35273比《个保法》要求严格怎么办
输入“/”快速插入内容
35273比《个保法》要求严格怎么办
35273比《个保法》要求严格怎么办
-问:这几天在看35273,感觉还是很有意思。大家认为在《个保法》23条语境下,提供方有这两项义务吗。
我理解个保法课以增强告知和单独同意的合规义务后,个人信息主体已充分知悉相关后果,对于接收方的后续处理行为,提供方应该没有监督义务和协助行权的义务?
-答1:35273第一版是2017年发布实施,现行版本是2020年发布实施。个保法是20211101生效,期间也有抄35273-2020作业,自然个保法内容更新、定义更先进,概念冲突时我认为以个保法为准,操作层面还是看35273。不过,用我的个人价值观来看,我认为有必要。
-答2:我理解,提供方没有监督和协助义务,毕竟接收方就是一个独立的处理者,各自为自己的行为向个人负责。
-答3:从个人实践经验来看,35273中,f)的要求体现在日常的合规审查和上下游管理中,防止个人信息安全风险;h)的要求更多是体现在如果信息主体通过联系了信息控制者来提出异议或者问题,信息控制者有义务去向接收方传达,核实相关信息。这两项要求跟个保法的告知义务并不冲突。
-答4:对,没有冲突,感觉是一个拔高的义务。
-答5:除非在合同里承诺遵守35273,否则推荐性标准不应该越位。
-追问:那感觉,各家隐私政策,35273是不是得删一删。
-答6:不能删,测评机构是对着35273审核的。
-答7:那隐私政策把35273作为依据,就要履行这些与《个保法》没有冲突,但是实际给处理者提出了更高要求的条款吗。
-答8:法律工作者还是该多讲法律,让推荐性国标符合《标准化法》。
-答9:就今天讨论的这一项要求,每个行业的状态不同吧。目前我理解实操层面可以考虑设置好异议处理机制,给到可以符合监管预期的解释,多抄同行作业。毕竟有些行业的上下游风险还是比较高,容易传导到信息处理者这边来。比如征信行业,是需要考虑采取手段对信息接收方的信息安全情况进行监督。
个保法
标准