2021年11月1日,《中华人民共和国个人信息保护法》(简称《个人信息保护法》)正式实施。作为国内首部个人信息保护方面的专门法律,它与《民法典》《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等法律将共同编织成一张消费者个人信息“保护网”。
《个人信息保护法》对过度收集个人信息、大数据杀熟,人脸信息等敏感个人信息处理等作出明确规制。奇安信集团数据安全研究院刘川意教授表示,该法律为数据工作划定红线、明确原则、提供遵循,对过度收集滥用个人信息、违规处理用户数据等顽疾下了一剂猛药。
那么,《个人信息保护法》具体有哪些亮点?本文和您一起解读。
解读一: 明确界限 清晰规则 破解个人信息侵权乱象
2021年央视3·15晚会爆料,多家知名商店安装人脸识别摄像头,海量人脸信息被收集,却没有一个商家明确告知消费者,并征得其同意。在日常生活中,人们对电脑、手机中推送的广告不胜其扰,更对商家实现“精准推送”不寒而栗。在过去,这些往往处于灰色地带,公众往往对其束手无策。
图:央视315晚会曝光人脸实别滥用
“不以规矩,不能成方圆”,“木受绳则直,金就砺则利”,《个人信息保护法》最大的价值,就是对概念、处理规则、面向范围等进行了明确界定,具体包括:
(一)明确“个人信息”界定
在《网络安全法》基础上,《个人信息保护法》对“个人信息”做出了更为严谨的定义及列举。匿名化处理后的信息被明确不属于个人信息,此界定的明确,将进一步推进个人信息匿名化处理技术在数据安全保护方面的研发、应用及革新。
(二)明确适用范围的界定
《个人信息保护法》指出,不仅“组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。”同时,在境外处理境内自然人个人信息的活动,有下列情形之一的,也适用本法:包括以向境内自然人提供产品或者服务为目的;分析、评估境内自然人的行为;法律、行政法规规定的其他情形等。
(三)明确“告知-同意-撤回同意/拒绝”的处理规则
《个人信息保护法》进一步明确了个人信息处理的前提条件及要求。个人信息处理者仅可在取得个人同意或法定例外情形下可处理个人信息。个人信息处理者在处理个人信息前应履行充分告知义务,包括以显著方式、清晰易懂的语言真实、准确、完整地向个人告知处理者的名称或姓名和联系方式、处理目的、处理方式、处理的个人信息种类、保存期限、个人行使法定权利的方式和程序及其他依法应告知事项;另一方面,该法对个人同意的方式、撤回同意或拒绝权利进行了明确规定,形成了以“告知-同意-撤回同意/拒绝”为逻辑主线的处理规则。
(四)确立了自动化决策对数据处理的基本规则
针对用户画像、大数据“杀熟”等问题,《个人信息保护法》确定了算法自动化决策治理的基本框架,为自动化决策应用于电商平台经济、数字政府运行划定了合法边界。对于决策方法的透明度及结果公平、公正性、以自动决策方式进行信息推送、商业营销的规范、个人知情权及拒绝权、事先个人信息保护影响评估等进行了明确规定。
(五)明确个人多项权利且确立了个人信息可携带权
《个人信息保护法》确立了个人对个人信息的多方面权利,包括对个人信息处理的知情权、决定权、要求解释说明权、拒绝权等;在个人信息处理过程中享有要求更正、补充权、删除权等;对处理者所掌握的个人信息享有查阅、复制权、承继行使权、可携带权等。特别是,可携带权体现了将个人信息权利还归个人的立法思路,赋予个人主动在企业间流转个人信息的权利,如何运用创新技术探索个人信息可携带权的新模式,是关键的下一步。
解读二:压实责任与义务 多环节推动合规治理
《个人信息保护法》对信息处理机构的合规责任进行了明确,进一步规范企业经营者在收集使用个人信息时,需要投入技术资源对个人信息收集使用进行合规治理。治理范围包含了收集前端合规、处理过程合规、对外提供合规、安全保障措施等内容。其中包括:
(一) 建立个人信息分类分级管理制度。
《个人信息保护法》51条规定,个人信息处理者需要“对个人信息实行分类管理”。
(二)承担泄露事件报告义务。
《个人信息保护法》规定,如果由于个人信息的任何泄露、篡改或丢失而导致数据泄露,数据处理者必须及时通知主管部门和受影响的数据主体,而不仅仅是如果它“可能对自然人的权利和自由造成高风险”。
(三)建立个人信息安全影响评估体系的义务。
《个人信息保护法》将个人信息保护影响评估(DPIA)要求提升至法律强制性要求,对于企业内部合规制度建设提出更严格要求。同时特别指出,个人信息保护影响评估报告和处理情况记录应当至少保存三年。
(四)设立个人信息保护负责人的义务。
《个人信息保护法》第52条要求,“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。”
(五)建立个人信息保护合规审计制度
《个人信息保护法》第54条要求“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”,第64条赋予相关部门可以要求“个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”。第58条对于“重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,要求“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”并“定期发布个人信息保护社会责任报告,接受社会监督”。
(六)建立隐私设计体系的义务
《个人信息保护法》第51条要求个人信息处理者“采取相应的加密、去标识化等安全技术措施”,进行个人信息处理。
(七)个人信息出境审批义务
《个人信息保护法》与《数据安全法》保持一致的执法协助限制,即“非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息”。
(八)建立个人信息安全教育和培训制度
《个人信息保护法》第51条要求“合理确定个人信息处理的操作权限,定期对从业人员进行安全教育和培训”。
解读三:处罚措施严厉且具体 最高或达营业额5%
《个人信息保护法》对企业方在发生个人信息保护安全事件时,提出了严厉的处罚措施。其中包括约谈、整改、罚款,甚至停业整顿或者吊销营业执照等。
其中,第66条指出,“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。
该法律还对国家机关和主管人员明确了处分措施。第68条指出,“国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。”
解读四: 数据安全应用范围更加广泛 释放需求加速创新
奇安信专家指出,《个人信息保护法》的实施正式将普通大众跟数据安全紧密地联系了在一起,将会唤醒更多的人去关注个人隐私保护和数据安全,这对一些滥用个人隐私和不注重数据安全的产品将会形成巨大的合规挑战甚至是舆论压力,而对隐私保护和数据安全有正向作用的产品将会得到更大的助推力。
(一)个人信息保护有法可依 合规检测产品或将井喷
过去,数据安全产品大多数是To B的,To C的安全产品一直没有什么杀手级的应用。随着《个人信息保护法》将C端用户和数据安全强联系了在一起,也许未来会出现针对C端用户的个人信息保护应用,比如在个人终端上安装的可以检测、审计、销毁个人信息的app,也许会成为必备应用;而对于服务提供商(企业),他们更希望有相应的产品来帮助其针对《个人信息保护法》的合规,因此一些诸如个人信息发现、扫描、使用、撤销等功能的安全产品/服务,将会如雨后春笋一样出现。
图:隐私卫士产品形态
针对企业的需求,奇安信推出了网神隐私卫士系统(以下简称:隐私卫士),是一款隐私安全合规检测产品,可以帮助企业对移动应用进行全方位的隐私安全合规检测,提前发现合规隐患,避免由此带来的数据泄漏、资产损失、监管处罚等风险,帮助企业APP合规经营、健康发展。
针对个人对隐私的关注,奇安信推出的第三代安全软件安全防护软件冬奥版,核心就是主打隐私保护,对办公、学习等重要文件,以及上网历史记录、聊天软件记录、电子邮件等个人重要信息提供了保护措施。
(二)从事后补救走向事先预警 态势感知将成标配
《个人信息保护法》的出台,给个人信息保护风险评估带来了机会。企业在持续开展的数据业务活动过程中需要有可靠的个人信息保护风险评估作为保证。然而在大数据时代,业务是快速迭代的,数据是不断流动与更新的,依赖人工去做数据安全风险评估是不可靠且不可控的,因此需要专业的数据安全风险感知产品来为业务活动开展保驾护航。
奇安信推出的数据安全态势感知平台,是基于大数据技术框架以数据安全为核心的智能化数据安全管理与运营平台,围绕数据梳理与风险检测构建敏感数据分布态势、敏感数据流动态势、数据安全风险态势,并对数据安全风险提供预警、研判和处置手段,实现数据安全的全方位风险感知与动态防护,为数据业务活动顺利开展提供安全保障。
(三)隐私计算将迎来新一轮技术发展和市场爆发
在新法规落地的情况下,数据隐私保护与数据价值挖掘间的矛盾成为了各行各业开展数据业务的难题,在一定程度上加速了解决上述矛盾问题的隐私计算一类隐私保护新技术的发展。
目前,哈工大(深圳)-奇安信数据安全研究院在方滨兴院士的指导下,基于数据不动程序动,数据可用不可见的隐私保护新理念,创新性地提出了调试环境与运行环境分离的体系结构,研发了数据交易沙箱这一核心产品,实现了在保护数据隐私的前提下,最大限度地挖掘大数据价值。数据交易沙箱目前已应用在政务、医疗、公安等重点领域。近期,“基于数据沙箱技术的数据服务平台在医疗领域的应用”在世界互联网大会上荣获2021数据安全典型实践案例。
结束语:
国泰君安研究所计算机首席分析师李沐华认为,《个人信息保护法》落地后,大大小小的互联网公司都会加大数据安全投入。假设单个网站或者APP投入金额超过五万元,潜在市场空间即达到千亿元,因此《个人信息保护法》的落地,标志着网安行业一个新时代的开始。
奇安信专家建议,对于企业来讲,尤其是互联网企业,应主动开展个人信息相关的强化保护工作。具体包括开展个人信息相关的数据梳理工作,落实访问人员身份鉴别、数据权限访问控制、数据行为审计分析、个人数据匿名化处理等防护措施,以及强化特权访问人员,如运维人员、开发测试人员对个人信息的技术管控,制定相关制度规范,落实管理工作等。
可以说,《个人信息保护法》实施,是《网络安全法》、《数据安全法》之后,我国信息安全保护在法制道路上的又一个里程碑,它将微观个人的信息安全,和宏观社会和行业的数据安全、网络安全等紧密联系到一起,共同成为国家安全战略的重要组成部分。