作为常常在购物网站被“大数据杀熟”、并且买完房立刻就接到各种装修电话的你,一定很关注自己的个人信息如何得到保护!但同时,你了解公司作为企业主体,如何主动去保护旅客个人信息吗?
说起川航的个人信息保护,请先读懂这个词——
翻译成普通话就是:欧盟通用数据保护条例。它是目前世界范围内最为严格的个人信息保护法律,具有管辖范围广、处罚严厉的突出特点。
打个比方,只要有一名欧盟境内居民购买公司机票,我们获取了他的个人信息,那咱公司无论是否设立在欧盟境内均受管辖。而在公司“上山出海”发展战略下,这样的情况不可避免。
据悉,出现个人信息违规使用或个人信息泄露安全事件,将最高处以2000万欧元或企业全球年营业额的4%罚款。英国航空公司就曾因用户数据泄露,遭到GDPR约合2.3亿美元的罚款。
好了,读懂了GDPR,就让我们一起来了解川航的个人信息保护。
今年1月,公司正式启动GDPR专项合规工作并将其纳入年度“40项重点工作”。通过近10个月的工作,法务审计部按照“GDPR为主线,兼顾国内法”的思路,组织各部门对“顾问律师提供的12个GDPR合规制度参考文本共计99个主条款、307个子项进行了逐条的合规义务拆解”开展建立个人信息清单、补充签订个人信息保护协议、确定个人信息存储规定等工作,致力于让合规工作服务于营销和生产,尽可能降低公司因违规遭受的经济处罚和商誉损失风险。
(相信小编,上段文字已经尽量通俗易懂)欧盟GDPR内容十分庞杂,其法条的语言表述十分晦涩且部分内容与信息技术相关。对于咱们普通读者来说,就是那种“每个字都认识,合到一起就不知道在讲什么了”的存在。所以,咱们直接看结果吧。
在法务审计部、人力资源部、品质部、信息部、商委、物流公司近10个月的努力下——
● 我们建立了公司第一套基础性的个人信息保护(GDPR)管理制度体系。
● 编写了公司第一部“四川航空个人信息泄露突发事件响应处置预案”。
● 还发布了公司首份员工隐私政策和应聘者隐私政策。
7月26日,公司收到首个“数据主体权利”类型的投诉,品质部基于“数据主体权利处理程序”,会同法务审计部和商委,妥善处理并关闭了该起投诉。而在今年2月,公司还尚未建立处理旅客个人信息数据请求应对程序。合规制度的建立,是妥善关闭该投诉的关键。
个人信息保护,除了意识,技术也十分重要。为满足GDPR对个人信息保护的安全性要求,信息部组织推进第一批次18个系统的加密安全整改与渗透测试工作,从源头上提升与验证系统数据安全性。
做到“系统攻不破、攻破拿不走、拿走看不懂”的三层纵深防御机制,为公司守护个人敏感数据保护的“最后一道防线”。
防线建立后,即使出现数据泄露事件,由于敏感信息已加密,难以指向具体旅客,同样可以在一定程度上保证旅客个人信息的安全。
商委则分批次针对营销系统开展整改。目前,公司从对客展示的具体条款到页面元素设计,从外观界面到底层代码,完成了对客渠道中英文隐私政策和cookies内容更新、登陆页面“同意”设计改造、会员手册中增加个人信息保护内容和签订数据跨境传输协议等外观改造工作,目前完成了9个渠道12次版本发布。
物流公司作为独立运营的子公司也实施了大规模的安全加固升级,完成涉及个人信息脱敏,数据加密存储和传输,个人信息处理权限的授权管理等共计3573点的安全性改造,对104万条个人敏感数据实施安全性加固保护。
10月11日至23日,是国家网络安全宣传周。同时,《中华人民共和国个人信息保护法》也将于11月1日施行,个人信息保护有了法律“安全锁”。我们每个人都希望自己的个人信息得到保护,同样,“尊重和保护旅客个人信息”,川航义不容辞!