原標題：進一步加強對個人信息的安全管理

來源：中國稅務報

原標題：進一步加強對個人信息的安全管理

來源：中國稅務報

近年來，稅務部門數據安全保護工作日益受到重視，但是，目前稅務部門數據分類分級工作沒有完全完成，對于個人信息的保護也沒有專門的規定。稅務部門有必要對照網絡安全法、數據安全法、特別是個人信息保護法的相關要求，結合自身工作，分析個人信息安全管理存在的風險，加強個人信息處理全過程的安全管理。

一是開展個人信息梳理和識別。

稅務部門應對個人信息進行資產化管理，全面梳理和識別稅務部門掌握的個人信息，建立個人信息清單和目錄，并進行動態管理，確保個人信息清單完整準確有效。個人信息保護法在對個人信息處理規則進行明確的同時，進一步明確了敏感個人信息的處理規則，因而稅務部門必須對個人信息進行分類，識別一般個人信息和敏感個人信息。如有需要，可以從風險的角度進一步進行分級，以便實行差別化的分類分級保護。應依據個人信息保護法，借鑒《信息安全技術個人信息安全影響評估指南》對稅務部門個人信息防護情況進行評估，有針對性地進行改進和加固。

二是實施數據處理全過程的安全防護。

從稅務部門工作實際看，稅務部門個人信息的處理主要包括收集、存儲、使用、提供、公開等過程，稅務部門有必要對照個人信息保護法的相關要求，進行全過程安全防護。

在數據收集階段，應確保收集個人信息的合法性，稅務部門應當依照法律、行政法規規定的權限與程序進行信息收集，不得通過其他非法手段和途徑收集個人信息；應確保收集個人信息的最小必要，收集的個人信息類型應當與履行法定職責直接關聯，不得超出履行法定職責所必需的范圍和限度；確保收集個人信息的誠實守信，應當讓個人了解收集的數據類型、如何使用這些數據以及與之相關的風險。

在數據存儲階段，應注意限制個人信息數據存儲期限，使用加密技術等防護手段，預防和減少數據存儲階段可能出現的信息泄露、篡改、丟失等風險。

在個人信息使用階段，應加強權限管控和操作審計，建立內部的數據使用制度和操作規程，明確個人數據加工使用規范和要求，嚴格個人信息使用權限，并建立操作審計機制。

在個人信息提供階段，應建立審批程序，確保提供個人信息的合法性、必要性、正當性；應對個人信息接收者進行事前審查，對接收者在信息存儲、處理、使用和信息安全保護能力等條件方面進行一定的評估和審核，確保接收者滿足相應的個人信息安全管理要求；應根據個人信息數據的類型以及風險級別采用不同的公開方式；可以通過簽署信息使用協議等方式強化對數據接收者的事后監管。

三是應建立個人信息處理風險評估和監測預警機制。

隨著信息技術如數據分析技術的發展，以及個人信息應用場景的變化等，個人信息面臨的風險會不斷發生變化，稅務部門應建立常態化的個人信息安全風險評估機制，對個人信息的處理目的、處理方式等是否合法、正當、必要，對個人權益的影響及安全風險，所采取的保護措施是否合法、有效等方面進行評估，并及時調整安全保護策略。應采取有效的工具手段，及時監測存在的安全風險，編制個人信息安全事件應急預案，完善個人信息泄露通知制度，當發生大規模信息數據泄露事件時，立即采取補救措施。

（作者單位：國家稅務總局青島市稅務局）

想爆料？請登錄《陽光連線》（ https://minsheng.iqilu.com/）、撥打新聞熱線0531-66661234或96678，或登錄齊魯網官方微博（@齊魯網）提供新聞線索。齊魯網廣告熱線0531-81695052，誠邀合作伙伴。