员工个人信息保护管理和培训
1.员工个人信息保护管理
(1)保密协议与背景审查
根据《个人信息安全规范》第11.6a)条,网络运营者应与从事个人信息处理岗位上的相关人员签署保密协议,对大量接触个人敏感信息的人员进行背景审查,以了解其犯罪记录、诚信状况等。
《网络安全法》第40条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。从落实该规定角度,需要与从事个人信息处理岗位上的相关人员签署保密协议。对于大量接触个人敏感信息的人员,其道德风险相对更高,需要对其进行更加详细的背景审查,了解其是否出现过侵犯个人信息方面的犯罪记录、是否因个人信息方面的违规操作受过行政处罚或者原任职单位的内部处罚等。
(2)明确安全职责与安全事件处罚机制
根据《个人信息安全规范》第11.6b)条,网络运营者应明确内部涉及个人信息处理不同岗位的安全职责,建立发生安全事件的处罚机制。
对于不同岗位的安全职责,应进行细化,越具体越好,这样有助于每个员工清晰地了解自己应该做什么,也有助于在出现安全事件时准确地归责。建立安全事件的处罚机制,有助于加强对员工的警示和教育作用,也能够在安全事件发生后更好地进行总结、追责和处罚。
(3)离岗保密义务的继续履行
根据《个人信息安全规范》第11.6c)条,网络运营者应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务。
本书在前面探讨个人信息访问的合规指引时对离岗员工权限回收进行了展开论述。离岗保密业务的继续履行,也是旨在加强对员工道德风险的防范,避免员工因出于报复或者谋取利益或其他原因而泄露任职时所掌握的个人信息,降低因员工离岗造成个人信息泄露等安全事件发生的可能性。
(4)建立员工个人信息保护指引和要求
根据《个人信息安全规范》第11.6e)条,网络运营者应建立相应的内部制度和政策对员工提出个人信息保护的指引和要求。
孟子曰:“不以规矩,不能成方圆。”个人信息保护工作要想顺利开展,离不开规矩,也就是离不开制度。安全管理,制度先行。网络运营者应建立《个人信息保护管理体系》《个人信息分级分类管理制度》以及《员工访问客户个人信息控制管理制度》等个人信息保护相关制度,为员工个人信息保护提供具体的指引和详细的要求。
2.员工个人信息保护培训
(1)相关规定
根据《个人信息安全规范》第11.6f)条,网络运营者应定期(至少每年一次)或在个人信息保护政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握个人信息保护政策和相关规程。
(2)理解适用
员工个人信息保护培训,是加强员工个人信息保护意识、熟练了解个人信息保护职责和在工作开展中更好地践行个人信息保护的必备动作。从培训时间看,这里提到了两个时间,定期(至少每年一次)或在个人信息保护政策发生重大变化时。除此之外,在进行新员工入职培训时,宜将个人信息保护作为培训内容之一,在入职阶段就强化个人信息保护;从培训内容看,个人信息保护的相关法律法规规定、内部制度、操作流程等,特别是最新出台的规定和内部制度流程等的重要修订,应该纳入培训的内容;从培训对象看,这里的员工不应限于基层员工,而应包含高层员工在内的全体员工,领导层高度重视、基层员工严格践行,方能更好地开展个人信息保护工作。