2021年11月1日,《中华人民共和国个人信息保护法》(以下简称“个保法”)正式施行,个人信息保护有了法律“安全锁”。天融信作为数据安全领域的引领者,在“个保法”出台之后,将协助“个人信息处理者”严格落实“个保法”相关责任和义务,同时根据天融信多年的行业经验,从立法历程、意义、影响结合过往实际案例,全方位、多角度地对“个保法”进行深度解读。
“个保法”的历程
2021年8月20日,《中华人民共和国个人信息保护法》由十三届全国人大常委会第三十次会议表决正式通过,并自2021年11月1日起正式施行。从2012年,人大委员会提出关于加强网络信息保护的决定,到今年正式施行,国家陆续发布了跟个人信息相关的政策法规及技术标准。
“个保法”的意义
这一法律的颁布,明示了个人信息数据在使用、保护等多个层面各关系方应尽的义务等法律约束,在个人信息的安全防护上升到了国家法律层面后,充分诠释了国家对个人信息数据安全防护的重视程度。
随着《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》在今年相继正式实施,通过两部法律的“互相加持”将更好地规范个人信息处理活动,保护涉及个人信息权益相关数据、促进个人信息合理利用,为数字时代的个人信息权益保护提供基础制度保障,为我国数字化转型保驾护航。
“个保法”的影响
1、明确“属地原则”,我国境内处理个人信息均适用本法
“个保法”明确规定了“属地原则”,与国外的gdpr的“保护主题”不同,只要处理个人数据,无论处理者是否在境内设立,或者处理的是否为境内自然人信息,只要处理行为发生在境内,就受“个保法”制约。简单来讲,即不管机构是否在我国,只要在我国境内处理了我国的个人信息活动,就受到制约。
2、关键名词明确定义,为以后司法判定提供依据
个人信息:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。只要能识别自然人的纸张也算个人信息,不仅限电子数据。
敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。处理敏感个人信息后续将会有更严格的审核手段,避免造成危害。
个人信息的处理:包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息的处理与数据安全处理活动一致,均包含整个处理过程。
个人信息的处理者:在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。个人信息的处理者进行了明确定义,且范围非常广。简单来讲,只要处理个人信息均可称为个人信息的处理者。
自动化决策:通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。明确了大数据分析等相关技术手段的定义,为我国规范“大数据杀熟”等行为提供了依据。
去标识化:个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。与gb/t 37964-2019《信息安全技术—个人信息去标识化指南》一样,定义了去标识化的含义,规范了处理个人信息的手段。
匿名化:个人信息经过处理无法 识别特定自然人且不能复原的过程。明确匿名化的定义,确定不可逆的手段。
3、厘清个人信息处理者的义务,清晰责任边界
权利和义务
“个保法”中明确了以下个人信息处理者的权利和义务:
处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人;
中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表;
个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计;
个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录;
发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
执行流程
案例1
2020年7月,江西省某企业开发经营的6款手机app经详细检测,发现均存在违法违规收集或使用公民个人信息的情形。
在“个保法”实施前:不涉及违反“个保法”法律规定的风险也可能不面临相应处罚。
在“个保法”实施后:个人信息处理者的采集必须遵守“个保法”的法律要求,不得非法收集他人个人信息。
案例2
2020年6月,甘肃省某市的多家快递企业的快递单未对用户个人信息采取隐匿化等有效保护措施,存在泄露公民个人信息重大隐患。
在“个保法”实施前:快递企业负责人被集体约谈,并依据检察院建议制定了改进措施并加强员工个人信息安全培训。
在“个保法”实施后:若再出现上述情况,且情节严重的,将依法收到处罚,可以由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。
综上所述,“个保法”的实施将会全面定义、全面约束个人信息处理者的活动和义务。26年来,天融信持续专注于个人信息保护领域的能力建设,通过在个人信息保护领域的多年沉淀,天融信拥有一支具有专业数据安全治理经验的团队,整体wepoker官网的解决方案具有很强的场景适应性和可靠性,能够满足不同等级的个人信息保护要求,通过梳理业务流程、规范、风险和要求等多方面需求,确定个人信息保护的目标,完善个人信息保护管理体系,制定切实可行的wepoker官网的解决方案。
天融信从当下实际的个人信息防护情况出发,以技术手段为支撑,结合个人信息数据使用的业务场景和活动,分析信息保护的实际需求,在个人信息安全管理体系、个人信息数据在业务中的活动以及数据安全技术等方面综合指导个人信息保护能力体系建设,提升行业客户的体系化保障能力。同时天融信也将持续关注个人信息保护相关能力建设、改进、运维相关过程管理,从根本上提高客户的个人信息保护内在能力,全力推动和保障个人信息保护的落实与发展。
- 关键词标签:
- 天融信 信息安全 个人信息保护法