处理个人信息,不只是"工作内容"
2021年11月1日,《中华人民共和国个人信息保护法》正式施行。
处理个人信息,从此有了明确的法律边界。
对于员工来说,处理个人信息不再只是"工作内容",而是需要遵守法律的行为。
什么是个人信息?
个人信息: 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。
包括:
- 姓名
- 出生日期
- 身份证号
- 住址
- 电话号码
- 电子邮箱
- 生物识别信息(人脸、指纹)
- 行踪轨迹
- 银行账户
- 等等
敏感个人信息:
- 生物识别信息
- 宗教信仰
- 特定身份
- 医疗健康
- 金融账户
- 行踪轨迹
- 不满十四周岁未成年人的个人信息
员工处理个人信息的 5 个合规要求
要求一:合法、正当、必要
原则: 处理个人信息应当有合法依据,目的明确、合理,与处理目的直接相关。
员工需要注意:
- 不要超出业务需要收集个人信息
- 不要收集与工作无关的个人信息
- 收集时要告知处理目的
要求二:告知并获得同意
原则: 处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息处理事项,并取得个人同意。
员工需要注意:
- 收集个人信息前要告知用户
- 让用户明确同意
- 保存同意记录
要求三:最小化收集
原则: 收集个人信息应当限于实现处理目的的最小范围。
员工需要注意:
- 只收集必要的个人信息
- 不过度收集
- 不收集无关信息
要求四:安全保护
原则: 个人信息处理者应当采取措施保障个人信息安全。
员工需要注意:
- 不在非安全渠道传输个人信息
- 不在个人电脑存储个人信息
- 不随意分享包含个人信息的文件
- 工作完成后及时删除不必要的个人信息
要求五:及时删除
原则: 处理目的已实现、无法实现或者为实现处理目的不再必要时,应当及时删除个人信息。
员工需要注意:
- 工作完成后删除个人信息
- 不保留不必要的个人信息
- 按企业规定保存期限执行
员工常见的违规行为
| 行为 | 风险 |
|---|---|
| 用个人微信传输客户信息 | 个人信息泄露 |
| 在个人电脑存储客户数据 | 数据泄露风险 |
| 超范围收集客户信息 | 违反最小化原则 |
| 不告知就收集客户信息 | 违反告知同意原则 |
| 工作完成后不删除客户信息 | 违反及时删除原则 |
| 随意分享含客户信息的文件 | 个人信息泄露 |
一句话总结
《个人信息保护法》让处理个人信息成为法律行为。员工要做到:合法正当必要、告知同意、最小化收集、安全保护、及时删除。
标签: 数据安全、个人信息保护法、合规管理、信息安全意识