2023-04-18
在“立題篇”中,楊律師提出,《反電信網絡詐騙法》與數據合規有著千絲萬縷的聯系。
③事后協助義務。主要體現在三個方面:一是互聯網服務提供者應當為公安機關辦理詐騙案件依法調取證據提供技術支持和協助。二是在對涉詐信息、活動進行監測時,若發現犯罪線索或風險信息,互聯網服務提供者還應將有關線索或信息移交給公安機關或行業主管部門,此與個人信息保護安全事件上報義務緊密聯系。三是積極配合處置涉案資金、追贓挽損的同時,履行《個人信息保護法》的通知義務,將個人信息泄露情況通知個人有助于防止受影響個人被詐騙。
在“破題篇”中,楊律師通過展示電信網絡詐騙典型案例,呈現常見企業數據合規體系的薄弱環節,將問題源頭對準個人信息非法獲取。
⑤獨善其身遠遠不夠,合規要求需傳導輻射。此主要強調對可能接觸個人信息的第三方的合規管理要求。以實踐中常見的委托第三方日常運營系統場景為例,第三方相較于本公司能更直接、深入、全面接觸、使用系統內數據,由第三方非法獲取個人信息的風險較高。對此,從協議約束、權限管控、實質監督等方面加強第三方管理,系數據合規乃至反電詐義務落實的重點工作。
在“解題篇”中,楊律師提出,反電信詐騙措施并未超出現有數據合規體系的要求,但需進行針對性、精準化的調整,建議從以下三個角度適配已有數據合規體系:
組織措施包括三個方面:一是落實數據分類分級工作,其中適當提升對老人、孕婦、殘疾人、低保人群等電詐常見侵害對象的個人信息的定級;二是規范業務流程,梳理關鍵崗位,落實責任到人;三是設置反電信網絡詐騙內控機制,包括管理組織體系及制度建設。
技術措施包括三個方面:一是加強身份認證機制建設,強化權限管控,防止內部泄露;二是落實數據加密,尤其是特殊群體個人信息及關鍵個人信息;三是落實日志記錄,有助于事后追查。
C端用戶管理:一方面是在高風險賬戶識別方面,在履行最小必要和目的限定原則的基礎上允許企業通過大數據分析建立風控模型;另一方面,通過隱私政策設置及行權響應機制建設,實現涉詐信息處理標準化。
形式合規承諾:通過制定并加入數據交互責任條款方式,明確第三方在數據交互場景下的數據合規責任,包括承諾數據來源合法合規(第三方作為數據提供方);將數據處理目的場景控制在協議約束范圍內(第三方作為數據接收方)等。
實質合規審查:在與第三方開展數據交互合作前,應對第三方數據安全能力及本項目開展的合規風險予以評估。
應對數據安全事件:及時響應并做好影響評估及止損處置,同時積極落實監管部門上報、數據主體通知義務。
配合反詐執法調查:積極配合執法調查,協助對涉詐用戶、涉詐資金及時、合理處置。
唯有切題,方可解題。探尋“反電詐”背景下企業數據合規體系構建的“解題之道”,關鍵系透析《反電信網絡詐騙法》在數據安全方面之合規要義,聚焦當下電信網絡詐騙針對數據保護鏈條之突破缺口,在企業現有數據合規體系基礎上吸納、兼容反電詐義務之重點抓手。
在“立題篇”中,楊律師提出,《反電信網絡詐騙法》與數據合規有著千絲萬縷的聯系。
③事后協助義務。主要體現在三個方面:一是互聯網服務提供者應當為公安機關辦理詐騙案件依法調取證據提供技術支持和協助。二是在對涉詐信息、活動進行監測時,若發現犯罪線索或風險信息,互聯網服務提供者還應將有關線索或信息移交給公安機關或行業主管部門,此與個人信息保護安全事件上報義務緊密聯系。三是積極配合處置涉案資金、追贓挽損的同時,履行《個人信息保護法》的通知義務,將個人信息泄露情況通知個人有助于防止受影響個人被詐騙。
在“破題篇”中,楊律師通過展示電信網絡詐騙典型案例,呈現常見企業數據合規體系的薄弱環節,將問題源頭對準個人信息非法獲取。
⑤獨善其身遠遠不夠,合規要求需傳導輻射。此主要強調對可能接觸個人信息的第三方的合規管理要求。以實踐中常見的委托第三方日常運營系統場景為例,第三方相較于本公司能更直接、深入、全面接觸、使用系統內數據,由第三方非法獲取個人信息的風險較高。對此,從協議約束、權限管控、實質監督等方面加強第三方管理,系數據合規乃至反電詐義務落實的重點工作。
在“解題篇”中,楊律師提出,反電信詐騙措施并未超出現有數據合規體系的要求,但需進行針對性、精準化的調整,建議從以下三個角度適配已有數據合規體系:
組織措施包括三個方面:一是落實數據分類分級工作,其中適當提升對老人、孕婦、殘疾人、低保人群等電詐常見侵害對象的個人信息的定級;二是規范業務流程,梳理關鍵崗位,落實責任到人;三是設置反電信網絡詐騙內控機制,包括管理組織體系及制度建設。
技術措施包括三個方面:一是加強身份認證機制建設,強化權限管控,防止內部泄露;二是落實數據加密,尤其是特殊群體個人信息及關鍵個人信息;三是落實日志記錄,有助于事后追查。
C端用戶管理:一方面是在高風險賬戶識別方面,在履行最小必要和目的限定原則的基礎上允許企業通過大數據分析建立風控模型;另一方面,通過隱私政策設置及行權響應機制建設,實現涉詐信息處理標準化。
形式合規承諾:通過制定并加入數據交互責任條款方式,明確第三方在數據交互場景下的數據合規責任,包括承諾數據來源合法合規(第三方作為數據提供方);將數據處理目的場景控制在協議約束范圍內(第三方作為數據接收方)等。
實質合規審查:在與第三方開展數據交互合作前,應對第三方數據安全能力及本項目開展的合規風險予以評估。
應對數據安全事件:及時響應并做好影響評估及止損處置,同時積極落實監管部門上報、數據主體通知義務。
配合反詐執法調查:積極配合執法調查,協助對涉詐用戶、涉詐資金及時、合理處置。
唯有切題,方可解題。探尋“反電詐”背景下企業數據合規體系構建的“解題之道”,關鍵系透析《反電信網絡詐騙法》在數據安全方面之合規要義,聚焦當下電信網絡詐騙針對數據保護鏈條之突破缺口,在企業現有數據合規體系基礎上吸納、兼容反電詐義務之重點抓手。
京ICP備05019364號-1 
京公網安備110105011258