对此我一点都不感到惊讶。你刚在网上买了一张机票,很快骗子就打电话来说航班取消给你退费;你在一家培训机构给孩子报了个名,众多培训机构就会打电话来邀请你试听;如果你在某平台上借过钱,那一天会有好几个人问你要不要贷款。
我们的个人信息,可以说是相当于裸奔。对个人而言,可操作的手段和力度作用都有限,保护个人信息,责任是在企业。
以往,个人信息保护在法律上存在着主体不清、界定不明等情况,随着《网络安全法》、《个人信息保护法》的实施,相关的法律已相当完备。
法律明确,谁处理数据,谁负责保护个人信息。《网络安全法》规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。《个人信息保护法》第58条规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的重要互联网平台企业需建立健全个人信息保护合规制度体系,承担个人信息保护的特别法律义务。
1、行政责任(双罚制)。单位:最高罚款5000万元或上一年度营业额5%;暂停或终止App、网站服务。
2、民事责任(过错推定)。自证合规:当用户主张企业侵犯自己个人信息权益造成损害,企业需要举证证明自己合规。如果无法证明合规,将视同于企业不合规。
对企业而言,构建数据合规体系就显得非常重要。其中包括设置合规组织;制定内部管理制度和操作流程,引入数据安全技术,落实个人信息全生命周期合规要求;事前防控、事中保护、事后审计全流程管理等等。