信息合规培训:个人信息安全事件处置

2018-09-20 11:53


随着可获取信息量、信息传播速度以及覆盖范围的逐步扩大,信息合规与否的重要性也愈发加强。国家颁布《个人信息安全规范》,以期信息合规程度的不断提高,因此,在信息合规培训中,对于《个人信息安全规范》的学习必不可少。

但必须承认,目前的运行过程中,个人信息作为安全要求最高的信息种类,其面临的风险同样不容小觑。因此,在个人信息安全事件发生之后,完善的处理措施就显得十分重要,也能将个人信息安全事件的不利影响尽可能降低。因此,在信息合规培训中,必须对《个人信息安全管理规范》中的个人信息安全事件处置有所了解。

一、个人信息安全事件处置之应急处置和报告

在信息合规培训中必须强调,个人信息安全事件发生后,处理的及时性十分重要。因此,对于个人信息安全事件的处置,首要明晰的即为应急处置问题。根据《个人信息安全规范》的规定,个人信息控制者必须提前制定个人信息安全事件的应急处理预案,同时为确保该处理预案的可行性,还必须以至少每年一次的频率安排内部相关人员对该预案进行应急演练,以提高其在突发状况出现时的应急处理能力。同时,个人信息安全事件一旦发生,在采取应急措施的同时,信息控制者必须及时准确地记录该事件的内容,具体包括事件发生的时间、所涉及的人员、地点、该事件波及的个人信息范围等,并把相关情况及时通知有关部门。

此外,在个人信息安全事件的不利影响扩大之前,作为最了解情况的个人信息控制者必须及时评估该次事件可能造成的影响,以更好地采取应对措施控制事态发展。同时,信息合规培训中必须注意,一旦发生个人信息安全事件,其进行处理的文件依据并非仅有《个人信息安全规范》。按照《国家网络安全事件应急预案》,在个人信息安全事件发生后,个人信息控制者必须及时上报,将包括该事件发生的时间、涉及人数、范围、可能造成的影响、所采取的应急处理措施等一系列相关情形据实上报。此外,在个人信息安全事件发生后,处理过程中个人信息控制者对于发现的应急预案存在的问题,必须及时予以更新,避免同样的事件再次发生。因此,在信息合规培训中,对于个人信息安全事件的应急处理,必须明确控制者的首要责任及所应采取的措施,以期更好地应对该问题。

二、个人信息安全事件处置之安全事件告知

在信息合规培训中必须注意,除了个人信息安全事件发生后控制者所应采取的一系列措施外,个人信息控制者还应承担安全事件告知的义务。依照《个人信息安全规范》,其具体要求为,控制者必须及时通过包括电子邮件、电话、书面告知等方式,将该次个人信息安全事件的发生以及可能对信息主体造成的不利影响及时告知给可能受到波及的个人信息主体,以确保其不对即将发生的不利后果一无所知。若无法将该信息一一告知,则根据《个人信息安全规范》,应采取合理有效的途径,通过公告等形式向社会公众提供警示信息。在控制者的告知内容中,必须包括该次安全事件的内容和影响、控制者以及相关主体已经采取的应急措施、对个人信息主体提供的补救措施等,最大程度减少此次个人信息安全事件发生所给个人信息主体带来的不利影响。

严正声明:本文章内容为佑碧艾商务咨询(上海)有限公司(以下简称LEB)原创作品,LEB对该作品享有全部著作权。欢迎转发,如需以任何形式转载请注明作品出处及标注作者(LEB)署名,违者将承担相应法律责任。特此声明。

推荐新闻
会员升级
会员升级