个人信息保护合规建设行业最佳指南

个人信息保护概述

随着大数据时代的到来,个人信息保护得到了前所未有的重 视。国际上围绕个人信息的获取、分析、利用和控制的竞争越来越 激烈,个人信息安全已成为维护国家安全、保持社会稳定、关系长 远利益的关键组成部分,备受各国政府的关注和重视。如何确保个 人信息安全已是各国政府及各种组织改进其竞争能力的一个新的具 有挑战性的任务。

个人信息保护工作任重而道远,这不仅仅是个人信息保护专 业人士的责任,也需要得到所有人的关注和投入。因此,个人信 息保护工作也要与时俱进,成为数字化 转型道路上的“照明灯” 和“守护者”。企业或组织的管理者要主动应对各 种个人信息风 险和问题,持续关注个人信息监管和行业标准最新动态,并积极 参与管理实践和隐私科技的发展。此外,个人信息保护能力也将 作为企业或组织影响力的关键因素,从用户隐私体验、科技透明 度和市场信任感上为业务赋能。

编订《个人信息保护合规建设实践桔皮书》 ,全面分析了企 业或组织个人信息保护合规建设驱动力,所面临的挑战,提出了 合规建设的技术应用探索,并全面阐述了建设方案和关键技术的 应用探索。希冀本桔皮书能为企业或组织个人信息保护合规建设 提供借鉴和参考, 分享研究成果,共谋发展。

个人信息保护建设背景

随着大数据时代的到来,作为数字经济时代最核心、最具价值的 生产要素,数据已经成为国家基础性战略资源,对国家治理能力、经 济运行机制、社会生活方式产生深刻影响。与此同时,在数字技术不 断推动经济发展的同时,其背后的安全风险也日益显现出来。近年来, 各类数据泄漏、数据滥用、个人隐私侵害等安全事件更是层出不穷。 如何在保障数字经济高速发展的同时,正确开展数据安全治理,保护 公民个人隐私不被侵害,已引起各国的高度重视和全社会的广泛探讨。

2021 年 8 月 20 日,全国人大常委会会议通过《个人信息保护 法》,2021 年 11 月 1 日正式实施。《个人信息保护法》正式颁布实 施,标志着我国个人信息保护立法体系进入新的阶段。《个人信息保 护法》的出台为个人信息权益保护、信息处理者的义务以及主管机关 的职权范围提供了全面的、体系化的法律依据,涵盖个人信息收集、 存储、使用、加工、传输、提供、公开、删除等多个环节以及自动化 决策、个人信息跨境提供等特定场景,与《民法典》《网络安全法》 《数据安全法》等共同构成了我国个人信息保护的法律框架。该法将 合法、正当、必要与最小必要、透明公开、公平公正作为个人信息活 动的基本原则,明确个人信息跨境处理要求,充分保障用户对个人信 息处理的知情权和控制权,赋予用户删除、查询、更正、补充个人信 息等权利,明确个人信息处理者应当遵循告知、个人信息分类、个人 信息安全加密、敏感个人信息事前影响评估等义务,保障用户个人信 息安全。

随着数据价值的进一步凸显,侵犯个人隐私的情形不断增多。由 于智能手机和移动应用的流行,企业或组织收集个人信息的主要手段 包括 App、小程序等,用户在智能手机上存储了大量个人信息,而如 何对这些个人信息加以保护遂成为重要挑战。为此,国家监管机构发 布了一系列的相关法律法规和监管标准,围绕 App监管和个人信息违 法犯罪活动开展了诸多执法专项行动。

(一)合规监管要求逐渐完善

监管机关针对个人信息保护监管与执法都呈现出趋严趋紧的特 点,不断加大个人信息保护监管力度。2019 年 11 月 28 日,国家互 联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定 了《App违法违规收集使用个人信息行为认定方法》,自印发之日起 实施。重点关注可被认定为“未公开收集使用规则”的行为,可被认 定为“未明示收集使用个人信息的目的、方式和范围”的行为,可被 认定为“未经用户同意收集使用个人信息”的行为,可被认定为“违 反必要原则,收集与其提供的服务无关的个人信息”的行为,可被认 定为“未经同意向他人提供个人信息”的行为,以及可被认定为“未 按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方 式等信息”的行为,为 App运营者提供合规指引。2020 年 5 月,国家 网信办等四部委联合制定的《常见类型移动互联网应用程序必要个人 信息范围规定》正式实施,明确 App不得强制收集非必要个人信息。 工信部针对 App的治理,开展了专项行动,采取一系列措施,总体效果比较明显,近期拟会同相关部门联合出台《移动互联网应用程序个 人信息保护的管理暂行规定》,App个人信息处理活动应当采用合法、 正当的方式,遵循诚信原则,不得通过欺骗、误导等方式处理个人信 息,切实保障用户同意权、知情权、选择权和个人信息安全,对个人 信息处理活动负责。此外,2021 年 11 月,国家网信办会同相关部门 研究起草的《网络数据安全管理条例》公开征求意见,其中“个人信 息保护”章节详细规定了知情同意、最小必要、权利保障、生物特征 信息等方面的要求,并明确提出处理一百万人以上个人信息应视为重 要数据处理者进行管理,进一步强化消费者个人信息保护。

(二)监管执法强度持续提高

根据国家计算机网络应急技术处理协调中心、中国网络空间安 全协会发布的《App违法违规收集使用个人信息监测分析报告》,今 年以来,国家网信办持续开展 App违法违规收集使用个人信息专项治 理工作,加大执法监管力度,组织对 39 种常见类型公众大量使用的 1425 款 App开展了专项检测,已对其中存在严重违法违规问题的 351 款 App进行了公开通报,责令限期整改;对未在规定时限内整改的依 法采取了相关处罚措施。国家计算机网络应急技术处理协调中心积极 运用大数据等新技术手段,建设 App收集使用个人信息监测平台,实 现对国内主流应用商店在架 App存在的“不给权限不让用、频繁索权 干扰用户、启动就索要无关权限、未经用户同意收集个人信息”等 16 项典型违法违规问题的全量快速检测。专项治理有力震慑了违法违规行为,大大提高了 App运营者对个人信息保护工作的重视程度,取得 了良好的治理效果和社会反响。此外,2021 年 1-4 月,工信部已累计 完成 29 万款 App技术检测,对 1862 款违规 App提出整改要求,公开 通报 319 款整改不到位 App,组织下架了 107 款拒不整改的 App。通 过持续整治热点难点问题。在前期 App专项整治的基础上,进一步聚 焦工具类、通信类等 App,加大欺骗诱导用户下载、弹窗信息难以关 闭、违规共享使用个人信息和利用第三方嵌入式软件损害用户权益等 热点难点问题的整治力度。

面对不断加大的数据安全及个人信息保护监管力度,企业或组 织如何建立健全符合企业或组织管理现状及发展需求的个人信息保 护管理体系,确保个人信息安全合规,同时充分发挥数据对企业或组 织发展的积极推动作用,已成为各行各业发展过程中的重大挑战。

参考资料

2021年中国软件供应链安全分析报告
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南

你可能感兴趣的:(安全,大数据,运维)