上海複恩社會組織法律研究與服務中心與中國慈善聯合會特别舉辦的(de)中國慈善聯合會“善客沙龍”暨第四屆複恩社會組織合規沙龍 “慈善事業專業發展:數據安全和(hé)個(gè)人(rén)信息保護”專場(chǎng) 已于6月(yuè)9日成功舉辦。
本篇我們将給大(dà)家分(fēn)享來(lái)自 陝西婦源彙性别發展中心 兒(ér)童發展部 孫海華 的(de)演講。
婦源彙數據安全和(hé)婦女(nǚ)兒(ér)童信息保護實踐
陝西婦源彙性别發展中心 兒(ér)童發展部 孫海華
在介紹我們相關的(de)工作之前,我想給大(dà)家稍微介紹一下(xià)婦源彙,幫助大(dà)家更好的(de)理(lǐ)解,爲什(shén)麽我們要做(zuò)數據安全和(hé)個(gè)人(rén)信息保護這(zhè)塊工作。
我們是2008年成立的(de)一個(gè)民非企業,業務主管單位是陝西省婦聯,登記注冊是在陝西省民政廳。我們的(de)使命是立足西部,紮根社區(qū),推動婦女(nǚ)兒(ér)童發展,所以我們的(de)服務對(duì)象主要是婦女(nǚ)和(hé)兒(ér)童,在社區(qū)開展工作;因爲我們機構的(de)定位是中遊平台,我們會聯結很多(duō)的(de)本土社會組織一起開展工作。我們的(de)工作地點主要在陝西,但是遍及了(le)很多(duō)市縣。我們核心的(de)服務對(duì)象主要是四類,有跟困境相關的(de),有特殊人(rén)群,我們機構最早是做(zuò)婦女(nǚ)和(hé)社區(qū)項目,所以(服務對(duì)象)還(hái)包括性别相關議(yì)題以及偏遠(yuǎn)鄉村(cūn),現在也(yě)在關注城(chéng)市的(de)流動兒(ér)童。
這(zhè)是我們核心服務的(de)領域,大(dà)家看到婦女(nǚ)和(hé)社區(qū)的(de)項目,有金融賦能,有婦女(nǚ)參與社區(qū)治理(lǐ),還(hái)有困境婦女(nǚ)的(de)緊急救助,以及流動婦女(nǚ)的(de)社區(qū)融入等。兒(ér)童方面,涉及0到18歲的(de)兒(ér)童,我們基本上都有在開展工作,包括早期兒(ér)童的(de)養育發展、兒(ér)童保護還(hái)有社會情感技能。另外我們除了(le)提供一線的(de)服務,也(yě)會承接一些研究和(hé)咨詢的(de)服務,同時(shí)也(yě)有傳播和(hé)倡導,社會性别等方面工作。我們的(de)服務對(duì)象很多(duō),涉及到困境救助,有很多(duō)個(gè)案的(de)信息,都是我們平時(shí)會接觸到的(de)。因爲我們服務對(duì)象的(de)特殊性,服務地點的(de)廣泛性,也(yě)因爲我們業務主管部門對(duì)我們的(de)監管要求,就包括剛才提到的(de)信息法,我們一直在學習(xí),我們目前開展相關工作的(de)主要依據有兩部分(fēn)。
第一個(gè)部分(fēn)是内部制度。
因爲我們08年成立,機構制度相對(duì)的(de)完善一些,包括我們的(de)員(yuán)工手冊,項目管理(lǐ)制度,針對(duì)婦女(nǚ)權益保護的(de)規定,兒(ér)童保護政策,人(rén)力資源管理(lǐ)制度,還(hái)有兒(ér)童服務安全制度,以及我們的(de)文檔管理(lǐ)制度,其實多(duō)多(duō)少少都會涉及一些數據安全和(hé)兒(ér)童信息、個(gè)人(rén)信息保護的(de)内容;
外部法規方面,第一個(gè)就是個(gè)人(rén)信息保護法,第二個(gè)是數據出境安全評估辦法,因爲我們項目有很多(duō)是外資基金會支持,所以會面臨這(zhè)個(gè)問題。還(hái)有兩部法是和(hé)我們的(de)業務密切相關的(de),就是《未成年人(rén)保護護法》和(hé)《反家庭暴力法》,這(zhè)裏面一個(gè)是指導我們業務工作,這(zhè)兩部法本身會有對(duì)信息的(de)采集和(hé)使用(yòng)的(de)規定,另外是基于我們做(zuò)爲社工開展社會工作的(de)價值倫理(lǐ),會有保密原則,出于對(duì)個(gè)案的(de)保護也(yě)是我們開展這(zhè)項工作的(de)一個(gè)重要的(de)依據。
我們開展相關工作,主要從以下(xià)幾個(gè)層面: 第一個(gè)層面是從機構的(de)管理(lǐ)層面,主要包括行政管理(lǐ)和(hé)人(rén)力資源管理(lǐ)。第二個(gè)層面是具體的(de)項目管理(lǐ),包括數據的(de)采集,使用(yòng),發布和(hé)移交。第三個(gè)層面,因爲我們的(de)機構定位,我們也(yě)會做(zuò)一些推動行業規範的(de)工作。
在機構管理(lǐ)方面,主要就是在我們的(de)行政管理(lǐ)制度裏面,關于電腦(nǎo)的(de)使用(yòng),這(zhè)些可(kě)能大(dà)多(duō)數機構都有,關于密碼、不能外借、不能帶出等規定。
在人(rén)力資源方面,第一塊是勞動合同。首先就是勞動合同的(de)附件裏面會有兒(ér)童保護政策,兒(ér)童保護政策裏面有關于兒(ér)童信息安全的(de)規定,這(zhè)是入職必須要簽的(de)制度。在入職培訓裏面會針對(duì)剛才提到的(de)機構管理(lǐ)制度進行全面的(de)培訓。另外我們在入職以後也(yě)會組織一些學習(xí),就像《中華人(rén)民共和(hé)國個(gè)人(rén)信息保護法》出來(lái)以後,這(zhè)是我們内部組織的(de)培訓記錄,討(tǎo)論了(le)該法對(duì)我們項目的(de)一些啓發,大(dà)家提了(le)很多(duō)問題,針對(duì)這(zhè)些問題我們找到了(le)複恩的(de)老師來(lái)幫我們來(lái)解決這(zhè)些疑問。在員(yuán)工離職的(de)時(shí)候,我們會有數據移交的(de)規定,要簽署停止使用(yòng)信息的(de)項目信息數據承諾。因爲我們很多(duō)員(yuán)工是做(zuò)一線社工服務的(de),會接觸到特殊的(de)一些個(gè)案信息,那這(zhè)些個(gè)案信息的(de)話(huà),他(tā)一定要承諾不能再使用(yòng),這(zhè)個(gè)是在人(rén)力資源管理(lǐ)方面。
從項目管理(lǐ)來(lái)說的(de)話(huà),有兩個(gè)大(dà)的(de)原則,一個(gè)是我們做(zuò)項目的(de)時(shí)候會有相關方的(de)分(fēn)析,就是我剛才說到的(de)有關兒(ér)童保護的(de)承諾、個(gè)人(rén)信息保護的(de)承諾,不光(guāng)是針對(duì)我們員(yuán)工,而是我們涉及到的(de)所有供應商,合作夥伴,跟我們一起合作的(de)社會組織,我們都會有這(zhè)樣的(de)要求,必須要有兒(ér)童保護政策的(de)約束。另外一個(gè)就是全流程,就是從項目設計,一直到項目結束,相關制度和(hé)意識是一直要貫穿這(zhè)個(gè)過程的(de)。
這(zhè)裏面主要包括了(le)數據信息的(de)四塊。
第一是數據采集,這(zhè)個(gè)是目前我們能做(zuò)到的(de)一些做(zuò)法。數據信息采集這(zhè)一塊兒(ér)針對(duì)兒(ér)童,有雙成人(rén)規定,不能單獨和(hé)兒(ér)童工作。然後孩子要自願,我們目前的(de)規定是,八歲以下(xià)的(de)孩子是必須要有監護人(rén)來(lái)簽知情同意書(shū),八歲以上的(de)孩子自己也(yě)要簽,這(zhè)個(gè)是出于尊重兒(ér)童參與權。在我們拍(pāi)攝照(zhào)片的(de)時(shí)候會有具體的(de)要求,比如說不能拍(pāi)正臉,不能拍(pāi)帶有标識性的(de)村(cūn)莊等信息。
第二個(gè)是數據信息的(de)存儲和(hé)使用(yòng)。首先是分(fēn)級分(fēn)類。舉個(gè)例子,我們的(de)兒(ér)童數據,不是所有人(rén)都能看到的(de)。例如兒(ér)童保護項目,因爲我們是和(hé)民政部門合作來(lái)做(zuò)當地所有困境兒(ér)童的(de)篩查,會建數據檔,這(zhè)個(gè)信息就隻有兒(ér)童保護項目經理(lǐ)和(hé)工作人(rén)員(yuán)才能看到,連我們部門統籌、主任都不能看的(de)。我們會有嚴格的(de)數據控制,不同項目裏面的(de)個(gè)案信息都是隻有項目團隊能看到。其次是新聞發言人(rén)制度,我們對(duì)外的(de)信息發布都會有專門的(de)人(rén)員(yuán)負責。還(hái)有存儲,也(yě)就是是硬件設備,剛才已經介紹過。
第三是數據信息的(de)發布。因爲我們有官網,也(yě)有微信号,整個(gè)對(duì)外信息發布都有審批流程,也(yě)都有信息的(de)處理(lǐ)要求,例如去标識化(huà)和(hé)匿名化(huà)。以前我們會覺得(de)說打個(gè)馬賽克可(kě)以了(le),後來(lái)譚律師給我們指導,發現其實馬賽克是可(kě)以去掉的(de),所以現在我們拍(pāi)照(zhào)角度和(hé)内容就是非常嚴格的(de)控制,盡量避免通(tōng)過我們發布的(de)信息找到具體的(de)孩子。
第四是數據信息的(de)移交,就是剛才我提到的(de)離職的(de)一些移交,還(hái)有包括簽訂承諾書(shū)。
以上就是在項目管理(lǐ)方面我們會采取的(de)一些措施。
那麽在行業規範這(zhè)塊,我會以我們兒(ér)童信息保護爲例來(lái)介紹。因爲目前兒(ér)童項目是我們機構比較大(dà)體量的(de)一個(gè)業務模塊,我們也(yě)剛好是有這(zhè)個(gè)項目的(de)機會,來(lái)進行一個(gè)梳理(lǐ)。我以這(zhè)個(gè)爲例來(lái)講一下(xià),我們是怎麽做(zuò)的(de)。
從2008年開始,我們申請婦女(nǚ)兒(ér)童的(de)項目贈款,其實有很多(duō)外資基金會,它們自己本身是有比較規範的(de)管理(lǐ)規定和(hé)兒(ér)童保護政策。最開始我們就是被動的(de)執行,因爲我們要申請他(tā)們的(de)資金,他(tā)們要求我們這(zhè)麽做(zuò),所以我們就這(zhè)麽做(zuò)。
在項目執行中,我們也(yě)在實踐中摸索,這(zhè)些基金會他(tā)們的(de)要求在國内和(hé)中國的(de)法律有沒有不匹配的(de)地方?或者在我們實操過程中怎麽樣來(lái)更好的(de)運用(yòng)?其實我們都在有意識的(de)摸索。到2021年的(de)時(shí)候,我們就形成了(le)機構自己的(de)兒(ér)童服務安全制度,這(zhè)裏面包括了(le)員(yuán)工守則,合作夥伴,供應商規定等等。
到了(le)2021年7月(yuè),剛好有一個(gè)項目機會,我們聯合了(le)陝西省十家兒(ér)童社會組織,一起來(lái)制定陝西省的(de)兒(ér)童服務安全規範,希望可(kě)以針對(duì)陝西省從事兒(ér)童服務工作的(de)社會組織進行本地化(huà),因爲各地的(de)情況不太一樣。
到2021年的(de)時(shí)候,這(zhè)個(gè)規範我們已經基本完善,繼而在陝西省的(de)六個(gè)市進行了(le)推廣。這(zhè)個(gè)服務規範裏面有一個(gè)章(zhāng)節,就是專門針對(duì)兒(ér)童信息的(de)收集,應用(yòng)和(hé)管理(lǐ)守則。
簡單的(de)給大(dà)家就是介紹一下(xià),在收集方面,一個(gè)是審批的(de)流程,必須要先得(de)到批準。在知情同意這(zhè)塊,必須要簽署知情同意書(shū)。在收集過程中,有一些錄像拍(pāi)攝的(de)要求,還(hái)有就是要尊重兒(ér)童的(de)意願,在訪談中發現可(kě)能有公衆輿論危機或者兒(ér)童保護風險的(de)時(shí)候,我們也(yě)是有自己的(de)報告制度。
在管理(lǐ)方面,一個(gè)就是分(fēn)級管理(lǐ),不是所有人(rén)都看到這(zhè)個(gè)信息;第二是保密制度;第三就是我們在使用(yòng)社交媒體需要遵循的(de)規則;第四是未經機構允許,不能随意聯系。
在信息的(de)使用(yòng)方面,就是要保護兒(ér)童的(de)隐私,然後不能出現村(cūn)民學校等詳細地址。有一些特殊的(de)孩子,尤其是兒(ér)童保護項目或者緊急救助項目裏面的(de)孩子,例如要接受治療性服務的(de),一定要進行保護性模糊處理(lǐ)。在我們機構的(de)網站主頁以及公衆号和(hé)微博發布的(de)信息,裏面都會有這(zhè)相關要求,也(yě)有投訴的(de)渠道。
在這(zhè)個(gè)兒(ér)童安全服務規範推廣的(de)過程中,我們面向了(le)60%陝西省的(de)地市,有392家的(de)機構參與了(le)我們的(de)培訓,包括143家機構現在都已經制定了(le)兒(ér)童服務安全的(de)制度,這(zhè)是我們在兒(ér)童數據安全和(hé)個(gè)人(rén)信息保護方面做(zuò)了(le)一些推動和(hé)引領的(de)工作。
以上就是婦源彙在數據安全和(hé)婦女(nǚ)兒(ér)童個(gè)人(rén)信息保護方面做(zuò)的(de)一些工作,歡迎指導,謝謝大(dà)家。
