个人信息保护建设需要怎样思考建设

个人信息保护建设思考

（一）识别监管要求聚焦安全保护重点

个人信息处理原则合规

《个人信息保护法》总则中规定了个人信息处理的合法、正 当、必要、诚信、公开透明等，这些基本原则既是处理者开展个人 信息处理活动的基本遵循，也是构建个人信息保护具体规则的制度 基础。需要明确的是企业或组织在个人信息的处理中占据绝对的主 导地位，在处理个人信息必须遵循合法、正当、必要和诚信原则， 具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，公开处理规则，保 证信息质量，采取安全保护措施等，而这些措施必须贯穿于个人信 息处理的全过程、各环节。

第一、合法原则。按照《个人信息保护法》《民法典》《网络 安全法》《消费者权益保护法》的相关规定其内涵包括：处理者处 理个人信息必须具备法律法规规定的合法性基础和处理者在处理个 人信息时必须履行法律法规为其设定的义务两个方面，即权利与义 务的统一性，既要符合法律法规的要求，又要履行法律法规富裕的 义务，企业或组织在个人信息处理的过程中避免出现只使用权利而 承担应尽义务的情况。

第二、正当原则。正当包括目的正当与手段正当，目的正当即 在进行个人信息处理时，要提供一个合法、合理的目的。手段正当 即其处理个人信息的过程需要公开、公正、透明。而非通过欺骗、 诈骗等方式获取并处理个人信息。比如诈骗或者帮助他人诈骗或者 个人信息等就属于目的不正当和手段不正当。

第三、最小必要原则。主要指处理者处理个人信息不应当超过 可以实现处理目的的最低限度，其处理的个人信息应当限于满足处 理目的的最小范围之内，个人信息的过度采集或者加工极容易造成 难以预见对主体的损害甚至带来财产损失乃至造成生命威胁。而现 实中 App端普遍存在违规采集个人信息、超范围采集个人信息、违 规使用个人信息、过度索取权限以的现象，同时使用谐音、刷屏、差评等行为对个人进行诋毁、污蔑等现象也普遍存在。因此，合理 最低限度的收集与使用个人信息是个保法中的重要原则。

第四、诚信原则。诚信是一个道德范畴，以真诚之心,行信义之 事。“人之所助者，信也”，“言必信，行必果”。讲诚信，并不 是说说，很多人说得容易做起来难，其中《个人信息保护法》相较 于《网络安全法》和《消费者权益保护法》更是重点突出了诚信原 则。信要求处理者对个人保有基本的善意，尊重个人的合理信赖， 在价值取向上优先保护个人信息权益，恪守个人信息处理活动的规 范化。诚信贯穿于个人信息处理的各个环节

第五、公开透明原则。《个人信息保护法》第 7 条规定：“处 理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明 示处理的目的、方式和范围。” 在个人信息处理活动中，个人信息 的处理者拥有丰富的收集和处理个人信息的技术手段，个人无法知 晓其何种个人信息将以何种方式被处理，也难以了解其个人信息被 用于何种处理目的，更难以预测个人信息处理活动可能产生的效果 与影响。为了强化个人在个人信息处理活动中的主体地位，保护个 人对其个人信息以公平、公正的方式被处理的合理信赖，处理者应 当对有关个人信息处理与利用的一般政策、事项等予以公开，个人 也有权知悉本人个人信息处理的一般情况。比如依照《个人信息保 护法》第 18 条第 2 款的规定，当出现紧急情况无法及时向个人履行 告知义务时，处理者应当在紧急情况消除后及时告知。

第六、公平公正的原则。《个人信息保护法》第五十八条“提 供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息 处理者，应当履行遵循公开、公平、公正的原则，制定平台规则， 明确平台内产品或者服务提供者处理个人信息的规范和保护个人信 息的义务。”第二十四条“个人信息处理者利用个人信息进行自动 化决策，应当保证决策的透明度和结果公平、公正，不得对个人在 交易价格等交易条件上实行不合理的差别待遇。”当前，越来越多 的企业或组织利用大数据分析、数据中台分析、评估消费者的个人 特征用于商业营销。其中有一些企业或组织通过掌握消费者的经济 状况、采购需求、消费习惯、对价格的敏感程度等信息，对消费者 在交易价格等方面实行歧视性的差别待遇。面对海量数据的使用， 企业或组织需要摒弃偏见，分拆企业或组织内部不透明的服务体 系，不滥用其市场支配地位对消费者进行 “大数据杀熟”。鼓励企 业或组织通过提供差异化的产品和服务方式为企业或组织提供优良 的竞争力和市场活力，摒弃以“算法霸权”谋取市场地位的思维。 同时，在日常管理中进行常态化检查和调研，切实防范技术滥用。

1. 个人信息处理规则明确

第一、完善个人信息处理机制。当前，个人信息收集、使用规则 不透明及违规收集、过度收集、超范围收集、违规使用等问题突出。 个人信息处理者需要明示个人信息主体其收集使用个人信息的目的， 并征求个人信息主体的同意；处理个人信息应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式；处理个人信息应 当公开个人信息处理规则，明示处理目的、方式和范围，并应当保证 个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不 利影响。

第二、明确“告知—同意”是核心规则。长期以来，应用程序过 度收集、使用个人信息问题是社会关注的一大焦点。虽然国家的工信、 网信等各级监管部门进行多轮次的通报与下架，但在实践中，互联网 企业或组织推出的 App仍存在“一揽子授权” “频繁申请权限”“不 同意不让用”的问题。企业或组织在面临该问题时，需要放弃在数据 处理过程中“霸权”行为，充分授权给个人；并做到敏感个人信息单 独取得用户同意；处理个人信息应当在事先充分告知的前提下取得个 人同意等。围绕“告知-同意’的核心确立的个人信息保护核心规则， 保障个人对其个人信息处理知情权和决定权。

2. 个人信息处理责任落实

个人信息处理者应当根据个人信息的处理目的、处理方式、个人 信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下 列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未 经授权的访问以及个人信息泄漏、篡改、丢失；处理个人信息达到国 家网信部门规定数量的个人信息处理者应当指定个人信息保护负责 人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息保护法中对个人信息处理者的义务有详尽的要求。违反相关条目的要求将受到责令改正，没收违法所得，停业整顿、通报有 关主管部门吊销相关业务许可或者吊销营业执照以及直接进行罚款 等各类处罚，因此个人信息合规工作面临监管层面的压力巨大，需要 从以下几点进行落实：

第一、合法处理个人信息。在《个人信息保护法》中，明确了个 人信息处理的七项合法依据，除“同意”外，企业或组织可以通过履 约、履责等合法依据对个人信息进行处理。对企业或组织来说，应特 别注意避免将个人信息主体置于“被动”或“无感知”的情形，慎重 使用“为履行个人作为一方当事人的合同”作为合法依据的情形。在 明确告知、清晰告知和全面告知的基础上，充分取得个人信息主体的 同意，从严要求企业或组织的内部业务，切实落实“能不用就不用， 能少用就少用”个人信息的原则最小化使用个人信信息，切实落实《常 见类型移动互联网应用程序必要个人信息范围规定》中关于 39类 App 必要个人信息范围规定要求。

第二、确定委托的第三方责任，加强风险评估。GB/T 35273-2020 《信息安全技术 个人信息安全规范》中个人信息的委托处理、共享、 转让、公开披露中要求“受委托者应严格按照个人信息控制者的要求 处理个人信息。受委托者因特殊原因未按照个人信息控制者的要求处 理个人信息的，应及时向个人信息控制者反馈”、“个人信息控制者 共享、转让个人信息时，应充分重视风险”。业务委托合同中应与受 托人约定处理目的、期限、处理方式、信息种类、保护措施以及双方 的权利与义务。同时企业或组织有责任对受托人的个人信息处理活动进行监督，确保受托人处理行为依照合同约束开展。监督行为可通过 对受托人的现场审查、发放评估问卷等形式定期开展，同时保留记录 存档。接受委托处理个人信息的受托人，应当履行个保法规定的相关 义务，同时有义务协助个人信息处理者履行个保法的要求。

第三、加强敏感个人信息保护。在了解涉及处理的个人信息类型 的基础上，应区分其中的敏感个人信息类型，制定企业或组织内部的 分类分级标准，并采取更高水平的技术措施（脱敏、防泄漏、访问控 制等）予以保护。针对未满十四周岁的未成年人信息，企业或组织应 在产品/服务端设计青少年模式，通过家长身份验证等方式确保个人 信息处理合规，并制定专门的个人信息处理规则予以公示。

第四、满足个人信息出境要求，企业或组织涉及个人信息出境时， 应遵循“境内存储”原则，确有必要向境外提供个人信息的，应事先 进行个人信息保护影响评估，明确个人信息出境的合法依据。在国家 网信办关于《网络数据安全管理条例（征求意见稿）》公开征求意见 的通知中提到：“关键信息基础设施运营者和处理一百万人以上个人 信息的数据处理者向境外提供个人信息”，企业或组织应当通过国家 网信部门组织的数据出境安全评估，同时处理者向境外提供数据应当 履行“存留相关日志记录和数据出境审批记录三年以上”的义务。

1. 个人信息主体权利保障

《个人信息保护法》提到，个人对其个人信息的处理享有知情权、 决定权，有权限制或者拒绝他人对其个人信息进行处理；个人有权向个人信息处理者查阅、复制其个人信息；个人发现其个人信息不准确 或者不完整的，有权请求个人信息处理者更正、补充；人有权请求删 除；个人有权要求个人信息处理者对其个人信息处理规则进行解释说 明等七大项权利。企业或组织应建立多样化的请求接收方式、响应处 理流程、响应时限要求以及技术手段予以支持，确保个人信息主体可 以随时行使自己的权益（如∶访问权、纠正权、拒绝权、限制处理权 及可携带权等），并可以在指定响应期间内予以满足。另一方面，为 实现处理来源于真实个人信息主体的请求，应具备强有效的身份校验 机制，以对个人信息主体的身份进行准确识别，以确保可以及时并准 确的实现个人信息主体所提请求。整体而言更强调个人在信息的收集、 处理、利用、保管、传播等行为的权利，对个人权利的保护远远超出 了传统隐私权的范围。

（二）技术辅助企业或组织个人信息保护合规落地

在个人信息收集、存储、使用、加工、传输、提供、公开等流程 中，需要将管理制度落实到每个具体的活动，同时确保管理制度落实 的效果。在不同的环节里需要特定的技术手段进行辅助，提升合规管 理的效果。在企业或组织内部，这些流程又可以根据研发、测试、运 维、法务等参与角色的不同，分为产品设计、研发、发布、运营等阶 段，每个阶段应进行相应的过程管理。

在设计阶段，在个人信息收集前端工具的设计过程中，可采用 PbD的设计原则进行产品设计及实施策略的制定。

在研发过程中，可通过合规培训、SDK准入审核、合规评估等策 略进行研发过程管理，避免由于研发人员对合规要求不了解、第三方 SDK自身风险等造成合规隐患。

在发布阶段，通过技术手段进行整体的合规评估。如针对 App强 制授权、过度索权、超范围收集个人信息等典型问题，企业或组织可 以先尝试从第三方的视角对 App合规状态进行快速摸底，通过对 App 违规收集隐私数据的行为进行检测，包括权限声明、第三方 SDK收集 信息、App各功能模块实际获取的个人信息等，对企业或组织个人信 息保护水平的合规性、有效性、完整性进行测试及验证。

在运营阶段，通过安全防护技术、访问控制策略、风险评估、应 急处置预案等方式进行存储、使用、加工等流程中的管理及保障工作。

除管理流程外，企业或组织还要将个人信息保护真正融入到日常 的业务和产品中，才能让个人信息保护不再流于表面，随着监管执法 力度的加强，企业或组织在管理体系建设方面的完备性和有效性验证， 需要管理和技术手段并行，并且嵌入到企业或组织系统及业务开展过 程中，从根本上建立健全个人信息保护管理体系，为数据价值的发挥 助力。

参考资料

2021年中国软件供应链安全分析报告
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南