CSO说安全：江洁文 ：个人信息保护合规建设思考

江洁文 

某大型企业安全负责人

1.国外隐私合规形式

全球范围内多个主要国家和地区已先后制定并实施了一系列数据保护相关的标准和法律法规，如欧盟通用数据保护条例(GDPR)、美国加利福尼亚消费者隐私保护法（CCPA）、新加坡个人信息保护法、巴西LGPD-通用数据保护法等。针对违反个人信息处理的大额处罚案例不断出现，个人信息保护合规已成为全球企业主要面临的一个挑战。

2.国内个人信息保护监管发展

■ 2016年11月

《网络安全法》颁布，规定了个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”，明确了网络运营者处理个人信息的规则。

■ 2019年1月

中央网信办、工业和信息化部、公安部、市场监管总局在全国范围内开展App违法违规收集使用个人信息专项治理的公告。

■ 2019年3月

《App违法违规收集使用个人信息自评估指南》发布，旨在指导App运营者对其收集使用个人信息的情况进行自查自纠。

■ 2019年6月

《个人信息出境安全评估办法（征求意见稿）》发布，明确了个人信息出境申报评估要求、个人信息出境记录、出境合同内容等要求。

■ 2019年8月

《信息安全技术移动互联网应用程序(App)收集个人信息基本规范》发布，对于网络支付、金融借贷等部分服务类型所需最小必要信息进行完善。

■ 2019年11月

《App违法违规收集使用个人信息行为认定方法》发布，列举了App的个人信息保护的主要违法违规行为，为App运营者提供合规指引。

■ 2020年3月

《GB/T35273-2020信息安全技术个人信息安全规范》发布，针对个人信息面临的安全问题，规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为。

■2020年11月

《个人信息安全影响评估指南》（GB/T39335-2020）》发布，有效支撑《个人信息保护法（草案）》第五十四条对风险评估的规定。

■2021年6月

第十三届全国人民代表大会常务委员会第二十九次会议通过《数据安全法》三审稿，该法已于2021年9月1日起正式施行。

■2021年8月

十三届全国人大常委会第三十次会议20日表决通过《中华人民共和国个人信息保护法》。个人信息保护法自2021年11月1日起施行。

自2016年网安法颁布以来，国家针对个人信息保护的立法逐渐颁布了一系列的原则性立法及单行规定，然而近年来频频发生的个人数据泄露案以及维权难等问题，暴露出了当前我国对个人信息保护的分散立法已经不能很好地满足公民对个人信息保护的相关需求，《个人信息保护法》的颁布昭示着中国的个人信息保护法制进程进入新篇章。

3.个人信息保护合规面临挑战

目前，企业正处于数字化转型的浪潮中，基于数据的打通及应用，数据使用越来越广泛，数据流转、数据资产化也将成为未来企业数字化转型中的新业务盈利模式。因此，实现数据中最核心及宝贵的个人信息合规管理，是数据未来实现流转的关键前提，数据合规使用及个人信息保护合规也呈现如下重要趋势：

l监管层面，国家层面的法律法规在过去三年密集出台，特别是《个人信息保护法》《数据安全法》的颁布和实施，显示国家有关部委及部门对个人信息保护愈发重视，；

l黑产对抗层面，对高价值个人信息的觊觎，导致黑灰产十分猖獗，随着对企业收集及存储的客户个人信息前所未有的疯狂盗取，也导致企业在个人信息数据的保护方面遇到十分艰巨的挑战；

l企业个人信息保护建设层面，虽然众多有前瞻意识的企业因数据存在被疯狂觊觎及盗取的风险，投入了大量网络安全技术资源用于保护个人信息数据，然而忽略了与之配套的数据安全管理体系，导致事倍功半，个人信息数据依然在各个环节被有意或者无意地泄露。

（一） 识别个人信息处理活动

系统性识别目前业务中涉及的个人信息处理活动，并映射到相应的系统，清楚了解个人信息收集、存储、共享、跨境传输等处理活动。

（二） 开展个人信息保护合规差距评估

根据《个人信息保护法》和其他适用法规进行个人信息保护合规性差距评估，来识别已有系统、流程和业务活动中存在的潜在合规差距。

（三） 对特定场景进行个人信息安全影响评估，并定期开展合规审计

《个人信息保护法》明确了需要事前进行个人信息安全影响评估的情形，企业需要建立评估机制，对适用的个人信息处理活动进行评估。同时，企业应当通过内部职能或聘用外部专业机构的方式，定期对其个人信息处理活动以及采取的保护措施是否符合法规规定进行审计。

（四） 整改合规差距，加强保护措施

针对识别出的合规差距进行整改，如修订隐私政策、改进个人同意的获取机制、加强访问控制、对个人信息进行加密或去标识化处理、与第三方签署合同等。

（五） 建立个人信息合规长效机制

从组织、管理、技术和运营四个方面，建立个人信息合规长效机制，如设立个人信息保护专职岗位或部门，设计并落实个人信息风险评估/审计机制，设计并落实跨境传输风险评估机制，建立完善的个人信息管理体系（PIMS），隐私保护设计融入产品建设过程等。

1.个人信息保护组织

个人信息保护工作不仅仅是信息安全部门的责任，它跟法务部门、业务部门、人力部门、品牌舆情部门等都相关，所以在开展个人信息保护的初期，需要先进行评估，明确个人信息保护的范围，识别利益相关方，个人信息保护工作推动的牵头部门以及协同部门。当然最重要工作是要让公司领导层意识到其中的风险，支持个人信息保护合规的开展，才能调动公司各方资源协同推进。

企业可以根据具体情况，基于以往已有的信息安全管理委员会或数据安全委员会的相关管理职能指定个人信息保护负责人，同时以虚拟办公室的方式负责牵头个人信息保护的工作开展。

数据保护与合规办公室职责参考：

（1）负责统筹规划与管理数据安全管理体系及个人信息保护体系，保障数据安全，防范个人信息违规风险，支撑集团数据战略的达成；

（2）监督企业遵守数据保护（个人信息保护）的相关法律、法规、政策；

（3）组织制定数据合规及个人信息保护工作计划并督促落实；

（4）制定、签发、实施、定期更新隐私政策等数据相关规程；

（5）开展个人信息与其他数据的安全影响评估，提出个人信息保护与其他数据合规的对策建议；

（6）负责集团数据权限管理安全合规；

（7）负责外部数据交换机制，开展外部数据合作的安全合规管理；

（8）公布投诉、举报方式等信息并及时受理投诉举报；

（9）针对数据安全事件进行响应、处置、事后回顾与评估；

（10）通过培训、宣贯等方式提升员工数据安全保护及个人信息保护的意识；

（11）配合监管机构对企业进行有关的检查和执法；

（12）与监督、管理部门保持沟通，通报或报告个人信息保护和事件处置等情况。

2.个人信息保护管理体系框架

在个人信息保护管理和制度建设方面，需要结合国际国内信息安全标准和行业最佳实践，建立符合GDPR隐私保护要求、国内个人信息保护法以及更好控制业务安全风险的信息安全和隐私安全管理体系。可以参照ISO27001信息安全管理体系和ISO27701隐私信息管理体系，依据ISO27001建设信息安全管理体系作为基础，以ISO27701作为在隐私方面的扩展，结合国内发布的一些法规和标准，建立个人信息保护管理体系，以下为基于ISO27701部分补充内容的参考。

3.个人信息保护合规技术建设

个人信息的基础保护基于原有的网络安全防护和数据安全防护能力，对于应用产品中个人信息保护要求如敏感信息加密存储、去标识化、权限分配、敏感操作控制、脱敏等，从设计入手解决问题永远比整改的成本要低，因此引入PBD(Privacy by Design)机制，在新建项目和重大变更时，开展隐私需求分析，在设计阶段引入隐私保护的设计，进而达成低成本的长效合规。但通常企业在落地执行时，需要关注两个方面：

（1）历史遗留系统问题：旧系统往往缺少统一的架构规划、数据规划且多为外采的商业标准产品，面临合规改造成本较高，供应商无法投入资源等问题，这类问题往往需要及时开展PIA，评估风险给出风险的处置措施；非紧急的可以在系统淘汰换新或进行大版本升级时提出隐私保护设计的要求。

（2）新建或迭代项目的覆盖：自研类的项目，将PBD纳入SDL的流程，对于新建设的项目及大版本迭代的项目，安全部门在业务规划时参与分析，立项时提出要求，方案设计时给出隐私保护设计方案，上线时基于项目管理流程进行审核，确保隐私保护要求得到有效执行。

外采类的项目，将立项中的安全需求在招标书及技术评分中体现，最终落实到合同要求里，但目前实际中供应商提供的产品对于安全及个人信息保护的要求难以全部实现。

快速迭代的项目，这当中的一些场景也会产生个人信息安全风险，但由于快速迭代类项目量大，在考虑业务效率的前提下安全团队难以覆盖，如何及时识别评估触发场景，在实际环境中也是巨大的挑战。实践中安全团队可以深入了解并伴随业务，安全管理的人员分配负责不同的业务产品线，通过定期分析出现个人数据使用几率较高的业务板块需求；二是加强对业务、产品的沟通和培训，让业务团队在涉及个人信息处理业务时向个人信息保护团队咨询。

隐私保护设计要求参考：

4.个人信息保护日常运营工作重点

基于个人信息保护日常工作的开展，需要法务部门、业务部门、信息安全部门、IT&产品研发部门、人力资源部门、审计部门的协同，具体分工如下：

对于个人信息保护合规工作的建设，企业需要：

（一）建立并完善企业内部管理制度

企业需采取必要措施保障所处理个人信息的安全，针对个人信息处理制定内部管理措施和操作流程，对个人信息实行分级分类管理，采取相应的加密、去标识化等安全技术措施。

指定个人信息保护负责人负责对个人信息的处理活动，并对企业采取的保护措施等进行监督。境外企业应在境内设立专门机构或指定代表负责处理个人信息保护的相关事务。企业需要公开其个人信息保护负责人的姓名、联系方式等信息，并报送给相关监管部门。

制定并组织实施个人信息安全事件应急预案，在发生个人信息泄露时，需立即采取补救措施，并通知相关部门和个人。

（二）合法处理个人信息

企业在进行个人信息处理时应遵守诚信原则、最小范围原则及公开透明原则，不得违反法律、行政法规的规定处理个人信息，且不得危害国家安全和公共利益。

企业在处理个人信息前，应当以显著方式、清晰易懂的语言向用户告知信息处理者和信息处理内容等相关信息，并向用户明确其所享有的权利。

当企业变更个人信息的处理目的、处理方式和处理种类时，企业应重新向用户取得其个人同意。

企业处理敏感个人信息，需要有特定的目的和充分的必要性，并且需在处理时告知用户处理其敏感个人信息的必要性和对其影响。

（三）明确第三方信息处理者的权利和义务

当个人信息处理涉及多方时，需明确企业在共同处理时可能承担的连带责任。

针对委托处理个人信息的情况，委托方需明确约定内容及双方的权利和义务，并对受托方进行监督确保其按照约定完成相关义务，在委托关系结束后，委托方需确保受托方将信息归还或予以删除。

企业因合并、分立等原因需要转移个人信息的，接收方应继续履行个人信息处理者的义务；对于向第三方提供个人信息的，企业需要向个人提供第三方的相关信息并取得其单独同意，接收信息的第三方应在约定的范围内进行数据处理。

（四）定期开展个人信息安全影响评估与内部审计

企业需定期对个人信息处理活动、采取的保护措施等进行审计，确保相关活动符合法律、行政法规的规定。

若个人信息处理活动涉及处理敏感个人信息、自动化决策、委托处理、向第三方提供和公开个人信息、向境外提供个人信息等，需在事前进行个人信息安全影响评估，相关报告和处理情况记录应当至少保存三年。

针对个人信息跨境、关键信息基础设施运营者和处理个人信息达到网信部门规定数量的企业，若确需向境外提供，应通过网信部门组织的安全评估。

（五）加强员工意识培训

企业需合理确定员工对个人信息处理的操作权限，并定期对从业人员进行安全教育和培训，确保员工了解到最新的法律合规要求和相关惩处措施。

第二届超级CSO研修班全貌

过程回顾

开营  导师团  结营 

导师授课

谭晓生  刘新凯  欧阳梅雯  欧和  贺嘉  

吕一平  黄承  杜跃进  李吉慧  杨哲

学员论文

丛林  张福明  宋士明  冯斯恩  

王书魁  徐越  乔庆鹏  王平

首届超级CSO研修班全貌

过程回顾

首发 CSO说 报名 导师团 领航 价值 开营 揭幕 结营 

导师授课

学员论文

向阳 廖位明 张永刚 郑太海 胡广跃 秦峰 黄乐 赵锐

洪岩  刘峰  

齐心抗疫 与你同在