《个人信息保护法》落地 将会给个人、企业和安全行业带来哪些改变?
2021年11月1日,《个人信息保护法》正式施行。《个人信息保护法》的实施,标志着我国网络数据法律体系建设基本完成,而《网络安全法》、《数据安全法》、《网络安全审查办法(征求意见稿)》、《关键信息基础设施安全保护条例》、《个人信息保护法》等法律法规的相继实施,也象征着一个属于网络安全行业的崭新时代正在到来。
新的《个人信息保护法》是一部保护公民个人信息的专门法律,它将进一步加强我国在个人数据信息方面的的保护,用户画像、大数据杀熟、算法歧视等问题将得到纠正。最重要的是,在个人信息保护法的严格规定下,互联网企业们也将开始从 用户隐私的角度重新思考他们的商业模式。
而站在网络安全行业的视角来看,《个人信息保护法》无疑将直接推动我国网络安全市场中相关数据安全产品和服务的需求,企业引入数据加密、数据脱敏、数据防泄露、数据追踪溯源以及数据库安全等技术手段保护用户个人隐私,保障数据完整性、保密性和可用性的需求凸显,个人信息安全防护市场或将成为一块新的蓝海。
对个人——反“大数据杀熟”
“精准营销”大幕全面拉开
在互联网时代全面到来的当今社会之下,新技术日新月异般的发展和应用虽然便利了人们的生产生活,但也是一把“双刃剑”,人工智能、大数据等新兴技术的爆发式发展让产业陷入了“野蛮生长”,过度的用户画像、大数据杀熟、算法歧视等现象,使得人们的个人信息以及其他敏感数据受到了较大的滥用威胁,《个人信息保护法》首次对这些情况做出了规范。
如此前引发群众关注的“某些出行APP在不同型号手机上处于相同起点、终点和距离的条件下最终费用不同”、“相同条件下,新用户享受比老用户更优惠的商品价格”、“App爬取用户个人隐私进行精准营销推荐”、“小区、商场等私自或强制采集用户面部生物信息”等典型的个人信息非法获取、过度采集、滥用的现象将得到有效遏制。
针对“大数据杀熟”现象,《个人信息保护法》第二十四条规定还专门指出:“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”。
《个人信息保护法》要求,对于企业以商业目的,对用户进行画像、算法,应当在充分告知个人信息处理相关事项的前提下取得个人同意,或者提供一个替代方案。一旦算法决策对个人权益有重大影响,包括影响升职加薪、贷款申请等,用户对此有权要求企业予以说明,并且有权拒绝。当个人拒绝,企业不得以此为由拒绝提供产品或者服务。
另外对人脸、声音、指纹、虹膜等生物信息的识别,属于敏感信息,除非取得个人单独同意,否则只能用于维护公共安全的目的,不得用于其他目的,即便个人同意,处理者也不能将生物特征识别作为唯一选项,应该提供给个人更多的选择权。
值得一提的是,过去个人权益假若受到侵害,想要维权面临的第一道难题就是没有专门的法律作为依据。《个人信息保护法》出台和实施后,公民个人信息保护工作将变得有法可依。
对企业——数据安全已成为企业发展的
“原生需求”
企业是受《个人信息保护法》影响最大的群体和主要监管对象,在安全419看来,这部法律的出台在给企业带来更高的合规成本的同时,也将让行业重新回到良性发展的正轨上,对行业整体可持续发展起到重要的推动作用。
《个人信息保护法》明确规定了多种侵害公民个人信息权的行政处罚,包括对应用程序和其负责人的处罚;既包括责令改正、给予警告、没收违法所得、责令暂停或者终止服务,也包括罚款。其中针对个人的罚款,根据情节处以1万至100万元不等;针对企业的罚款,情节严重的将处以5000万元以下或上一年度营业额5%以下的罚款。
在没有《个人信息保护法》之前,一些中小规模互联网企业对于用户个人隐私、用户数据安全十分漠视,用户数据泄露的事件屡屡发生。《个人信息保护法》的正式实施,对企业等主体对信息和数据的使用、存储、转移、销毁等提供了细致的指导方案和相应的惩罚措施,在严厉的处罚措施面前,任何企业都不能再对用户数据掉以轻心,报以侥幸。
事实上,《个人信息保护法》虽然对企业提出了更高的要求,但长远来看,这对行业的整体发展而言具有重要的作用。一方面,在严格的法律法规面前,企业将在网络安全、数据安全方面加大投入,使得自身业务发展得到可靠的安全保障;另一方面,《个人信息保护法》也对行业起到了规范作用,一些以不正当手段收集、使用用户数据的顽劣企业将被淘汰,行业环境得到清理和整治。
数据采集和使用的安全性与合规性也为自身企业的长远发展的打下了坚实的根基,综合来看,保护用户个人信息安全,做好数据安全防护已经成为了企业发展的“原生需求”。
对安全行业——崭新时代即将开启
政策催化历来是驱动网安行业发展的的重要力量,在《数据安全法》、《个人信息保护法》的共同推动下,互联网厂商及企事业单位将集中诞生迫切的数据安全需求,主动加大数据安全建设力度,这标志着网安行业即将迎来新一轮爆发增长,一个崭新的时代即将开启。
《个人信息保护法》在国内首次将个人信息分类成敏感和非敏感个人信息。法律上看,敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等,以及不满十四周岁未成年人的个人信息。这些信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。
值得注意的是,就《个人信息保护法》规定的敏感个人信息来看,除互联网厂商外,与国计民生密切相关的金融机构、医疗机构、政务机构等都是储存敏感个人信息的关键场所。
以金融行业和医疗行业举例,金融行业的用户数据天然就具有商业价值,一直以来都是黑灰产从业者重点关注的目标,而金融行业在网络安全方面始终投入不菲;而医疗行业中,随着云上诊疗等业务模式的诞生,大量患者隐私信息、诊疗病例数据等都存储在云端,亟需得到更多的关注和监管。此外,在当前备受关注的智能车联网领域,汽车行驶数据、车主隐私数据等信息也正在得到社会各界的关注。
因此不难推测,金融、能源、运营商、政务等行业将在数据安全方面爆发出更大的需求,有很大的想象空间。在此背景下,数据安全赛道除了吸引更多综合型、平台型安全厂商的关注和投入外,也必将吸引新一批技术创新、理念创新型的安全厂商加入。
纵观当前我国网络安全市场的竞争格局,奇安信、启明星辰、天融信、绿盟科技、深信服、安恒信息等上市公司均已在某一细分领域占据较高的市场份额和优势,但在数据安全细分领域,无论是刚提及的这些传统安全巨头,还是美创科技、安华金和、明朝万达等等在内的老牌数据安全厂商,都仍不能被认为是“行业龙头”。
在政策的密集催化下,数据安全领域挑战与机会并存,谁将独占鳌头,仍然值得期待。
THE END
// 推荐阅读