개인 정보 사이트 추천에 대한 새로운 규정에 대한 자세한 설명 : Bill에서 Workflow 로의 파노라마 분석

2025 년 2 월 14 일, 주 사이버 공간 정보 보호 직원 정보 보호 정보 규정 준수 사이트 추천 관리 조치 (이하 "사이트 추천 조치"또는 "ACT"라고 함)의 주 사이버 공간 관리는 2025 년 5 월 1 일에 발효 될 "사이트 추천 조치"는 적절한 법률 및 체제 및 관련 법률에 대한 요구 사항을 더욱 강화하기위한 것을 목표로하고 있습니다. 이로 인해 개인 정보 과목의 정당한 권리와 이익을 보호합니다. "사이트 추천 조치"의 입법 과정은 거의 2 년이되었습니다. 2023 년 8 월, 주 사이버 공간 정보 및 정보 기술 관리는 "사이트 추천 조치"에 대한 의견을 요청했습니다. 2024 년 7 월, National Cyberspace Security Standardization 기술위원회 (이하 "National Cyberspace Security Standard Committee"라고 함)는 또한 국가 권장 표준 "데이터 보안 기술 개인 정보 보호 규정 준수 사이트 추천 요구 사항"(주석 초안)을 발행했습니다. 규제 당국은 개인 정보 보호 및 관련 프로세서의 책임 이행에 계속주의를 기울이는 것을 알 수 있습니다. 사이트 추천 조치의 공식 릴리스는 준수 사이트 추천를 통한 포괄적 인 준수의 공식적인 출시가 개인 정보 프로세서에 의한 포괄적 인 준수의 공식적인 출시를 촉진하고 홍보하는 데 사용됩니다.

"사이트 추천 조치"는 법적 특성, 사이트 추천 빈도, 사이트 추천 모델, 사이트 추천 프로세스, 사이트 추천 전문 사이트 추천 기관 등 개인 정보 보호 규정 준수 사이트 추천에 대한 명확한 요구 사항을 제시하고 개인 정보 보호 준수 준수에 대한 준수 사이트 추천에 대한 첨부 파일 "지침을 제공합니다"( "사이트 추천 우선 순위"라고 말하면서, 다른 시위를 명확하게합니다. 이 기사는 관련 기업이 규정 준수 사이트 추천 작업을 수행 할 수 있도록 지원 및 참조를 제공하기 위해 "사이트 추천 조치"를 종합적으로 정리하고 해석합니다.

1. 개인 정보 보호 규정 준수 사이트 추천 개요

(i) 개인 정보 보호 사이트 추천의 특성

온라인 "사이트 추천 조치", 개인 정보 보호 사이트 추천의 특성 ( "개인 보험 사이트 추천")은 다음과 같이 강조 표시됩니다.직업, 독립성 및 포괄적 성.

우선, 개인 보험 사이트 추천에 종사하는 기관은 전문적이어야하며, 외부 기관이 전문 기관으로 명확하게 언급되어 있다는 것은 의심의 여지가 없습니다. 의견을 요청할 때와 달리, "사이트 추천 조치"는 칭찬 할 가치가있는 행정 권력 남용을 피하기 위해 권장되는 전문 기관의 카탈로그를 삭제하는 실천. 7 조, "사이트 추천 조치"의 단락 1은 전문 기관의 기능, 인력, 장소, 시설, 자금 등에 대한 요구 사항을 제시하며, 2 항은 관련 전문 기관이 인증을 통과하도록 권장 할 것을 제안합니다. 우리는 사이트 추천 조치의 7 조 단락이 전문 기관의 자격 요건에 대한 결론이며, "사이트 추천 조치"의 단락 2는 전문 기관의 높은 요구 사항이라는 것을 이해합니다. 개인 정보 프로세서의 내부 전문 분야의 관점에서 볼 때, 우월한 법률은 개인 정보 사이트 추천의 초점이 법률 및 행정 규정을 준수하는 개인 정보 프로세서의 상황이라고 밝혔습니다. 이를 위해서는 개인 정보 사이트 추천에 참여하는 내부 관련 직원이 관련 법률, 행정 규정 및 개인 정보 보호에 대한 규제 요구 사항에 능숙해야합니다. "사이트 추천 지침"제 22 조 제 1 항은 개인 정보 보호를 담당하는 사람의 전문적인 배경을 지정합니다 ( "개인 보험 관리자"). 그는 법률 및 규정에 익숙하고 사이트 추천 할 개인 보험 조치의 합법성과 효과를 정확하게 판단 할 수있는 전문가 여야합니다.

둘째, 개별 보험 사이트 추천는 사이트 추천의 독립성을 강조해야합니다. 이 법안은 전문 기관의 무결성, 무결성, 공정성 및 목표에 대한 전문적인 요구 사항을 제시하고 "동일한 대상에 대한 3 번의 연속 사이트 추천"형태의 사이트 추천 회전 (사이트 추천 회전)과 유사한 시스템 배열을 설정 하고이 시스템의 입법 논리는 다른 준수 사이트 추천의 다른 분야에 반영되었습니다. 개인 정보 프로세서 내의 개별 보안 담당자와 관련하여,이 법안은 "권한 부여"의 관점에서 독립성을 확인합니다.이 법안은 개별 보안 담당자에게 개별 보안 담당자에게 "조정 권력"및 "의사 결정 권한"을 제공 할뿐만 아니라 개별 보안 담당자의 "비영리권"에 대한 "거부권"을 확대하고 향상시킵니다. 동시에이 법안은 독립 감독 대행사 모델에서 중요한 개인 정보 프로세서 (중요한 인터넷 플랫폼 서비스를 갖춘 개인 정보 프로세서, 수많은 사용자 및 복잡한 비즈니스 유형)의 개인 보험 사이트 추천의 독립성을 더욱 강화합니다.

마지막으로, 법안 자체와 사이트 추천 지침은 모두 기사 전체에서 개별 보험 사이트 추천의 포괄적성에 대해 논의합니다. 특정 분석은 아래를 참조하십시오.

(ii) 개인 정보 보호 규정 준수 사이트 추천

The "Personal Information Protection Law" stipulates two types of personal information protection compliance audit scenarios, including (1) Personal information processors should conduct a compliance audit of their compliance with personal information processing (referred to as "internal audit") regularly, and (2) If the department that performs personal information protection duties (referred to as "protection department") finds that there are major risks in personal information processing activities or personal information 보안 사고는 직무 수행 중에 발생하며 개인 정보 프로세서가 전문 기관에 개인 정보 처리 활동에 대한 준수 사이트 추천 ( "외부 사이트 추천")를 수행하도록 요구할 수 있습니다.

우리는 외부 사이트 추천가 내부 자체 검사와 무관하게 보충적인 규제 메커니즘임을 이해합니다. 그 역할은 독립적이고 객관적인 외부 관점을 통해 내부 자기 검색을 보완하여 개인 정보 보호 규정 준수 사이트 추천 시스템의 전반적인 효과와 신뢰성을 보장하는 것입니다. "사이트 추천 조치"는 외부 사이트 추천에 대한 특정 요구 사항을 제시합니다. 한편으로, 개인 정보 프로세서는 보호 부서의 요구 사항에 따라 전문 기관을 선택해야하며 보호 부서는 사이트 추천 컨텐츠에 대한 주요 요구 사항을 제시 할 수도 있습니다. 반면에 외부 사이트 추천는 "사이트 추천 지침"에 따라 작업을 수행해야합니다. 개인 정보 프로세서가 외부 사이트 추천를 트리거하면 "사이트 추천 지침"의 해당 시나리오에 나열된 핵심 사항이 사이트 추천되며 개인 정보 프로세서는 "사이트 추천 지침"에주의를 기울여야합니다.

(iii) 개인 정보 보호 사이트 추천를 수행하는 기업의 빈도 및 노드

내부 사이트 추천의 경우 "Auate 조치"는 1 천만 명 이상의 사람들의 개인 정보를 처리하는 개인 정보 프로세서가개인 정보 보호 규정 준수 사이트 추천를 위해 최소 2 년에 한 번씩 휴대하십시오.개인 정보가 천만 명을 초과하지 않는 개인 정보 프로세서의 경우 사이트 추천 조치에는 빈도가 필요하지 않습니다. 그러나 이는 관련 회사가 개별 보험 사이트 추천를 수행 할 수는 없지만 실제 조건 또는 관련 법률 및 규정의 요구 사항에 따라 개별 보험 사이트 추천 빈도를 공식화해야한다는 의미는 아닙니다. "미성년자 네트워크 보호에 관한 규정"에 따르면, 개인 정보 프로세서는 전문 기관을 스스로 맡기거나 전문 기관에 맡겨야합니다10 월미성년자를위한 개인 정보 처리에 대한 준수 사이트 추천를 전달합니다.

개인 정보 보호 규정 준수 사이트 추천 개요 다이어그램

의견을 요청하기위한 초안과 비교하여 그 초안에 비해 특별한주의를 기울여야 할 가치가 있습니다. "사이트 추천 조치"는 개인 보험 사이트 추천의 임계 값과 빈도에 대한 상당한 "완화"조정을 만들었습니다 (요청을 요청하는 초안은 개인 정보를 1 백만 명 이상의 개인 정보로 운반하는 개인 정보 프로세서를 적어도 1 년마다 수행하는 개인 정보 프로세서를 규정하고 있으며, 1 년마다 한 번만 준수하는 개인 정보 프로세서를 규정하고 있습니다. 연도), 관련 기업의 준수 비용을 크게 줄입니다.

외부 사이트 추천의 경우, "Auate 조치"는 트리거 될 수있는 세 가지 유형의 상황을 더 명확하게 설명합니다. 특정 수의 개인 정보 (100 만 명 이상의 개인 정보의 길이 또는 10 만 명 이상의 민감한 개인 정보의 길이)를 명확히하는 것 외에도 개인 정보 권리 및 이익의 영향에 대한 판단은 대부분 위험 지향 원칙에 기초합니다. 우리는 주로 정보 보안 사고를보다 효과적으로 방지하고 통제하기 위해 규제 조치가 실제 위험과 일치하도록 보장하는 것임을 이해합니다. 우리의 경험에 따르면, 보호 부서가 위험에주의를 기울이고 "외부 사이트 추천"를 시작하게 할 수있는 이유는 다음을 포함 할 수 있습니다.

* 핸들러가 많이 불만을 제기했으며 확인되었습니다.

* 회사는 개인 정보 보호를위한 공익 소송에 제기되었으며 증거는 결정적이었습니다.

* 다른 법적 의무를 이행하는 회사의 프로세스에 대한 응답으로 (예 : 자동차 데이터의 연례 보고서, 데이터 아웃 바운드 위험에 대한 자체 평가 보고서, 데이터 아웃 바운드 개인 정보 보호에 대한 영향 평가 보고서 및 네트워크 제품 보안 취약성 보고서), 규제 당국이 규제 당국에 대한 대상이되는 활동을 포함하여 규제 당국을 활성화하는 개인 정보는 규제 당국을 활성화 시킨다는 것을 발견했습니다.

* 주요 분야 또는 산업 분야의 대기업 또는 주요 기업의 경우 규제 당국이 무작위 검사 중에 발견 된 보안 위험이 더 커집니다.

* 보호 부서의 일일 보안 검사 프로세스 (및 위임 된 기술 테스트 기관)에 기초하여 개인 정보 보호에는 보안 위험이 큰 등이 큰 등이 있습니다.

2. 개인 정보 보호 규정 준수 사이트 추천 프로세스

사이트 추천 조치는 규정 준수 사이트 추천 프로세스에 대한 자세한 요구 사항을 제시하지 않습니다. 국가 권장 표준 "데이터 보안 기술 개인 정보 보호 규정 준수 사이트 추천 요구 사항"( "국가 사이트 추천 표준"이라고 불리는 의견을 요청하기위한 초안)는 사이트 추천 계획, 사이트 추천 준비, 사이트 추천 보고서, 사이트 추천 보고서 및 아카이브 관리 단계를 포함한 개인 정보 보호 규정 준수 사이트 추천 프로세스에 대한 매우 자세한 지침 및 참조를 제공합니다. 전국 권장 표준은 사이트 추천 조치의 중요한 보충 자료가 될 것이며 곧 관련 기업이 준수 사이트 추천를 수행하도록 안내하기위한 지원 규칙으로 곧 출시 될 수 있습니다.

"사이트 추천 조치"는 기관, 인사, 전문 기관 및보고 수정 등의 요구 사항을 포함하여 개별 보험 사이트 추천 프로세스의 전 및 사건 중에 대한 원칙적 규정 준수 요구 사항 만 제시하고 특히 수동 사이트 추천 관련 프로세스에 대한 요구 사항에 중점을 둡니다. 프로젝트 경험을 바탕으로 국가 사이트 추천 표준을 참조하여 다른 모델에 대한 사이트 추천 프로세스 분석은 다음과 같습니다.

(i) 준비 : 사이트 추천 조직 설정

1. 내부 사이트 추천 준비

내부 사이트 추천의 경우 개인 정보 프로세서는 실제 조건에 따라 내부 사이트 추천의 형태를 결정할 수 있습니다. 사이트 추천 준비 단계에서 개인 정보 프로세서는 다음 작업을 준비하는 데 중점을 둘 수 있습니다.

* 사이트 추천 빈도 :1 천만 개 이상의 개인 정보 프로세서를 제외하고 기타 개인 정보 프로세서는 규칙 및 규정을 설정하는 형태의 사이트 추천 빈도를 결정해야합니다. 기업이 고려해야 할 요소는 다음과 같습니다. 1) 법률 및 규정 조항; 2) 기업이 처리 한 개인 정보 금액; 3) 개인 정보를 처리하려는 기업의 민감도; 4) 개인 정보 처리와 관련된 민감한 시나리오; 5) 엔터프라이즈 개발과 비즈니스 변경 및 데이터 처리 등의 위험 관계

* 사이트 추천 팀의 결정 :사이트 추천 팀은 기업 또는 외부 전문 조직 직원의 내부 인력으로 구성되거나 내부 + 외부 혼합물로 구성 될 수 있습니다. 내부 인력의 요구 사항 측면에서, 독립성 유지에 근거하여, 직원은 개인 정보 보호에 대한 전문 지식을 가지고 규정 준수 위험을 정확하게 식별하고 직원 구성이 법률 팀 및/또는 보안 팀 등을 포함하도록해야합니다.

* 사이트 추천 계획의 결정 :사이트 추천 계획에는 일반적으로 사이트 추천 컨텐츠, 사이트 추천 대상, 사이트 추천 범위, 사이트 추천 기준, 사이트 추천 방법 (예 : 현장, 오프 사이트) 및 사이트 추천 보고서 요구 사항이 포함됩니다. 관련 개인 정보 프로세서에 개인 보험 사이트 추천 경험이없는 경우 회사의 개인 정보 보호 상황에 따라 전문 기관에서 사이트 추천 계획을 조정할 수 있습니다.

* 자원 조정 :관련 회사는 자원 조정이 관련 부서 간 협력, 관련 시스템의 액세스 권한, 현장 사무실 공간 등과 같은 사이트 추천의 구현을 보장하는 데 중요한 단계라는 사실을 특히 상기시켜줍니다.

2. 외부 사이트 추천 사이트 추천 준비

외부 사이트 추천를 수행 해야하는 개인 정보 프로세서의 경우 준비 단계는 주로 개별 보험 사이트 추천의 법적 특성에 따라 적절한 전문 기관을 선택하는 데 중점을 두어야합니다. 일상 업무에서 우리는 개별 보험 사이트 추천를 수행 할 수있는 관련 전문 기관을위한 좋은 준비를 할 수 있습니다. 외부 사이트 추천를위한 전문 기관의 선택과 관련하여 관련 회사는 다음과 같은 핵심 요점에주의를 기울여야한다고 제안합니다.

* 전문 기관이 고객의 실제 문제와 위험을 해결하기에 충분한 전문적인 기능을 가지고 있는지, 보호 부서가 제기 한 위험에 대한 대상 정류를 수행하는지 여부.

* 전문 기관에 보호 부서가 지정한 시간 내에 사이트 추천를 완료하기에 충분한 인력, 자원 및 시설이 있는지 여부.

* 많은 양의 민감한 데이터가 사이트 추천 프로세스에 관여하고 있으며, 기업은 전문 기관에 완전한 정보 보안 관리 및 기밀 유지 시스템이 있는지 확인해야합니다. 사이트 추천 전, 도중 및 후에 모든 단계에서 데이터를 엄격하게 기밀로하고 안전하게 처리 할 수 ​​있는지 확인하고 적시에 삭제하여 정보 누출 또는 2 차 위험을 방지 할 수 있습니다.

(ii) 프로세스 중 관리 : 제한된 시간 내에 사이트 추천를 완료

1. 내부 사이트 추천의 프로세스 관리

내부 사이트 추천의 구현은 주로 결정된 사이트 추천 계획에 따라 수행됩니다. 사이트 추천 구현 단계에는 일반적으로 보내기가 포함됩니다사이트 추천 공지, 사이트 추천 증거 수집, 사이트 추천 증거 수락, 사이트 추천 초안 작성, 사이트 추천 결과 확인, 반대 의견 해결 및 사이트 추천 보고서 작성.

우리의 경험에 따르면 내부 사이트 추천에서 사이트 추천 목표를 달성 할 수있는 요소의 대부분에는 관련 사이트 추천 대상 간의 협력 정도가 포함됩니다. 따라서 내부 사이트 추천 프로세스 동안 관련 비즈니스 부서와의 커뮤니케이션이 중요합니다. 한편으로, 이용 가능한 증거가 사이트 추천 과정에서 사이트 추천 요구 사항을 충족시키는 증거인지 확인해야하며, 반면에 사이트 추천 발견 확인 중에 사이트 추천 문제를 정확하게 결정할 수 있습니다. 사이트 추천 과정에서 사이트 추천 한 개체가 협력 또는 사기에 실패하여 사이트 추천 결과에 영향을 미치는 경우 내부 사이트 추천의 궁극적 인 목표는 달성하기가 어려울 것입니다. 이를 위해서는 개인 정보 프로세서가 일일 비즈니스 관리 또는 평가 및 평가의 일환으로 개인 보험 사이트 추천를 포함하여 내부의 개인 보험 사이트 추천 작업에 충분한주의를 기울여야하며 내부 개인 정보 보호 관리 시스템을 구현하고 구현해야합니다.

2. 외부 사이트 추천 중 과정 관리

사이트 추천 조치는 외부 사이트 추천를 위해 개인 정보 프로세서가 개인 정보 보호 규정 준수에 대한 일반 사이트 추천를 수행하는 데 필요한 지원을 제공해야한다고 지적합니다. 사이트 추천 조치는 필요한 지원의 범위를 지정하지 않지만, 한 번 의견을 요청하기위한 초안은 문서 및 자료의 지원, 관련 데이터 및 정보 검색과 같은 "필요한 지원"의 범위를 정의 한 경우에 주목할 가치가 있습니다. 우리는 사이트 추천 조치가 특정 조항을 삭제하지만 관련 개인 정보 프로세서가이를 가볍게 취할 수는 없습니다. 실제로, 보호 부서가 제공 한 사이트 추천주기는 길지 않기 때문에 개인 정보 프로세서의 지원은 특히 관련 비즈니스 부서 간의 협력 및 조정과 같이 특히 중요해질 것입니다. 물론, 전문 기관이 개별 준수 사이트 추천 요구 사항의 범위를 초과 할 것을 제안하는 경우, 개인 정보 프로세서는 자신의 권리와 관심을 보호 할 필요가 없기 때문에 제공을 거부 할 수 있습니다.

개인 정보 프로세서는 전문 기관이 시간 제한 내에 개별 보험 사이트 추천를 완료 할 수 있도록 사이트 추천 작업을 효율적이고 전문적으로 수행 할 것을 적극적으로 촉구해야합니다. 동시에, 개인 정보 프로세서는 개인 정보 보호 규정 준수 사이트 추천 보고서가 전문 기관을 담당하는 주인과 규정 준수 사이트 추천를 담당하는 사람이 "두 번 서명"해야한다는주의를 기울여야합니다. 제한된 기간에 대한 보호 부서의 요구 사항으로 인해 외부 사이트 추천는 내부 사이트 추천와 같은 세트 단계를 따르지 않을 수 있습니다. 특정 구현 단계는 실제 조건에 따라 유연하게 조정해야한다는 것을 이해합니다.

(iii) 감상 후 : 흔적,보고 및 정류

내부 사이트 추천 또는 외부 사이트 추천 여부에 관계없이 관련 기업은 사이트 추천 결과에 세심한주의를 기울이고 이러한 결과를 기반으로 해당 정류 조치를 구현해야합니다.

* 내부 사이트 추천의 경우 사이트 추천 팀은 사이트 추천에서 발견 된 비 준수 문제를 추적해야하며 관련 당사자가 규정 된 시간 제한 내에 정류 할 것을 촉구해야합니다. 정류를 완료 할 수없는 사람들의 경우, 관련 조치 또는 조치를 관련 내부 관리 시스템에 따라 취해야하여 정류를 효과적으로 구현할 수 있도록해야합니다. 동시에, 기업은 트레이스 아카이브에 좋은 일을하고 내부 규정 준수 교육 및 기타 필수 작업에서 좋은 일을하는 것이 좋습니다.

* 외부 사이트 추천의 경우 두 개의 보고서가 발행되어야합니다. 사이트 추천 보고서 및 정류 보고서. 정류 보고서는 규제 당국의 요구 사항에 더 많은 관심을 기울여야합니다. 정류 작업을 더 잘 수행하기 위해 관련 기업은 전문 기관이 정류 문제에 대한 후속 조치를 취하여 정류 작업이 보호 부서의 요구 사항을 충족 할 수 있도록 할 수 있습니다.

보호 부서의 요청에 따라 외부 사이트 추천를 수행하는 기업의 워크 플로우에 대한 개요

3. 개인 정보 보호 및 규정 준수 사이트 추천를위한 핵심 요점 목록

"사이트 추천 지침"은 개인 정보 보호를위한 준수 사이트 추천에 대한 참조 포인트를 제시하고 해당 공식화 기반에는 "개인 정보 보호법"및 "네트워크 데이터 보안 관리 규정"과 같은 법률 및 행정 규정이 포함됩니다. 그러나 개인 정보 처리 활동의 복잡성, 역 동성, 시나리오 기반 특성에 따라 법률 및 행정 규정만으로 규정 준수 사이트 추천 작업에 대한보다 구체적인 지침을 제공하기가 어려울 수 있습니다. 따라서 실제로, 권장 표준 "데이터 보안 기술 개인 정보 보호 규정 준수 요구 사항 (주석 초안)", GB/T-35273 "정보 보안 기술 개인 정보 보안 사양"등과 같은 규제 당국이 발행 한 규범 적 문서를 참조해야합니다.

우리는 "사이트 추천 지침"을 제안했습니다26준수 사이트 추천의 핵심 지점은 다음과 같이 정렬되었습니다. 빨간색 글꼴은 쉽게 간과되는 세부 사항입니다.

더 큰 이미지를 보려면 클릭하십시오

iv. 결론

법안의 공표를 통해 개인 보험 사이트 추천는 점차 기업의 내부 통제 시스템의 중요한 부분이 될 것입니다. 개인 보험 사이트 추천의 구현은 기업이 내부 관리 시스템 및 기술 보호 조치를 지속적으로 개선하여 조기 식별 및 위험 예방을 달성하는 것을 목표로합니다. 기업의 경우, 이것은 데이터 거버넌스 및 준수 기능에 대한 심오한 평가 일뿐 만 아니라 자신의 거버넌스 지혜와 책임을 반영하는 거울이기도합니다. 규제 당국의 경우, 이는 법 집행 표준과 지혜를 이해의 균형을 맞추는 데있어 심각한 재판입니다. 디지털 시대에 우리는 기술과 정보의 혁신뿐만 아니라 사회 정의와 개인의 존엄성에 대한 깊은 제안에 직면하고 있습니다. 전체 사회가 신뢰할 수있는 디지털 생태 환경을 구축하면 공공 안전을 보호 할뿐만 아니라 모든 시민의 기본 권리와 이익을 보호 할 수 있습니다. 이것은 또한 엄숙한 사명이며 타임즈가 맡은 엄숙한 책임입니다.