-
-
《个人信息保护法》正式审议通过,企业应该关注哪些问题?
-
发表于: 2021-8-25 15:51 3754
-
8月20日,《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)正式表决通过,并将于2021年11月1日起施行。此次法案,对行业普遍关注的多项信息安全问题做出明确规定,在国家网络安全发展进程中具有里程碑意义。从不久前引发热议的《数据安全法》到《个人信息保护法》,一系列法律组合拳的出台,意味着数字经济已经告别了过去“粗放型”的管理模式,进入到规范化、精细化运行阶段。基于此,我们特别邀请到安在新媒体创始人张耀疆、德勤风险咨询副总监王建霞、腾讯安全云鼎实验室数据安全专家刘海洋,聚焦《个人信息保护法》中企业应该重点关注的问题进行解读讨论,为企业提供借鉴与参考。
Q1:整体来看,《个人信息保护法》出台对网络安全产业发展有什么重要意义?
王建霞:我认为主要可以从五个方面来讲。
一、法律意义长久以来,我国都缺少一部专门针对个人信息保护的立法。《个人信息保护法》的出台,对于网络安全从业者来说是非常好的消息,我们在日常工作中终于有了规范化和强制性的法律依据。
二、国际意义过去企业合规都是以欧盟GDPR为标准和指南,《个人信息保护法》的出台,可以大大提升国际领域对中国个人信息保护的认可度和信心。
三、企业意义《个人信息保护法》11月1日正式生效施行,因此,企业需要针对自身业务是否合规进行自检,如果存在风险,在11月前需要尽快弥补相关风险。相对来说,大型企业的业务数据更多、业务类型更加复杂,所以风险也会更大。
四、个人信息跨境保护无论是中国企业出华、还是国外企业入华,《个人信息保护法》都会针对关键信息技术设施类企业提出比较明确的要求。
五、个人信息保护的组织架构建立除了合规之外,《个人信息保护法》也会对企业的数字化相关业务产生影响。因此,企业在《个人信息保护法》前提下开展相关产品和业务建设,长期来看,可以有效提升企业在整个行业的竞争力。
刘海洋:从利好的角度来看,《个人信息保护法》对于数据安全从业者一定是“积极的信号”。在数据安全领域,一直缺少标准的评估体系,这部法律颁布后,相信在不久的将来,数据安全的评估体系也会构建出来。
Q2:相比二审稿,三审稿进行了哪些修改?主要争议点在哪里?
王建霞:(截至沙龙举办时)个人信息保护法全文还没有正式发布,根据近日人大常委臧铁伟先生的说明,(我们可以侧面了解到)三审内容主要做了以下方面的调整。
一、增加“根据《宪法》制定本法”条款。该条款直接提升了该法的法律地位。
二、针对APP过度收集个人数据、大数据杀熟等社会热点问题进行明确响应。
三、将“不满14周岁人群”的信息作为敏感信息。
四、完善了个人数据跨境提供的规则。
五、增加了个人数据“可携带权”的规定。此前,中国已经有些探索,比如工信部在2019年提出“携号转网”的服务,以及《个人信息安全规范》里提出了个人获取信息副本的权利,以及可以在技术可行的情况下把信息传输给第三方等。
六、明确对个人信息保护如何投诉、举报的工作机制。七、明确“自动化决策”的定义,企业不得以个人不同意为由拒绝提供产品或服务,并在需要向用户解释决策的具体逻辑,且用户有权拒绝通过自动化决策做出的决定。
Q3:很多人评价《个人信息保护》是有史以来最严格的数据安全保护法律之一,“严格”具体体现在哪里?
王建霞:欧盟GDPR生效时,网上同样有各种各样的说法,称其是“史上最严”。在我们看来,《个人信息保护法》有相比GDPR严格的地方,也有比它稍微宽松一些的地方。
一、从法律条文来看
虽然还未施行,但是根据中国法律的特性可以看出:《个人信息保护法》法责严苛,会依法给予治安管理处罚,严重者会追究刑事责任。罚款的最高额度是五千万以下,或者是上一年营业额5%的罚款。而欧盟GDPR一档是2%、一档是4%,不管从罚款还是个人追责,《个人信息保护法》都相对严苛。
而在企业的角色方面,《个人信息保护法》中提到“企业只是个人信息的处理者”。而欧盟GDPR规定“企业是数据控制者和处理者”,控制者的义务大于处理者。个保法的处理者相当于GDPR的控制者。
二、从执法层面来看
《个人信息保护法》11月生效,目前国内已经有很多诸如“净网行动”等各种各样的举措,这些行动都会检查APP是否有数据搜集使用数据相关的违规行为。在此之前,我们用欧盟执法案例去做分析时发现,从个人角度要以GDPR来起诉某一个企业,中间流程比较复杂。从这个角度来对比,中国的执法程度会高一些。
刘海洋:个保法对于“个人信息处理者”需要履行的义务进行了明确的说明,可归纳为九项,包括有义务保障个人信息的安全、需要及时告知情况、主动删除、定期审计、事前做评估、保障行权等规定,这些都是个人信息处理者的义务。
《个人信息保护法》中,关于个人信息处理者需要获得用户授权同意的场景有七种。在这七个场景下,必须要取得用户的同意,否则企业开展处理活动就是违法的。《个人信息保护法》还规定了八个需个人信息处理者进行用户告知的场景。这“七个同意”和“八个告知”在梳理业务过程中进行解决的工作量是极其庞大的。
Q4:《个人信息保护法》对企业主体责任如何规定?
刘海洋:根据机构特征不同,有些企业是请第三方负责,有些是由IT人员负责。而从《个人信息保护法》中可以看出,责任划分属于“谁处理、谁负责”。如果企业将数据和个人信息委托给第三方,企业需要承担监督的责任。根据国家规定,当个人信息达到一定数量,就需要指定一名责任人行使监督工作,帮助国家履行个人信息安全职责的部门执行监督。
在企业开展个人信息保护时,我总结了五个建议遵循的原则,供大家参考:
一、诚信原则
不要用诱导或欺诈的方式获取信息。
二、最小范围
能不要最好不要,信息不是拿到手里面就是财富。拿多了可能就是负担,满足业务需要就可以了。
三、公开透明
无论是做大数据分析、辅助决策、营销推广,尽量做到公开透明,企业对数据的决策可以通过媒体或者官网的方式透明化。
四、准确和即时性
信息数据并不是拿过来就再不负责,要定期更新保证信息的准确性和完整性。
五、最短时间原则
收集完信息处理了后,要立即主动删除。
Q5:企业内部有哪些业务/部门与《个人信息保护法》息息相关?应该如何应对?
王建霞:整体来看,个人信息与企业大部分的业务条线都是有关联的,包括HR、营销、售后等等。企业首先需要进行基础的个人数据梳理,分析信息类型和应用场景,具体可以从如下维度出发:
一、产品维度
可以梳理出产品中涉及到的所有数据相关处理场景。
二、企业级别
目前大多数企业都属于存量业务,数据量大、场景复杂,建议抓大放小,从高风险入手。比如把涉及到生物信息、未成年人信息等敏感数据的场景单拎出来重点处理。
风险评估后,需要管理层及时进行个人信息保护决策,例如风险容忍度,相关落地策略等都需要进行决策和落地。
Q6:对企业来讲,是否必须要从体系化建设去考虑?过程中如何避免“踩坑”?
王建霞:体系的本意是好的,但在具体实践中,我们也观察到很多情况下所起到的作用有限。因此企业在做体系建设时,一定要再往下做一层。
项目体系的难点其实在落地,项目过程中,每个企业的战略、商业模式、业务生态、组织架构、成熟度和技术能力都不一样,没有一套现成的方法论可以直接用。因此,每个企业要做到把法律的要求解读成具体落地的要求,比如说企业产品里面隐私功能如何设计,隐私政策的框架和用户授权怎么去实现,需要具体场景、具体分析。
此外,还有一个难点涉及到跨境,比如企业出海或者是海外企业入华时,不只是要遵守一部法律,还要遵守很多其他的法律。那么,我们需要用最严的要求、还是只需要符合当地的要求来进行决策,这也是企业需要关注的。
刘海洋:“踩坑”这个点是我们在提供服务中经常被问到的,大家都不想踩坑。因此我总结了一些大家可能踩到的“坑”。
首先,在处理公开信息时,有些个人信息是公开的,在网上我们也能看得到,但在处理这些信息的时候不能肆无忌惮,不是已经公开就可以随便用,作为信息处理者,需要操作数据时也要经过信息个人的同意。
再有,数据个人信息处理者有义务主动删除数据,满足条件的时候就要主动删除。如果有些情况下企业无法删除,也不代表企业就能逃避主动删除这一项义务,法律上也不会强制企业去突破瓶颈进行删除,但需要停止个人信息处理活动。
Q7:目前有哪些工具和产品可以帮助企业提高各环节合规效率?
刘海洋:从《个人信息保护法》中,我们可以看到合规工作是七分业务、三分技术。而在庞杂的业务合规工作量面前,数据安全从业者们需要尽可能考虑一体化、轻量化的解决方案。目前我们腾讯安全主推的一款CASB产品,可以帮助企业在开展合规工作中起到一定的助力作用:
一、安全能力融合将审计、脱敏(有匿名法算法)、加密、访问控制等安全能力进行一体化融合,相当于一次集成,多种使用,帮助企业快速推进合规落地。
二、自动化辅助工具可以辅助开展业务合规工作,如自动分类分级、数据资产梳理、访问关系梳理、数据权限梳理等。此外,个人信息中的敏感个人信息也是重中之重,CASB可以利用技术自动化手段,帮助企业发现其分布情况,以及被访问情况,哪些用户拥有权限,哪些用户进行操作……都可以通过CASB来辅助。
Q8:基于合法获取的数据成果归属问题,《个人信息保护法》中是否有相关规定?
王建霞:首先从欧盟GDPR的逻辑来看,以下三类个人信息数据,都是属于用户个人的数据:一、用户直接提供的数据。即用户主动输入的账号或者身份证号。
二、企业服务过程中生成的数据。例如用户的网页浏览记录、音乐APP听歌记录等。
三、企业成果。比如企业的用户画像,非企业提供和生成,而是基于企业的算法或者本身技术得出的一些新数据。而《个人信息保护法》中,对于合法取得和授权范围内的数据,企业有一定的知识产权。而从数据归属问题看来,数据究竟属于企业还是个人?答案比较复杂。根据目前个保法的要求来看,该类个人数据在充分告知和用户同意的情况下是可以使用的。
刘海洋:《个人信息保护法》中有相关规定。首先,是否需要授权、以及归谁所有,前提需要确定该数据是否为个人信息。如果企业生成出来的数据,无法标示出个人的身份或行为,则归个人信息处理者所有,如果可以标识出来且属于个人信息,归个人所有。 从技术处理上来讲,如果已经进行匿名化处理的信息则不属于个人信息,归个人信息处理者所有。
写在后面
其实,《个人信息保护法》的出台,只是一个新里程的开端。对于企业来说,更重要的是对于用户信息保护的落实和实践。而对于所有网络安全从业者来讲,《个人信息保护法》无论代表着利好还是压力,我们都将认真面对,共同努力,从0到1、从1到2,在发现问题、解决问题的过程中不断精益求精,帮助更多企业的安全工作体系化、规范化。