2021年8月20日,十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過(guò)《中華人民共和國(guó)個(gè)人信息保護(hù)法》,并自2021年11月1日起施行。《個(gè)人信息保護(hù)法》與《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》一起組成數(shù)據(jù)安全領(lǐng)域完整基礎(chǔ)性法律體系三駕馬車。
2021年7月4日,國(guó)家網(wǎng)信辦發(fā)布通報(bào)稱,經(jīng)檢測(cè)核實(shí),“滴滴出行”App存在嚴(yán)重違法違規(guī)收集使用個(gè)人信息問(wèn)題,通知應(yīng)用商店下架“滴滴出行”App。
2020年4月,鄭州、西安、重慶、武漢、山東青島等多所高校數(shù)千名學(xué)生發(fā)現(xiàn),自己個(gè)人所得稅App上有陌生公司就職記錄。稅務(wù)人員稱,可能是學(xué)生信息被企業(yè)冒用,以達(dá)到偷稅目的。基于收集信息齊全、便捷,而且大部分從未就業(yè)、極少使用個(gè)稅App,不容易發(fā)現(xiàn)自己的信息被盜用等原因,高校學(xué)生成了公司偷稅的目標(biāo)“大戶”。
截止2020年底,中國(guó)網(wǎng)民規(guī)模達(dá)9.89億人,其中未成年網(wǎng)民達(dá)1.83億,網(wǎng)站超500余萬(wàn)個(gè),移動(dòng)應(yīng)用程序(APP)數(shù)量超345萬(wàn)款,個(gè)人信息被隨意、違法收集獲取、過(guò)度使用、非法買賣,利用個(gè)人信息侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財(cái)產(chǎn)安全。
《中華人民共和國(guó)個(gè)人信息保護(hù)法》的頒布將會(huì)使這些亂象產(chǎn)生質(zhì)的變化。該法實(shí)施后,各行各業(yè)在面對(duì)個(gè)人信息保護(hù)的政策要求下需要哪些技術(shù)能力支持?
個(gè)人信息的定義
解讀:第四條明確了個(gè)人信息、個(gè)人信息處理、敏感個(gè)人信息的范圍及定義、處理,這些要求與國(guó)家安全標(biāo)準(zhǔn)《GB/T 37988-2019 數(shù)據(jù)安全能力成熟度模型》(DSMM)總體相符。DSMM按照數(shù)據(jù)全生命周期的六個(gè)階段和四個(gè)安全能力維護(hù)進(jìn)行綜合考量,按照能力成熟度分為5個(gè)等級(jí),形成一個(gè)三維立體模型,指導(dǎo)有關(guān)組織機(jī)構(gòu)對(duì)數(shù)據(jù)安全進(jìn)行能力建設(shè)。
DSMM 模型
明確敏感個(gè)人數(shù)據(jù)處理
解讀:第二十一條,要求委托人需要被監(jiān)督,委托人權(quán)利到期,數(shù)據(jù)信息要能返還個(gè)人信息處理者或在監(jiān)管下徹底刪除,除了合同與制度外,也需要必要的數(shù)據(jù)安全技術(shù)手段支持,如脫敏后共享,加密授權(quán)使用,數(shù)據(jù)刪除檢測(cè)等;第二十八條,明確了敏感個(gè)人信息的定義和規(guī)范要求,強(qiáng)調(diào)了不滿十四周歲未成年人的個(gè)人信息均涉及敏感,說(shuō)明了對(duì)敏感信息進(jìn)行脫敏的充分必要;第三十一條,不滿十四周歲未成年人個(gè)人信息屬于完全敏感信息,要有專門的安全防護(hù)處理規(guī)則與技術(shù),尤其在各種信息混合的情況下。這些都需要使用數(shù)據(jù)脫敏技術(shù)進(jìn)行去隱私保護(hù)。
數(shù)據(jù)加密技術(shù)
拒絕大數(shù)據(jù)殺熟、差別待遇
解讀:第二十四條,要求自動(dòng)化決策過(guò)程與結(jié)果均要能被監(jiān)督和審計(jì)。避免殺熟、差別待遇等。需要必要的數(shù)據(jù)安全技術(shù)手段支持,如針對(duì)個(gè)人信息處理規(guī)則的審計(jì)、防護(hù)技術(shù);第二十六條,要求公共場(chǎng)所采集個(gè)人信息用途范圍要能被監(jiān)督和審計(jì)。避免超出維護(hù)公共安全所必需。需要必要的數(shù)據(jù)安全技術(shù)手段支持,如針對(duì)信息處理使用的審計(jì)、防護(hù)技術(shù);第五十四條,要求進(jìn)行第三方定期合規(guī)審計(jì)。
數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)
個(gè)人信息保護(hù)影響評(píng)估內(nèi)容
解讀:第五十六條,要求進(jìn)行安全風(fēng)險(xiǎn)、影響評(píng)估。既要相應(yīng)的規(guī)則、評(píng)估標(biāo)準(zhǔn)出臺(tái),也要算法與技術(shù)的創(chuàng)新支持。對(duì)組織機(jī)構(gòu)中儲(chǔ)存的數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)評(píng)估前,先要進(jìn)行數(shù)據(jù)資產(chǎn)的梳理以及分類分級(jí),然后才能進(jìn)行風(fēng)險(xiǎn)評(píng)估以及后續(xù)的一系列數(shù)據(jù)安全防護(hù)。
數(shù)據(jù)安全治理技術(shù)構(gòu)成
明確個(gè)人信息處理者所遵循的義務(wù)
解讀:第五十八條,要求大型平臺(tái)上個(gè)人信息處理者做好“看門人”義務(wù)。大數(shù)據(jù)平臺(tái)可以從“一中心、四體系、六過(guò)程”的頂層設(shè)計(jì)思路出發(fā),構(gòu)建以數(shù)據(jù)安全防護(hù)為中心,從管理、技術(shù)、運(yùn)營(yíng)和監(jiān)管四個(gè)數(shù)據(jù)安全保障體系,實(shí)現(xiàn)數(shù)據(jù)全生命周期六大過(guò)程的安全防護(hù),從而建立及完善個(gè)人信息數(shù)據(jù)安全治理工作。
大數(shù)據(jù)安全治理框架
個(gè)人信息保護(hù)法涉及相關(guān)主體權(quán)責(zé)義務(wù)
監(jiān)管方、個(gè)人和數(shù)據(jù)處理方三者間的關(guān)系是怎樣的呢?下圖幫您從權(quán)利義務(wù)或責(zé)任的角度進(jìn)行這三方之間的關(guān)系解讀。
數(shù)據(jù)安全違法違規(guī)處罰
處理個(gè)人信息原則:合法正當(dāng)、最小必要、目的明確合理、公開(kāi)透明、準(zhǔn)確完整、安全防護(hù)。如何進(jìn)行處罰?
國(guó)家對(duì)《個(gè)人信息保護(hù)法》的違法違規(guī)處罰力度在安全領(lǐng)域?qū)儆谑窡o(wú)前例。
“數(shù)據(jù)”是數(shù)字經(jīng)濟(jì)的價(jià)值載體,在數(shù)字時(shí)代將成為最重要的生產(chǎn)要素。安全正當(dāng)時(shí),保障數(shù)據(jù)安全已刻不容緩!以用戶需求為支點(diǎn),為用戶數(shù)據(jù)安全鑄盾護(hù)航,是昂楷一直的堅(jiān)守,昂楷也在不斷完善創(chuàng)新產(chǎn)品技術(shù)與服務(wù),幫助更多政企用戶守護(hù)數(shù)據(jù)資產(chǎn),構(gòu)建數(shù)字化時(shí)代的數(shù)據(jù)安全基石!
題-4.jpg)
