2021年11月1日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱(chēng)“個(gè)保法”）正式施行，個(gè)人信息保護(hù)有了法律“安全鎖”。天融信作為數(shù)據(jù)安全領(lǐng)域的引領(lǐng)者，在“個(gè)保法”出臺(tái)之后，將協(xié)助“個(gè)人信息處理者”嚴(yán)格落實(shí)“個(gè)保法”相關(guān)責(zé)任和義務(wù)，同時(shí)根據(jù)天融信多年的行業(yè)經(jīng)驗(yàn)，從立法歷程、意義、影響結(jié)合過(guò)往實(shí)際案例，全方位、多角度地對(duì)“個(gè)保法”進(jìn)行深度解讀。

“個(gè)保法”的歷程

2021年8月20日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》由十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決正式通過(guò)，并自2021年11月1日起正式施行。從2012年，人大委員會(huì)提出關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定，到今年正式施行，國(guó)家陸續(xù)發(fā)布了跟個(gè)人信息相關(guān)的政策法規(guī)及技術(shù)標(biāo)準(zhǔn)。

“個(gè)保法”的意義

這一法律的頒布，明示了個(gè)人信息數(shù)據(jù)在使用、保護(hù)等多個(gè)層面各關(guān)系方應(yīng)盡的義務(wù)等法律約束，在個(gè)人信息的安全防護(hù)上升到了國(guó)家法律層面后，充分詮釋了國(guó)家對(duì)個(gè)人信息數(shù)據(jù)安全防護(hù)的重視程度。

隨著《中華人民共和國(guó)數(shù)據(jù)安全法》和《中華人民共和國(guó)個(gè)人信息保護(hù)法》在今年相繼正式實(shí)施，通過(guò)兩部法律的“互相加持”將更好地規(guī)范個(gè)人信息處理活動(dòng)，保護(hù)涉及個(gè)人信息權(quán)益相關(guān)數(shù)據(jù)、促進(jìn)個(gè)人信息合理利用，為數(shù)字時(shí)代的個(gè)人信息權(quán)益保護(hù)提供基礎(chǔ)制度保障，為我國(guó)數(shù)字化轉(zhuǎn)型保駕護(hù)航。

“個(gè)保法”的影響

1、明確“屬地原則”，我國(guó)境內(nèi)處理個(gè)人信息均適用本法

“個(gè)保法”明確規(guī)定了“屬地原則”，與國(guó)外的GDPR的“保護(hù)主題”不同，只要處理個(gè)人數(shù)據(jù)，無(wú)論處理者是否在境內(nèi)設(shè)立，或者處理的是否為境內(nèi)自然人信息，只要處理行為發(fā)生在境內(nèi)，就受“個(gè)保法”制約。簡(jiǎn)單來(lái)講，即不管機(jī)構(gòu)是否在我國(guó)，只要在我國(guó)境內(nèi)處理了我國(guó)的個(gè)人信息活動(dòng)，就受到制約。

2、關(guān)鍵名詞明確定義，為以后司法判定提供依據(jù)

個(gè)人信息：以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。只要能識(shí)別自然人的紙張也算個(gè)人信息，不僅限電子數(shù)據(jù)。

敏感個(gè)人信息：一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。處理敏感個(gè)人信息后續(xù)將會(huì)有更嚴(yán)格的審核手段，避免造成危害。

個(gè)人信息的處理：包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等。個(gè)人信息的處理與數(shù)據(jù)安全處理活動(dòng)一致，均包含整個(gè)處理過(guò)程。

個(gè)人信息的處理者：在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人。個(gè)人信息的處理者進(jìn)行了明確定義，且范圍非常廣。簡(jiǎn)單來(lái)講，只要處理個(gè)人信息均可稱(chēng)為個(gè)人信息的處理者。

自動(dòng)化決策：通過(guò)計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣、興趣愛(ài)好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動(dòng)。明確了大數(shù)據(jù)分析等相關(guān)技術(shù)手段的定義，為我國(guó)規(guī)范“大數(shù)據(jù)殺熟”等行為提供了依據(jù)。

去標(biāo)識(shí)化：個(gè)人信息經(jīng)過(guò)處理，使其在不借助額外信息的情況下無(wú)法識(shí)別特定自然人的過(guò)程。與GB/T 37964-2019《信息安全技術(shù)—個(gè)人信息去標(biāo)識(shí)化指南》一樣，定義了去標(biāo)識(shí)化的含義，規(guī)范了處理個(gè)人信息的手段。

匿名化：個(gè)人信息經(jīng)過(guò)處理無(wú)法 識(shí)別特定自然人且不能復(fù)原的過(guò)程。明確匿名化的定義，確定不可逆的手段。

3、厘清個(gè)人信息處理者的義務(wù)，清晰責(zé)任邊界

權(quán)利和義務(wù)

“個(gè)保法”中明確了以下個(gè)人信息處理者的權(quán)利和義務(wù)：

處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人；

中華人民共和國(guó)境外的個(gè)人信息處理者，應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)設(shè)立專(zhuān)門(mén)機(jī)構(gòu)或者指定代表；

個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)；

個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄；

發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施，并通知履行個(gè)人信息保護(hù)職責(zé)的部門(mén)和個(gè)人。

執(zhí)行流程

案例1

2020年7月，江西省某企業(yè)開(kāi)發(fā)經(jīng)營(yíng)的6款手機(jī)APP經(jīng)詳細(xì)檢測(cè)，發(fā)現(xiàn)均存在違法違規(guī)收集或使用公民個(gè)人信息的情形。

在“個(gè)保法”實(shí)施前：不涉及違反“個(gè)保法”法律規(guī)定的風(fēng)險(xiǎn)也可能不面臨相應(yīng)處罰。

在“個(gè)保法”實(shí)施后：個(gè)人信息處理者的采集必須遵守“個(gè)保法”的法律要求，不得非法收集他人個(gè)人信息。

案例2

2020年6月，甘肅省某市的多家快遞企業(yè)的快遞單未對(duì)用戶個(gè)人信息采取隱匿化等有效保護(hù)措施，存在泄露公民個(gè)人信息重大隱患。

在“個(gè)保法”實(shí)施前：快遞企業(yè)負(fù)責(zé)人被集體約談，并依據(jù)檢察院建議制定了改進(jìn)措施并加強(qiáng)員工個(gè)人信息安全培訓(xùn)。

在“個(gè)保法”實(shí)施后：若再出現(xiàn)上述情況，且情節(jié)嚴(yán)重的，將依法收到處罰，可以由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門(mén)責(zé)令改正，沒(méi)收違法所得，并處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門(mén)吊銷(xiāo)相關(guān)業(yè)務(wù)許可或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照。

綜上所述，“個(gè)保法”的實(shí)施將會(huì)全面定義、全面約束個(gè)人信息處理者的活動(dòng)和義務(wù)。26年來(lái)，天融信持續(xù)專(zhuān)注于個(gè)人信息保護(hù)領(lǐng)域的能力建設(shè)，通過(guò)在個(gè)人信息保護(hù)領(lǐng)域的多年沉淀，天融信擁有一支具有專(zhuān)業(yè)數(shù)據(jù)安全治理經(jīng)驗(yàn)的團(tuán)隊(duì)，整體解決方案具有很強(qiáng)的場(chǎng)景適應(yīng)性和可靠性，能夠滿足不同等級(jí)的個(gè)人信息保護(hù)要求，通過(guò)梳理業(yè)務(wù)流程、規(guī)范、風(fēng)險(xiǎn)和要求等多方面需求，確定個(gè)人信息保護(hù)的目標(biāo)，完善個(gè)人信息保護(hù)管理體系，制定切實(shí)可行的解決方案。

天融信從當(dāng)下實(shí)際的個(gè)人信息防護(hù)情況出發(fā)，以技術(shù)手段為支撐，結(jié)合個(gè)人信息數(shù)據(jù)使用的業(yè)務(wù)場(chǎng)景和活動(dòng)，分析信息保護(hù)的實(shí)際需求，在個(gè)人信息安全管理體系、個(gè)人信息數(shù)據(jù)在業(yè)務(wù)中的活動(dòng)以及數(shù)據(jù)安全技術(shù)等方面綜合指導(dǎo)個(gè)人信息保護(hù)能力體系建設(shè)，提升行業(yè)客戶的體系化保障能力。同時(shí)天融信也將持續(xù)關(guān)注個(gè)人信息保護(hù)相關(guān)能力建設(shè)、改進(jìn)、運(yùn)維相關(guān)過(guò)程管理，從根本上提高客戶的個(gè)人信息保護(hù)內(nèi)在能力，全力推動(dòng)和保障個(gè)人信息保護(hù)的落實(shí)與發(fā)展。