#前言
近日,最高人民检察院印发了《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》,提出将对互联网等领域重点关注,尤其是处理大规模个人信息、容易产生个人信息泄露风险的重点行业。直播平台基于其特性,需要在运营过程中收集、处理大量的个人信息及其他数据信息,也是被重点关注的行业和领域。考虑到直播平台可能面临的数据安全风险和责任义务,我们提出以下合规建议。
一、制定内部管理制度和操作流程1. 组建数据安全维护部门
由于数据的运行和维护,关系到直播平台的经营方向和收益,因此平台通常会组建单独的部门,以全方位支持平台数据的收集、存储和处理工作,例如数据运维中心或研发中心。但对于数据安全,平台一般是交由法务部或运维部人员兼任,以及在发生数据安全问题时组织各业务线人员协同处理。随着数据安全问题的日益凸显,我们建议直播平台:
可组建数据安全维护部门,以持续应对新型数据安全问题,及为业务运营提供有效支撑。
2. 指定信息保护负责人
指定信息保护负责人,总体负责数据安全维护事宜,负责内部管理制度的制定、更新和落实工作,以监督直播平台对数据的收集、存储、使用、加工、传输、提供、公开等全流程,判断过程是否合法合规,并对违反数据管理制度的人员、部门进行相应处罚;
同时,直播平台应当公开信息保护负责人的联系方式,在用户协议、隐私政策或数据管理等外部条款中载明,并将其姓名、联系方式等报送履行数据保护职责的部门。
3. 对数据分类分级保护
直播平台的数据可根据数据性质进行分类,如个人信息、组织机构信息、业务信息等,及在分类的基础上进行分级保护,如将个人信息划分为个人一般信息,以及个人敏感信息,并将不满十四周岁未成年人用户的个人信息参照个人敏感信息进行差异化保护。
对于个人敏感信息,如用户、主播注册时填入的身份证号、录入的面部识别特征,交易时提交的银行账户,交易后产生的消费记录等,其保护措施应当更为严密,处理所涉信息的应当取得其单独同意。
二、采取安全技术措施1. 对数据进行加密处理
依据我国密码管理局公布的信息,我国常用数据算法主要包括SM2数字签名算法、SM3杂凑算法、SM9数字签名算法和SM4分组算法。算法不同,安全性也有所不同。
直播平台可基于不同数据类别和场景采用相应的算法和加密技术,对相应数据进行合理保护。
2. 对数据进行去标识化处理
直播平台可根据法律法规有无去标识化要求、数据采集时是否作出去标识化承诺为判断依据,确定去标识对象;
然后制定去标识化的目标,进而据此利用去标识化的工具和程序,并对结果进行验证,确保生成的数据符合预设目标。
三、人员管理和风险预案1. 签署保密协议
对于从事数据处理相关事宜的人员,包括内部的工作人员,以及外部的合作对象,直播平台均应:
与之签订保密协议,明确向其披露的数据信息范畴、数据安全要求及相应的违约责任;
并要求在直播平台与之终止或解除协议的情况下,其仍应继续履行相应的保密义务。
2. 定期人员培训
由于数据安全法律法规的不断完善,政策和标准的不断细化,对应的数据安全内部管理制度也需实时更新,并通过组织培训的方式传递给相关岗位的每一位人员。直播平台可:
针对培训过程进行留痕,比如员工签字的培训签到表、会议纪要等等。
如发生合规风险的,相关记录是行政、司法机关评判企业是否合规守法经营的判断依据之一。
3. 安全风险预案
对于数据安全事件,需事先制定应急预案,明确应急处置策略。一般而言,直播平台的应急处置策略分为两个维度:
一是内部处理规程,需要如实记录事件情况及及时采取应对措施,事件情况包括发现事件的人员、时间、地点、涉及的数据及所属范围、预估可能产生的影响、是否已上报执法机关或有关部门等;
二是外部处理规程,对于存在《国家网络安全事件应急预案》等有关规定情形应予上报的,应当及时上报,相应数据可能对信息主体的合法权益造成严重危害的,如个人敏感信息的泄露,应及时告知受影响的信息主体。
#结语随着《数据安全法》《个人信息保护法》的系列法律法规不断出台,有关数据合规的要求逐渐明确和细化,这对数据处理者提出了更高要求和挑战。与其他数据处理者不同的是,直播平台由于其赛道火热,处理的个人信息所涉人数已达到100万人以上,属于法律法规明确规定的重要数据处理者,因此属于相关监管机构的重点关注对象,直播平台应做好相应的数据安全合规措施,从制度建设、技术保护、人员管理等全方位落实平台责任。