上海复恩社会组织法律研究与服务中心与中国慈善联合会特别举办的中国慈善联合会“善客沙龙”暨第四届复恩社会组织合规沙龙 “慈善事业专业发展：数据安全和个人信息保护”专场 已于6月9日成功举办。

本篇我们将给大家分享来自 陕西妇源汇性别发展中心 儿童发展部 孙海华 的演讲。

妇源汇数据安全和妇女儿童信息保护实践

陕西妇源汇性别发展中心 儿童发展部 孙海华

在介绍我们相关的工作之前，我想给大家稍微介绍一下妇源汇，帮助大家更好的理解，为什么我们要做数据安全和个人信息保护这块工作。

我们是2008年成立的一个民非企业，业务主管单位是陕西省妇联，登记注册是在陕西省民政厅。我们的使命是立足西部，扎根社区，推动妇女儿童发展，所以我们的服务对象主要是妇女和儿童，在社区开展工作；因为我们机构的定位是中游平台，我们会联结很多的本土社会组织一起开展工作。我们的工作地点主要在陕西，但是遍及了很多市县。我们核心的服务对象主要是四类，有跟困境相关的，有特殊人群，我们机构最早是做妇女和社区项目，所以(服务对象)还包括性别相关议题以及偏远乡村，现在也在关注城市的流动儿童。

这是我们核心服务的领域，大家看到妇女和社区的项目，有金融赋能，有妇女参与社区治理，还有困境妇女的紧急救助，以及流动妇女的社区融入等。儿童方面，涉及0到18岁的儿童，我们基本上都有在开展工作，包括早期儿童的养育发展、儿童保护还有社会情感技能。另外我们除了提供一线的服务，也会承接一些研究和咨询的服务，同时也有传播和倡导，社会性别等方面工作。我们的服务对象很多，涉及到困境救助，有很多个案的信息，都是我们平时会接触到的。因为我们服务对象的特殊性，服务地点的广泛性，也因为我们业务主管部门对我们的监管要求，就包括刚才提到的信息法，我们一直在学习，我们目前开展相关工作的主要依据有两部分。

第一个部分是内部制度。

因为我们08年成立，机构制度相对的完善一些，包括我们的员工手册，项目管理制度，针对妇女权益保护的规定，儿童保护政策，人力资源管理制度，还有儿童服务安全制度，以及我们的文档管理制度，其实多多少少都会涉及一些数据安全和儿童信息、个人信息保护的内容；

外部法规方面，第一个就是个人信息保护法，第二个是数据出境安全评估办法，因为我们项目有很多是外资基金会支持，所以会面临这个问题。还有两部法是和我们的业务密切相关的，就是《未成年人保护护法》和《反家庭暴力法》，这里面一个是指导我们业务工作，这两部法本身会有对信息的采集和使用的规定，另外是基于我们做为社工开展社会工作的价值伦理，会有保密原则，出于对个案的保护也是我们开展这项工作的一个重要的依据。

我们开展相关工作，主要从以下几个层面: 第一个层面是从机构的管理层面，主要包括行政管理和人力资源管理。第二个层面是具体的项目管理，包括数据的采集，使用，发布和移交。第三个层面，因为我们的机构定位，我们也会做一些推动行业规范的工作。

在机构管理方面，主要就是在我们的行政管理制度里面，关于电脑的使用，这些可能大多数机构都有，关于密码、不能外借、不能带出等规定。

在人力资源方面，第一块是劳动合同。首先就是劳动合同的附件里面会有儿童保护政策，儿童保护政策里面有关于儿童信息安全的规定，这是入职必须要签的制度。在入职培训里面会针对刚才提到的机构管理制度进行全面的培训。另外我们在入职以后也会组织一些学习，就像《中华人民共和国个人信息保护法》出来以后，这是我们内部组织的培训记录，讨论了该法对我们项目的一些启发，大家提了很多问题，针对这些问题我们找到了复恩的老师来帮我们来解决这些疑问。在员工离职的时候，我们会有数据移交的规定，要签署停止使用信息的项目信息数据承诺。因为我们很多员工是做一线社工服务的，会接触到特殊的一些个案信息，那这些个案信息的话，他一定要承诺不能再使用，这个是在人力资源管理方面。

从项目管理来说的话，有两个大的原则，一个是我们做项目的时候会有相关方的分析，就是我刚才说到的有关儿童保护的承诺、个人信息保护的承诺，不光是针对我们员工，而是我们涉及到的所有供应商，合作伙伴，跟我们一起合作的社会组织，我们都会有这样的要求，必须要有儿童保护政策的约束。另外一个就是全流程，就是从项目设计，一直到项目结束，相关制度和意识是一直要贯穿这个过程的。

这里面主要包括了数据信息的四块。

第一是数据采集，这个是目前我们能做到的一些做法。数据信息采集这一块儿针对儿童，有双成人规定，不能单独和儿童工作。然后孩子要自愿，我们目前的规定是，八岁以下的孩子是必须要有监护人来签知情同意书，八岁以上的孩子自己也要签，这个是出于尊重儿童参与权。在我们拍摄照片的时候会有具体的要求，比如说不能拍正脸，不能拍带有标识性的村庄等信息。

第二个是数据信息的存储和使用。首先是分级分类。举个例子，我们的儿童数据，不是所有人都能看到的。例如儿童保护项目，因为我们是和民政部门合作来做当地所有困境儿童的筛查，会建数据档，这个信息就只有儿童保护项目经理和工作人员才能看到，连我们部门统筹、主任都不能看的。我们会有严格的数据控制，不同项目里面的个案信息都是只有项目团队能看到。其次是新闻发言人制度，我们对外的信息发布都会有专门的人员负责。还有存储，也就是是硬件设备，刚才已经介绍过。

第三是数据信息的发布。因为我们有官网，也有微信号，整个对外信息发布都有审批流程，也都有信息的处理要求，例如去标识化和匿名化。以前我们会觉得说打个马赛克可以了，后来谭律师给我们指导，发现其实马赛克是可以去掉的，所以现在我们拍照角度和内容就是非常严格的控制，尽量避免通过我们发布的信息找到具体的孩子。

第四是数据信息的移交，就是刚才我提到的离职的一些移交，还有包括签订承诺书。

以上就是在项目管理方面我们会采取的一些措施。

那么在行业规范这块，我会以我们儿童信息保护为例来介绍。因为目前儿童项目是我们机构比较大体量的一个业务模块，我们也刚好是有这个项目的机会，来进行一个梳理。我以这个为例来讲一下，我们是怎么做的。

从2008年开始，我们申请妇女儿童的项目赠款，其实有很多外资基金会，它们自己本身是有比较规范的管理规定和儿童保护政策。最开始我们就是被动的执行，因为我们要申请他们的资金，他们要求我们这么做，所以我们就这么做。

在项目执行中，我们也在实践中摸索，这些基金会他们的要求在国内和中国的法律有没有不匹配的地方？或者在我们实操过程中怎么样来更好的运用？其实我们都在有意识的摸索。到2021年的时候，我们就形成了机构自己的儿童服务安全制度，这里面包括了员工守则，合作伙伴，供应商规定等等。

到了2021年7月，刚好有一个项目机会，我们联合了陕西省十家儿童社会组织，一起来制定陕西省的儿童服务安全规范，希望可以针对陕西省从事儿童服务工作的社会组织进行本地化，因为各地的情况不太一样。

到2021年的时候，这个规范我们已经基本完善，继而在陕西省的六个市进行了推广。这个服务规范里面有一个章节，就是专门针对儿童信息的收集，应用和管理守则。

简单的给大家就是介绍一下，在收集方面，一个是审批的流程，必须要先得到批准。在知情同意这块，必须要签署知情同意书。在收集过程中，有一些录像拍摄的要求，还有就是要尊重儿童的意愿，在访谈中发现可能有公众舆论危机或者儿童保护风险的时候，我们也是有自己的报告制度。

在管理方面，一个就是分级管理，不是所有人都看到这个信息；第二是保密制度；第三就是我们在使用社交媒体需要遵循的规则；第四是未经机构允许，不能随意联系。

在信息的使用方面，就是要保护儿童的隐私，然后不能出现村民学校等详细地址。有一些特殊的孩子，尤其是儿童保护项目或者紧急救助项目里面的孩子，例如要接受治疗性服务的，一定要进行保护性模糊处理。在我们机构的网站主页以及公众号和微博发布的信息，里面都会有这相关要求，也有投诉的渠道。

在这个儿童安全服务规范推广的过程中，我们面向了60%陕西省的地市，有392家的机构参与了我们的培训，包括143家机构现在都已经制定了儿童服务安全的制度，这是我们在儿童数据安全和个人信息保护方面做了一些推动和引领的工作。

以上就是妇源汇在数据安全和妇女儿童个人信息保护方面做的一些工作，欢迎指导，谢谢大家。