隐私政策是企业保护个人信息以及合规的核心规章制度之一。2022年5月26日,全国信息安全标准化技术委员会发布《信息安全技术 互联网平台及产品服务隐私协议要求(征求意见稿)》(以下简称“《隐私协议标准草案》”)。
根据一同发布的《编制说明》,在内容方面,该标准提供了关于隐私协议编制程序、具体内容、发布形式,增加隐私协议的具体要求,以及处理隐私协议相关的争议纠纷等方面的指导和建议;在功能方面,该标准将作为《个人信息保护法》及《个人信息安全规范》(GB/T 35273-2020)的配套标准使用,用以落实《个人信息保护法》等法律法规;在适用范围方面,该标准不仅将规范个人信息处理者制定、发布隐私协议的过程,也适用于主管监管部门、第三方评估机构等组织对隐私协议进行监督、管理和评估,因而该标准既是合规性规范,也是监管性规范。
我们将结合立法、执法实践以及我们的经验,对国内首部面向社会征求意见的关于隐私政策的专门性标准《隐私协议标准草案》进行解读,旨在为企业提供关于隐私政策的合规路径。
本系列文章共分为上中下三篇。其中,上篇(即本篇)将从宏观视角介绍编制隐私政策的合规思路(路线图);中篇将从形式和实质合规两方面指引企业具体如何编制隐私政策;下篇将解读隐私政策的修订、发布及可视化问题。
上篇:编制隐私政策的合规路线图
制定、发布隐私协议是个人信息处理者遵循公开透明原则的重要体现,是保证个人信息主体知情权的重要手段,也是约束自身行为和配合监督管理的重要机制。
——《隐私协议标准草案》“5 概述”
随着《个人信息保护法》及其配套规范的陆续出台、隐私政策合规审查及整治力度的加大以及惩罚措施的不断加码,企业践行隐私政策合规的必要性和迫切性已无需赘言。
如何才能做好隐私政策合规?企业又当如何编制隐私政策文件?我们认为,企业在正式编制前做好法规学习、合规培训、制度建设、人员分工、个人信息收集需求梳理与评估等准备工作十分必要。《隐私协议标准草案》第6条即为企业在编制隐私政策时应遵循的程序给出了指引。
参考该指引并结合我们的实务经验,企业在编制隐私政策时应遵循的合规路线图总结如下:
上述隐私政策的合规路线图是企业在制定隐私政策前所需完成的准备工作。
实践中,大多数涉及个人信息处理的企业已不同程度开展了隐私政策合规工作,并制定了自己的隐私政策文件。然而,根据我们的经验,随着监管政策的不时更新及行政执法的持续深入,企业的隐私政策文件通常需作出相应更新和完善。敬请关注《中篇:隐私政策文件如何编制方能合规?》。