历经三次评审,《个人信息保护法》于8月20日正式出台,在期间进行的所有改动当中,在第一章第一条中加入“依据宪法,制定本法”一项颇为惹眼,这是在各种网络安全相关法律中不曾出现过的,在数字化改革如火如荼、国家级信息安全事件频出,人权指控四起的特殊时期,本法的出台可谓意义重大,预示着未来数据安全尤其是个人信息保护将进入一个全新时代。
法律全文分为八大章节共计七十四条,从原则、个人信息处理规则、敏感个人信息处理规则、个人信息跨境处理规则、个人信息主体权益、个人信息处理者义务、主管部门及其责任和法律责任几个方面对个人信息的处理过程做了法律约束。
法律说了什么?
立法对象是谁?
个人/自然人:
个人信息的主体
个人信息处理者:
一般个人信息处理者
境外个人信息处理者
重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者
需要处理个人信息的国家机关
监管单位:
网信和相关监管单位
世平说:相较于网络安全其他法律法规,立法对象多了“你我”,涉及信息安全和人权,也是本法的相对特别之处。
立法目是什么?
为了保护个人信息权益
规范个人信息处理活动
促进个人信息合理利用
–第一条
世平说:开宗明义
什么是个人信息?
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
–第四条
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
–第二十八条
世平说:与《个人信息安全规范》中定义一致,明确了技术层面所要保护的对象,保护个人信息安全的前提是能够准确的识别定位个人信息。
个人信息权益有哪些?
个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;
–第四十四条
撤回同意;
–第十五条
未满十四周岁个人信息保护;
–第二十八条
查阅、复制本人个人信息;
–第四十五条
更正、补充本人个人信息;
–第四十六条
要求删除本人个人信息;
–第四十七条
要求对个人信息处理规则进行解释说明;
–第四十八条
近亲对死者信息查阅、复制、更正、删除;
–第四十九条
诉讼;
–第五十条
世平说:数据也是资产,对于属于个人的资产,我们有权决定其如何被使用。
什么是个人信息处理活动?
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等
–第四条
世平说:也就是我们常说的数据安全生命周期
合理利用如何体现?
个人在充分知情条件下自愿、明确同意
–第十三、十四条
不得以个人不同意为由拒绝提供服务
–第十六条
个人信息处理需告知信息主体
–第十七条
个人信息最短时间保存
–第十九条
委托处理规范
–第二十一条
变更需告知个人信息主体
–第二十二、二十三条
不得大数据杀熟
–第二十四条
社会探头需显著标识
–第二十六条
公开个人信息相对自由处理
–第二十七条
敏感个人信息处理规则
–第二章第二节
个人信息跨境规则
–第三章第二节
世平说:规范了个人信息的收集和使用,未来可能作为个人信息合规评估的主要控制项,也是个人信息维权诉讼的比较集中的方面,个人信息处理者应基于此积极开展合规自评估。
监管单位做什么?
网信负责个人信息保护和监督管理工作
–第六十条
职责:
–第六十一条
宣传教育、指导监督
接受处理投诉和举报
组织测评
调查、处理违法活动
统筹推进:
–第六十二条
制定具体规则、标准
支持新技术开发、推广
支持有关机构开展个人信息保护评估、认证服务
完善投诉、举报机制
约谈、要求整改、移送公安
–第六十四条
世平说:不同于公安主导的等级保护,个人信息保护由网信牵头,应该会建立一套独立的要求规范、检查、测评标准。
个人信息处理者做什么?
组织、开展个人信息保护工作:
–第五十一条
指定内部管理制度和操作规程
个人信息分类管理
采用加密、去标识化等安全技术措施
权限分配和教育培训
指定应急预案
专职专岗并备案
–第五十二条
境外个人信息处理者在境内职责
–第五十三条
个人信息合规审计
–第五十四条
个人信息保护影响评估
–第五十五、五十六条
事件响应
–第五十七条
重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者:
形成第三方个人信息合规审计机制
明确规范和义务
定期发布个人信息保护社会责任报告
–第五十八条
世平说:对个人信息处理者提出的个人信息保护的内控要求,除了技术措施层面,着重提出了个人信息安全自审自评估要求,针对大型互联网服务平台,更要形成第三方的外审机制。
如何惩戒?
世平说:情节严重的处罚金额百分比甚至超过号称史上最严的GDPR,各单位注意,这不是演习。
法律没说什么?
如何落地?
法律的落地往往通过案件诉讼、执法检查等方面得以体现,执法检查过程中的检查方和被查方都要遵从统一的技术标准,针对本法,从措辞和立意来看,对应的技术规范应该是《GBT 35273-2020 信息安全技术 个人信息安全规范》,其中对个人信息的具体定义以及应采用的保护措施如匿名化、去标识化等,对信息主体和信息处理者的义务和责任都有细致描述,可作为个人信息安全机制落地的参考。
除此之外,法律中所提到的多项评估和审计要求,除了“个人信息保护影响评估”、 “个人信息和重要数据出境安全评估”有相关规范外,相关的测评、评估标准尚不完善,相信这将是未来网信部门在制度、标准建立职责中的重要工作之一。
未来趋势?
随着法规标准的不断完善、安全事件的发酵推动,数据安全原本作为网络安全的其中一环,由于其涉及公民权益、国家安全,在可见的将来很有可能形成独立于传统网络安全的法规、监管、建设体系,在原有的对于安全性要求的基础上,更多的涉及业务合规的检查和测评要求。
同时,由于适用对象从原本只有网络安全的网络运营者和监管机构,到加入个人信息主体,也就是公民大众,在个人信息维权领域应该会引来一波诉讼热潮,使得数据安全至少在合规层面,短时间内会有较大的市场需求。
个人做什么?
抱怨无尽的推送广告?怀疑有人泄露自己的信息?被悄无声息的大宰一刀才后知后觉?如果说在这之前这满头的问号还无处安放,这满腔的怨恼还无处宣泄,那么从此刻起,请拿起法律的武器像捍卫“毛主席”一样捍卫自己的个人信息权益吧,当然,与便利相比可能这微不足道,但作为个人来说,一部特别标明“基于宪法制定”的法律所赋予我们的权利,即便不行使,也请熟读一百遍啊,一百遍。
世平信息怎么说?
杭州世平信息科技有限公司借助多年数据安全领域的技术和服务能力,以数据内容识别技术为核心,结合多行业数据安全项目建设经验,提供从敏感信息的分布发现、加密脱敏、泄露防护到数据安全合规评估在内十余种数据安全保障措施,紧密贴合《个人信息保护法》所提出的技术和服务要求,为用户提供数据安全合规性检测与监管、数据资产分类分级发现与管理、以数据为中心的数据安全防护和业务驱动的精细化数据安全管控等业界前沿能力,满足合规性管控和内生性防护需求,实现针对个人信息安全的全面、有效监控与防护。
世平信息
杭州世平信息科技有限公司(简称“世平信息”)成立于2010年,致力于智能化数据管理与应用的深入开拓和持续创新,为用户提供数据安全、数据治理、数据共享和数据利用解决方案,帮助用户提升数据资产风险管控与数据价值安全利用能力。
