1. 对企业的意义
2. 立法里程碑
作为一部专门的、高效力层级的个人信息保护立法,《个保法》在现有法规基础上完善了个人信息保护领域的规范体系,开启了我国公民个人信息保护的新篇章。《个保法》从提议到实行经历了多个里程碑过程,可谓十年磨一剑。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
《个保法》吸收了近年来个人信息保护的国际经验以及国内前期《网络安全法》《民法典》等立法、标准和实践经验,使得既与国际接轨,又不乏中国特色。
3. 六点速看《个保法》
-
个人权益影响最小 -
数据收集范围最小 -
数据保存时间最小 -
核心原则:告知同意原则 2)十大亮点
-
确立个人信息保护原则 -
规范处理活动保障权益 -
规范自动化决策 -
严格保护敏感个人信息 -
规范国家机关处理活动 -
赋予个人充分权利 -
强化个人信息处理者义务 -
赋予大型网平台特别义务 -
规范个人信息跨境流动 -
健全个人信息保护工作机制 3)适用范围 -
境内都管,国人都管 4)处罚办法 -
对企业,百万至停业 -
对个人,十万至百万 5) 七项义务 -
安全分类管理 -
敏感信息评估 -
定期审计培训 -
制度规程预案 -
境外机构上报 -
事故及时上报 -
大平台负责任 6) 十项权力 -
知情权 -
决定权 -
限制权 -
拒绝权 -
自动化决策与相关权利 -
删除权 -
更正权 -
权查阅权 -
复制权 -
可携带权
4. 个人信息保护的基本框架
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5. 企业面临的主要难点
未规范隐私政策,采集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关,并非其正常运行或实现相关功能所必须;
收集个人信息的频度超出业务功能实际需要且未进行信息明示和主体授权。
无法保障数据在非使用流转状态中的安全,除了传统数据安全体系的数据加密、脱敏、对数据的访问控制,对数据载体的非法外发的控制外,还需要实施数据本体资产的分类分级,以数据分类分级实施访问控制策略;
围绕合规要求和隐私政策进行增强性数据保护:如对数据的跨境存储、个人数据的保存时限、生物识别数据的保护上进行管理和技术上的加强。
未将个人信息数据本体的分类分级进一步映射到业务应用涉及的涉敏业务和系统、涉敏暴露面上,无法发现保护缺失的地方和映射相应的安全保护策略;
未根据具体业务活动使用的类型、敏感级别、量级、脆弱性风险、合规要求、网络环境、流向和访问行为,进行风险分析模型,自动化发现、评估和持续监测数据风险,无法做出进一步的安全风险响应。
个人信息数据汇集与融合时,未遵循合规性要求按照主体的授权进行数据相关处理的管控;
在数据融合、衍生、分析建模中,共享导出和出境,未授权的数据参与运算,未进行数据的匿名化。
个人数据主体被法定了包括知情权、决定权、查询权、更正权、删除权等权益。采集了个人数据的企业,需要依法保障个人数据主体对自身数据的权益主张,企业需要设立相应的组织响应个人用户的权益要求,并按相关要求对其个人数据进行相应的处理;
企业对个人主体数据进行归一化的处理,并明确了解这些数据的采集和授权情况、数据实际用途、数据共享给第三方的情况,才能满足企业个人信息保护的义务。
6. 企业合规自查与评估建议
要严格履行《个人信息保护法》、《数据安全法》、《网络安全法》等法律法规规定的责任义务,对获取的个人信息安全负责,落实责任制;
要明确自身责任,对共同控制场景、委托处理场景、向第三方提供场景下的不同合规要求进行落实;
要按规定落实网络和数据安全保护措施,加强网络安全防护水平,落实数据分级分类管理、风险评估、监测预警、应急处置等安全措施,重视个人信息保护措施的有效性。
管理方面,要规范流程、完善合同。遵循合法、正当、必要的原则,规范告知明示内容,建议以明确、易懂、合理的方式向用户公开其与关联方共享个人信息的目的、数据类型,以及关联方可能采取的个人信息处理方式保存期限等内容,确保用户知情权、选择权;
技术方面,应脱敏数据、规制算法。在细分业务场景的基础上厘清业务流、数据流,对个人信息进行分类、分级,及时去标识处理,原则上不存储原始个人生物识别信息。在不需要精确识别个人的业务场景中,可采用头肩检测等技术,避免“人脸”等敏感信息的滥用。
将个人信息保护的理念融入企业文化中,应积极落实《个人信息保护法》的要求,主动跟进相关配套法规、标准等新规定,不断加强自身能力建设,包括全员意识和技术落地能力;
从风险治理角度,落实个人信息保护相关新基线要求,加强事前、事中、事后的风险评估和安全审计过程,主动发现并及时整改。