今年是《網絡安全法》正式實施的第五年,也是我國數(shù)據(jù)合規(guī)立法的關鍵年份。
? 1月1日,《中華人民共和國民法典》正式實施,其中人格權編設立“隱私權和個人信息保護”專章,構建數(shù)字時代個人信息和隱私保護的民法基礎;
? 6月10日,《中華人民共和國數(shù)據(jù)安全法》審議通過,將于9月1日起正式施行;《深圳經濟特區(qū)數(shù)據(jù)條例》、《網絡安全審查辦法(修訂草案)》相繼公布;
? 8月20日,經第十三屆全國人大常委會第三十次會議審議后,《中華人民共和國個人信息保護法》(以下簡稱“《個保法》”)獲得通過并公布。
《個保法》共八章七十四條。將于2021年11月1日起生效實施,是我國邁入數(shù)字化社會,彰顯“以人為本”的法律制度里程碑,也是我國為全球數(shù)字治理貢獻的中國方案。
《個保法》的誕生,對信息安全領域而言具有劃時代的重要意義。特別是對個人信息產生的主體(個人)、個人信息處理的主體(機構/個人)、個人信息安全監(jiān)管主體(國家相關機關)等進行了明確的權責界定以及違法懲處,為數(shù)字時代的個人信息保護提供了法律保障。
對此,明朝萬達信息安全專家從《個保法》的立法歷程、詳細解讀兩方面進行詳細分析,并對迎接《個保法》實施需加強的技術措施進行了解讀。
立法歷程
2020年10月13日,十三屆全國人大常委會委員長會議提出了關于提請審議個人信息保護法草案的議案。草案規(guī)定侵害個人信息權益的違法行為,情節(jié)嚴重的,沒收違法所得,并處5000萬元以下或者上一年度營業(yè)額5%以下罰款,5%的額度甚至超過了在個人信息保護方面規(guī)定“最嚴”的歐盟。
2021年4月26日,個人信息保護法草案提請全國人大常委會二次審議。草案擬規(guī)定,提供基礎性互聯(lián)網平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者,應成立主要由外部成員組成的獨立機構,對個人信息處理活動進行監(jiān)督,并要求其定期發(fā)布個人信息保護社會責任報告等。
2021年8月13日,全國人大常委會法工委舉行記者會,通報本次常委會會議擬審議的法律草案的主要情況。關于個人信息保護法草案,根據(jù)各方面意見,提請本次常委會會議審議的草案三次審議稿擬作如下主要修改:
一是,我國憲法規(guī)定,國家尊重和保障人權,公民的人格尊嚴不受侵犯,公民的通信自由和通信秘密受法律保護。制定實施本法對于保障公民的人格尊嚴和其他權益具有重要意義。據(jù)此,擬在草案第一條中增加規(guī)定“根據(jù)憲法”制定本法。
二是,進一步完善個人信息處理規(guī)則,特別是對應用程序(App)過度收集個人信息、“大數(shù)據(jù)殺熟”等作出有針對性規(guī)范。
三是,將不滿十四周歲未成年人的個人信息作為敏感個人信息,并要求個人信息處理者對此制定專門的個人信息處理規(guī)則。
四是,完善個人信息跨境提供的規(guī)則,對按照我國締結或者參加的國際條約、協(xié)定向境外提供個人信息、對轉移到境外的個人信息的保護不應低于我國的保護標準等作出規(guī)定。
五是,增加個人信息可攜帶權的規(guī)定,完善死者個人信息保護的規(guī)定。六是,對完善個人信息保護投訴、舉報工作機制及違法處理個人信息涉嫌犯罪案件的移送提出明確要求。
2021年8月20日,十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》。個人信息保護法自 2021年11月1日起施行。其中明確:
①通過自動化決策方式向個人進行信息推送、商業(yè)營銷,應提供不針對其個人特征的選項或提供便捷的拒絕方式
②處理生物識別、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息,應取得個人的單獨同意
③對違法處理個人信息的應用程序,責令暫?;蛘呓K止提供服務。
詳細解讀
1、明確“個人信息”定義
《個保法》在第一章第四條首先對“個人信息”進行了明確的定義:個人信息是以電子或其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。個人信息的處理包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
個人信息保護的原則是收集、使用個人信息的基本遵循,是構建個人信息保護具體規(guī)則的制度基礎。個人信息保護法借鑒國際經驗并立足我國實際,確立了個人信息處理應遵循的原則,強調處理個人信息應當遵循合法、正當、必要和誠信原則,具有明確、合理的目的并與處理目的直接相關,采取對個人權益影響最小的方式,限于實現(xiàn)處理目的的最小范圍,公開處理規(guī)則,保證信息質量,采取安全保護措施等。
2、核心原則:告知-同意
第二章大部分明確規(guī)定:處理個人信息,應當在事先充分告知的前提下取得個人同意,不得誤導、欺詐、脅迫等;不得以個人不同意為由拒絕提供產品或者服務;信息處理者應當提供便捷的撤回同意方式。
3、個人信息處理的“三最”邊界
第一章第六條、第二章第十一條中明確規(guī)定:處理個人信息應當采取對個人權益影響最小的方式;收集范圍應當限于實現(xiàn)處理目的的最小范圍。保存期限應當為實現(xiàn)處理目的所必要的最短時間。
4、嚴格保護敏感個人信息
個人信息保護法將生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息列為敏感個人信息。個人信息保護法要求,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可處理敏感個人信息,同時應當事前進行影響評估,并向個人告知處理的必要性以及對個人權益的影響。
5、禁止“大數(shù)據(jù)殺熟”
當前,越來越多的企業(yè)利用大數(shù)據(jù)分析、評估消費者的個人特征用于商業(yè)營銷。有一些企業(yè)通過掌握消費者的經濟狀況、消費習慣、對價格的敏感程度等信息,對消費者在交易價格等方面實行歧視性的差別待遇,誤導、欺詐消費者。其中,最典型的就是社會反映突出的“大數(shù)據(jù)殺熟”。
對于大數(shù)據(jù)殺熟、廣告投放等進行了嚴格的規(guī)范,第二章第二十四條明確規(guī)定:個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
通過自動化決策方式向個人進行信息推送、商業(yè)營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
6、規(guī)范國家機關處理活動
保護個人信息權益、保障個人信息安全是國家機關應盡的義務和責任。對此,個人信息保護法對國家機關處理個人信息的活動作出專門規(guī)定,特別強調國家機關處理個人信息的活動適用本法,并且處理個人信息應當依照法律、行政法規(guī)規(guī)定的權限和程序進行,不得超出履行法定職責所必需的范圍和限度。
7、個人信息跨境規(guī)則
個人信息跨境傳輸要求,建立起國家標準,第三章第四十條明確:關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規(guī)定數(shù)量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規(guī)和國家網信部門規(guī)定可以不進行安全評估的,從其規(guī)定。
8、個人信息的個人權利
個人信息保護法將個人在個人信息處理活動中的各項權利,包括知悉個人信息處理規(guī)則和處理事項、同意和撤回同意,以及個人信息的查詢、復制、更正、刪除等總結提升為知情權、決定權,明確個人有權限制個人信息的處理。同時,為了適應互聯(lián)網應用和服務多樣化的實際,滿足日益增長的跨平臺轉移個人信息的需求,個人信息保護法對個人信息可攜帶權作了原則規(guī)定,要求在符合國家網信部門規(guī)定條件的情形下,個人信息處理者應當為個人提供轉移其個人信息的途徑。此外,個人信息保護法還對死者個人信息的保護作了專門規(guī)定,明確在尊重死者生前安排的前提下,其近親屬為自身合法、正當利益,可以對死者個人信息行使查閱、復制、更正、刪除等權利。
9、強化個人信息處理者義務
個人信息處理者是個人信息保護的第一責任人。據(jù)此,個人信息保護法強調,個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。
在此基礎上,個人信息保護法設專章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務,要求個人信息處理者按照規(guī)定制定內部管理制度和操作規(guī)程,采取相應的安全技術措施,指定負責人對其個人信息處理活動進行監(jiān)督,定期對其個人信息活動進行合規(guī)審計,對處理敏感個人信息、利用個人進行自動化決策、對外提供或公開個人信息等高風險處理活動進行事前影響評估,履行個人信息泄露通知和補救義務等。
10、健全個人信息保護工作機制
個人信息保護涉及的領域廣,相關制度措施的落實有賴于完善的監(jiān)管執(zhí)法機制。根據(jù)個人信息保護工作實際,個人信息保護法明確,國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監(jiān)督管理工作,同時,對個人信息保護和監(jiān)管職責作出規(guī)定,包括開展個人信息保護宣傳教育、指導監(jiān)督個人信息保護工作、接受處理相關投訴舉報、組織對應用程序等進行測評、調查處理違法個人信息處理活動等。此外,為了加強個人信息保護監(jiān)管執(zhí)法的協(xié)同配合,個人信息保護法還進一步明確了國家網信部門在個人信息保護監(jiān)管方面的統(tǒng)籌協(xié)調作用,并對其統(tǒng)籌協(xié)調職責作出具體規(guī)定。
11.明確個人信息保護部門
本法第六章明確了履行個人信息保護職責部門、職責和可采取的工作措施。其中,國家網信部門負責統(tǒng)籌協(xié)調個人信息保護工作和相關監(jiān)督管理工作;國務院有關部門和縣級以上地方人民政府有關部門均負責個人信息保護和監(jiān)督管理職責,統(tǒng)稱為個人信息保護職責的部門。
12.大型互聯(lián)網企業(yè)義務
對于大型互聯(lián)網企業(yè)需要建立健全制度;做好獨立機構的建立,要求由外部成員組成,目的監(jiān)督個人信息處理活動;對于嚴重違反法律、行政法規(guī)的需要停止服務;有報告發(fā)布、接受社會監(jiān)督的責任義務。
技術措施
眾所周知,針對信息安全保護一致認同的有效措施為:管理+技術。隨著《個人信息保護法》的出臺,加之《網絡安全法》、《數(shù)據(jù)安全法》以及相關的規(guī)范、指引,無不從立法的管理層面給信息安全保護建立起了管理紅線和標準。但是如果只有完善的管理方式,而沒有相應的技術手段來來支撐,那管理成本將變得極其高昂,并且管理成果也將不盡如人意。
《個保法》第五章第五十一條明確規(guī)定:個人信息處理者應當根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定,并防止未經授權的訪問以及個人信息泄露、篡改、丟失:
(一)制定內部管理制度和操作規(guī)程;
(二)對個人信息實行分類管理;
(三)采取相應的加密、去標識化等安全技術措施;
(四)合理確定個人信息處理的操作權限,并定期對從業(yè)人員進行安全教育和培訓;
(五)制定并組織實施個人信息安全事件應急預案;
(六)法律、行政法規(guī)規(guī)定的其他措施。
作為中國新一代信息安全技術企業(yè)的代表廠商,明朝萬達深耕數(shù)據(jù)安全領域16載,專注于信息安全管理制度和操作規(guī)程優(yōu)化、數(shù)據(jù)治理和數(shù)據(jù)分類分級咨詢與服務、數(shù)據(jù)加密、去標識化、數(shù)據(jù)防泄漏等,為金融、公安、政府、電信運營商等諸多行業(yè)客戶提供專業(yè)的數(shù)據(jù)安全產品、解決方案等服務,簽約用戶超過3000家。
憑借在數(shù)據(jù)安全領域取得的優(yōu)異成就,明朝萬達于2019年獲得了中網投、國投創(chuàng)合聯(lián)合投資,并于2020年獲得中國電科集團(CETC)戰(zhàn)略投資。
在大數(shù)據(jù)、云計算等新技術應用背景下,明朝萬達以數(shù)據(jù)安全為核心、自主可控的國密算法應用技術為基礎,研發(fā)的Chinasec(安元)數(shù)據(jù)安全系列產品及解決方案,覆蓋數(shù)據(jù)產生、存儲、交換、使用等全生命周期重要環(huán)節(jié),實現(xiàn)對服務器、數(shù)據(jù)庫、PC終端、移動終端以及網絡通信的全IT架構下數(shù)據(jù)安全的協(xié)同聯(lián)動管理,打造企業(yè)級的數(shù)據(jù)安全防護體系。
作為國內數(shù)據(jù)安全市場的倡導者,明朝萬達堅持技術創(chuàng)新,不斷加大對研發(fā)層面的投入,擁有一支以清華大學博士和碩士為骨干力量的核心研發(fā)團隊,截至目前公司已累計申請發(fā)明專利近400項,獲授權專利140余項。