2021年8月20日,十三届全国人大常委会第三十次会议审议通过了《中华人民共和国个人信息保护法》草案,将于2021年11月1日起实施。本法规明确了个人信息保护的原则,区分了一般个人信息和敏感个人信息的处理规则,以及涉及到跨境提供个人信息的相关规则。同时明确了个人信息主体在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职能的部门及其职责。在本法规中,也确立了侵害个人信息权益的违法行为,情节严重的,将没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,5%的额度甚至超过了在个人信息保护方面规定“最严”的欧盟。本文将为个人信息处理者提供一套个人信息保护合规建设思路,防范个人信息的泄漏、损毁、丢失、篡改等风险。1
2020年10月13日
十三届全国人大常委会委员长会议提出了关于提请审议个人信息保护法草案的议案。草案规定侵害个人信息权益的违法行为,情节严重的,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,5%的额度甚至超过了在个人信息保护方面规定“最严”的欧盟。
2
2021年4月26日
提请全国人大常委会二次审议的个人信息保护法草案拟规定,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督,并要求其定期发布个人信息保护社会责任报告等。
3
2021年8月17日
全国人大常委会法工委举行记者会,提请修改主要内容:①增加规定“根据宪法”制定本法
②进一步完善个人信息处理规则,特别是对应用程序(App)过度收集个人信息、“大数据杀熟”等 ③将不满十四周岁未成年人的个人信息作为敏感个人信息,制定专门的个人信息处理规则④完善个人信息跨境提供的规则⑤增加个人信息可携带权的规定⑥对完善个人信息保护投诉举报工作机制及违法处理的相应条款。
4
2021年8月20日
十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。其中明确:①通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式②处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意③对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
从立法定位上,《数据安全法》是数据安全领域的基础法律,与《个人信息保护法》并行成为网络空间治理和数据保护的“两驾马车”。《数据安全法》负责规范数据处理活动、保障数据安全、促进数据开发利用,《个人信息保护法》负责个人信息权益、尊严和自由的保护,具有一般法和特别法的关系。一般数据处理活动要依据《数据安全法》,而涉及个人数据的处理,则既要满足《数据安全法》的基础性规定,又要满足《个人信息保护法》的特殊性规定。
在开展个人信息处理活动前应进行合规性评估和安全评估。其中,合规性评估可选择本法及其他法律法规、国家标准、行业标准为基线进行。个人信息安全评估包括:处理敏感个人信息;利用个人信息进行自动化决策;委托处理个人信息、向他人提供个人信息、公开个人信息;向境外提供个人信息;其他对个人有重大影响的个人信息处理活动。在个人信息保护组织建设中,企业应明确个人信息保护责任部门与人员,任命个人信息保护工作机构和个人信息保护负责人。其中,个人信息保护负责人应由具有相关管理工作经验和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策并直接向企业主要负责人报告工作。对于处理个人信息达到国家网信部门规定数量的个人信息处理者应指定专职个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
在个人信息制度流程建设上,需根据企业自身业务特点的管理要求针对性制定。通过细化的操作规程针对个人信息的处理目的、处理方式、个人信息种类等安全风险和对个人信息主体权益的影响进行管控。流程制定可包含《个人信息保护管理办法》、《个人信息安全影响评估指南》、《个人信息安全事件应急管理规范》、《个人信息安全举报投诉管理规范》、《PII全生命周期安全管理程序》、《隐私策略发布管理程序》、《PII恢复工作规程》、《PII主体利益维护指南》、《PII去标识化操作规程》等。在个人信息防范上,以各种政策法规为依据,利用网络安全及数据安全防护技术处理活动中的风险,具体情形如下:
收集阶段:采用个人信息识别技术、打上个人信息种类标记;
存储阶段:采用加密、去标识化等技术防范未授权的访问,定期进行数据备份和恢复性测试,同时也需注意个人信息存储时间最小化的问题;使用阶段:采用数据访问控制等安全产品防范未授权的个人信息访问,采用脱敏检查工具,查验脱敏工作的有效性;定期进行数据安全审计,及时发现和处置数据非授权访问和异常操作;加工阶段:进行自动化决策、定向分析时,对数据分析操作进行记录,以备对分析结果质量和可信性进行数据溯源;传输阶段:使用加密、鉴别的安全措施,采用数据防泄漏产品,防止个人信息外泄;提供阶段:确保个人信息已做好匿名化处理,若需提供真实个人信息则需提前进行安全评估;公开阶段:公开个人信息时采取去标识化处理等措施,并在合理区间内公开;删除阶段:达成处理目的后,立即删除或匿名化处理,并进行有效性验证。个人信息的防护需要持续性运营,要定期对个人信息处理活动遵守法律、行政法规的情况进行合规审计。定期通过数据安全审计产品对企业内部权限控制、企业内部数据流向跟踪情况、个人信息安全保障措施有效性等进行审计,发现和处置数据非授权访问、批量导出等异常情况。针对有关问题,个人信息管理责任部门提出改进方案,并要求落实解决,对改进措施效果进行跟踪审核。天融信作为国内网络安全领军企业,在数据安全和个人信息保护领域始终坚持自主创新,依托数据安全方面多年的经验,通过个人信息保护合规咨询、个人信息保护体系建设、个人信息保护技术能力建设、个人信息保护运营审计机制建设,实现以行业特征为基础的个人信息处理活动全生命周期安全防护解决方案,目前已在运营商、金融、政府、能源、卫生、海关等行业领域得到广泛应用。
未来,天融信将在个人信息保护实践领域持续深耕,为个人信息处理活动提供全生命周期的保护,为数据安全的发展及实践提供可靠保障,致力于推动我国数据安全治理水平持续提升。以数据安全建设视角解析
《个人信息保护法》的内涵和外延
敬请期待~