《个人信息保护法》今起实施，助推数字化社会治理创新

数据一跑，万两黄金。然而，当前数据安全的风险影响已经从个人、企业逐步辐射到产业，甚至国家安全层面。为此，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）于2021年11月1日正式施行。这意味着在数据安全和个人隐私保护两大关键的边界规则下，企业将面临前所未有的严格监管。

历时18年，《个人信息保护法》终出台

早在2003年，国内的专家团队起草了《个人信息保护法（专家建议稿）及立法研究报告》。2018年，《个人信息保护法》正式进入立法流程，历经三次审议最终成型。2021年8月20日，十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》，自2021年11月1日起正式实施。此时距离《个人信息保护法》建议稿的起草已经过去18年。

数据合规迎来重大变革

近年来，“大数据杀熟”、敏感个人信息被滥用等问题成为数据时代社会关注的焦点。《个人信息保护法》全文以总计8章74条的篇幅，在总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任以及附则等多个层面设计和建构个人信息保护的立法框架。

在此背景下，《个人信息保护法》与《网络安全法》、《数据安全法》密集出台，一起组成了数据安全领域的三驾马车，数据备份、数据加密、数据脱敏等基础保障已成为数据应用的刚需。以11月起实施的《个人信息保护法》为例：

• 第二十一条，要求委托人需要被监督，委托人权利到期，数据信息要能返还个人信息处理者或在监管下彻底删除，除了合同与制度外，也需要必要的数据安全技术手段支持，如脱敏后共享，加密授权使用，数据删除检测等；
• 第二十八条，明确了敏感个人信息的定义和规范要求，强调了不满十四周岁未成年人的个人信息均涉及敏感，说明了对敏感信息进行脱敏的充分必要；

• 第三十一条，不满十四周岁未成年人个人信息属于完全敏感信息，要有专门的安全防护处理规则与技术，尤其在各种信息混合的情况下。这些都需要使用数据脱敏技术进行去隐私保护。

随着《个人信息保护法》的生效实施，这一数字时代的基本法将为我国数字社会治理发挥重要的作用。

构建全生命周期的数据安全社会治理体系

面对愈发严峻的数据泄露风险和法规监督，亚信安全建议企业用户可以参照国家关于个人信息保护基本法原则性规定，结合自身业务特点和业务实践经验，制定更具针对性更为细致的个人信息保护与利用准则，以简明、易理解的内容，在用户使用前加以提示和说明。

此外，技术手段亦是防治的重要一环。亚信安全提出了以数据为中心的数据全生命周期管理体系，通过“可发现、可监控、可防护、可管理”的技术手段，在数据保护的各个环节都建立有效的防御能力，进行统一的数据安全管理，使数据安全策略应用和流程策略可以跨越整个生命周期。

通过以数字为中心的管理方式对社会进行科学治理，将有助于我们对海量数据进行整合分析，建立数据监测、分析、预警、管理、决策等一整套应急管理机制，不仅能够帮助相关部门预测社会需求、增进社会共识，还可以从中发现规律、预测趋势、甄别风险，增强社会治理的预见性，提高社会治理智能化水平，有助于推动社会治理更加精准、更加科学。