2021年8月20日,十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》,并自2021年11月1日起施行。《個人信息保護法》與《網絡安全法》、《數據安全法》一起組成數據安全領域完整基礎性法律體系三駕馬車。
個人信息非法獲取已滲透到生活的方方面面
2021年7月4日,國家網信辦發布通報稱,經檢測核實,“滴滴出行”App存在嚴重違法違規收集使用個人信息問題,通知應用商店下架“滴滴出行”App。
2020年4月,鄭州、西安、重慶、武漢、山東青島等多所高校數千名學生發現,自己個人所得稅App上有陌生公司就職記錄。稅務人員稱,可能是學生信息被企業冒用,以達到偷稅目的。基于收集信息齊全、便捷,而且大部分從未就業、極少使用個稅App,不容易發現自己的信息被盜用等原因,高校學生成了公司偷稅的目標“大戶”。
截止2020年底,中國網民規模達9.89億人,其中未成年網民達1.83億,網站超500余萬個,移動應用程序(APP)數量超345萬款,個人信息被隨意、違法收集獲取、過度使用、非法買賣,利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全。
《中華人民共和國個人信息保護法》的頒布將會使這些亂象產生質的變化。該法實施后,各行各業在面對個人信息保護的政策要求下需要哪些技術能力支持?
個人信息的定義
解讀:第四條明確了個人信息、個人信息處理、敏感個人信息的范圍及定義、處理,這些要求與國家安全標準《GB/T 37988-2019 數據安全能力成熟度模型》(DSMM)總體相符。DSMM按照數據全生命周期的六個階段和四個安全能力維護進行綜合考量,按照能力成熟度分為5個等級,形成一個三維立體模型,指導有關組織機構對數據安全進行能力建設。
DSMM 模型
明確敏感個人數據處理
解讀:第二十一條,要求委托人需要被監督,委托人權利到期,數據信息要能返還個人信息處理者或在監管下徹底刪除,除了合同與制度外,也需要必要的數據安全技術手段支持,如脫敏后共享,加密授權使用,數據刪除檢測等;第二十八條,明確了敏感個人信息的定義和規范要求,強調了不滿十四周歲未成年人的個人信息均涉及敏感,說明了對敏感信息進行脫敏的充分必要;第三十一條,不滿十四周歲未成年人個人信息屬于完全敏感信息,要有專門的安全防護處理規則與技術,尤其在各種信息混合的情況下。這些都需要使用數據脫敏技術進行去隱私保護。
數據脫敏技術
數據加密技術
拒絕大數據殺熟、差別待遇
解讀:第二十四條,要求自動化決策過程與結果均要能被監督和審計。避免殺熟、差別待遇等。需要必要的數據安全技術手段支持,如針對個人信息處理規則的審計、防護技術;第二十六條,要求公共場所采集個人信息用途范圍要能被監督和審計。避免超出維護公共安全所必需。需要必要的數據安全技術手段支持,如針對信息處理使用的審計、防護技術;第五十四條,要求進行第三方定期合規審計。
數據庫安全防護技術
個人信息保護影響評估內容
解讀:第五十六條,要求進行安全風險、影響評估。既要相應的規則、評估標準出臺,也要算法與技術的創新支持。對組織機構中儲存的數據進行風險評估前,先要進行數據資產的梳理以及分類分級,然后才能進行風險評估以及后續的一系列數據安全防護。
數據安全治理技術構成
明確個人信息處理者所遵循的義務
解讀:第五十八條,要求大型平臺上個人信息處理者做好“看門人”義務。大數據平臺可以從“一中心、四體系、六過程”的頂層設計思路出發,構建以數據安全防護為中心,從管理、技術、運營和監管四個數據安全保障體系,實現數據全生命周期六大過程的安全防護,從而建立及完善個人信息數據安全治理工作。
大數據安全治理框架
個人信息保護法涉及相關主體權責義務
監管方、個人和數據處理方三者間的關系是怎樣的呢?下圖幫您從權利義務或責任的角度進行這三方之間的關系解讀。
數據安全違法違規處罰
處理個人信息原則:合法正當、最小必要、目的明確合理、公開透明、準確完整、安全防護。如何進行處罰?
國家對《個人信息保護法》的違法違規處罰力度在安全領域屬于史無前例。
“數據”是數字經濟的價值載體,在數字時代將成為最重要的生產要素。安全正當時,保障數據安全已刻不容緩!以用戶需求為支點,為用戶數據安全鑄盾護航,是昂楷一直的堅守,昂楷也在不斷完善創新產品技術與服務,幫助更多政企用戶守護數據資產,構建數字化時代的數據安全基石!
