導 語
隨著個人資訊價值的凸顯,個人資訊保安風險與日俱增,個人資訊保護意識也日漸增強。為了保護個人資訊權益,規範個人資訊處理活動,促進個人資訊合理利用,我國首部保護個人資訊保安的基礎性法律《中華人民共和國個人資訊保護法》(以下簡稱“《個保法》”)於2021年8月20日正式表決透過,並將於11月1日起正式施行。
面對《個保法》的施行,“個人資訊處理者”如何安全與合規地處理個人資訊?世平資訊基於《個保法》進行深度解讀,為“個人資訊處理者”的資料安全合規建設提供思路與支撐。
五大原則+四大要求
《個保法》中明確規定了“個人資訊處理者“的義務,我們將其簡要歸納為五大原則和四大要求,在資訊處理過程中,遵循五大原則並滿足四大要求是“個人資訊處理者”安全合規的前提。
遵循五大原則
1.合法、正當、必要、誠信原則
處理個人資訊應當遵循合法、正當、必要和誠信原則,不得透過誤導、欺詐、脅迫等方式處理個人資訊。
2.目的限制原則
處理個人資訊應當具有明確、合理的目的,並應當與處理目的直接相關,採取對個人權益影響最小的方式。
3.最小化原則
收集個人資訊,應當限於實現處理目的的最小範圍,不得過度收集個人資訊。
4.公開、透明原則
處理個人資訊應當遵循公開、透明原則,公開個人資訊處理規則,明示處理的目的、方式和範圍。
5.完整性、準確性原則
處理個人資訊應當保證個人資訊的質量,避免因個人資訊不準確、不完整對個人權益造成不利影響。
滿足四大要求
1.對個人資訊處理全過程進行安全風險管理
2.建立安全保護制度,明確個人資訊保護負責人
應當指定個人資訊保護負責人,負責對個人資訊處理活動以及採取的保護措施等進行監督,並公開個人資訊保護負責人的聯絡方式。
3.定期進行合規審計
個人資訊處理者應當定期對其處理個人資訊遵守法律、行政法規的情況進行合規審計。
4.事前風險評估,事後立即補救
應當事前進行個人資訊保護影響評估;發生或者可能發生個人資訊洩露、篡改、丟失的,應當立即採取補救措施,並通知有關部門和個人。
六大應對措施
《個保法》實施在即,面對以上要求,“個人資訊處理者”要如何應對安全合規?如何在資訊處理過程中最大程度的保護個人資訊保安?我們建議“個人資訊處理者”採取以下六大措施:
明確個人資訊保護責任制,落實全生命週期管控責任
建立個人資訊保護組織架構,明確崗位職責,制定對應的全流程管理規範、制度、流程等,落實全生命週期的安全管控職責,確保個人資訊處理過程的安全合規。
進行個人資訊分類(分級)管理
建立個人資訊管理機制,明確資料型別及策略,對個人資訊實行分類分級管理,從而制定精細化的保護策略,高效、有目的性的保障個人資訊保安並確保個人敏感資訊處理履行告知義務。
開展個人資訊風險評估,及時發現企業個人資訊保安隱患
定期進行個人資訊保護影響評估,採取風險評估手段識別發現企業的個人資訊保安風險,及時整改,規避個人資訊洩露、篡改、丟失等安全隱患,提升企業個人資訊保護建設水平。
識別個人資訊處理活動,落實安全技術措施
梳理個人資訊全生命週期處理活動,制定相對應的安全要求,對各風險點進行提示,在風險點落實匿名化和去標識化;確保跨境個人資訊處理處於合規狀態;對個人資訊主體各項權利確保落實到位。
建立個人資訊保安事件應急響應機制
建立個人資訊保安應急預案,明確個人資訊事件的應急方針、政策,應急組織結構及相關應急職責。在安全事件發生後,能夠及時採取應急措施,最大程度保護個人資訊保安。
開展個人資訊保安意識教育培訓
定期開展個人資訊保安意識教育培訓,加強集體的資訊保安保護意識,確保履行個人資訊保護義務的部門及個人都能夠牢築安全的基石,促進個人資訊的合理利用。
立足需求,為“個人資訊處理者”賦能
世平資訊從法律法規出發,基於豐富的應用實踐和長期技術積累,形成了一系列資料安全產品、平臺和安全服務體系,為使用者提供資料安全合規性檢測與監管、資料資產分類分級發現與管理等產品和與服務能力幫助個人資訊處理者實現安全合規。下面,我們針對“個人資訊處理者”的需求場景,總結了以下應對方案:
需求一:個人資訊匿名化和去標識化
個人資訊處理者透過世平資料脫敏系統可以自動掃描發現並定位敏感資訊資料,透過遮擋、替換個人標識資訊實現個人資訊匿名化和去標識化的目的。保障資料關聯性的同時,提供多種資料脫敏演算法,確保個人資訊保安。
需求二:個人資訊合規採集
在個人資訊採集環節,透過世平資料安全合規檢測系統的深度識別功能,結合對需要採集的資料型別和資料環境的調研,能夠輔助判斷是否過度採集。
需求三:非法傳輸/合法公開檢測
透過世平資料安全合規檢測系統在資料傳輸和公開的過程中,實時監測個人資訊的傳輸和釋出情況,及時發現其中的合規隱患,確保個人資訊處理者在處理個人資訊過程的安全合規。
需求四:個人資訊外發監測與管控
利用世平資料防洩漏系統配置和下發個人資訊外發管控策略,對移動儲存外設複製、郵件,及時通訊等外發行為進行監測與控制。針對確定不能外發的個人資訊檔案,設定智慧加密策略,從根源上防止外洩,有效幫助個人資訊處理者實現個人資訊外發控制。
《個保法》實施在即,但如何實現安全合規仍存在很多疑問和難點,對許多使用者造成困擾。世平資訊專家團隊基於對法規的深度解讀,面向各個行業,幫助使用者解決在落實《個保法》中遇到的難點和挑戰。歡迎來電諮詢或官網留言。
本文來源 資訊保安與通訊保密雜誌社
系列回顧
⊙深度偽造對國家安全的挑戰及應對
⊙彭勝玉:美國可能正在放棄維持臺灣現狀,故意刺激中國發動戰爭
⊙德納:武統前,對臺工作可用經濟手段“逼統反獨”(一)
——END——
