2021年8月20日，十三屆全國(guó)人大常委會(huì)第三十次會(huì)議審議通過(guò)了《中華人民共和國(guó)個(gè)人信息保護(hù)法》草案，將于2021年11月1日起實(shí)施。本法規(guī)明確了個(gè)人信息保護(hù)的原則，區(qū)分了一般個(gè)人信息和敏感個(gè)人信息的處理規(guī)則，以及涉及到跨境提供個(gè)人信息的相關(guān)規(guī)則。同時(shí)明確了個(gè)人信息主體在個(gè)人信息處理活動(dòng)中的權(quán)利、個(gè)人信息處理者的義務(wù)、履行個(gè)人信息保護(hù)職能的部門及其職責(zé)。

在本法規(guī)中，也確立了侵害個(gè)人信息權(quán)益的違法行為，情節(jié)嚴(yán)重的，將沒收違法所得，并處5000萬(wàn)元以下或者上一年度營(yíng)業(yè)額5%以下罰款，5%的額度甚至超過(guò)了在個(gè)人信息保護(hù)方面規(guī)定“最嚴(yán)”的歐盟。本文將為個(gè)人信息處理者提供一套個(gè)人信息保護(hù)合規(guī)建設(shè)思路，防范個(gè)人信息的泄漏、損毀、丟失、篡改等風(fēng)險(xiǎn)。

《個(gè)人信息保護(hù)法》三次審議歷程

1、2020年10月13日

十三屆全國(guó)人大常委會(huì)委員長(zhǎng)會(huì)議提出了關(guān)于提請(qǐng)審議個(gè)人信息保護(hù)法草案的議案。草案規(guī)定侵害個(gè)人信息權(quán)益的違法行為，情節(jié)嚴(yán)重的，沒收違法所得，并處5000萬(wàn)元以下或者上一年度營(yíng)業(yè)額5%以下罰款，5%的額度甚至超過(guò)了在個(gè)人信息保護(hù)方面規(guī)定“最嚴(yán)”的歐盟。

2、2021年4月26日

提請(qǐng)全國(guó)人大常委會(huì)二次審議的個(gè)人信息保護(hù)法草案擬規(guī)定，提供基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)，對(duì)個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督，并要求其定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告等。

3、2021年8月17日

全國(guó)人大常委會(huì)法工委舉行記者會(huì)，提請(qǐng)修改主要內(nèi)容：①增加規(guī)定“根據(jù)憲法”制定本法 ②進(jìn)一步完善個(gè)人信息處理規(guī)則，特別是對(duì)應(yīng)用程序（App）過(guò)度收集個(gè)人信息、“大數(shù)據(jù)殺熟”等 ③將不滿十四周歲未成年人的個(gè)人信息作為敏感個(gè)人信息，制定專門的個(gè)人信息處理規(guī)則④完善個(gè)人信息跨境提供的規(guī)則⑤增加個(gè)人信息可攜帶權(quán)的規(guī)定⑥對(duì)完善個(gè)人信息保護(hù)投訴舉報(bào)工作機(jī)制及違法處理的相應(yīng)條款。

4、2021年8月20日

十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過(guò)《中華人民共和國(guó)個(gè)人信息保護(hù)法》。其中明確：①通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷，應(yīng)提供不針對(duì)其個(gè)人特征的選項(xiàng)或提供便捷的拒絕方式②處理生物識(shí)別、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個(gè)人信息，應(yīng)取得個(gè)人的單獨(dú)同意③對(duì)違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)。

個(gè)人信息處理者合規(guī)建設(shè)思路

從立法定位上，《數(shù)據(jù)安全法》是數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)法律，與《個(gè)人信息保護(hù)法》并行成為網(wǎng)絡(luò)空間治理和數(shù)據(jù)保護(hù)的“兩駕馬車”?！稊?shù)據(jù)安全法》負(fù)責(zé)規(guī)范數(shù)據(jù)處理活動(dòng)、保障數(shù)據(jù)安全、促進(jìn)數(shù)據(jù)開發(fā)利用，《個(gè)人信息保護(hù)法》負(fù)責(zé)個(gè)人信息權(quán)益、尊嚴(yán)和自由的保護(hù)，具有一般法和特別法的關(guān)系。一般數(shù)據(jù)處理活動(dòng)要依據(jù)《數(shù)據(jù)安全法》，而涉及個(gè)人數(shù)據(jù)的處理，則既要滿足《數(shù)據(jù)安全法》的基礎(chǔ)性規(guī)定，又要滿足《個(gè)人信息保護(hù)法》的特殊性規(guī)定。

01 個(gè)人信息治理評(píng)估

在開展個(gè)人信息處理活動(dòng)前應(yīng)進(jìn)行合規(guī)性評(píng)估和安全評(píng)估。其中，合規(guī)性評(píng)估可選擇本法及其他法律法規(guī)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)為基線進(jìn)行。個(gè)人信息安全評(píng)估包括：處理敏感個(gè)人信息；利用個(gè)人信息進(jìn)行自動(dòng)化決策；委托處理個(gè)人信息、向他人提供個(gè)人信息、公開個(gè)人信息；向境外提供個(gè)人信息；其他對(duì)個(gè)人有重大影響的個(gè)人信息處理活動(dòng)。

02 個(gè)人信息保護(hù)組織建設(shè)

在個(gè)人信息保護(hù)組織建設(shè)中，企業(yè)應(yīng)明確個(gè)人信息保護(hù)責(zé)任部門與人員，任命個(gè)人信息保護(hù)工作機(jī)構(gòu)和個(gè)人信息保護(hù)負(fù)責(zé)人。其中，個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)由具有相關(guān)管理工作經(jīng)驗(yàn)和個(gè)人信息保護(hù)專業(yè)知識(shí)的人員擔(dān)任，參與有關(guān)個(gè)人信息處理活動(dòng)的重要決策并直接向企業(yè)主要負(fù)責(zé)人報(bào)告工作。

對(duì)于處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)指定專職個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督。

03 個(gè)人信息制度流程建設(shè)

在個(gè)人信息制度流程建設(shè)上，需根據(jù)企業(yè)自身業(yè)務(wù)特點(diǎn)的管理要求針對(duì)性制定。通過(guò)細(xì)化的操作規(guī)程針對(duì)個(gè)人信息的處理目的、處理方式、個(gè)人信息種類等安全風(fēng)險(xiǎn)和對(duì)個(gè)人信息主體權(quán)益的影響進(jìn)行管控。流程制定可包含《個(gè)人信息保護(hù)管理辦法》、《個(gè)人信息安全影響評(píng)估指南》、《個(gè)人信息安全事件應(yīng)急管理規(guī)范》、《個(gè)人信息安全舉報(bào)投訴管理規(guī)范》、《PII全生命周期安全管理程序》、《隱私策略發(fā)布管理程序》、《PII恢復(fù)工作規(guī)程》、《PII主體利益維護(hù)指南》、《PII去標(biāo)識(shí)化操作規(guī)程》等。

04 個(gè)人信息保護(hù)技術(shù)

在個(gè)人信息防范上，以各種政策法規(guī)為依據(jù)，利用網(wǎng)絡(luò)安全及數(shù)據(jù)安全防護(hù)技術(shù)處理活動(dòng)中的風(fēng)險(xiǎn)，具體情形如下：

收集階段：采用個(gè)人信息識(shí)別技術(shù)、打上個(gè)人信息種類標(biāo)記；

存儲(chǔ)階段：采用加密、去標(biāo)識(shí)化等技術(shù)防范未授權(quán)的訪問，定期進(jìn)行數(shù)據(jù)備份和恢復(fù)性測(cè)試，同時(shí)也需注意個(gè)人信息存儲(chǔ)時(shí)間最小化的問題；

使用階段：采用數(shù)據(jù)訪問控制等安全產(chǎn)品防范未授權(quán)的個(gè)人信息訪問，采用脫敏檢查工具，查驗(yàn)脫敏工作的有效性；定期進(jìn)行數(shù)據(jù)安全審計(jì)，及時(shí)發(fā)現(xiàn)和處置數(shù)據(jù)非授權(quán)訪問和異常操作；

加工階段：進(jìn)行自動(dòng)化決策、定向分析時(shí)，對(duì)數(shù)據(jù)分析操作進(jìn)行記錄，以備對(duì)分析結(jié)果質(zhì)量和可信性進(jìn)行數(shù)據(jù)溯源；

傳輸階段：使用加密、鑒別的安全措施，采用數(shù)據(jù)防泄漏產(chǎn)品，防止個(gè)人信息外泄；

提供階段：確保個(gè)人信息已做好匿名化處理，若需提供真實(shí)個(gè)人信息則需提前進(jìn)行安全評(píng)估；

公開階段：公開個(gè)人信息時(shí)采取去標(biāo)識(shí)化處理等措施，并在合理區(qū)間內(nèi)公開；

刪除階段：達(dá)成處理目的后，立即刪除或匿名化處理，并進(jìn)行有效性驗(yàn)證。

05 持續(xù)運(yùn)營(yíng)

個(gè)人信息的防護(hù)需要持續(xù)性運(yùn)營(yíng)，要定期對(duì)個(gè)人信息處理活動(dòng)遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。

定期通過(guò)數(shù)據(jù)安全審計(jì)產(chǎn)品對(duì)企業(yè)內(nèi)部權(quán)限控制、企業(yè)內(nèi)部數(shù)據(jù)流向跟蹤情況、個(gè)人信息安全保障措施有效性等進(jìn)行審計(jì)，發(fā)現(xiàn)和處置數(shù)據(jù)非授權(quán)訪問、批量導(dǎo)出等異常情況。針對(duì)有關(guān)問題，個(gè)人信息管理責(zé)任部門提出改進(jìn)方案，并要求落實(shí)解決，對(duì)改進(jìn)措施效果進(jìn)行跟蹤審核。

天融信為個(gè)人信息保護(hù)賦能

天融信作為國(guó)內(nèi)網(wǎng)絡(luò)安全領(lǐng)軍企業(yè)，在數(shù)據(jù)安全和個(gè)人信息保護(hù)領(lǐng)域始終堅(jiān)持自主創(chuàng)新，依托數(shù)據(jù)安全方面多年的經(jīng)驗(yàn)，通過(guò)個(gè)人信息保護(hù)合規(guī)咨詢、個(gè)人信息保護(hù)體系建設(shè)、個(gè)人信息保護(hù)技術(shù)能力建設(shè)、個(gè)人信息保護(hù)運(yùn)營(yíng)審計(jì)機(jī)制建設(shè)，實(shí)現(xiàn)以行業(yè)特征為基礎(chǔ)的個(gè)人信息處理活動(dòng)全生命周期安全防護(hù)解決方案，目前已在運(yùn)營(yíng)商、金融、政府、能源、衛(wèi)生、海關(guān)等行業(yè)領(lǐng)域得到廣泛應(yīng)用。

未來(lái)，天融信將在個(gè)人信息保護(hù)實(shí)踐領(lǐng)域持續(xù)深耕，為個(gè)人信息處理活動(dòng)提供全生命周期的保護(hù)，為數(shù)據(jù)安全的發(fā)展及實(shí)踐提供可靠保障，致力于推動(dòng)我國(guó)數(shù)據(jù)安全治理水平持續(xù)提升。