不得通过“胁迫”方式处理个人信息;应在最小范围、用影响最小的方式处理……正在全国人大常委会会议进行二次审议的个人信息保护法草案,对互联网平台在处理个人信息时应遵循的“最小必要原则”作出完善。互联网平台应如何准确把握这个原则?4月28日,中国科学技术法学会、中国法学交流基金会在京发布《个人信息处理法律合规性评估指引》团体标准,为监管者、企业等主体判断个人信息处理是否合规提供指引。
据悉,评估指引界定和汇集了个人信息处理及其法律合规性评估可能涉及的术语和概念体系,规定了各类组织处理个人信息应遵循的合规要求,旨在规范个人信息处理活动、保障个人信息依法合规有序流动。
评估指引针对个人信息处理的不同环节设置了多种维度的标准,比如在个人信息的收集环节,评估指引设置了“手段合法维度”“目的明确维度”“公开透明维度”“可问责性维度”等标准。这些量化标准有利于用户、监管者进行检查监督,也为独立机构开展法律合规性的评估、咨询和认证服务提供了便利。
中国法学交流基金会副理事长任伊珊表示,自网络安全法实施以来,我国个人信息跨境数据保护制度已形成“法律+行政法规+行业标准”的保护模式,但也存在法律法规和行业标准的衔接问题。此次出台的评估指引团体标准提出了科学严密的合规框架,填补了诸多规则空白,是专业机构进行个人信息保护认证的重要探索。
“在国家立法和部门规章之外,更加细化的行业指引将为企业的个人信息保护合规工作提供有益参考。”北京市金杜律师事务所合伙人宁宣凤说。
记者了解到,目前该评估指引已经在大数据应用领域的多个行业组织中启动评估试点,并将继续推广。
“评估指引团体标准的出台,将成为今后个人信息保护法落地实施的有力抓手,对于更好协调个人信息保护与信息流通、推动我国信息化进程、维护国家安全具有重大意义。”中国科学技术法学会副会长孙永俭说。