行為。

　　這是我國(guó)首部針對(duì)個(gè)人信息保護(hù)的專(zhuān)門(mén)法律

　　《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱(chēng)個(gè)人信息保護(hù)法）于今年8月經(jīng)十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過(guò)，11月1日生效實(shí)施。個(gè)人信息保護(hù)法共8章74條，是我國(guó)首部針對(duì)個(gè)人信息保護(hù)的專(zhuān)門(mén)法律。

　　個(gè)人信息保護(hù)法聚焦隨意收集、違法獲取、過(guò)度使用、非法買(mǎi)賣(mài)個(gè)人信息等突出問(wèn)題和人民群眾的重大關(guān)切，通過(guò)立法建立權(quán)責(zé)明確、保護(hù)有效、利用規(guī)范的制度規(guī)則，旨在解決利用個(gè)人信息侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財(cái)產(chǎn)安全的問(wèn)題，在保障個(gè)人信息權(quán)益的基礎(chǔ)上，促進(jìn)信息數(shù)據(jù)依法合理有效利用，推動(dòng)數(shù)字經(jīng)濟(jì)持續(xù)健康發(fā)展。

　　個(gè)人信息保護(hù)法主要有哪些內(nèi)容

　　●進(jìn)一步明確個(gè)人信息處理的合法性基礎(chǔ)

　　個(gè)人信息保護(hù)法確立了“告知-同意”這一個(gè)人信息處理的核心規(guī)則——除非法律法規(guī)另有規(guī)定，取得個(gè)人同意方可處理個(gè)人信息。告知是同意的前提，個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)告知個(gè)人信息的處理目的和處理方式、處理的個(gè)人信息種類(lèi)、個(gè)人行使權(quán)利的方式和程序等事項(xiàng)。

　　個(gè)人信息保護(hù)法延續(xù)民法典的規(guī)定，擴(kuò)展了“同意”以外個(gè)人信息處理的合法性基礎(chǔ)，將訂立或履行合同所必需、保護(hù)自然人的重大利益以及公共利益等納入個(gè)人信息處理合法基礎(chǔ)的范圍。

　　●進(jìn)一步增強(qiáng)對(duì)個(gè)人信息主體權(quán)益的保護(hù)

　　個(gè)人信息保護(hù)法第四章規(guī)定了個(gè)人在個(gè)人信息處理中的權(quán)利，包括享有知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)，在個(gè)人信息不準(zhǔn)確和不完整情況下的更正權(quán)和補(bǔ)充權(quán)，以及符合特定條件的刪除權(quán)。

　　個(gè)人信息保護(hù)法其他章節(jié)也體現(xiàn)了對(duì)個(gè)人信息主體權(quán)益的保護(hù)，包括撤回同意的權(quán)利、自動(dòng)化決策下個(gè)人信息主體的權(quán)利，以及死者的個(gè)人信息權(quán)益?；趥€(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意。通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定時(shí)，個(gè)人信息主體有權(quán)要求個(gè)人信息處理者予以說(shuō)明，并且有權(quán)拒絕僅通過(guò)自動(dòng)化決策方式作出的決定。同時(shí)，個(gè)人信息處理者還應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供拒絕自動(dòng)化決策的方式。本法規(guī)定了死者的個(gè)人信息權(quán)益，在自然人死亡后，其個(gè)人信息權(quán)利由其近親屬行使。

　　●明確個(gè)人信息的出境規(guī)則

　　個(gè)人信息保護(hù)法明確一般情況和特殊情況下的個(gè)人信息出境規(guī)則。個(gè)人信息處理者因業(yè)務(wù)等需要，確實(shí)需要向境外提供個(gè)人信息的，要進(jìn)行個(gè)人信息保護(hù)認(rèn)證，與境外接收方訂立合同，或符合法律、行政法規(guī)、國(guó)家網(wǎng)信部門(mén)規(guī)定的其他條件方可出境。特殊情況，即關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者，確需向境外提供個(gè)人信息的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估。

　　本法通過(guò)出口管制和對(duì)等反制措施進(jìn)行個(gè)人信息出境管理，并嚴(yán)格禁止未經(jīng)批準(zhǔn)向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供個(gè)人信息。

　　●細(xì)化個(gè)人信息處理者企業(yè)內(nèi)部管理義務(wù)

　　個(gè)人信息保護(hù)法要求個(gè)人信息處理者采取措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息的泄露，包括制定內(nèi)部管理制度和操作規(guī)程，對(duì)個(gè)人信息實(shí)行分類(lèi)管理，采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施，合理確定個(gè)人信息處理的操作權(quán)限并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)等。針對(duì)用戶(hù)數(shù)量巨大、業(yè)務(wù)類(lèi)型復(fù)雜的基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)，本法提出了新的義務(wù)要求，包括成立由外部成員組成的獨(dú)立機(jī)構(gòu)，監(jiān)督個(gè)人信息處理活動(dòng)等。

　　個(gè)人信息保護(hù)法規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)按要求設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人，公開(kāi)負(fù)責(zé)人的聯(lián)系方式并向個(gè)人信息保護(hù)部門(mén)報(bào)送；應(yīng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。同時(shí)，個(gè)人信息處理者應(yīng)在開(kāi)展處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動(dòng)化決策、委托處理個(gè)人信息、提供個(gè)人信息、公開(kāi)個(gè)人信息以及向境外提供個(gè)人信息等對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)前，進(jìn)行個(gè)人信息保護(hù)影響評(píng)估。

　　應(yīng)從內(nèi)外兩方面著手，規(guī)范處理個(gè)人信息

　　國(guó)家電網(wǎng)有限公司作為關(guān)系國(guó)家能源安全、國(guó)民經(jīng)濟(jì)命脈的國(guó)有重點(diǎn)骨干企業(yè)，為千家萬(wàn)戶(hù)提供服務(wù)的過(guò)程中要處理大量個(gè)人信息。應(yīng)從內(nèi)外兩方面著手落實(shí)個(gè)人信息保護(hù)法相關(guān)要求，對(duì)內(nèi)強(qiáng)化內(nèi)功，深化公司個(gè)人信息保護(hù)的組織、機(jī)制和流程建設(shè)；對(duì)外明確并落實(shí)個(gè)人信息的處理規(guī)則，規(guī)范個(gè)人信息處理者的數(shù)據(jù)處理行為。

　　●深化企業(yè)內(nèi)部的個(gè)人信息保護(hù)組織、機(jī)制、流程建設(shè)

　　一是細(xì)化完善個(gè)人信息內(nèi)部安全管理制度。建立內(nèi)部管理制度和操作規(guī)程，至少覆蓋個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等個(gè)人信息處理全生命周期流程；參照《電信和互聯(lián)網(wǎng)服務(wù)用戶(hù)個(gè)人信息保護(hù)分級(jí)指南》等規(guī)定對(duì)個(gè)人信息進(jìn)行分類(lèi)管理。根據(jù)個(gè)人信息分類(lèi)的結(jié)果，采取不同的安全技術(shù)措施，對(duì)敏感程度較高的個(gè)人信息采取更嚴(yán)格的安全技術(shù)措施，以降低可能面臨的風(fēng)險(xiǎn)；內(nèi)部操作權(quán)限配置應(yīng)符合最小授權(quán)的訪問(wèn)控制策略，使被授權(quán)訪問(wèn)個(gè)人信息的人員只能訪問(wèn)職責(zé)所需的最小必要的個(gè)人信息，且僅具備完成職責(zé)所需的最少的數(shù)據(jù)操作權(quán)限；定期開(kāi)展從業(yè)人員安全教育和培訓(xùn)，同時(shí)按要求設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人。

　　二是制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案。個(gè)人信息保護(hù)法明確將“制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案”上升為個(gè)人信息處理者的義務(wù)。除制定并組織實(shí)施應(yīng)急預(yù)案外，應(yīng)參照《信息安全技術(shù)個(gè)人信息安全規(guī)范》第10條的要求，定期組織內(nèi)部人員開(kāi)展相關(guān)應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練，促使相關(guān)人員更好地掌握應(yīng)急處置時(shí)的崗位職責(zé)和應(yīng)急處置策略、規(guī)程。

　　三是針對(duì)對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)開(kāi)展個(gè)人信息保護(hù)影響評(píng)估，并定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況開(kāi)展合規(guī)審計(jì)。個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄應(yīng)至少保存三年。

　　四是做好證據(jù)留痕以防范“過(guò)錯(cuò)推定”責(zé)任。個(gè)人信息保護(hù)法規(guī)定，處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。應(yīng)對(duì)個(gè)人信息處理活動(dòng)以及履行個(gè)人信息保護(hù)相關(guān)工作做好工作記錄及存檔，防范因不能舉證而承擔(dān)相關(guān)責(zé)任。

　　●明確個(gè)人信息的處理規(guī)則，規(guī)范個(gè)人信息處理者的數(shù)據(jù)處理活動(dòng)

　　應(yīng)落實(shí)個(gè)人信息處理活動(dòng)的合法基礎(chǔ)，強(qiáng)化告知同意義務(wù)，確保各項(xiàng)處理個(gè)人信息的場(chǎng)景均具備合法基礎(chǔ)。除法律、行政法規(guī)另有規(guī)定的，處理個(gè)人信息應(yīng)獲得個(gè)人的同意，并采取顯著方式、清晰易懂的語(yǔ)言向個(gè)人告知個(gè)人信息處理規(guī)則。在必要的情況下，處理個(gè)人信息要獲得個(gè)人單獨(dú)或書(shū)面的同意。

　　應(yīng)規(guī)范收集、存儲(chǔ)、刪除等各環(huán)節(jié)的個(gè)人信息處理活動(dòng)。除法律、行政法規(guī)另有規(guī)定外，個(gè)人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。應(yīng)結(jié)合業(yè)務(wù)目的確定個(gè)人信息的保存期限，按法律法規(guī)期限進(jìn)行存儲(chǔ)。

　　謹(jǐn)慎對(duì)待個(gè)人信息出境。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)堅(jiān)持個(gè)人信息存儲(chǔ)在中國(guó)境內(nèi)的原則。確需向境外提供個(gè)人信息時(shí)，僅“通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估”進(jìn)行信息出境。

　　（作者單位：國(guó)家電網(wǎng)有限公司大數(shù)據(jù)中心）