对于《个人信息保护法（草案）》中明确的义务，个人信息处理者如何履行？

天融信 2022-05-08

2020年10月16日，第十三届全国人大常委会第二十二次会议对《个人信息保护法（草案）》（以下简称草案）进行审议；10月21日，全国人大法工委公开就草案征求意见。草案中明确规定了个人信息处理者的义务，主要包括：

● 要求个人信息处理者应从组织架构、管理制度、操作规程、分类分级、安全保障措施、合法操作权限、安全事件应急预案、安全教育培训等考虑建立以个人信息为核心的安全防护体系。

● 由专业机构定期对个人信息安全防护体系的合规性进行监督审计。

● 在进行个人信息处理活动前应进行风险评估。

● 一旦发生个人信息泄露事件，应立即采取补救措施，并通知相关部门及个人。

对于个人信息处理者来说，要履行草案中明确要求的义务，需要通过数据安全治理服务的一系列过程，从“组织、业务、管理、数据、技术、操作”等多角度入手，解决数据安全顶层设计及管理体系建设的问题，建立“以数据为核心的安全体系”。

天融信数据安全治理服务的总体思路是以数据为中心、技术为手段、管理为保障，建立以深度内容识别等技术为基础的数据全生命周期管控体系。通过该体系进而提升组织的数据安全保障能力，实现数据受控使用，防止数据泄露。

数据安全治理服务以保护数据的保密性、完整性及可用性为主要目的，通过一系列过程，提升个人信息处理者的数据安全保障能力，降低组织所面临的个人信息安全风险，进一步满足合规要求、抵御攻击威胁、保障个人信息处理业务的安全。具体服务过程包含以下四步：

治理评估

以业务部门为单位，基于业务识别、数据识别、风险识别制定数据安全治理评估过程。通过制定数据分类分级标准，梳理数据资产清单及权责、梳理数据使用过程及生命周期，分析业务环境及脆弱性等，确定数据安全能力成熟度等级。

组织管理

本着“谁主管、谁负责”的工作原则落实执行，在系统生命周期各阶段明确责任部门及安全职责。制定数据安全管理办法，并且同步完善数据安全管理制度、业务制度、技术制度等。

策略设计

在全面的风险分析基础上，制定合理的安全策略，围绕数据的分级、分类、分布、访问权限、传输路径、操作审计、备份恢复等多个方面，规定谁、在什么时间、什么地点、对哪种数据、进行何种行为。

技术建设

通过数据安全技术防护能力建设，对数据进行细粒度管控，明确各措施执行周期，制定技术目标和技术建设内容。

数据安全审计及持续改进

在安全验收后的日常运营维护中，应当保持系统处于持续安全防护水平，对整体环节加强安全审计监督，并持续跟踪。

天融信 “以数据为中心的安全防护体系”方案经过了国内大量项目实践的验证，具备良好的场景适应能力及可靠性，凭借数据安全智能管控、数据防泄漏、数据安全交换、数据脱敏、数据库安全防护、大数据安全防护、文档安全管理、数据存储备份容灾、数据安全治理服务等能力支撑，个人信息处理者完全可以履行草案中的义务。

与此同时，草案也明确了个人在个人信息处理活动中的权力，及履行个人信息保护职责的部门以及个人信息跨境的规则。详细解读敬请关注下期《个人信息保护法(草案)》的发布，对个人带来的影响。

热·点·推·荐