信息化觀察網(wǎng)

日前，《個(gè)人信息保護(hù)法》正式公布。從2020年10月初次提出審議到2021年8月完成第三次審議，有關(guān)部門(mén)在短時(shí)間內(nèi)的大力推進(jìn)，充分顯示了國(guó)家對(duì)這部法律的高度重視。

Part 1

焦慮的社會(huì)現(xiàn)狀

隨著數(shù)字化建設(shè)的高速發(fā)展，大數(shù)據(jù)已經(jīng)不知不覺(jué)滲透了我們生活的方方面面。出門(mén)上班，導(dǎo)航給你規(guī)劃到單位的時(shí)間、距離、最佳路線；日常吃飯，軟件給你推送附近熱門(mén)好店和優(yōu)質(zhì)外賣(mài)；新聞?lì)^條，都是你關(guān)心的話題；購(gòu)物平臺(tái)，首頁(yè)都是你喜歡的品類(lèi)；視頻娛樂(lè)，主視覺(jué)窗口都是你最感興趣的推薦；出入商家門(mén)店、待售樓盤(pán)、寫(xiě)字樓甚至自家小區(qū)，都廣泛開(kāi)始安裝攝像頭進(jìn)行人臉捕捉識(shí)別……大數(shù)據(jù)似乎“比我們自己更懂自己”。所以，我們每天都在不同場(chǎng)景不同環(huán)境，留下自己的足跡、觀點(diǎn)、行為、情感，自覺(jué)或不自覺(jué)、自愿或不自愿地產(chǎn)生著大數(shù)據(jù)，我們被大數(shù)據(jù)所環(huán)繞、籠罩和支配。

但是我們?cè)谙硎艽髷?shù)據(jù)給我們帶來(lái)的便利的同時(shí)，也隨時(shí)面臨著大量個(gè)人數(shù)據(jù)即個(gè)人信息被無(wú)情泄漏的風(fēng)險(xiǎn)?；仡櫧衲?ldquo;3·15”晚會(huì)曝光的九大消費(fèi)黑幕，個(gè)人隱私保護(hù)成為最大亮點(diǎn)。商家人臉識(shí)別、簡(jiǎn)歷大數(shù)據(jù)、專(zhuān)坑老年人的手機(jī)“清理”軟件、搜索引擎及瀏覽器虛假醫(yī)藥廣告等一系列曝光，以及眾多知名品牌被點(diǎn)名曝光，令大家瞠目結(jié)舌。“隱私安全”首次成了央視3·15的焦點(diǎn)話題。

“當(dāng)前，社會(huì)各方面對(duì)于用戶(hù)畫(huà)像、算法推薦等新技術(shù)新應(yīng)用高度關(guān)注，對(duì)相關(guān)產(chǎn)品和服務(wù)中存在的信息騷擾、‘大數(shù)據(jù)殺熟’等問(wèn)題反映強(qiáng)烈。”全國(guó)人大常委會(huì)法工委發(fā)言人臧鐵偉表示。

由此可見(jiàn)，個(gè)人信息安全問(wèn)題，已經(jīng)從機(jī)構(gòu)自身上升到涉及數(shù)據(jù)主體權(quán)益、社會(huì)發(fā)展與穩(wěn)定、國(guó)家安全層面。個(gè)人信息的保護(hù)，已經(jīng)成為全民關(guān)心的數(shù)據(jù)安全問(wèn)題。

Part 2

個(gè)保法綱領(lǐng)及要點(diǎn)概述

《個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱(chēng)“個(gè)保法”)總體大綱如下：

個(gè)保法明確規(guī)定了個(gè)人信息處理者的義務(wù)，以及加強(qiáng)了履行個(gè)人信息保護(hù)職責(zé)部門(mén)的義務(wù)。主要概括如下：

第五十一條個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類(lèi)以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等，采取下列措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露、篡改、丟失：

(一)制定內(nèi)部管理制度和操作規(guī)程；

(二)對(duì)個(gè)人信息實(shí)行分類(lèi)管理；

(三)采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；

(四)合理確定個(gè)人信息處理的操作權(quán)限，并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)；

(五)制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案；

(六)法律、行政法規(guī)規(guī)定的其他措施。

第五十五條有下列情形之一的，個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄：

(一)處理敏感個(gè)人信息；

(二)利用個(gè)人信息進(jìn)行自動(dòng)化決策；

(三)委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開(kāi)個(gè)人信息；

(四)向境外提供個(gè)人信息；

(五)其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)。

第五十六條個(gè)人信息保護(hù)影響評(píng)估應(yīng)當(dāng)包括下列內(nèi)容：

(一)個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；

(二)對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)；

(三)所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。

個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。

第五十八條提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶(hù)數(shù)量巨大、業(yè)務(wù)類(lèi)型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)履行下列義務(wù)：

(一)按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督；

(二)遵循公開(kāi)、公平、公正的原則，制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)；

(三)對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；

(四)定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。

第六十一條履行個(gè)人信息保護(hù)職責(zé)的部門(mén)履行下列個(gè)人信息保護(hù)職責(zé)：

(一)開(kāi)展個(gè)人信息保護(hù)宣傳教育，指導(dǎo)、監(jiān)督個(gè)人信息處理者開(kāi)展個(gè)人信息保護(hù)工作；

(二)接受、處理與個(gè)人信息保護(hù)有關(guān)的投訴、舉報(bào)；

(三)組織對(duì)應(yīng)用程序等個(gè)人信息保護(hù)情況進(jìn)行測(cè)評(píng)，并公布測(cè)評(píng)結(jié)果；

(四)調(diào)查、處理違法個(gè)人信息處理活動(dòng)；

(五)法律、行政法規(guī)規(guī)定的其他職責(zé)。

另外，個(gè)保法特別對(duì)敏感信息類(lèi)別、應(yīng)用程序過(guò)度收集個(gè)人信息、"大數(shù)據(jù)殺熟"等作出針對(duì)性規(guī)范，并將數(shù)據(jù)泄露等更改為泄露、篡改、丟失，同時(shí)對(duì)個(gè)人信息跨境提供規(guī)則作出相關(guān)規(guī)定。

Part 3

企業(yè)如何落地個(gè)保法？

從個(gè)保法的核心變動(dòng)和修改不難看出，國(guó)家對(duì)于企業(yè)如何進(jìn)行個(gè)人信息安全的保護(hù)，對(duì)于職責(zé)部門(mén)如何履行其監(jiān)管職責(zé)，從法律上都提出了高要求、高標(biāo)準(zhǔn)、高規(guī)范。

“個(gè)人信息保護(hù)的專(zhuān)門(mén)法律即將出臺(tái)，企業(yè)的個(gè)人信息保護(hù)違法成本將大幅上升，對(duì)個(gè)人信息保護(hù)的合規(guī)安排刻不容緩。特別是處理敏感個(gè)人信息的特殊保護(hù)、個(gè)人信息跨境提供的合規(guī)等，將成為企業(yè)優(yōu)先和重點(diǎn)的合規(guī)事項(xiàng)。以往對(duì)APP違法違規(guī)收集個(gè)人信息的行為的處理，主要是進(jìn)行通報(bào)、要求下架或?qū)€(gè)人信息處理者進(jìn)行行政處罰等措施，個(gè)人信息保護(hù)法的出臺(tái)意味著消費(fèi)者提出民事索賠的渠道也會(huì)更為順暢。”某律師事務(wù)所高級(jí)合伙人表示。

“個(gè)人信息安全立法過(guò)程中，最核心的問(wèn)題就是信息收集，然后是信息收集后的保管不當(dāng)和非法利用。”一位法學(xué)專(zhuān)家表示。

面對(duì)嚴(yán)峻的《個(gè)人信息保護(hù)法》考驗(yàn)，企業(yè)如何落地執(zhí)行呢？全知科技深耕個(gè)人隱私安全保護(hù)領(lǐng)域，有著成熟的技術(shù)理念和多年的實(shí)踐經(jīng)驗(yàn)，全知科技依據(jù)個(gè)保法自主研發(fā)的數(shù)據(jù)安全產(chǎn)品及服務(wù)，能夠賦能企業(yè)穩(wěn)步實(shí)現(xiàn)個(gè)保法的合規(guī)要求。

下面具體對(duì)應(yīng)《個(gè)人信息保護(hù)法》的要求，全知科技來(lái)為大家分別開(kāi)出“藥方”。

個(gè)保法要求：防止信息泄露、篡改、丟失

知形-應(yīng)用數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)，能夠有效規(guī)范企業(yè)內(nèi)部員工的數(shù)據(jù)使用行為，能夠?qū)⑵髽I(yè)業(yè)務(wù)應(yīng)用系統(tǒng)中的人、數(shù)據(jù)和風(fēng)險(xiǎn)進(jìn)行閉環(huán)鏈接。自動(dòng)化梳理用戶(hù)與訪問(wèn)數(shù)據(jù)的關(guān)系，實(shí)時(shí)監(jiān)控發(fā)現(xiàn)用戶(hù)訪問(wèn)數(shù)據(jù)的風(fēng)險(xiǎn)，并當(dāng)個(gè)人信息發(fā)生泄露時(shí)及時(shí)進(jìn)行事件泄露溯源。全時(shí)態(tài)數(shù)據(jù)守護(hù)，讓敏感數(shù)據(jù)流動(dòng)全留痕。

知影-API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)，通過(guò)對(duì)Web、APP、小程序、IoT等應(yīng)用系統(tǒng)的流量分析系統(tǒng)，實(shí)現(xiàn)API數(shù)據(jù)暴露面的治理和對(duì)數(shù)據(jù)攻擊行為持續(xù)發(fā)現(xiàn)。部署在企業(yè)互聯(lián)網(wǎng)出口，能夠?qū)崟r(shí)監(jiān)控企業(yè)API的數(shù)據(jù)暴露面以及被攻擊情況，防止大量個(gè)人信息通過(guò)API接口被篡改。

知蹤-數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)，實(shí)時(shí)監(jiān)控并記錄針對(duì)目標(biāo)數(shù)據(jù)庫(kù)系統(tǒng)各類(lèi)操作的流量分析系統(tǒng)。多維度處理分析操作行為與敏感數(shù)據(jù)流動(dòng)監(jiān)控，精準(zhǔn)預(yù)警風(fēng)險(xiǎn)，對(duì)數(shù)據(jù)庫(kù)進(jìn)行動(dòng)態(tài)保護(hù)。完全記錄各種數(shù)據(jù)庫(kù)事件內(nèi)容，日志有效對(duì)應(yīng)到使用者真實(shí)身份，一旦出現(xiàn)事件，能夠迅速響應(yīng)和定位，實(shí)現(xiàn)后期取證。

個(gè)保法要求：個(gè)人信息跨境問(wèn)題

全知數(shù)據(jù)出境風(fēng)險(xiǎn)檢測(cè)工具箱，專(zhuān)門(mén)針對(duì)企業(yè)數(shù)據(jù)出境的治理難題，不僅可以發(fā)現(xiàn)企業(yè)的出境數(shù)據(jù)資產(chǎn)，還可以全方位檢測(cè)企業(yè)的出境情況，匯總出境的數(shù)據(jù)量和數(shù)據(jù)類(lèi)型，定位出境的數(shù)據(jù)源頭，可以幫助測(cè)評(píng)機(jī)構(gòu)產(chǎn)出數(shù)據(jù)出境檢測(cè)報(bào)告，推動(dòng)企業(yè)針對(duì)性的進(jìn)行數(shù)據(jù)出境的整改。

個(gè)保法要求：實(shí)行個(gè)人信息保護(hù)影響評(píng)估

全知數(shù)據(jù)安全咨詢(xún)?cè)u(píng)估服務(wù)，基于對(duì)法律法規(guī)、行業(yè)監(jiān)管等需求的全面了解，全知科技可以通過(guò)以下評(píng)估服務(wù)，協(xié)助企業(yè)快速掌握自身關(guān)于個(gè)人信息安全的風(fēng)險(xiǎn)情況，并輸出符合國(guó)家要求專(zhuān)業(yè)評(píng)估報(bào)告。

*APP隱私合規(guī)評(píng)估：針對(duì)企業(yè)APP中個(gè)人隱私合規(guī)評(píng)估部分的要求，提供APP權(quán)限申請(qǐng)和使用情況、個(gè)人信息采集相關(guān)風(fēng)險(xiǎn)、與第三方交互情況等數(shù)據(jù)風(fēng)險(xiǎn)。

*數(shù)據(jù)出境安全風(fēng)險(xiǎn)評(píng)估：針對(duì)數(shù)安法及個(gè)保法要求，提供數(shù)據(jù)出境中涉及的數(shù)據(jù)類(lèi)型、數(shù)據(jù)量級(jí)、是否存在向境外提供重要數(shù)據(jù)等風(fēng)險(xiǎn)的評(píng)估。

*個(gè)人敏感信息風(fēng)險(xiǎn)評(píng)估：針對(duì)數(shù)安法及個(gè)保法要求，通過(guò)技術(shù)工具，提供企業(yè)針對(duì)個(gè)人敏感信息數(shù)據(jù)全生命周期中，各個(gè)階段的風(fēng)險(xiǎn)評(píng)估需求。

個(gè)保法要求：個(gè)人信息保護(hù)情況測(cè)評(píng)問(wèn)題

全知數(shù)據(jù)安全風(fēng)險(xiǎn)測(cè)評(píng)服務(wù)，全知科技深度參與了多項(xiàng)國(guó)家/地方/行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)制定，對(duì)于個(gè)人信息安全保護(hù)有著專(zhuān)業(yè)的深度的理解，能夠運(yùn)用技術(shù)累積和管理能力實(shí)踐，幫助客戶(hù)進(jìn)行個(gè)人信息保護(hù)情況測(cè)評(píng)。全知科技還能夠結(jié)合行業(yè)和環(huán)境，制定可行的數(shù)據(jù)安全目標(biāo)和落地規(guī)劃，切實(shí)解決企業(yè)關(guān)于社會(huì)公布測(cè)評(píng)結(jié)果的后顧之憂(yōu)。

*全知科技參與制訂的相關(guān)國(guó)家標(biāo)準(zhǔn)如下：

《信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》

《信息安全技術(shù)個(gè)人信息安全工程指南》

《信息安全技術(shù)個(gè)人信息告知同意指南》

《信息安全技術(shù)基因識(shí)別數(shù)據(jù)安全要求》

《信息安全技術(shù)APP個(gè)人信息安全測(cè)評(píng)規(guī)范》

Part 4

企業(yè)如何落地法律綱領(lǐng)？

數(shù)據(jù)作為社會(huì)重要生產(chǎn)力，個(gè)人信息的收集和使用越來(lái)越廣泛，隨之而來(lái)的各種個(gè)人信息泄露風(fēng)險(xiǎn)也越來(lái)越嚴(yán)重?！秱€(gè)人信息保護(hù)法》在當(dāng)今時(shí)代背景下，應(yīng)運(yùn)而生。如何快速理解和吸收法律條款？全知關(guān)聯(lián)文章《一文讀懂 <個(gè)人信息保護(hù)法> 》《一圖看懂 <個(gè)人信息保護(hù)法> 》，將為您帶來(lái)個(gè)保法的高效解讀，敬請(qǐng)關(guān)注。